Indeed RDP Windows Logon

Модуль Indeed RDP Windows Logon (RDP Windows Logon) позволяет реализовать двухфакторную аутентификацию с помощью Indeed Access Manager в процессе подключения по протоколу RDP (Remote Desktop Protocol) или в приложении Remote App.

В качестве второго фактора могут выступать:

• push-уведомления с подтверждением входа в мобильном приложении Indeed Key,
• Email OTP,
• SMS OTP,
• Secured TOTP,
• Software OTP,
• Passcode,
• Hardware TOTP,
• Hardware HOTP.

Предварительная настройка

Чтобы использовать модуль RDP Windows Logon:

1. Включите NLA (Network Level Authentication) для пользователя.
2. При использовании соединения по протоколу HTTPS установите клиентский сертификат на каждый сервер Indeed.
3. Установите и настройте RDP Windows Logon.
4. Настройте выбор провайдера аутентификации на стороне пользователя.
5. При необходимости задайте опциональные настройки.

Установить и настроить RDP Windows Logon

1. Запустите файл для установки, расположенный по пути Indeed AM <номер версии>/Indeed AM RDP Windows Logon/<номер версии>, и следуйте шагам мастера установки.

2. Откройте редактор реестра Windows.

3. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID создайте раздел RemoteAuth.

4. В разделе RemoteAuth создайте cтроковый параметр ProviderId и задайте значение, соответствующее используемому провайдеру.

   Возможные значения ProviderId

   • SMS OTP {EBB6F3FA-A400-45F4-853A-D517D89AC2A3}
   • Email OTP {093F612B-727E-44E7-9C95-095F07CBB94B}
   • Passcode {F696F05D-5466-42b4-BF52-21BEE1CB9529}
   • Software OTP {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}
   • Secured TOTP {F15FD7EC-19EA-4384-846E-A2D0BE149FA2}
   • HOTP Provider {AD3FBA95-AE99-4773-93A3-6530A29C7556}
   • TOTP Provider {CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05}
   • Indeed Key (только в режиме push-уведомлений с подтверждением входа) {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68}

   

5. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\SrvLocator2 измените следующие параметры:

   • В параметре ServerUrlBase укажите URL вашего Core Server в формате http(s)://полное_dns_имя_сервера/am/core.

     Важно!

     В настройках приложения URL не должен содержать косую черту (/) в конце адреса.

   • В параметре IsIgnoreCertErrors укажите значение 0 или 1. Этот параметр предназначен для проверки сертификата Core Server, при значении 1 ошибки сертификата игнорируются.

     

Настроить выбор провайдера аутентификации для пользователя

1. В реестре Windows в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создайте параметр DWORD с именем IsAuthSelectionEnabled.

2. В значении параметра IsAuthSelectionEnabled укажите 1.

   Если параметр не задан или его значение равно 0, то выбор провайдера аутентификации предоставляться не будет. В этом случае будут отображаться все доступные методы аутентификации.

   Если IsAuthSelectionEnabled=1 и указан провайдер в ProviderId, то при подключении пользователя будет выбран указанный провайдер. При этом пользователь сможет выбрать любой другой из числа поддерживаемых.

   

Опциональные настройки

• Аутентификация пользователей без лицензии.
• Настройка срока хранения сессии.
• Одновременная работа с Indeed Windows Logon.

Пример работы модуля

1. Подключитесь к машине, на которой установлен RDP Windows Logon.

   

2. Укажите пользователя и доменный пароль и нажмите ОК.

   

3. Введите одноразовый пароль.

   

   Примечание

   Если у пользователя нет доступных способов аутентификации, отображается сообщение Нет доступных способов аутентификации. Доступ запрещен. и сессия Remote Desktop завершается.