MFA

Настройка цепочки многофакторной аутентификации

Важно

Политика должна распространяться на все серверы Indeed AM и на все клиентские машины.

Через GPO

1. Откройте политику Настройки цепочки многофакторной аутентификации. Политика расположена по следующему пути: Административные шаблоны→Indeed-ID→Id Providers→MFA.

2. Установите значение политики Включено. 

3. В параметре Цепочка многофакторной аутентификации укажите идентификаторы провайдеров аутентификации, которые будут использоваться в цепочке. Каждый идентификатор указывайте в фигурных скобках и с новой строки без пробелов и других символов.

   Примечание

   Запрещенный для использования провайдер может быть использован в цепочке провайдера MFA.

   Список поддерживаемых провайдеров для Windows Logon

   SMS OTP {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} 
   Passcode {F696F05D-5466-42b4-BF52-21BEE1CB9529} 
   Software OTP {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} 
   Windows Password {CF189AF5-01C5-469D-A859-A8F2F41ED153}
   Indeed Key {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68}
   Hardware HOTP {AD3FBA95-AE99-4773-93A3-6530A29C7556} 
   Secured TOTP {F15FD7EC-19EA-4384-846E-A2D0BE149FA2}
   Список поддерживаемых провайдеров для FreeRadius Extension

   Hardware HOTP {AD3FBA95-AE99-4773-93A3-6530A29C7556}
   Hardware TOTP {CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05}
   Secured TOTP {F15FD7EC-19EA-4384-846E-A2D0BE149FA2}
   Software TOTP {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}
   Windows Password {CF189AF5-01C5-469D-A859-A8F2F41ED153}
   Passcode {F696F05D-5466-42b4-BF52-21BEE1CB9529}
   Пример цепочки Indeed AM Passcode + Indeed AM SMS OTP

   {F696F05D-5466-42b4-BF52-21BEE1CB9529}

   {EBB6F3FA-A400-45F4-853A-D517D89AC2A3}

4. В параметре Имя устройства указывается имя для созданной цепочки. Значение по умолчанию — MFA.

   Информация

   Данное значение будет отображаться в названии устройства MFA для пользователя и в событиях системы. 

   

В реестрe

1. Откройте редактор реестра.

2. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\MFA.

3. Создайте параметр BSPChain типа REG_MULTI_SZ и укажите идентификаторы провайдеров аутентификации, которые будут использоваться в цепочке. Каждый идентификатор указывайте в фигурных скобках и с новой строки без пробелов и других символов.

   Список поддерживаемых провайдеров для Windows Logon

   SMS OTP {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} 
   Passcode {F696F05D-5466-42b4-BF52-21BEE1CB9529} 
   Software OTP {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} 
   Windows Password {CF189AF5-01C5-469D-A859-A8F2F41ED153} 
   Indeed Key {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68}
   Hardware HOTP {AD3FBA95-AE99-4773-93A3-6530A29C7556}
   Secured TOTP {F15FD7EC-19EA-4384-846E-A2D0BE149FA2}
   Список поддерживаемых провайдеров для FreeRadius Extension

   Hardware HOTP {AD3FBA95-AE99-4773-93A3-6530A29C7556}
   Hardware TOTP {CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05}
   Secured TOTP {F15FD7EC-19EA-4384-846E-A2D0BE149FA2}
   Software TOTP {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}
   Windows Password {CF189AF5-01C5-469D-A859-A8F2F41ED153}
   Passcode {F696F05D-5466-42b4-BF52-21BEE1CB9529}

   

4. Создайте параметр MFADeviceName типа REG_SZ и укажите имя для созданной цепочки.

   Информация

   Данное значение будет отображаться в названии устройства MFA для пользователя и в событиях системы.