Versions Compared
Key
- This line was added.
- This line was removed.
- Formatting was changed.
Info | ||
---|---|---|
| ||
{EBB6F3FA-A400-45F4-853A-D517D89AC2A3} |
Info | ||
---|---|---|
| ||
Файлы для Indeed SMS OTP Provider расположены: indeed AM <Номер версии>\Indeed AM Providers\Indeed AM SMS OTP Provider\
|
О компоненте Indeed AM SMS OTP Provider
Note | ||
---|---|---|
| ||
Для использования Indeed AM SMS OTP Provider необходимо наличие смс шлюза. Данный шлюз должен быть доступен с каждого сервера Indeed AM, на котором предполагается установка Indeed AM SMS OTP Provider. Для использования провайдера у пользователя должен быть задан номер телефона в атрибуте по умолчанию "telephoneNumber" или в другом настроенном атрибуте, иначе провайдер будет не доступен для использования. Обучение для аутентификатора не требуется. |
Компонент Indeed AM SMS OTP Provider предназначен для аутентификации пользователей с применением технологии одноразовых паролей, доставляемых пользователям по SMS.
Одноразовый пароль представляет собой набор случайных символов (цифр, специальных символов и латинских букв). Генерация пароля происходит на сервере Indeed AM, затем пароль передается на SMS шлюз, имеющийся в инфраструктуре клиента, после OTP отправляется на номер телефона пользователя. Передача данных происходит по протоколу SMPP (англ. Short Message Peer-to-Peer).
Установка
Выполнить установку SMS OTP Provider через запуск соответствующего пакета.
Note title Информация Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.
При использовании провайдера в клиентских сценариях с Indeed AM Windowsl Logon и ESSO Agent, необходимо выполнить установку провайдера из папки Client на клиентские машины.
- После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.
- Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.
Настройка параметров аутентификации
Info | ||
---|---|---|
| ||
Перед настройкой групповой политики необходимо добавить в список административных шаблонов шаблоны политик Indeed AM. Файлы шаблонов политик входят в состав дистрибутива провайдера и расположены в каталоге Misc. |
Настройка атрибута с номером телефона
Для смены атрибута по умолчанию необходимо добавить параметры в конфигурационный файл сервера (C:\inetpub\wwwroot\am\core\Web.config).
Добавить тег "userMapRules" в теге "adUserCatalogProvider".
- Добавить тег "adObjectMapRule" в теге "userMapRules"с параметрами:
- "attribute="Phone"" - Указывает на изменяемый параметр.
- "adAttribute="mobile"" - Указывает с какого атрибута AD брать значение.
- Добавить тег "objectTypeSettings".
Добавить тег "objectSetting" с параметрами "category="person" class="user""
Code Block | ||||
---|---|---|---|---|
| ||||
<adUserCatalogProvider id="userId" serverName="ind.loc" containerPath="DC=ind,DC=loc" userName="userAdmin" password="Q1q2E3e4"> <userMapRules> <adObjectMapRule attribute="Phone" adAttribute="mobile"/> <objectTypeSettings> <objectSetting category="person" class="user"></objectSetting> </objectTypeSettings> </userMapRules> </adUserCatalogProvider> |
Настройка провайдера
Выбор типа подключения для провайдера
Настройка через GPO
Политика применяется к серверам Indeed AM и предназначена для выбора Sender провайдера SMSOTP.
Не задан (Not Configured) или Отключен (Disabled)
Будет использоваться подключение по SMPP
Включен (Enabled)
Будет использоваться подключение по заданному провайдеру.
Настройка через реестр
- Откройте редактор реестра на сервере Indeed AM;
Откройте раздел "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP";
- Создайте следующий DWORD параметр SmsSenderType, со значением: 0 - Smpp; 1 - Megafon; 2 - OneGate.
Настройка сервиса SMPP
Настройка через GPO
Политика применяется к серверам Indeed AM и определяет следующие настройки для сервиса SMPP:
- Use tls - Использование шифрования.
- URL(IP-адрес) - Адрес подключения к серверу.
- Порт - Порт подключения к серверу.
- SystemId (Логин) - Имя учетной записи для подключению к серверу.
- Пароль - Пароль учетной записи для подключения к серверу.
Info | ||
---|---|---|
| ||
Пароль может быть задан как в явном, так и в зашифрованном виде. Для шифрования пароля необходимо использовать утилиту IndeedAM.SMSOTP.Password.Encryptor.exe, входящую в состав дистрибутива провайдера. |
- SystemType - Поле PDU операции BIND_TRANSCEIVER протокола SMPP.
- Отправитель - Имя отправителя, которое будет отображаться при получении SMS.
Дополнительный текст перед OTP - Произвольный текст сообщения, предшествующий одноразовому паролю. По умолчанию отправляется только OTP, для дополнительной настройки параметров используйте следующие параметры:
<app> - Имя приложения, отправившего запрос на авторизацию.
<requestLocalServerTime> - Локальное серверное время получения запроса.
<requestComputerDns> - DNS имя компьютера отправившего запрос.
<requestComputerIp> - IP адрес компьютера отправившего запрос.
Info title Информация Отображение OTP кода не настраивается, OTP всегда отображается в конце сообщения.
Для переноса строк отправляемого сообщения необходимо внести изменения в реестр HKLM/SOFTWARE/Policies/Indeed-ID/BSPs/SMSOTP. Измените значение для старого параметра "messageOTP" c типом "REG_SZ", на "messageOTP" с типом "REG_MULTI_SZ".
- Время ожидания статуса SMS - Время ожидания получения статуса отправленного SMS с сервера.
- PDU со статусом SMS - PDU, в котором сервер присылает статус отправленного сообщения.
- Подключаться как: Transmitter - отправка пакета BIND_TRANSMITTER при подключении, Transceiver - отправка пакета BIND_TRANSCEIVER при подключении. В случае подключения как Transmitter сервер присылает статус отправленного SMS сообщения только в пакете SUBMIT_SM_RESP.
- source_addr_ton - Тип Номера (Type of Number) для исходного адреса.
- source_addr_npi - Индикатор Схемы Присвоения Номеров (Numbering Plan Indicator) для исходного адреса.
- dest_addr_ton - Тип Номера (Type of Number) для адресата.
- dest_addr_npi - Индикатор Схемы Присвоения Номеров (Numbering Plan Indicator) для адресата.
- esm_class - Указывает Message Mode & Message Type.
- registered_delivery - Индикатор для того, чтобы обозначить, что запрашивается расписка о получении SMSC или подтверждение SME.
- data_coding - Определяет схему кодировки пользовательских данных короткого сообщения.
Настройка через реестр
- Откройте редактор реестра на сервере Indeed AM;
Откройте раздел "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP";
- Создайте следующие параметры:
- enableTls (DWORD) - Использование шифрования (1 или 0).
- srvAddr (строковый параметр) - Адрес подключения к серверу.
- srvPort (DWORD) - Порт подключения к серверу.
- srvSystemId (REG_SZ)- Имя учетной записи для подключению к серверу.
- srvPassword (REG_SZ) - Пароль учетной записи для подключения к серверу.
- srvSysType (REG_SZ) - Поле PDU операции BIND_TRANSCEIVER протокола SMPP.
- senderName (REG_SZ)-Имя отправителя, которое будет отображаться при получении SMS.
messageOTP (REG_MULTI_SZ) - Произвольный текст сообщения, предшествующий одноразовому паролю. По умолчанию отправляется только OTP, для дополнительной настройки параметров используйте следующие параметры:
<app> - Имя приложения, отправившего запрос на авторизацию.
<requestLocalServerTime> - Локальное серверное время получения запроса.
<requestComputerDns> - DNS имя компьютера отправившего запрос.
<requestComputerIp> - IP адрес компьютера отправившего запрос.
- SMPPServerTimeoutSec (DWORD)- Время ожидания получения статуса отправленного SMS с сервера.
- MessageStatusPDU (DWORD) - PDU, в котором сервер присылает статус отправленного сообщения. 0 - SUBMIT_SM_RESP; 1 - DELIVER_SM.
- BindTransmitter (DWORD). 1 - Transmitter - отправка пакета BIND_TRANSMITTER при подключении; 0 - Transceiver - отправка пакета BIND_TRANSCEIVER при подключении. В случае подключения как Transmitter сервер присылает статус отправленного SMS сообщения только в пакете SUBMIT_SM_RESP.
- sourceAddrTon (DWORD) - Тип Номера (Type of Number) для исходного адреса.
- sourceAddrNpi (DWORD)- Индикатор Схемы Присвоения Номеров (Numbering Plan Indicator) для исходного адреса.
- destAddrTon (DWORD) - Тип Номера (Type of Number) для адресата.
- destAddrNpi (DWORD)- Индикатор Схемы Присвоения Номеров (Numbering Plan Indicator) для адресата.
- esmClass - Указывает Message Mode & Message Type.
- registeredDelivery - Индикатор для того, чтобы обозначить, что запрашивается расписка о получении SMSC или подтверждение SME.
- dataCoding - Определяет схему кодировки пользовательских данных короткого сообщения.
Настройки сервиса Megafon
Настройка через GPO
Политика применяется к серверам Indeed AM и определяет настройки для Megafon сервиса отправки SMS:
- URL - Адрес подключения к серверу;
- Логин - Имя учетной записи для подключения к серверу;
- Пароль - Пароль учетной записи для подключения к серверу;
- Отправитель - Имя отправителя, которое будет отображаться при получении SMS;
- Дополнительный текст перед OTP - Произвольный текст сообщения, предшествующий одноразовому паролю.
Настройка через реестр
- Откройте редактор реестра на сервере Indeed AM;
Откройте раздел "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP\Megafon";
- Создайте следующие параметры:
- ServerUrl (REG_SZ) - Адрес подключения к серверу;
- Login (REG_SZ) - Имя учетной записи для подключения к серверу;
- Password (REG_SZ) - Пароль учетной записи для подключения к серверу;
- From (REG_SZ) - Имя отправителя, которое будет отображаться при получении SMS;
- messageOTP (REG_SZ) - Произвольный текст сообщения, предшествующий одноразовому паролю.
Настройки сервиса OneGate
Настройка через GPO
Политика применяется к серверам Indeed AM и определяет настройки для OneGate сервиса отправки SMS:
• URL - адрес подключения к серверу;
• Логин - имя учетной записи для подключения к серверу;
• Пароль - пароль учетной записи для подключения к серверу;
• Имя отправителя - Отображается как имя отправителя в устройстве получателя;
• Имя системы отправителя - Сочетание "Имя системы отправителя" и "Имя отправителя" определяет логин под которым обращаемся в сепаратор;
• Дополнительный текст перед OTP - произвольный текст сообщения, предшествующий одноразовому паролю.
Настройка через реестр
- Откройте редактор реестра на сервере Indeed AM;
Откройте раздел "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP\OneGate";
- Создайте следующие параметры:
- ServerUrl (REG_SZ) - Адрес подключения к серверу;
- Login (REG_SZ) - Имя учетной записи для подключения к серверу;
- Password (REG_SZ) - Пароль учетной записи для подключения к серверу;
- NameSender (REG_SZ) - Отображается как имя отправителя в устройстве получателя;
- NameSystem (REG_SZ) - Сочетание "Имя системы отправителя" и "Имя отправителя" определяет логин, под которым обращаемся в сепаратор;
- messageOTP (REG_SZ) - Произвольный текст сообщения, предшествующий одноразовому паролю.
Настройка формата сообщения
Настройка через GPO
Политика позволяет задать настройки формата отображения даты. Примеры форматов можно посмотреть по ссылке https://docs.microsoft.com/ru-ru/dotnet/standard/base-types/standard-date-and-time-format-strings
Включен (Enabled)
Дата будет отображаться согласно заданному в политике формату.
Настройка через реестр
- Откройте редактор реестра на сервере Indeed AM;
Откройте раздел "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP";
- Создайте следующие параметры:
- SMSOTP (DWORD) со значением 1.
- dateFormat (REG_SZ) - Позволяет задать настройки формата отображения даты. Примеры форматов можно посмотреть по ссылке Строки стандартных форматов даты и времени.
Настройки генерации одноразового пароля
Настройка через GPO
Политика применяется к серверам Indeed AM и позволяет задать длину и вхождение групп символов при генерации одноразового пароля.
Не задан (Not Configured) или Отключен (Disabled)
Если политика не задана или отключена, то пароль будет состоять из цифр и иметь длину 4 символов.
Включен (Enabled)
Одноразовый пароль будет генерироваться согласно заданным в политике правилам. Если политика не определена или выключена, то пароль будет состоять из цифр, строчных латинских букв и иметь длину 6 символов.
Настройка через реестр
- Откройте редактор реестра на сервере Indeed AM;
Откройте раздел "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP";
- Создайте следующие параметры:
- OTPGeerator (DWORD) - Включает данную настройку;
- OneTimePasswordLength (DWORD) - Длина одноразового пароля;
- AllowDigitsChGr (DWORD) - Использовать цифры в OTP;
- AllowLatinsLowerChGr (DWORD) - Использовать строчные латинские буквы в OTP;
- AllowLatinsUpperChGr (DWORD) - Использовать прописные латинские буквы в OTP;
- AllowSpecialChGr (DWORD) - Использовать специальные символы в OTP.
Настройки формата телефонного номера
Политика применяется к серверам Indeed AM и позволяет настраивать формат телефонного номера. При включении данной политики, включается нормализация телефонного номера. Это означает, что:
1. Пробелы, табуляцию, скобочки, дефисы будут удаляться.
2. Если в строке записаны несколько номеров и разделены запятой или точкой с запятой, будет браться первый номер в строке до разделителя.
3. 8 будет заменяться на +7.
4. Если в номере не хватает +7 или 8 в начале строки, то будет добавляться +7 перед номером.
5. В номерах могут быть символы O вместо цифры 0, они будут заменяться обратно на цифры.
Info | ||
---|---|---|
| ||
Мегафон — по требованию формата REST запроса номер телефона должен иметь тип long. При нормализации "+" не учитывается. |
Scroll Pagebreak
Настройки одновременного подключения к серверу SMPP
Политика применяется к серверам Indeed AM и определяет порядок обработки запросов к серверу SMPP. Включение политики может быть необходимо, в случае если сервер SMPP не поддерживает несколько подключений от одного пользователя (учетной записи, указанной в политике Настройка сервиса SMPP) одновременно.
Не задан (Not Configured) или Отключен (Disabled)
Подключение к серверу SMPP и запросы на отправку сообщений будут происходить параллельно.
Включен (Enabled)
Подключение к серверу SMPP и запросы на отправку сообщений будут происходить последовательно.
Настройка защиты от спама
Info | ||
---|---|---|
| ||
Осуществляется оценка процента успешных входов относительно всех отправленных сообщений за указанный интервал времени (оценка осуществляется только если кол-во отправленных сообщений превышает "Окно оценки"). При обнаружении атаки блокируется дальнейшая отправка сообщений, при попытке входа возникает ошибка: Отправка возобновится спустя некоторое время когда будет превышен необходимый порог успешных входов за указанный интервал времени. Максимальное время блокировки равно временному интервалу оценки. |
Чтобы настроить защиту от спама:
- Откройте редактор реестра;
- Создайте раздел Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-Id\BSPs\SMSOTP\SpamProtection\;
- Создайте необходимые параметры:
SpamProtectionEnabled: Флаг включения защиты от спама (DWORD). Значение по умолчанию: 0
TimeSpanSec: Интервал времени (сек), по которому осуществляются расчеты (DWORD). Значение по умолчанию: 600
EvaluationWindow: Окно оценки (DWORD). Значение по умолчанию: 10
MinSuccessfulLogonPercent: Минимальный процент успешных входов относительно всех отправленных сообщений (DWORD). Значение по умолчанию: 20
Info | ||
---|---|---|
| ||
2090: Обнаружена потенциальная спам-атака. Отправка сообщений приостановлена. 1118: Отправка сообщений пользователям возобновлена. |
Backtotop |
---|
Table of Contents | ||
---|---|---|
|