Indeed AM Storage SMS OTP Provider

Если в качестве хранилища данных Indeed AM вы используете Microsoft SQL, вы можете использовать провайдер Indeed AM Storage SMS OTP. Этот провайдер предоставляет возможность хранения, получения и обновления телефонных номеров пользователей системы Indeed AM в базе данных. Номера телефонов хранятся в зашифрованном виде.

Storage SMS OTP Provider может быть использован для аутентификации в следующих модулях:

• Identity Provider,
• Windows Logon,
• ADFS Extension,
• FreeRadius Extension.

Идентификатор провайдера

{3F2C1156-B5AF-4643-BFCB-9816012F3F34}

Установка провайдера Storage SMS OTP

Важно

Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.

Предварительные требования

Для использования Storage SMS OTP Provider необходимо наличие СМС-шлюза. Данный шлюз должен быть доступен с каждого сервера Indeed AM, на котором предполагается установка Storage SMS OTP Provider. 

На сервере с Linux

Чтобы установить провайдер на сервере с операционной системой Linux, выполните следующие действия:

1. Откройте файл am/.env.
2. В переменной COMPOSE_PROFILES добавьте значение storage-sms-otp.

На клиентских машинах с Windows

Чтобы установить провайдер на клиентских машинах с операционной системой Windows, выполните следующие действия:

1. Из папки Indeed AM <Номер версии>\Indeed AM Providers\Indeed AM Storage SMS OTP Provider\Client\<Номер версии> запустите пакет IndeedID.SMSOTP.Provider.msi.

2. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие. После завершения установки может потребоваться перезагрузка системы.

Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.

Файлы шаблонов политик расположены в папке Indeed AM <номер версии>\Misc\ADMX Templates.

Регистрация провайдера

Рекомендуется регистрировать провайдер через облегченную версию API компонента Indeed AM Phone Management Server, предназначенную специально для работы с провайдером Storage SMS OTP, также возможно использование основного API системы Indeed.

Настройка провайдера Storage SMS OTP в Management Console

Для настройки Storage SMS OTP в Management Console перейдите в раздел Конфигурация→Аутентификаторы и выберите аутентификатор Storage SMS OTP.

Права доступа

Чтобы выдать или отозвать права на использование аутентификатора, выполните следующее:

1. В секции Основные настройки выполните следующие настройки:
   • В настройке Запретить использовать укажите, может ли пользователь использовать или регистрировать выбранный аутентификатор.
2. В секции Доступные пользователю действия выполните следующие настройки:
   • В настройке Регистрация новых аутентификаторов укажите, может ли пользователь регистрировать новые аутентификаторы.
   • В настройке Редактирование имеющихся аутентификаторов укажите, может ли пользователь изменять уже зарегистрированные аутентификаторы.
   • В настройке Удаление имеющихся аутентификаторов укажите, может ли пользователь удалять уже зарегистрированные аутентификаторы.
   • В настройке Разрешить редактирование комментария к аутентификатору укажите, в какой момент пользователь может редактировать комментарии к уже зарегистрированным аутентификаторам.

Блокировка аутентификатора

Чтобы заблокировать аутентификатор, в секции Настройки блокировки аутентификатора выполните следующие настройки:

1. Разрешите или заблокируйте использование Storage OTP в случае серии неудачных попыток аутентификации.
2. В поле Количество попыток аутентификации до блокировки укажите, сколько раз пользователь может совершить неудачную аутентификацию до блокировки способа аутентификации.
3. В поле Сброс счетчика блокировки укажите, сколько минут должно пройти после неудачной попытки аутентификации, прежде чем сбросится счетчик.
4. В поле Таймаут до разблокировки способа входа укажите, через сколько минут заблокированный способ аутентификации станет вновь доступным.

Защита от спама

Механизм защиты от спама основан на расчете процента успешных аутентификаций относительно всех отправленных сообщений за указанный интервал времени. При этом расчет запускается, только если количество отправленных сообщений превышает количество, заданное вами в настройке Окно оценки.

При обнаружении спам-атаки дальнейшая отправка сообщений блокируется на заданный период времени, а при попытке входа возникает ошибка Potential spam attack detected.

Отправка сообщений возобновляется либо по истечении заданного периода, либо по достижении определенного количества (в процентном отношении) успешных аутентификаций.

Чтобы настроить защиту от спама, выполните следующее:

1. В Management Console в разделе Конфигурация→Аутентификаторы выберите аутентификатор.
2. В секции Настройки защиты от спама выполните следующие настройки:
   • включите или отключите защиту от спама;
   • в поле Окно оценки попыток аутентификации укажите, в течение какого времени будет выполняться расчет процента успешных попыток входа;
   • в поле Пороговое окно попыток аутентификации укажите, сколько попыток входа должно производиться за время, указанное в окне оценки попыток аутентификации;
   • в поле Процент успешных попыток аутентификации укажите минимальный процент успешных входов относительно всех отправленных сообщений.

Пример

Настройка включена со следующими значениями:

• Окно оценки попыток аутентификации — 600
• Пороговое окно попыток аутентификации — 20
• Процент успешных попыток аутентификации — 85

Защита от спама включится, если произойдет 21 попытка входа (отправлено 21 сообщение). Произойдет блокировка аутентификатора на 600 секунд.

Аутентификатор разблокируется в одном из случаев:

• процент успешных входов (пользователь успешно ввел одноразовый пароль из сообщения) достигнет значения 85;
• прошло 600 секунд с момента блокировки.

Информация

События лог-сервера:

• 2090: Обнаружена потенциальная спам-атака. Отправка сообщений приостановлена.

• 1118: Отправка сообщений пользователям возобновлена.

Настройки шлюза

1. В секции Настройка шлюза выберите один из типов подключения:

   • SMS Proxy
   • OneGate
   • MFMSolutions
   • Megafon

2. Укажите адрес подключения к серверу.

3. В зависимотри от типа подключения заполните остальные поля:

   • SMS Proxy: Отпечаток сертификата клиента и Отпечаток сертификата сервера;
   • MFMSolutions: Логин — имя учетной записи для подключения к серверу и Пароль — пароль учетной записи для подключения к серверу;
   • Megafon: Логин — имя учетной записи для подключения к серверу и Пароль — пароль учетной записи для подключения к серверу.

Формат сообщения

1. В поле Отправитель укажите имя отправителя, которое будет отображаться при получении СМС.
2. В поле Дополнительный текст перед OTP введите произвольный текст сообщения, предшествующий одноразовому паролю. По умолчанию отправляется только OTP.
3. Из выпадающего списка Формат даты выберите формат, в котором будет отображаться дата (или дата и время) отправки сообщения в тексте сообщения.

Формат телефонного номера

1. Чтобы настроить формат телефонного номера, укажите количество символов и префикс (символы, которые добавляются в начало телефонного номера, например, код страны).
2. В секции Дополнительные настройки телефонного номера можно настроить, будет ли использоваться номер телефона из Active Directory, вместо номера из базы данных.

При включении настройки формата происходит нормализация телефонного номера. Это означает следующее:

• пробелы, табуляция, скобочки, дефисы будут удаляться;
• если в строке записаны несколько номеров и разделены запятой или точкой с запятой, будет браться первый номер в строке до разделителя;
• 8 будет заменяться на +7;
• если в номере не хватает +7 или 8 в начале строки, то будет добавляться +7 перед номером;
• в номерах могут быть символы O вместо цифры 0, они будут заменяться обратно на цифры.

Генерация одноразового пароля

В секции Настройки генерации одноразового пароля выполните следующие настройки:

1. В поле Длина одноразового пароля укажите, сколько символов будет содержать одноразовый пароль.
2. В настройке Цифры укажите, будет ли одноразовый пароль содержать цифры.
3. В настройке Строчные латинские буквы укажите, будет ли одноразовый пароль содержать строчные латинские буквы.
4. В настройке Прописные латинские буквы укажите, будет ли одноразовый пароль содержать прописные латинские буквы.
5. В настройке Специальные символы укажите, будет ли одноразовый пароль содержать специальные символы.