Информация
Файлы для Indeed AM OMNIKEY Provider расположены: indeed AM <Номер версии>\Indeed AM Providers\Indeed AM SmartCard Provider\<Номер версии>\
- IndeedID.Smartcard.Provider.msi - Пакет для установки Indeed AM Smart Card Provider.
- IndeedID.Smartcard.PIN.Provider.msi - Пакет для установки Indeed AM Smart Card Provider + PIN.
- Misc\ - Файлы шаблонов политик.
О компоненте Indeed AM Smart Card Provider
Компонент Indeed AM Smart Card Provider предназначен для аутентификации пользователей по персональным устройствам (смарт-картам, usb-ключами) и совместного использования с продуктами Indeed Windows Logon и Indeed Enterprise Single Sign-On.
Возможны варианты использования одного и того же устройства аутентификации как с запросом PIN-кода, так и без него. В случае использования Indeed AM Smart Card Provider для аутентификации пользователю потребуется приложить карту к считывателю, PIN-код запрашиваться не будет. При использовании Indeed AM Smart Card Provider with PIN ввод PIN-кода потребуется при каждой аутентификации пользователя.
Информация
Indeed AM Smart Card Provider with PIN не позволяет задавать, изменять или удалять PIN-коды устройств аутентификации. Для изменения или удаления PIN кодов используйте специализированное программное обеспечение от производителей устройств аутентификации.
Установка
Примечание
Для работы провайдера требуется установка Indeed AM Bsp Broker на сервере Indeed AM.
Файлы для Indeed Bsp Broker расположены: indeed AM <Номер версии>\Indeed Providers\Indeed AM Bsp Broker\<Номер версии>\
- IndeedEA.AuthProviders.BspBroker-<номер версии>.x64.ru-ru.msi - Пакет для установки Indeed Bsp Broker на 64-х битных ОС.
- IndeedEA.AuthProviders.BspBroker-<номер версии>.x86.ru-ru.msi - Пакет для установки Indeed Bsp Broker на 32-х битных ОС.
Выполните установку провайдера Indeed AM Smart Card Provider на сервере Indeed AM и на клиентской машине через запуск соответствующего пакета из дистрибутива и выполните установку, следуя указаниям мастера.
Информация
Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.
- После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.
- Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.
Настройка параметров аутентификации
Информация
Перед настройкой групповой политики необходимо добавить в список административных шаблонов шаблоны политик Indeed AM. Файлы шаблонов политик входят в состав дистрибутива провайдера и расположены в каталоге Misc.
Таймаут выполнения действия при извлечении смарткарты
Административный файл шаблона политики IndeedID.Client.admx входит в состав дистрибутива и расположен в каталоге Misc
Политика раздела Windows Logon определяет продолжительность стандартного и сервисного таймаута после извлечения устройства аутентификации.
Политика задает интервал времени в секундах между извлечением смарт-карты и действием, выполняемым согласно политике Windows Интерактивный вход: поведение при извлечении смарткарты (Interactive logon: Smart-card enhanced removal behavior).
Наличие стандартного таймаута предотвращает автоматическую блокировку компьютера при случайном извлечении устройства аутентификации.
Наличие сервисного таймаута предотвращает автоматическую блокировку компьютера в случаях, когда извлечение используемого устройства аутентификации необходимо (зарегистрировать дополнительный аутентификатор, получить доступ в операционную систему или приложение под другой учетной записью и аутентификатором). Для активации сервисного таймаута перед извлечением устройства нажмите и удерживайте комбинацию клавиш [Ctrl]+[L].
Если политика не задана или отключена, то таймаут перед автоматической блокировкой рабочей станции не предоставляется.
Использовать дополнительные данные
Административный файл шаблона политики IndeedID.Smartcard.Provider.admx входит в состав дистрибутива и расположен в каталоге Misc
Политика раздела позволяет настроить режим повышенной безопасности с возможностью записи дополнительных данных на устройство и чтения этих данных. Режим использования дополнительных данных предотвращает повторную инициализацию устройства и последующее несанкционированное использование аутентификатора от имени учетной записи настоящего владельца.
Дополнительные данные – последовательность из 64 случайных байт, которая записывается на смарт-карту (usb-ключ) и включается в состав аутентификатора вместе с серийным номером средства аутентификации. Дополнительные данные считываются устройства и проходят проверку одновременно с серийным номером при аутентификации пользователя. Режим использования дополнительных данных включен, если настройка политики установлена в значение Включен (Enabled) или Не задан (Not Configured). Разрешить работу без дополнительных данных – разрешение работы провайдера без использования дополнительных данных (при включенной политике). Опция может использоваться для работы с устройствами, зарегистрированными в старых версиях Indeed AM Smart Card Provider (без поддержки дополнительных данных).
Ожидание смарт-карты после входа в терминальную сессии
Политика позволяет задать время в секундах, в течение которого будет происходить ожидание смарт-карты после входа в терминальную сессию в случаях некорректной работы PKCS смарт-карты.
Аутентификация при помощи Indeed AM Smart Card Provider
- При первом входе в систему или приложение с использованием технологии аутентификации Indeed AM необходимо выбрать способ входа. Для этого нажмите "Сменить способ входа" окне "Вход в Windows" (окно Аутентификация для Enterprise SSO). Выберите способ входа "Смарт-карта или USB-ключ" или "Смарт-карта или USB-ключ + PIN".
- Подключите USB-ключ или смарт-карту к компьютеру. Если используется Indeed AM Smart Card Providerwith PIN, введите PIN-код и нажмите Вход.
- После обработки данных с карты будет выполнена аутентификация. В случае успешного входа по аутентификатору, способ входа "Смарт-карта или USB-ключ (Смарт-карта или USB-ключ + PIN)" запоминается, как предпочтительный и будет автоматически предложен пользователю при следующем входе в систему или приложение.
