Модуль Indeed AM RDP Windows Logon позволяет реализовать возможность двухфакторной аутентификации с помощью технологии Indeed-Id в процессе подключения по RDP или Remote App. В качестве второго фактора могут выступать мастер-пароль (провайдер Passcode), одноразовый пароль, сгенерированный мобильным приложением GoogleAuthenticator (провайдер Google Authenticator ), одноразовый пароль, отправленный по SMS или email.
| Info | ||
|---|---|---|
| ||
Файлы для Indeed ADFS Extension RDP Windows Logon расположены: indeed EA 7.0\Indeed RDP Windows Logon\<Номер версии>\
|
Установка и настройка RDP Windows Logon.
- Выполнить установку Indeed ADFS Extension в зависимости от битности системы через запуск инсталлятора IndeedId.ADFS.Extension-v1.0.2.x**.ru-ru.msi.
- Открыть редактор реестра Windows.
- Создать в разделе HKEY_LOCAL_MACHINE\SOFTWARE\ ключ Indeed-ID с вложенным ключом RemoteAuth.
- В разделе RemoteAuth создать:
Строковый параметр ProviderId и задать значение, соответствующее используемому провайдеру.
Info title Информация ProviderId может иметь разные ID провайдеров:
{EBB6F3FA-A400-45F4-853A-D517D89AC2A3} - SMS OTP
{093F612B-727E-44E7-9C95-095F07CBB94B} - EMAIL OTP
{F696F05D-5466-42b4-BF52-21BEE1CB9529} - Passcode
{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} - GoogleOTP
Info title Информация В случае использования в качестве второго фактора EMAIL OTP Provider возможно задать имя атрибута Active Directory в профиле пользователя, из которого система будет получать email-адрес пользователя для отправки одноразового пароля.
В случае необходимости задать атрибут, отличный от mail , следует в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создать строковый параметр EmailAttribute и указать в качестве его значения имя атрибута, в котором хранится адрес электронной почты пользователя.
Настройка для Email OTP, когда адрес почты получается из атрибута mail (по умолчанию):
Настройка для Email OTP, когда адрес почты получается из атрибута otherMailbox:
Info title Информация В случае использования в качестве второго фактора SMS OTP Provider возможно задать имя атрибута Active Directory в профиле пользователя, из которого система будет получать номер телефона пользователя для отправки одноразового пароля.
В случае необходимости задать атрибут, отличный от telephoneNumber , следует в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создать строковый параметр PhoneAttribute и указать в качестве его значения имя атрибута, в котором хранится номер телефона пользователя.
- Настройка для SMS OTP, когда номер телефона получается из атрибута telephoneNumber (по умолчанию):
- Настройка для SMS OTP, когда номер телефона получается из атрибута mobile:
Строковый параметр LSEventCacheDirectory в значении укажите путь к папке для хранения локального кеша.
Строковый параметр LSUrl в значении укажите адрес Log сервера.
- Создать в разделе HKEY_LOCAL_MACHINE\SOFTWARE\ ключ AuthProxy. В созданном ключе создайте:
- Строковый параметр ServerUrlBase. В значении для параметра укажите адрес вашего EA сервера.
DWORD параметр IsIgnoreCertErrors, указать значение 0 или 1.
Info title Информация Данный параметр предназначен для проверки сертификата сервера Indeed EA, при значении 1 происходит игнорирование ошибок сертификата.
Строковый параметр AppId со значением RDP Windows Logon.
Пример работоспособности.
- Подключаемся к машине на которой установлен WL RDP.
- Указываем пользователя и доменный пароль и нажимаем "Ок".
- Вводим одноразовый пароль.
