| Info | ||
|---|---|---|
| ||
Файлы для Indeed AM OMNIKEY Provider расположены: indeed AM\Indeed AM Providers\Indeed AM PalmSecure Provider\<Номер версии>\
|
О компоненте Indeed AM Smart Card Provider
Компонент Indeed AM Smart Card Provider предназначен для аутентификации пользователей по персональным устройствам (смарт-картам, usb-ключами) и совместного использования с продуктами Indeed Windows Logon и Indeed Enterprise Single Sign-On.
Возможны варианты использования одного и того же устройства аутентификации как с запросом PIN-кода, так и без него. В случае использования Indeed AM Smart Card Provider для аутентификации пользователю потребуется приложить карту к считывателю, PIN-код запрашиваться не будет. При использовании Indeed AM Smart Card Provider with PIN ввод PIN-кода потребуется при каждой аутентификации пользователя.
| Note | ||
|---|---|---|
| ||
Indeed AM Smart Card Provider with PIN не позволяет задавать, изменять или удалять PIN-коды устройств аутентификации. Для изменения или удаления PIN кодов используйте специализированное программное обеспечение от производителей устройств аутентификации. |
Установка
| Note | ||
|---|---|---|
| ||
Для работы провайдера требуется установка Indeed AM Bsp Broker на сервере Indeed AM. Файлы для Indeed Bsp Broker расположены: indeed AM\Indeed Providers\Indeed AM Bsp Broker\<Номер версии>\
|
Выполните установку провайдера Indeed AM Smart Card Provider на сервере Indeed AM и на клиентской машине через запуск IndeedID.SmartCard.Provider.msi из дистрибутива провайдера и выполните установку, следуя указаниям мастера.
Info title Информация Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.
- После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.
- Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.
Настройка параметров аутентификации
| Info | ||
|---|---|---|
| ||
Перед настройкой групповой политики необходимо добавить в список административных шаблонов шаблоны политик Indeed AM. Файлы шаблонов политик входят в состав дистрибутива провайдера и расположены в каталоге Misc. |
Таймаут выполнения действия при извлечении смарткарты
| Info |
|---|
Административный файл шаблона политики IndeedID.Client.admx входит в состав дистрибутива и расположен в каталоге Misc |
Политика раздела Windows Logon определяет продолжительность стандартного и сервисного таймаута после извлечения устройства аутентификации.
Политика задает интервал времени в секундах между извлечением смарт-карты и действием, выполняемым согласно политике Windows Интерактивный вход: поведение при извлечении смарткарты (Interactive logon: Smart-card enhanced removal behavior).
Наличие стандартного таймаута предотвращает автоматическую блокировку компьютера при случайном извлечении устройства аутентификации.
Наличие сервисного таймаута предотвращает автоматическую блокировку компьютера в случаях, когда извлечение используемого устройства аутентификации необходимо (зарегистрировать дополнительный аутентификатор, получить доступ в операционную систему или приложение под другой учетной записью и аутентификатором). Для активации сервисного таймаута перед извлечением устройства нажмите и удерживайте комбинацию клавиш [Ctrl]+[L].
Если политика не задана или отключена, то таймаут перед автоматической блокировкой рабочей станции не предоставляется.
Использовать дополнительные данные
| Info |
|---|
Административный файл шаблона политики IndeedID.Smartcard.Provider.admx входит в состав дистрибутива и расположен в каталоге Misc |
Политика раздела позволяет настроить режим повышенной безопасности с возможностью записи дополнительных данных на устройство и чтения этих данных. Режим использования дополнительных данных предотвращает повторную инициализацию устройства и последующее несанкционированное использование аутентификатора от имени учетной записи настоящего владельца.
Дополнительные данные – последовательность из 64 случайных байт, которая записывается на смарт-карту (usb-ключ) и включается в состав аутентификатора вместе с серийным номером средства аутентификации. Дополнительные данные считываются устройства и проходят проверку одновременно с серийным номером при аутентификации пользователя. Режим использования дополнительных данных включен, если настройка политики установлена в значение Включен (Enabled) или Не задан (Not Configured). Разрешить работу без дополнительных данных – разрешение работы провайдера без использования дополнительных данных (при включенной политике). Опция может использоваться для работы с устройствами, зарегистрированными в старых версиях Indeed AM Smart Card Provider (без поддержки дополнительных данных).
Ожидание смарт-карты после входа в терминальную сессии
Политика позволяет задать время в секундах, в течение которого будет происходить ожидание смарт-карты после входа в терминальную сессию в случаях некорректной работы PKCS смарт-карты.
Аутентификация при помощи Indeed AM Smart Card Provider
- При первом входе в систему или приложение с использованием технологии аутентификации Indeed AM необходимо выбрать способ входа. Для этого нажмите "Сменить способ входа" окне "Вход в Windows" (окно Аутентификация для Enterprise SSO). Выберите способ входа "Смарт-карта или USB-ключ" или "Смарт-карта или USB-ключ + PIN".
- Подключите USB-ключ или смарт-карту к компьютеру. Если используется Indeed AM Smart Card Providerwith PIN, введите PIN-код и нажмите Вход.
- После обработки данных с карты будет выполнена аутентификация. В случае успешного входа по аутентификатору, способ входа "Смарт-карта или USB-ключ (Смарт-карта или USB-ключ + PIN)" запоминается, как предпочтительный и будет автоматически предложен пользователю при следующем входе в систему или приложение.
Backtotop