Indeed Windows Logon
Indeed Windows Logon (Windows Logon) предоставляет пользователям:
- доступ в операционную систему по паролю учетной записи,
- доступ в операционную систему c применением технологии аутентификации Indeed AM,
- доступ к удаленному рабочему столу с применением технологии аутентификации Indeed AM,
- доступ в операционную систему по кешированному аутентификатору при отсутствии связи с сервером Indeed.
С целью обеспечения безопасности данных во время отсутствия пользователя на рабочем месте Windows Logon поддерживает ручную и автоматическую блокировку рабочей станции (при извлечении устройства аутентификации или использовании экранной заставки). Независимо от способа блокировки, для разблокирования рабочей станции всегда требуется повторное подтверждение личности пользователя с помощью аутентификатора.
Дополнительные возможности
Дополнительные возможности Windows Logon:
- возможность самостоятельной регистрации аутентификаторов и управления ими с помощью утилиты управления аутентификаторами;
- функцию Indeed AM Paste, которая позволяет автоматически подставить пароль в скрытом виде при нажатии определенной комбинации клавиш.
Технологии аутентификации
Windows Logon поддерживает двухфакторную, биометрическую аутентификацию, сертификаты, бесконтактные карты, одноразовые пароли, СМС-технологии и другие.
В Windows Logon вы можете выполнить аутентификацию по следующим аутентификаторам:
- мобильное приложение Indeed Key (в режиме отправки одноразовых паролей и push-уведомлений с подтверждением входа),
- Email OTP,
- Windows Password,
- MFA Provider,
- Secured TOTP,
- Storage SMS OTP,
- SMS OTP,
- Software TOTP,
- Passcode,
- Hardware HOTP,
- Smart Card Provider,
- IronLogic Z2USB Provider,
- OMNIKEY Provider,
- Futronic Provider.
Для каждой категории пользователей системы Windows Logon может быть подобрана собственная оптимальная технология аутентификации. Также пользователям может быть разрешено применение несколько технологий:
- технология аутентификации, адаптированная для работы в удаленном режиме;
- комбинация технологий аутентификации (мультифакторная аутентификация).
Часто задаваемые вопросы о работе Windows Logon
Файлы для установки
Файлы для Windows Logon расположены в папке indeed AM <Номер версии>\Indeed AM Windows Logon\<Номер версии>\:
- IndeedID.WindowsLogon.msi — пакет для установки Indeed AM Windows Logon на 32-битные ОС;
- IndeedID.WindowsLogon.x64.msi — пакет для установки Indeed AM Windows Logon на 64-битные ОС.
Файлы шаблонов политик расположены в папке indeed AM <номер версии>\Misc\ADMX Templates.
Установка Windows Logon
- Выполните установку Windows Logon через запуск пакета для установки.
- После завершения установки компонента необходима перезагрузка системы. Нажмите Да, чтобы выполнить перезагрузку сразу, или Нет, чтобы сделать это позднее вручную.
Чтобы развернуть Windows Logon на рабочих станциях пользователей в автоматическом режиме, удобно использовать механизм групповых политик (Microsoft Group Policy) или любой другой инструмент, позволяющий массово распространять и устанавливать msi-пакеты на рабочие станции пользователей (например Microsoft System Center Configuration Manager).
Настройка Windows Logon
Настройка через реестр
Откройте редактор реестра Windows.
Перейдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\SrvLocator2.
Измените строковый параметр
ServerUrlBase
и укажите URL вашего Indeed Access Manager Server, напримерhttp(s)://dc.indeed-id.local/am/core/
.ПримечаниеПри использовании соединения по протоколу HTTPS требуется выполнить установку клиентского сертификата на каждый сервер Indeed AM.
Настройка через GPO
Шаблоны групповых политик расположены в папке indeed AM\Misc\GroupPolicyTemplates.
При настройке через политики значения будут указаны по пути реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\SrvLocator2 и будут приоритетнее ручной настройки.
Добавьте политику IndeedID.ServerUrl.admx на рабочее место с установленным Indeed AM Windows Logon.
Через gpedit.msc пройдите по пути Конфигурация компьютера→ Административные шаблоны→Indeed ID→ClientConnection→Настройки подключения к серверу.
Включите политику.
В поле URL-адрес АМ сервера укажите URL вашего Indeed Access Manager Server, например
http(s)://dc.indeed-id.local/am/core/
.
Работа с Windows Logon
Для обеспечения доступа в систему с использованием технологии аутентификации Indeed на вашем рабочем месте должны быть установлены:
- модуль Windows Logon, обеспечивающий возможность доступа в систему по аутентификатору;
- модуль Indeed Provider, соответствующий выбранной технологии аутентификации;
- аппаратное устройство аутентификации (в случае необходимости).
Возможности входа в систему по аутентификатору и управления
аутентификаторами
доступны только при наличии разрешения, установленного администратором
системы.
Первый вход в систему
После установки необходимого программного обеспечения на ваш компьютер первый вход в систему осуществляется по паролю учетной записи.
Если для вашей учетной записи разрешена регистрация аутентификаторов, то при входе в систему запустится Мастер первого входа и предложит зарегистрировать аутентификатор.
Мастер первого входа отображается, только если вы являетесь лицензированным пользователем Indeed AM и имеете разрешение на использование технологии аутентификации Indeed AM. Для получения подробной информации обратитесь к администратору системы.
Вы можете зарегистрировать аутентификатор сразу или позднее в любое удобное время.
- Чтобы перейти к регистрации аутентификатора, в окне Управление аутентификаторами выберите один из доступных способов аутентификации (например, Пароль Passcode).
- Чтобы выполнить вход в систему без регистрации аутентификатора, нажмите Завершить. В этом случае Мастер первого входа будет отображаться при каждом следующем входе в систему до регистрации первого аутентификатора.
Если на рабочей станции не найдены необходимые провайдеры Indeed AM, регистрация аутентификаторов невозможна. При отображении данного сообщения обратитесь к администратору системы.
Регистрация первого аутентификатора
Если пользователю разрешено использовать технологию аутентификации Indeed AM, то после входа на рабочую станцию по доменному паролю ему будет предложено зарегистрировать свой первый аутентификатор. Для этого необходимо выбрать способ аутентификации и следовать инструкциям Мастера регистрации аутентификатора. Внешний вид окна и текст подсказок зависят от выбранного способа аутентификации:
выполните необходимые действия, следуя подсказкам в окне Управление аутентификаторами.
если вы хотите вернуться на предыдущую страницу и выбрать другой способ входа, нажмите Вернуться.
После выполнения необходимых действий по регистрации в окне Управление аутентификаторами отображается сообщение Новый аутентификатор успешно обучен.
Вы можете добавить произвольный текстовый комментарий к зарегистрированному аутентификатору (если данное действие разрешено администратором системы). Для завершения регистрации аутентификатора нажмите Сохранить.
Тип зарегистрированного аутентификатора и комментарий к нему отображаются в окне Управление аутентификаторами. Если для учетной записи пользователя разрешено добавление нескольких аутентификаторов, то вы можете перейти к их регистрации, нажав Добавить способ входа. Также вы можете изменить, проверить или удалить зарегистрированный аутентификатор (если данные действия разрешены администратором системы).
При использовании определенных моделей биометрических устройств (например сканеров отпечатков пальцев Digent IZZIX FD 2000, FD/FM 1000) возможны ошибки при регистрации и распознавании аутентификатора, связанные с уровнем чувствительности сканера и индивидуальными особенностями человека (температура тела, уровень влажности кожи, способ прикладывания пальца). Во избежание таких ошибок рекомендуется проверять аутентификатор сразу после регистрации.
При следующем входе в систему будет доступен способ входа по зарегистрированному аутентификатору.
Если для вашей учетной записи разрешена генерация случайного пароля, то после регистрации первого аутентификатора в окне Управление аутентификаторами отображается сообщение на рисунке ниже:
Случайный пароль для учетной записи будет сгенерирован по истечении срока действия текущего пароля. Если для вашей учетной записи был сгенерирован случайный пароль, то следующий вход в систему возможен только с использованием аутентификатора.
Если для учетной записи разрешено кеширование аутентификаторов, то при последующем входе в систему по аутентификатору будет выполнено сохранение аутентификатора в локальную память компьютера. В дальнейшем вы сможете выполнять доступ в систему по кешированному аутентификатору при отсутствии подключения к серверам Indeed.
Вход в систему с использованием аутентификатора
Этот способ входа доступен только при выполненных условиях:
- вы являетесь лицензированным пользователем Indeed AM,
- для вашей учетной записи разрешена регистрация аутентификаторов,
- вы уже зарегистрировали хотя бы один аутентификатор.
Для входа в систему по паролю выполните следующие действия:
После загрузки операционной системы перейдите на экран выбора пользователя.
Выберите вашу учетную запись. Если необходимо изменить имя учетной записи, нажмите Другой пользователь
В открывшемся окне Вход в Windows отображается имя пользователя, выполнявшего вход в систему последним и используемый им способ входа.
Если вы хотите сменить учетную запись, нажмите Отмена и выберите учетную запись нужного пользователя.
Если вы хотите выбрать другой способ входа, нажмите Сменить способ входа и выберите один из способов входа, соответствующий зарегистрированному ранее аутентификатору.
Чтобы выполнить вход в систему, необходимо предоставить зарегистрированный аутентификатор. Внешний вид окна аутентификации и текст подсказок зависят от выбранного типа аутентификатора. Выполните требуемые действия.
Если администратором системы установлено требование на смену доменного пароля и разрешена генерация случайного пароля, то при следующей аутентификации с помощью технологии Indeed будет сгенерирован случайный пароль. При этом отображается сообщение об успешной автоматической смене пароля.
Если доменный пароль был сброшен администратором системы при хотя бы одном зарегистрированном аутентификаторе, то при входе в систему по этому аутентификатору отобразится предупреждение о рассинхронизации пароля. Пользователю потребуется ввести и подтвердить новый доменный пароль.
Если запрос на изменение пароля произойдет в момент, когда ни один из серверов Indeed не будет доступен (но при этом будет доступен хотя бы один контроллер домена), то после ввода нового пароля пользователем также появится сообщение о рассинхронизации пароля, так как новый пароль, установленный пользователем, невозможно будет синхронизировать с хранилищем данных Indeed
В этом случае новый доменный пароль необходимо будет синхронизировать с хранилищем данных Indeed при следующем входе в систему с использованием аутентификатора при хотя бы одном доступном сервере Indeed. После успешной синхронизации пароля будет выполнен вход в систему.
Доступ к удаленному рабочему столу с использованием аутентификатора
Для доступа к удаленному рабочему столу по аутентификатору требуются:
- стандартная утилита Windows mstsc.exe (Подключение к удаленному рабочему столу/Remote Desktop) на терминальном клиенте;
- модуль Indeed AM Windows Logon, установленный на терминальном сервере;
- провайдер аутентификации, соответствующий используемой технологии аутентификации, установленный на терминальном клиенте и терминальном сервере;
- аппаратное устройство аутентификации, подключенное к терминальному клиенту (не требуется при использовании провайдеров Indeed OTM Provider, Indeed Google Authenticator Provider, Indeed Passcode Provider).
Для доступа к удаленному рабочему столу по аутентификатору выполните следующие действия:
- Запустите Подключение к удаленному рабочему столу.
- Введите имя/адрес терминального сервера и установите подключение.
- В отобразившемся окне Вход в Windows выберите вашу учетную запись, способ входа (тип аутентификатора) и пройдите аутентификацию.
Если для вашей учетной записи не сгенерирован случайный пароль, вы можете получить доступ к удаленному рабочему столу по паролю.
Вход в целевое приложение при отсутствии сети
Вход в систему по аутентификатору может быть выполнен даже при отсутствии физического подключения к сети. Действия при входе в систему в отсутствие сети по кешированному аутентификатору аналогичны действиям при входе в систему по аутентификатору при доступной сети.
Данный способ входа доступен, если:
- для вашей учетной записи было установлено разрешение на кеширование аутентификаторов;
- было выполнено кеширование аутентификаторов (при первом входе в систему по аутентификатору);
- был выполнен вход в систему по кешированному аутентификатору при доступной сети.
Срок действия аутентификаторов
Срок действия кешированных аутентификаторов может быть ограничен администратором системы.
По умолчанию этот срок составляет 10 дней, отсчитывается с даты последнего входа в приложение и не зависит от того, будет ли выполнен вход в приложение в дальнейшем в течение этого срока.Например, при установленном сроке 10 дней и выполнении входа в приложение в 10 ч 00 мин 12.04.2010 кешированные аутентификаторы будут действительны с 10 ч 00 мин 12.04.2010 до 10 ч 00 мин 22.04.2010.
Изменить срок действия кеширования можно в настройках приложения политики в Management Console.
Если для вашей учетной записи разрешено кеширование аутентификаторов, то уточните у администратора наличие возможных ограничений.
Если срок действия кешированных аутентификаторов истек и серверы Indeed недоступны, при попытке входа в приложение отображается сообщение об ошибке Ошибка при входе в систему. Сервер не найден. Кеширование данных пользователя запрещено.
Настройка входа в целевое приложение при отсутствии сети
В случаях, когда отсутствует соединение с Core Server, пользователи могут пройти аутентификацию в Windows Logon в офлайн-режиме. Для этого используется сессия, закешированная на компьютере пользователя.
Для настройки входа по закешированной сессии, используйте политику «Настройки публичного ключа сеанса».
Чтобы настроить вход в офлайн-режиме, выполните следующее:
- Добавьте файл политики IndeedID.SessionPublicKey.admx (расположена в каталоге indeed AM <номер версии>\Misc\ADMX Templates) на компьютер с установленным Windows Logon.
- В поле Публичный ключ сессии введите значение публичного ключа, сгенерированного при установке Core Server (сохраняется в файле SessionPublicKey.pub).
Настройка хранения сессии в кеше
При кратковременных разрывах подключения к серверу Indeed Access Manager вы можете настроить период, в течение которого сессию можно будет использовать повторно.
В течение заданного периода сессия хранится в кеше и может быть повторно использована при запросе на новое соединение с сервером. При этом проверка работоспособности сервера повторно не происходит, вместо этого используется закешированный результат проверки.
По истечении периода хранения сессия завершается. По новому запросу на соединение с сервером создается новая сессия.
Раздел | Параметр | Тип | Значение по умолчанию |
---|---|---|---|
SrvLocator2 | SessionHoldPeriodMs | DWORD | 3 минуты |
Indeed AM Paste
В случаях, когда ввод пароля требуется для доступа в приложения, Indeed Access Manager делает его использование максимально безопасным. C помощью Indeed AM Paste вы можете автоматически подставлять скрытый пароль в поле ввода при нажатии определенной комбинации клавиш (по умолчанию [CTRL] + [ALT] + [V]).
Включить и отключить функцию Indeed AM Paste вы можете из приложения Indeed AM Paste Tray. Нажмите значок в области уведомлений Windows и выберите нужный пункт контекстного меню:
- разрешить Indeed AM Paste (включение функции, выбрано по умолчанию);
- запускать при загрузке (запуск Indeed AM Paste Tray при загрузке Windows, выбран по умолчанию);
- выход (выход из приложения).
Чтобы воспользоваться функцией Indeed AM Paste, выполните следующие действия:
- В окне приложения установите фокус мыши в поле ввода пароля.
- Нажмите комбинацию клавиш для подстановки пароля.
- Отображается окно Аутентификация. Подтвердите свою личность любым доступным способом (Аутентификатор/Пароль).
После успешной аутентификации в поле ввода отображается скрытый пароль.
Run as administrator
Для Windows 7 и выше реализован запрос на аутентификацию по технологии Indeed AM для стандартной команды Run as administrator. После запуска данной команды отображается диалог выбора учетной записи, затем окно Аутентификация системы Indeed AM. В зависимости от версии операционной системы окно выбора учетной записи может иметь разный вид.
Настройка одновременной работы с Indeed RDP Windows Logon
Если используется сценарий с установкой Windows Logon и RDP Windows Logon на одной машине, необходимо настроить политику для Windows Logon.
Через GPO
- Перейдите на машину, на которой установлены модули RDP Windows Logon и Windows Logon.
- Откройте редактор GPO.
- Перейдите Конфигурация компьютера→Административные шаблоны→Indeed ID→Windows Logon.
- Включите политику Настройки Credential Provider и установите параметр Отображение способов входа на Все, кроме пароля.
Через реестр
- Перейдите на машину, на которой установлены модули RDP Windows Logon и Windows Logon.
- Откройте редактор реестра.
- Перейдите Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Logon for Windows.
- Создайте параметр типа DWORD с именем
CredProvFilter
и установите ему значение 2.