Добавление и настройка интегрированного приложения

В Management Console вы можете:

• добавить приложение, интегрированное через RADIUS Extension;
• выбрать способ входа для интегрированных приложений;
• настроить атрибуты для поиска повторных запросов на аутентификацию и выполнить прочие опциональные настройки.

Опциональные настройки

Настроить передачу атрибутов Radius

Данная настройка позволяет добавить атрибуты в ответ Access-Accept (Доступ принят), которые указаны в сетевой политике сервера NPS. 

Это необязательная настройка, выполняется только при необходимости передачи атрибутов Radius для клиента.

Чтобы настроить передачу атрибутов Radius:

1. Откройте Сервер сетевых политик.

2. Раскройте раздел Политики → Политики запросов на подключение.

3. Выберите существующую политику или создайте новую и откройте ее свойства.

4. На вкладке Параметры перейдите в раздел Атрибуты RADIUS → Стандарт.

5. Нажмите Добавить.

6. В окне Добавить стандартный атрибут RADIUS в списке Атрибуты выберите Filter-Id и нажмите Добавить.

   

7. В окне Сведения об атрибуте нажмите Добавить.

8. Убедитесь, что параметр Формат ввода атрибута — строковый, и введите строку формата IID_CR_AccessAccept_Attributes:<идентификатор требуемого атрибута 1>, <идентификатор требуемого атрибута 1>

   Подсказка

   Если атрибутов несколько, укажите идентификаторы через запятую. 

   Пример

   IID_CR_AccessAccept_Attributes:25, 13

9. Закройте все окна, нажмите Применить и перезапустите службу NPS.

   

Настроить параметры доступа в политиках на NPS

В политике на сервере NPS можно задать следующие параметры:

• общий способ входа;
• способы входа для групп пользователей.

Это необязательная настройка.

Чтобы настроить параметры доступа:

1. Запустите Сервер сетевых политик.

2. Перейдите в раздел Политики → Политики запросов на подключение.

3. Создайте новую политику или используйте существующую и перейдите в ее свойства.

4. На вкладке Параметры перейдите в раздел Атрибуты RADIUS → Стандарт.

5. Нажмите Добавить.

6. В окне Добавить стандартный атрибут RADIUS в списке Атрибуты выберите Filter-Id и нажмите Добавить.

7. В окне Сведения об атрибуте нажмите Добавить.

8. Убедитесь, что параметр Формат ввода атрибута строковый, и введите соответствующие значения.

Общий способ входа

Если настроить общий способ входа, те пользователи, на которых не распространяется действие параметра Настройка способов входа для групп пользователей, будут использовать заданный провайдер аутентификации в RADIUS-приложениях.

Чтобы настроить общий способ входа, введите значение формата IID_ModeId_{ProviderId}, где ProviderId — идентификатор провайдера.

Значение ProviderId уникально для каждого провайдера.

Значения идентификаторов провайдеров, поддерживающих RADIUS-аутентификацию

• {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} — Software TOTP,
• {B772829C-4076-482B-B9BD-53B55EA1A302} — Software TOTP (Challenge\Response),
• {F696F05D-5466-42b4-BF52-21BEE1CB9529} — Passcode,
• {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} — SMS OTP,
• {CA4645CC-5896-485E-A6CA-011FCC20DF1D} — Telegram,
• {093F612B-727E-44E7-9C95-095F07CBB94B} — Email OTP,
• {AD3FBA95-AE99-4773-93A3-6530A29C7556} — Hardware HOTP,
• {631F1011-2DEE-47C5-95D8-75B9CAED7DC7} — Hardware HOTP (Challenge\Response),
• {CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05} — Hardware TOTP,
• {D338344E-7AB7-4D82-9B53-C3678662B153} — Hardware TOTP (Challenge\Response),
• {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68} — IndeedKey,
• {CB3D3B0A-29C6-4BA4-939D-09B126C10C2E} — Passcode + Software TOTP (Challenge\Responce),
• {E5D3185C-9A13-4538-BE8F-D4E1C50A329E} — Passcode + IndeedKey,
• {F15FD7EC-19EA-4384-846E-A2D0BE149FA2} — Secured TOTP,
• {7F3DE86F-59D1-4476-AA5D-F277E5DD5938} — Secured TOTP (Challenge\Response),
• {882C1787-FD32-44A2-BA89-F1F529FBE7AB} — Passcode + Secured TOTP (Challenge\Response),
• {4E32199B-9A21-4CD7-8646-C70C48B55ED9} — Passcode + SMS OTP (Challenge\Response).

Примечание

Challenge\Response (Вызов\Ответ) — способ аутентификации, когда одна сторона отправляет запрос («вызов»), а другая должна предоставить верный «ответ» для успешной аутентификации.

Пример значения атрибута с Indeed AM Software OTP Provider

IID_ModeId_{B772829C-4076-482B-B9BD-53B55EA1A302}

Для групп пользователей

Если настроить способ входа для группы пользователей Active Directory, то пользователи этой группы будут использовать заданный провайдер для аутентификации в RADIUS-приложениях.

Чтобы настроить способы входа для групп пользователей, введите значение формата IID_Group_ModeId_{DN}_{ProviderId}, где:

• DN — уникальное имя группы в Active Directory (Distinguished Name). Если нужно задать несколько групп, укажите значения через запятую.

• ProviderId — идентификатор провайдера.

  Значение ProviderId уникально для каждого провайдера.

Значения идентификаторов провайдеров, поддерживающих RADIUS-аутентификацию

• {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} — Software TOTP,
• {B772829C-4076-482B-B9BD-53B55EA1A302} — Software TOTP (Challenge\Response),
• {F696F05D-5466-42b4-BF52-21BEE1CB9529} — Passcode,
• {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} — SMS OTP,
• {CA4645CC-5896-485E-A6CA-011FCC20DF1D} — Telegram,
• {093F612B-727E-44E7-9C95-095F07CBB94B} — Email OTP,
• {AD3FBA95-AE99-4773-93A3-6530A29C7556} — Hardware HOTP,
• {631F1011-2DEE-47C5-95D8-75B9CAED7DC7} — Hardware HOTP (Challenge\Response),
• {CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05} — Hardware TOTP,
• {D338344E-7AB7-4D82-9B53-C3678662B153} — Hardware TOTP (Challenge\Response),
• {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68} — IndeedKey,
• {CB3D3B0A-29C6-4BA4-939D-09B126C10C2E} — Passcode + Software TOTP (Challenge\Responce),
• {E5D3185C-9A13-4538-BE8F-D4E1C50A329E} — Passcode + IndeedKey,
• {F15FD7EC-19EA-4384-846E-A2D0BE149FA2} — Secured TOTP,
• {7F3DE86F-59D1-4476-AA5D-F277E5DD5938} — Secured TOTP (Challenge\Response),
• {882C1787-FD32-44A2-BA89-F1F529FBE7AB} — Passcode + Secured TOTP (Challenge\Response),
• {4E32199B-9A21-4CD7-8646-C70C48B55ED9} — Passcode + SMS OTP (Challenge\Response).

Примечание

Challenge\Response (Вызов\Ответ) — способ аутентификации, когда одна сторона отправляет запрос («вызов»), а другая должна предоставить верный «ответ» для успешной аутентификации.

Примечание

Если в названиях групп Active Directory используются кириллические символы, установите на каждом сервере политик сети (NPS) русский язык как язык для программ, не поддерживающих Unicode. Без данной настройки членам таких групп будет отказано в аутентификации сервером политик сети.

Пример значения атрибута с Indeed Key Provider

IID_Group_ModeId_{CN=AdminsIndeed,OU=UsersIndeed,OU=Indeed,DC=indeed,DC=local}_{DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68}

9. Нажмите Применить, чтобы сохранить внесенные в политику изменения.

10. Перезапустите службу NPS.