- Created by Vladislav Fomichev, last modified by Lyazat Shabalina on Jun 01, 2023
ID провайдера
{070719BA-EB57-4EA8-BB4D-D15A33E7363D}
Информация
Файлы для провайдера Indeed AM MFA Provider расположены: indeed AM <Номер версии>\Indeed AM Providers\Indeed AM MFA Provider\
- Server\<Номер версии>\IndeedAM.AuthProviders.MFA-<номер версии>.x64.ru-ru.msi- Пакет для установки Indeed AM MFA Provider на сервер Indeed AM на 64-х битных ОС.
- Server\<Номер версии>\IndeedAM.AuthProviders.MFA-<номер версии>.x86.ru-ru.msi- Пакет для установки Indeed AM MFA Provider на сервер Indeed AM на 86-х битных ОС.
- Client\<Номер версии>\IndeedID.MFA.Provider.msi - Пакет для установки Indeed AM MFA Provider на клиентские машины.
Файлы шаблонов политик расположены: indeed AM <номер версии>\Misc\ADMX Templates.
Indeed AM MFA Provider
Данный провайдер позволяет задать последовательность методов аутентификации в цепочке многофакторной аутентификации в компонентах Indeed AM Windows Logon и Indeed AM ESSO Agent.
Важно
Каждый идентификатор в параметре Цепочка многофакторной аутентификации обязательно указывайте в фигурных скобках и с новой строки.
Подробнее в разделе Настройка параметров аутентификации.
Установка
Выполнить установку MFA Provider и провайдеров, которые будут использованы в цепочке, на сервере Indeed AM и на клиентской машине через запуск соответствующих пакетов из дистрибутива.
Информация
Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.
- После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.
- Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.
Настройка параметров аутентификации
Перед настройкой групповой политики необходимо добавить в список административных шаблонов шаблоны политик Indeed AM. Файлы шаблонов политик входят в состав дистрибутива провайдера и расположены в каталоге Misc.
Политика должна быть применена на все серверы Indeed AM и на все клиентские машины.
Настройка через GPO
- Откройте политику "Настройки цепочки многофакторной аутентификации". Политика располагается по пути: Административные шаблоны → Indeed-ID → Id Providers → MFA
- Установите значение политики в "Включено".
В параметре "Цепочка многофакторной аутентификации" укажите ID провайдеров аутентификации, которые будут использоваться в цепочке. Каждый идентификатор указывайте в фигурных скобках и с новой строки без пробелов и других символов.
Информация
Запрещённый для использования провайдер может быть использован в цепочке провайдера MFA.
Пример
Пример цепочки Indeed AM Passcode + Indeed AM SMS OTP:
{F696F05D-5466-42b4-BF52-21BEE1CB9529}
{EBB6F3FA-A400-45F4-853A-D517D89AC2A3}
Информация
Список ID поддерживаемых провайдеров:
{EBB6F3FA-A400-45F4-853A-D517D89AC2A3} - SMS OTP
{F696F05D-5466-42b4-BF52-21BEE1CB9529} - Passcode
{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} - Software OTP
{CF189AF5-01C5-469D-A859-A8F2F41ED153} - Windows Password
{CB5109DA-B575-422C-8805-524FE12B02F5} - Z2 USB
{A0EF00AD-1EEB-4D48-8BCF-06E19CD5585F} - Futronic
{0AF65AD8-DB77-4B64-B489-958D9B36E28C} - Смарт-карта или USB-ключ
{4B15AF52-A795-4CA6-B7CD-CDB8ABF2D2C2} - HID OMNIKEY
{DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68} - Indeed Key
{AD3FBA95-AE99-4773-93A3-6530A29C7556} - Hardware HOTP
В параметре "Имя устройства" указывается имя для созданной цепочки. Значение по умолчанию: MFA
Информация
Данное значение будет отображаться в названии устройства MFA для пользователя и в событиях системы.
Настройка через реестр
- Откройте редактор реестра на сервере Indeed AM.
Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\MFA.
- Создайте параметр BSPChain типа REG_MULTI_SZ и укажите укажите ID провайдеров аутентификации, которые будут использоваться в цепочке. Каждый идентификатор указывайте в фигурных скобках и с новой строки без пробелов и других символов.
- Создайте параметр MFADeviceName типа REG_SZ и укажите имя для созданной цепочки.
Аутентификация при помощи Indeed AM MFA
Информация
В данном примере используется компонент Indeed AM Windows Logon и цепочка провайдеров Indeed AM Passcode + Indeed AM SMS OTP.
- Выберите провайдер аутентификации "Многофакторная аутентификация".
- Введите данные для первого провайдера в цепочке.
- Введите данные для второго провайдера в цепочке.
- Выполните вход.
- No labels