Аутентификаторы

Настроить аутентификаторы можно в следующих разделах Indeed Access Manager:

• Конфигурация→Аутентификаторы;
• Вкладка Приложения карточки политики;
• Вкладка Аутентификаторы карточки пользователя.

Общие настройки

Раздел Конфигурация→Аутентификаторы содержит общие для всех пользователей настройки всех аутентификаторов, установленных на сервере Indeed AM. Настройки могут отличаться в зависимости от аутентификатора.

Разрешить/Запретить использование и редактирование

Чтобы настроить использование и редактирование аутентификаторов:

1. Выберите аутентификатор.

2. В секции Основные настройки:

   • В настройке Запретить использовать укажите, могут ли пользователи использовать или регистрировать выбранный аутентификатор.
   • Задайте другие настройки в зависимости от типа аутентификатора.

3. Для аутентификаторов, которые требуют регистрации, в секции Доступные пользователю действия:

   • В настройке Регистрация новых аутентификаторов укажите, могут ли пользователи регистрировать новые аутентификаторы.
   • В настройке Редактирование имеющихся аутентификаторов укажите, могут ли пользователи изменять уже зарегистрированные аутентификаторы.
   • В настройке Удаление имеющихся аутентификаторов укажите, могут ли пользователи удалять уже зарегистрированные аутентификаторы.
   • В настройке Разрешить редактирование комментария к аутентификатору укажите, в какой момент пользователи могут редактировать комментарии к уже зарегистрированным аутентификаторам.

Изменить максимальное количество

В разделе Конфигурация→Аутентификаторы можно определить, сколько аутентификаторов может максимально зарегистрировать для себя один пользователь. Эта настройка доступна для следующих аутентификаторов:

• IronLogic Z2USB Provider
• Passcode Provider
• OMNIKEY Provider
• Smart Card Provider

Чтобы задать максимальное количество:

1. Выберите аутентификатор.
2. В поле Максимальное количество введите значение.
3. Нажмите Сохранить.

Настроить автоматическую блокировку

Для аутентификаторов можно настроить автоматическую блокировку и разблокировку в случае неудачных попыток входа.

Примечание

Настройка блокировки аутентификаторов в Management Console не поддерживается для двухфакторной аутентификации для приложений RADIUS Extension.

Чтобы настроить автоматическую блокировку в Management Console:

1. Выберите аутентификатор.
2. Для параметра Блокировать способ аутентификации в случае серии неудачных попыток установите значение Да.
3. Задайте значения для следующих параметров:
   • Количество попыток аутентификации до блокировки. Этот параметр определяет количество неудачных попыток аутентификации до блокировки способа входа. Способ входа остается заблокированным до момента разблокировки администратором или до истечения таймаута до разблокировки. Значение параметра по умолчанию — 5. Заданное значение должно быть больше или равно 1.
   • Сброс счетчика блокировки через (минут). Этот параметр определяет, сколько минут должно пройти после неудачной попытки входа, прежде чем счетчик неудачных попыток будет обнулен. Значение параметра по умолчанию — 5. Заданное значение должно быть больше или равно 1. Интервал сброса счетчика блокировки не должен быть больше таймаута до разблокировки способа входа, только если значение последнего не равно 0.
   • Таймаут до разблокировки способа входа (минут). Этот параметр определяет период, на который заданный способ входа будет заблокирован. По истечении таймаута способ входа будет автоматически разблокирован. Значение параметра по умолчанию — 5. Если установлено значение 0, способ входа остается недоступным для пользователя, пока администратор не разблокирует его в Management Console.
4. Нажмите Сохранить.

Настроить принудительную проверку

Для регистрации аутентификаторов Software TOTP, Secured TOTP и Software HOTP можно настроить принудительную проверку аутентификатора.

Если принудительная проверка аутентификатора включена, при регистрации появится дополнительное окно подтверждения для ввода данных аутентификации.

Предварительные требования

Данная настройка работает в версии Management Console 8.2.6 или выше. Если установлена более старая версия, необходимо обновление. Посмотреть номер установленной версии можно в разделе Помощь и поддержка боковой панели Management Console.

Чтобы настройка принудительной проверки стала доступна в Management Console, настройте ее отображение с помощью утилиты EA.Settings.Migration.Tool. Подробнее об использовании утилиты — в Миграция настроек провайдеров.

Чтобы включить принудительную проверку:

1. В разделе Конфигурация→Аутентификаторы выберите аутентификатор Software TOTP, Secured TOTP или Software HOTP.
2. В разделе Основные настройки включите принудительную проверку.

Для подтверждения регистрации введите полученные данные аутентификации и нажмите Подтвердить.

Примечание

При регистрации Storage SMS принудительная проверка выполняется по умолчанию.

Настройки для политик

Можно также задать настройки аутентификаторов, которые распространяются на всех пользователей, включенных в политику. Эти настройки доступны в карточке политики в Management Console.

Чтобы задать настройки аутентификаторов для пользователей, включенных в политику:

1. На боковой панели Management Console выберите Политики.
2. Выберите политику.
3. Перейдите на вкладку Приложения. Эта вкладка содержит информацию о приложениях и модулях интеграции, добавленных в политику. Подробнее о настройках политик — в Политики.
4. Выберите приложение.
5. В секции Доступные методы аутентификации разрешите/запретите использование аутентификаторов.
6. Для модулей Identity Provider, Windows Logon, ESSO Agent, ADFS Extension выберите режим работы Indeed Key Provider.
7. Для модулей Identity Provider, ADFS Extension и IIS Extension выберите режим работы Telegram Provider.

Настройки для отдельного пользователя

Задать настройки аутентификаторов для отдельного пользователя можно в его карточке в Management Console.

Чтобы открыть карточку пользователя:

1. На боковой панели Management Console выберите Пользователи.
2. Найдите пользователя. Подробнее о настройках поиска — в Пользователи.
3. В карточке пользователя перейдите на вкладку Аутентификаторы. Эта вкладка содержит информацию о количестве зарегистрированных аутентификаторов пользователя и их параметры.

Зарегистрировать

Перед регистрацией аутентификаторов создайте политику и распространите ее на целевых пользователей.

Примечание

Провайдеры Email OTP и SMS OTP не требуют регистрации и могут использоваться, если у пользователя задан email или номер телефона соответственно. Если параметры не заданы, то аутентификаторы не отображаются в списке доступных для пользователя.

Чтобы зарегистрировать аутентификатор:

1. Нажмите Зарегистрировать и выберите метод аутентификации из выпадающего списка.

   Если у пользователя зарегистрировано максимальное количество аутентификаторов для определенного метода, то данный метод аутентификации отображаться не будет. 

2. Выполните дополнительные настройки для регистрации аутентификатора. Для различных аутентификаторов отличаются окна и действия для регистрации.

3. После успешной регистрации статус аутентификатора — Действующий.

4. Если был удален провайдер, имеющий зарегистрированные аутентификаторы, то статус аутентификатора — Не установлен.

Аутентификатор появится в списке зарегистрированных для пользователя аутентификаторов.

Запретить

Пользователю можно запретить использовать аутентификатор.

Примечание

Способ аутентификации Windows Password не может быть запрещен. Рекомендуем отключить учетную запись пользователя в Active Directory, если нужно заблокировать доменный пароль. 

Чтобы запретить пользователю использовать аутентификатор:

1. Выберите аутентификатор.
2. Нажмите Запретить.

После отключения аутентификатора пользователь не сможет использовать данный способ входа. Статус аутентификатора — Запрещен.

В карточке пользователя можно запретить использовать аутентификатор только для одного пользователя. Запретить использовать аутентификатор всем пользователям можно в разделе Конфигурация→Аутентификаторы.

Разрешить

Чтобы разрешить пользователю использовать аутентификатор:

1. Выберите аутентификатор.
2. Нажмите Разрешить использовать.

После включения аутентификатора пользователь сможет использовать данный способ входа. Статус аутентификатора — Действующий.

Примечание

В карточке пользователя можно разрешить использовать аутентификатор, только если запрет был установлен для отдельного пользователя. Снять запрет на использование аутентификатора для всех пользователей можно только в разделе Конфигурация→Аутентификаторы.

Разблокировать

Если для аутентификатора отключена автоматическая разблокировка после неудачных попыток входа, его нужно разблокировать вручную в карточке пользователя. Для этого:

1. Выберите заблокированный аутентификатор.
2. Нажмите Разблокировать.

Способ входа снова будет доступен для пользователя.

Удалить

1. Выберите аутентификатор.
2. Нажмите Удалить.
3. Подтвердите удаление.

Аутентификатор исчезнет из списка зарегистрированных для пользователя аутентификаторов.