_

Документация Indeed Access Manager 8.2 теперь находится по адресу https://docs.indeed-company.ru/
Нажмите ссылку, если через 10 секунд не произойдет автоматическая переадресация.


ID Провайдера

{DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68}

Информация

Файлы для Indeed AM AirKey Provider расположены: indeed AM <Номер версии>\Indeed AM Providers\Indeed AM AirKey Provider\

  • Server\<Номер версии>\IndeedAM.AuthProviders.AirKey-<номер версии>.x64.ru-ru.msi - Пакет для установки Indeed AM AirKey Provider на сервере Indeed AM на 64-битных ОС.
  • Server\<Номер версии>\IndeedAM.AuthProviders.AirKey-<номер версии>.x86.ru-ru.msi - Пакет для установки Indeed AM AirKey Provider на сервере Indeed AM на 32-битных ОС.
  • Client\<Номер версии>\IndeedID.AirKey.Provider.msi - Пакет для установки Indeed AM AirKey Provider на клиентской машине.

Файлы шаблонов политик расположены: indeed AM <номер версии>\Misc\ADMX Templates.


О компоненте Indeed AM AirKey Provider

Информация

Для осуществления аутентификации с помощью Push-уведомлений есть следующие требования:

В сетевой инфраструктуре: 

  • Установка сервера Indeed Indeed Key Server. Данный сервер выполняет отправку уведомлений на смартфон пользователя используя API сервисы Google. 

  • Установка провайдера аутентификации Indeed AirKey. Установка провайдера позволит использовать данную технологию аутентификации в целевых сценариях. 

На стороне клиента: 

  • Установка приложения Indeed Key. Приложение необходимо для получения уведомлений об аутентификации в целевых приложениях с помощью компонентов Indeed Access Manager. 

Без установки Indeed Indeed Key Server, Indeed AirKey Provider и приложения Indeed Key, аутентификация с помощью Push-уведомлений невозможна.

Установка провайдера

  1. Выполнить установку AirKey Provider на сервере Indeed AM и на клиенте через запуск соответствующего пакета для установки.

    Информация

    Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.

    При использовании провайдера в клиентских сценариях с Indeed AM Windowsl Logon и ESSO Agent, необходимо выполнить установку провайдера из папки Client на клиентские машины.

  2. После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.
  3. Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.

Настройка провайдера в Management Console

Права доступа

Чтобы выдать или отозвать права на использование аутентификатора, выполните следующее:

  1. В Management Console в разделе Конфигурация выберите аутентификатор Indeed Key.
  2. В секции Основные настройки выполните следующие настройки:
    1. В поле Максимальное количество укажите максимальное количество аутентификаторов для использования.
    2. В настройке Запретить использовать укажите, может ли пользователь использовать или регистрировать выбранный аутентификатор.
  3. В секции Доступные пользователю действия выполните следующие настройки:
    1. В настройке Регистрация новых аутентификаторов укажите, может ли пользователь регистрировать новые аутентификаторы.
    2. В настройке Редактирование имеющихся аутентификаторов укажите, может ли пользователь изменять уже зарегистрированные аутентификаторы.
    3. В настройке Удаление имеющихся аутентификаторов укажите, может ли пользователь удалять уже зарегистрированные аутентификаторы.
    4. В настройке Разрешить редактирование комментария к аутентификатору укажите, в какой момент пользователь может редактировать комментарии к уже зарегистрированным аутентификаторам.

Блокировка аутентификатора

Чтобы заблокировать аутентификатор, выполните следующее:

  1. В Management Console в разделе Конфигурация выберите аутентификатор Indeed Key.
  2. В секции Настройки блокировки аутентификатора выполните следующие настройки:
    1. Разрешите или заблокируйте использование Indeed Key в случае серии неудачных попыток аутентификации;
    2. В поле Количество попыток аутентификации до блокировки укажите, сколько раз пользователь может совершить неудачную аутентификацию до блокировки способа аутентификации;
    3. В поле Сброс счетчика блокировки укажите, сколько минут должно пройти после неудачной попытки аутентификации, прежде чем сбросится счетчик;
    4. В поле Таймаут до разблокировки способа входа укажите, через сколько минут заблокированный способ аутентификации станет вновь доступным.

Настройки мобильного приложения

Чтобы настроить мобильное приложение Indeed Key, выполните следующее:

  1. В Management Console в разделе Конфигурация выберите аутентификатор Indeed Key.
  2. В секции Настройки мобильного приложения выполните следующие настройки:
    1. В поле Отображаемое имя сервера укажите название сервера Indeed Key, которое будет отображаться в мобильном приложении;
    2. В настройке Способ подтверждения Push выберите, как у пользователя будет запрашиваться подтверждение входа:
      1. Подтверждение не требуется у пользователя не будет запрашиваться дополнительная аутентификация на устройстве;
      2. Подтверждение биометрическими средствами у пользователя будет запрашиваться дополнительная аутентификация на устройстве с помощью биометрии;
      3. Подтверждение любыми средствами, доступными на устройстве у пользователя будет запрашиваться дополнительная аутентификация на устройстве с помощью любого доступного на устройстве метода;
    2. В настройке Отображать одноразовый пароль в мобильном приложении для новых аутентификаторов укажите, будет ли отображаться одноразовый код в карточке аутентификатора в приложении. По умолчанию одноразовый код скрыт.
    3. В настройке Способ подтверждения для отображения OTP выберите, как пользователь будет подтверждать право просматривать одноразовые коды:
      1. Подтверждение не требуется у пользователя не будет запрашиваться дополнительная аутентификация на устройстве;
      2. Подтверждение биометрическими средствами у пользователя будет запрашиваться дополнительная аутентификация на устройстве с помощью биометрии;
      3. Подтверждение любыми средствами, доступными на устройстве у пользователя будет запрашиваться дополнительная аутентификация на устройстве с помощью любого доступного на устройстве метода;
    4. В поле Время отображения OTP укажите, в течение какого времени будет актуален одноразовый пароль. Значение указывается в секундах.
    5. В настройке Режим работы Indeed Key выберите, какой способ подтверждения входа будет использоваться в приложении:
      1. Push — пользователь будет получать push-уведомления с возможностью отклонить или подтвердить вход.
      2. OTP вместо push-уведомлений пользователь получит одноразовый код.

Серверные настройки

Чтобы настроить сервер, к которому обращается приложение Indeed Key, выполните следующее:

  1. В Management Console в разделе Конфигурация выберите аутентификатор Indeed Key.
  2. В секции Серверные настройки мобильного приложения выполните следующие настройки:
    1. В поле URL-адрес Indeed Key Server укажите адрес, по которому сервер Indeed Key доступен с машины Indeed AM;
    2. В поле Доверенный ID Indeed Key Server укажите произвольный уникальный идентификатор. Этот идентификатор необходим для подтверждения удаления аутентификатора. Значение идентификатора должно совпадать со значением, указанным в конфигурационном файле Indeed Key Server (тег trustedClients).

Настройки одноразового пароля

Чтобы настроить генерацию одноразового пароля, выполните следующее:

  1. В Management Console в разделе Конфигурация→Аутентификаторы из списка выберите аутентификатор Indeed Key.
  2. В секции Настройки OTP выполните следующие настройки:
    1. В поле Период обновления OTP укажите, на протяжение какого времени будет актуален одноразовый пароль.
    2. В настройке Окно сравнения укажите, сколько периодов обновления должно пройти, пока одноразовый пароль не будет считаться недействительным.
    3. В настройке Алгоритм генерации OTP-кода выберите, по какому алгоритму будет генерироваться одноразовый пароль.
    4. В настройке Количество цифр в OTP-коде выберите, сколько цифр будет содержать одноразовый пароль.

Регистрация Indeed Key по ссылке 

Для регистрации аутентификатора Indeed Key по ссылке из письма необходимы следующие условия:

  • установленный и настроенный провайдер Email OTP,
  • заполненный email пользователя в каталоге Active Directory.

Ссылка отправляется на электронный адрес, указанный для пользователя в каталоге Active Directory. 

Чтобы зарегистрировать Indeed Key по ссылке, выполните следующее:

  1. В Management Console в разделе Конфигурация→Аутентификаторы из списка выберите аутентификатор Indeed Key.
  2. В секции Настройки регистрации выполните следующие настройки:
    1. В настройке Способ регистрации аутентификатора выберите способ регистрации по ссылке из электронного письма.
    2. Далее укажите следующее:
      1. В поле Тема уведомления укажите заголовок письма для регистрации.
      2. В поле Сообщение укажите тело письма.
      3. В поле Текст ссылки укажите текст для ссылки, по которой перейдет пользователь для регистрации аутентификатора.
  3. Далее перейдите в раздел Пользователи, выберите пользователя, выберите вкладку Аутентификаторы
  4. Нажмите кнопку Зарегистрировать и выберите из списка Indeed Key

После этого пользователю придет письмо со ссылкой на регистрацию аутентификатора. По ссылке пользователь перейдет в приложение Indeed Key, где начнется регистрация аутентификатора.

Регистрация Indeed Key по QR-коду

Чтобы зарегистрировать Indeed Key по QR-коду, выполните следующее:

  1. В Management Console в разделе Доступные пользователю действия разрешите пользователю регистрировать новые аутентификаторы.
  2. В настройке Способ регистрации аутентификатора выберите способ регистрации аутентификатора по QR-коду.

В User Console у пользователя в списке доступных аутентификаторов появится Indeed Key. 

Пользователю нужно выполнить следующие действия: 

  1. Нажать значок шестеренки.
  2. Нажать кнопку Зарегистрировать.
  3. Откройте приложение Indeed Key, нажмите значок +.
  4. Сканируйте появившийся QR-код. 

Настройка защиты от спама

Осуществляется оценка процента успешных входов относительно всех отправленных сообщений за указанный интервал времени (оценка осуществляется только если кол-во отправленных сообщений превышает "Окно оценки").

При обнаружении атаки блокируется дальнейшая отправка сообщений, при попытке входа возникает ошибка: Potential spam attack detected.

Отправка возобновится спустя некоторое время когда будет превышен необходимый порог успешных входов за указанный интервал времени. Максимальное время блокировки равно временному интервалу оценки. 

Чтобы настроить защиту от спама, выполните следующее:

  1. В Management Console в разделе Конфигурация выберите аутентификатор Indeed Key.
  2. В секции Настройки защиты от спама выполните следующие настройки:
    1. включите или отключите защиту от спама;
    2. в поле Окно оценки попыток аутентификации укажите, в течение какого времени будет выполняться расчет процента успешных попыток входа;
    3. в поле Пороговое окно попыток аутентификации укажите, сколько попыток входа должно производиться за время, указанное в окне оценки попыток аутентификации;
    4. В поле Процент успешных попыток аутентификации укажите минимальный процент успешных входов относительно всех отправленных сообщений.

События лог-сервера

2090: Обнаружена потенциальная спам-атака. Отправка сообщений приостановлена.

1118: Отправка сообщений пользователям возобновлена.

Настройка доверенного идентификатора для Indeed Key Server

Информация

По умолчанию при удалении аутентификатора в User Console, утилите управления аутентификаторами или в консоли администратора, аутентификатор будет удален из системы без уведомлений и останется отображаться в приложении. Для настройки push уведомления с информацией об удаление аутентификатора и удалением в приложении необходимо выполнить дополнительные настройки.

 

  1. Откройте конфигурационный файл Indeed Key Server  Web.config (C:\inetpub\wwwroot\airkeycloud)

  2. Добавьте в файл следующие теги после блока "appSettings": 

    Информация

    В параметре id тега add укажите уникальный идентификатор, указанный в пункте Доверенный ID Indeed Key Server, в консоли администрирования.


    Пример
    <trustedClientsSettings>
    <trustedClients>
      <add id="1" />
    </trustedClients>
  </trustedClientsSettings>
  3. После применения параметров пользователь будет получать уведомления об удалении ключа.

Настройка приложения на смартфоне

Установка сертификата УЦ

Информация

Установка сертификата УЦ необходима, только если для сервера AirKey используется доменный сертификат. При использовании сертификата общедоступного УЦ выполнять настройку не требуется.

  1. Экспортируйте корневой сертификат в формате cer/crt, pfx/p12 не распознается как корневой сертификат. 
  2. Отправьте сертификат на смартфон и установите его. 
    1. Пример запроса на установку сертификата на IOS устройствах. 
    2. Пример запроса на установку сертификата на Android устройствах. Для установки укажите произвольное название сертификата и в пункте "Использование" выберите: "VPN и приложения". 
  3. Добавить сертификат в доверенные.
    1. Для IOS устройств откройте: Настройки → Основные → Об этом устройстве → Доверие сертификатов.  В группе "Доверять корневым сертификатам полностью" включите доверие к установленному сертификату.
    2. Для Android устройств откройте: НастройкиБезопасность и блокировка экранаШифрование и учетные данные
      • Убедитесь что в радел "Учетные данные пользователя" успешно добавлен сертификат.
      • Убедитесь что в раздел "Надежные сертификатыПользователь" успешно добавлен сертификат. 

Установка приложения

Приложение Indeed Key доступно для смартфонов с iOS 13.0 и выше, Android 7.0 и выше.

Для того, чтобы скачать приложение, воспользуйтесь следующими ссылками: 

Корректная работа приложения Indeed Key гарантируется только в том случае, если оно скачано из официальных магазинов приложений.


Информация

Для корректной работы Push-уведомлений на Android устройствах убедитесь, что выполнены следующие обязательные требования:

  1. Вы разрешили приложению отправку уведомлений
  2. Для версии Android 9 и выше необходимо отключить режим энергосбережения. 

Примечание: корректная работа Push-уведомлений возможна не на всех модификациях Android.

  1. Откройте приложение. В панели "Аутентификаторы" нажмите на значок "+" для добавления аутентификатора.

  2. Разрешите приложению доступ к камере и отсканируйте QR код. 
  3. Подтвердите регистрацию аутентификатора нажав кнопку "Принять".



  4. После успешной регистрации аутентификатор будет отображаться на главном окне программы.


    1. Для удаления нажмите на необходимый аутентификатор и выберите "Удалить аутентификатор".


Настройка параметров аутентификации

Информация

Перед настройкой групповой политики необходимо добавить в список административных шаблонов шаблоны политик Indeed AM. Файлы шаблонов политик входят в состав дистрибутива провайдера и расположены в каталоге Misc.

Информация

Политики распространяются на машины с установленными компонентами Indeed AM Windows Logon и Indeed AM ESSO Agent.

Таймаут операции для приложения AirKey

Политика определяет время ожидания операции для приложения AirKey.

Требовать команды от пользователя

Политика указывает ждать команды от пользователя для активации процедуры входа.

  • No labels