Indeed AM Hardware TOTP Provider
Провайдер Indeed AM Hardware TOTP может быть использован для аутентификации в следующих модулях:
Hardware TOTP позволяет получать одноразовые пароли с помощью следующих устройств:
Автономный генератор одноразовых паролей eToken PASS. Его можно использовать для аутентификации в любых приложениях и службах, поддерживающих протокол аутентификации FreeRADIUS — VPN, Microsoft ISA, Microsoft IIS, Outlook Web Access и других.
Токен для надежной защиты доступа к данным аккаунтов Рутокен OTP. Он используется для аутентификации в корпоративных сервисах и порталах, сервисах аутентификации, приложениях и сервисах управления паролями, а также в других сервисах, поддерживающих технологию OATH TOTP.
Таблица сравнения характеристик устройств
| Устройство | Формат файла | Алгоритм | Период обновления |
|---|---|---|---|
| eToken Pass | XML | SHA1 | 30 секунд |
| Рутокен ОТР | CSV | SHA1, SHA256 | 30, 60 секунд |
{CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05}
Установка провайдера Hardware TOTP
Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.
- На сервере с Linux
- На клиентских машинах с Windows
Чтобы установить провайдер на сервере с операционной системой Linux, выполните следующие действия:
- Откройте файл am/.env.
- В переменной
COMPOSE_PROFILESдобавьте значениеhardware-totp.
Чтобы установить провайдер на клиентских машинах с операционной системой Windows, выполните следующие действия:
Из папки Indeed AM <Номер версии>\Indeed AM Providers\Indeed AM Hardware TOTP Provider\<Номер версии> запустите пакет IndeedAM.AuthProviders.HardwareTOTP-<номер версии>.<разрядность>.ru-ru.msi.
Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие. После завершения установки может потребоваться перезагрузка системы.
Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.
Файлы шаблонов политик расположены в папке Indeed AM <номер версии>\Misc\ADMX Templates.
Настройка провайдера Hardware TOTP в Management Console
Для настройки Hardware HOTP в Management Console перейдите в раздел Конфигурация→Аутентификаторы и выберите аутентификатор Hardware HOTP.
Права доступа
Чтобы выдать или отозвать права на использование аутентификатора, выполните следующее:
- В секции Основные настройки выполните следующие настройки:
- В настройке Запретить использовать укажите, может ли пользователь использовать или регистрировать выбранный аутентификатор.
- В секции Доступные пользователю действия выполните следующие настройки:
- В настройке Регистрация новых аутентификаторов укажите, может ли пользователь регистрировать новые аутентификаторы.
- В настройке Редактирование имеющихся аутентификаторов укажите, может ли пользователь изменять уже зарегистрированные аутентификаторы.
- В настройке Удаление имеющихся аутентификаторов укажите, может ли пользователь удалять уже зарегистрированные аутентификаторы.
- В настройке Разрешить редактирование комментария к аутентификатору укажите, в какой момент пользователь может редактировать комментарии к уже зарегистрированным аутентификаторам.
Блокировка аутентификатора
Чтобы заблокировать аутентификатор, в секции Настройки блокировки аутентификатора выполните следующие настройки:
- Разрешите или заблокируйте использование Hardware TOTP в случае серии неудачных попыток аутентификации.
- В поле Количество попыток аутентификации до блокировки укажите, сколько раз пользователь может совершить неудачную аутентификацию до блокировки способа аутентификации.
- В поле Сброс счетчика блокировки укажите, сколько минут должно пройти после неудачной попытки аутентификации, прежде чем сбросится счетчик.
- В поле Таймаут до разблокировки способа входа укажите, через сколько минут заблокированный способ аутентификации станет вновь доступным.
Настройки одноразового пароля
Чтобы настроить генерацию одноразового пароля, выполните следующее:
- Перейдите в секцию Настройки OTP.
- В настройке Количество периодов сравнения укажите, сколько периодов обновления OTP должно пройти, по истечении которых пароль будет считаться недействительным.
- В настройке Окно синхронизации задайте значение счетчика при синхронизации.
Добавление устройства
Вы можете добавить устройство вручную или через загрузку файла с параметрами устройства.
Устройство может быть зарегистрировано только для одного пользователя
Добавление вручную
- Устройство Рутокен ОТР
- Устройство eToken PASS
Для добавления устройства Рутокен ОТР выполните следующие действия:
- Откройте консоль управления Management Console.
- В меню слева выберите Устройства.
- Нажмите Добавить устройство.
- В открывшемся окне выберите Rutoken OTP.
- Заполните поля Серийный номер, Секретный ключ, Период обновления и Комментарий (это необязательное поле) и нажмите Добавить.
При добавлении Рутокен ОТР вручную вы можете указать секретный ключ в двух форматах — HEX и Base32.
Для добавления устройства eToken PASS выполните следующие действия:
- Откройте консоль управления Management Console.
- В меню слева выберите Устройства.
- Нажмите Добавить устройство.
- В открывшемся окне выберите модель eToken PASS.
- Заполните поля Серийный номер, Секретный ключ и Комментарий (это необязательное поле) и нажмите Добавить.
Добавление из файла
- Устройство Рутокен ОТР
- Устройство eToken PASS
Для добавления устройства Рутокен ОТР выполните следующие действия:
При добавлении Рутокен ОТР через файл вы можете указать секретный ключ только в одном формате — Base32.
- Откройте консоль управления Management Console.
- В меню слева выберите Устройства.
- Нажмите Добавить из файла.
- В открывшемся окне выберите Rutoken OTP и нажмите Выбрать файл.
- В открывшемся окне выберите файл формата CSV с параметрами устройства и нажмите Добавить.
Подробную информацию по настройке устройства вы можете найти в руководстве по использованию Рутокен ОТР.
Для добавления устройства eToken PASS выполните следующие действия:
- Откройте консоль управления Management Console.
- В меню слева выберите Устройства.
- Нажмите Добавить из файла.
- В открывшемся окне выберите модель eToken PASS.
- В открывшемся окне выберите файл формата XML с параметрами устройства и нажмите Добавить.
Синхронизация устройства
Для синхронизации устройства выполните следующие действия:
- Откройте консоль управления Management Console.
- В меню слева выберите Устройства.
- Из списка выберите устройство и нажмите Синхронизировать.
- В открывшемся новом окне в поле Одноразовый пароль 1 и Одноразовый пароль 2 укажите пароли с устройства и нажмите Синхронизировать.
Изменение серийного номера и отключение устройства
Для редактирования устройства выполните следующие действия:
Откройте консоль управления Management Console.
В меню слева выберите Устройства.
В выпадающем списке Провайдер аутентификации выберите Hardware ТOTP, в поле Серийный номер, если известно, укажите серийный номер устройства и нажмите Поиск.
Выберите найденное устройство и нажмите значок редактирования.
В окне редактирования можно изменить серийный номер устройства, комментарий или отключить устройство. После внесения изменений нажмите Сохранить.
Удаление устройства
Вы можете удалить устройство вручную или через загрузку файла с параметрами устройства.
Удаление вручную
Для удаления устройства выполните следующие действия:
- Откройте консоль управления Management Console.
- В меню слева выберите Устройства.
- В выпадающем списке Провайдер аутентификации выберите Hardware ТOTP, в поле Серийный номер, если известно, укажите серийный номер устройства и нажмите Поиск.
- Выберите найденное устройство и нажмите Удалить устройство.
- В открывшемся окне подтвердите удаление.
Удаление из файла
- Устройство Рутокен ОТР
- Устройство eToken PASS
Для удаления устройства Рутокен ОТР выполните следующие действия:
- Откройте консоль управления Management Console.
- В меню слева выберите Устройства.
- Нажмите Удалить из файла.
- В открывшемся окне выберите Rutoken OTP и нажмите Выбрать файл.
- В открывшемся окне выберите файл формата CSV с параметрами устройства и нажмите Удалить.
Подробную информацию по настройке устройства вы можете найти в руководстве по использованию Рутокен ОТР.
Для удаления устройства eToken PASS выполните следующие действия:
- Откройте консоль управления Management Console.
- В меню слева выберите Устройства.
- Нажмите Удалить из файла.
- В открывшемся окне выберите модель eToken PASS.
- В открывшемся окне выберите файл формата XML с параметрами устройства и нажмите Удалить.