О компоненте Indeed AM SMS OTP Provider

Компонент Indeed AM SMS OTP Provider предназначен для аутентификации пользователей с применением технологии одноразовых паролей, доставляемых пользователям по SMS.

Одноразовый пароль представляет собой набор случайных символов (цифр, специальных символов и латинских букв). Генерация пароля происходит на сервере Indeed AM, затем пароль передается на SMS шлюз, имеющийся в инфраструктуре клиента, после OTP отправляется на номер телефона пользователя. Передача данных происходит по протоколу SMPP (англ. Short Message Peer-to-Peer).

Установка

1. Выполнить установку SMS OTP Provider через запуск соответствующего пакета.

   Note
   title Информация
   Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.  При использовании провайдера в клиентских сценариях с Indeed AM Windowsl Logon и ESSO Agent, необходимо выполнить установку провайдера из папки Client на клиентские машины.

   
   

2. После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.
3. Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.

Настройка параметров аутентификации

Настройка атрибута с номером телефона

Для смены атрибута по умолчанию необходимо добавить параметры в конфигурационный файл сервера (C:\inetpub\wwwroot\am\core\Web.config). 

• Добавить тег "userMapRules" в теге "adUserCatalogProvider". 

• Добавить тег "adObjectMapRule" в теге "userMapRules"с параметрами:
  •  "attribute="Phone"" - Указывает на изменяемый параметр.
  •  "adAttribute="mobile"" - Указывает с какого атрибута AD брать значение.
• Добавить тег "objectTypeSettings".

• Добавить тег "objectSetting" с параметрами "category="person" class="user""

<adUserCatalogProvider id="userId" serverName="ind.loc" containerPath="DC=ind,DC=loc" userName="userAdmin" password="Q1q2E3e4">
				<userMapRules>
						<adObjectMapRule attribute="Phone" adAttribute="mobile"/>
					<objectTypeSettings>
						<objectSetting category="person" class="user"></objectSetting>
					</objectTypeSettings>
				</userMapRules>
		</adUserCatalogProvider>

Настройка провайдера

Выбор типа подключения для провайдера (Choosing the connection type for the provider)

Настройка через GPO

Политика применяется к серверам Indeed AM и предназначена для выбора Sender провайдера SMSOTP.

Не задан (Not Configured) или Отключен (Disabled)

Будет использоваться подключение по SMPP

Включен (Enabled)

Будет использоваться подключение по заданному провайдеру.

Настройка через реестр

1. Откройте редактор реестра на сервере Indeed AM;

2. Откройте раздел "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP";

3.  Создайте следующий DWORD параметр SmsSenderType, со значением: 0 - Smpp; 1 - Megafon; 2 - OneGate.

Anchor
smpp_main smpp_main

Настройка сервиса SMPP (Service Configurations SMPP)

Настройка через GPO

Политика применяется к серверам Indeed AM и определяет следующие настройки для сервиса SMPP:

• Use tls - Использование шифрования.
• URL(IP-адрес) - Адрес подключения к серверу.
• Порт - Порт подключения к серверу.
• SystemId (Логин) - Имя учетной записи для подключению к серверу.
• Пароль - Пароль учетной записи для подключения к серверу. 
• SystemType - Поле PDU операции BIND_TRANSCEIVER протокола SMPP.
• Отправитель - Имя отправителя, которое будет отображаться при получении SMS.
• Дополнительный текст перед OTP - Произвольный текст сообщения, предшествующий одноразовому паролю. По умолчанию отправляется только OTP, для дополнительной настройки параметров используйте следующие параметры:

• • <app> - Имя приложения, отправившего запрос на авторизацию.
    

  • <requestLocalServerTime> - Локальное серверное время получения запроса.
    

  • <requestComputerDns> - DNS имя компьютера отправившего запрос.
    

  • <requestComputerIp> - IP адрес компьютера отправившего запрос.

    Info
    title Информация
    Отображение OTP кода не настраивается, OTP всегда отображается в конце сообщения. Для переноса строк отправляемого сообщения необходимо внести изменения в реестр HKLM/SOFTWARE/Policies/Indeed-ID/BSPs/SMSOTP. Измените значение для старого параметра "messageOTP" c типом "REG_SZ", на "messageOTP" с типом "REG_MULTI_SZ".

    
    

• Время ожидания статуса SMS - Время ожидания получения статуса отправленного SMS с сервера.
• PDU со статусом SMS - PDU, в котором сервер присылает статус отправленного сообщения.
• Подключаться как: Transmitter - отправка пакета BIND_TRANSMITTER при подключении, Transceiver - отправка пакета BIND_TRANSCEIVER при подключении. В случае подключения как Transmitter сервер присылает статус отправленного SMS сообщения только в пакете SUBMIT_SM_RESP.
• source_addr_ton - Тип Номера (Type of Number) для исходного адреса.
• source_addr_npi - Индикатор Схемы Присвоения Номеров (Numbering Plan Indicator) для исходного адреса.
• dest_addr_ton - Тип Номера (Type of Number) для адресата.
• dest_addr_npi - Индикатор Схемы Присвоения Номеров (Numbering Plan Indicator) для адресата.
• esm_class - Указывает Message Mode & Message Type.
• registered_delivery - Индикатор для того, чтобы обозначить, что запрашивается расписка о получении SMSC или подтверждение SME.
• data_coding - Определяет схему кодировки пользовательских данных короткого сообщения.
  

Настройка через реестр

1. Откройте редактор реестра на сервере Indeed AM;

2. Откройте раздел "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP";

3. Создайте следующие параметры:
   1. enableTls (DWORD) - Использование шифрования (1 или 0).
   2. srvAddr (строковый параметр) - Адрес подключения к серверу.
   3. srvPort (DWORD) - Порт подключения к серверу.
   4. srvSystemId (REG_SZ)- Имя учетной записи для подключению к серверу.
   5. srvPassword (REG_SZ) - Пароль учетной записи для подключения к серверу. 
   6. srvSysType (REG_SZ) - Поле PDU операции BIND_TRANSCEIVER протокола SMPP.
   7. senderName (REG_SZ)-Имя отправителя, которое будет отображаться при получении SMS.

   8. messageOTP (REG_MULTI_SZ) - Произвольный текст сообщения, предшествующий одноразовому паролю. По умолчанию отправляется только OTP, для дополнительной настройки параметров используйте следующие параметры:

      • <app> - Имя приложения, отправившего запрос на авторизацию.
        

      • <requestLocalServerTime> - Локальное серверное время получения запроса.
        

      • <requestComputerDns> - DNS имя компьютера отправившего запрос.
        

      • <requestComputerIp> - IP адрес компьютера отправившего запрос.
        

   9. SMPPServerTimeoutSec (DWORD)- Время ожидания получения статуса отправленного SMS с сервера.
   10. MessageStatusPDU (DWORD) - PDU, в котором сервер присылает статус отправленного сообщения. 0 - SUBMIT_SM_RESP; 1 - DELIVER_SM.
   11. BindTransmitter (DWORD). 1 - Transmitter - отправка пакета BIND_TRANSMITTER при подключении; 0 - Transceiver - отправка пакета BIND_TRANSCEIVER при подключении. В случае подключения как Transmitter сервер присылает статус отправленного SMS сообщения только в пакете SUBMIT_SM_RESP.
   12. sourceAddrTon (DWORD) - Тип Номера (Type of Number) для исходного адреса.
   13. sourceAddrNpi (DWORD)- Индикатор Схемы Присвоения Номеров (Numbering Plan Indicator) для исходного адреса.
   14. destAddrTon (DWORD) - Тип Номера (Type of Number) для адресата.
   15. destAddrNpi (DWORD)- Индикатор Схемы Присвоения Номеров (Numbering Plan Indicator) для адресата.
   16. esmClass - Указывает Message Mode & Message Type.
   17. registeredDelivery - Индикатор для того, чтобы обозначить, что запрашивается расписка о получении SMSC или подтверждение SME.
   18. dataCoding - Определяет схему кодировки пользовательских данных короткого сообщения.

Настройка резервного сервиса SMPP

В политике «Настройка сервиса SMPP (резервный)» вы можете настроить резервный сервис SMPP, через который будут отправляться СМС, если основной сервис недоступен.

При отправке СМС core сервер проверяет доступность основного сервиса SMPP. Если основной сервис доступен, СМС отправляется через основной шлюз. Если основной сервис недоступен, СМС отправляется через резервный шлюз.

Сервис считается недоступным, если core сервер получает следующие ошибки:

• SMS sending service address unavailable
• SMPP Error Bind
• SMPP Error SubmitS

Политика резервного сервиса SMPP настраивается аналогично основной политики SMPP.

При наличии настроенного резервного сервиса переход к нему при недоступности основного сервиса происходит автоматически.

Настройки сервиса Megafon (Service Configurations Megafon)

Настройка через GPO

Политика применяется к серверам Indeed AM и определяет настройки для Megafon сервиса отправки SMS:

• URL - Адрес подключения к серверу;
• Логин - Имя учетной записи для подключения к серверу;
• Пароль - Пароль учетной записи для подключения к серверу;
• Отправитель - Имя отправителя, которое будет отображаться при получении SMS;
• Дополнительный текст перед OTP - Произвольный текст сообщения, предшествующий одноразовому паролю.
        

Настройка через реестр

1. Откройте редактор реестра на сервере Indeed AM;

2. Откройте раздел "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP\Megafon";

3. Создайте следующие параметры:
   1. ServerUrl (REG_SZ) - Адрес подключения к серверу;
   2. Login (REG_SZ) - Имя учетной записи для подключения к серверу;
   3. Password (REG_SZ) - Пароль учетной записи для подключения к серверу;
   4. From (REG_SZ) - Имя отправителя, которое будет отображаться при получении SMS;
   5. messageOTP (REG_SZ) - Произвольный текст сообщения, предшествующий одноразовому паролю.

Настройки сервиса OneGate (Service Configurations OneGate)

Настройка через GPO

Политика применяется к серверам Indeed AM и определяет настройки для OneGate сервиса отправки SMS:

• URL - адрес подключения к серверу;
• Логин - имя учетной записи для подключения к серверу;
• Пароль - пароль учетной записи для подключения к серверу;                
• Имя отправителя - Отображается как имя отправителя в устройстве получателя;
• Имя системы отправителя - Сочетание "Имя системы отправителя" и "Имя отправителя" определяет логин под которым обращаемся в сепаратор;
• Дополнительный текст перед OTP - произвольный текст сообщения, предшествующий одноразовому паролю.

Настройка через реестр

1. Откройте редактор реестра на сервере Indeed AM;

2. Откройте раздел "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP\OneGate";

3. Создайте следующие параметры:
   1. ServerUrl (REG_SZ) - Адрес подключения к серверу;
   2. Login (REG_SZ) - Имя учетной записи для подключения к серверу;
   3. Password (REG_SZ) - Пароль учетной записи для подключения к серверу;
   4. NameSender (REG_SZ) - Отображается как имя отправителя в устройстве получателя;
   5. NameSystem (REG_SZ) - Сочетание "Имя системы отправителя" и "Имя отправителя" определяет логин, под которым обращаемся в сепаратор;
   6. messageOTP (REG_SZ) - Произвольный текст сообщения, предшествующий одноразовому паролю.

Настройки сервиса MFMSolution (Service Configurations MFMSolution)

Настройка через GPO

Политика применяется к серверам Indeed AM и определяет настройки для MFMSolution сервиса отправки SMS:

• URL - адрес подключения к серверу;
• Логин - имя учетной записи для подключения к серверу;
• Пароль - пароль учетной записи для подключения к серверу;                
• Имя отправителя - отображается как имя отправителя в устройстве получателя;
• Дополнительный текст перед OTP - произвольный текст сообщения, предшествующий одноразовому паролю.

Настройка через реестр

1. Откройте редактор реестра на сервере Indeed AM;

2. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP\MFM;

3. Создайте следующие параметры:
   1. ServerUrl (REG_SZ) - Адрес подключения к серверу;
   2. Login (REG_SZ) - Имя учетной записи для подключения к серверу;
   3. Password (REG_SZ) - Пароль учетной записи для подключения к серверу;
   4. From (REG_SZ) - Отображается как имя отправителя в устройстве получателя;
   5. MessageOTP (REG_SZ) - Произвольный текст сообщения, предшествующий одноразовому паролю.

Настройки сервиса Apache Kafka

Настройка через GPO

Политика применяется к серверам Indeed AM и определяет настройки для Apache Kafka сервиса отправки SMS:

• URL - адрес подключения к серверу;

• Таймаут сервера -время ожидания локального сообщения. Это значение применяется только локально и ограничивает время, в течение которого создаваемое сообщение ожидает успешную доставку. Если вы укажете значение 0 сек, то время ожидания будет бесконечным;

• Включить сериализацию сообщения - флаг включает или отключает сериализацию сообщения;

• Schema registry URL - адрес подключения к Schema Registry;

• Путь к схеме сериализации - путь к файлу json со схемой сериализации;

• Протокол безопасности - протокол, используемый для связи с брокерами;

• SASL механизм - механизм SASL для аутентификации;

• Имя темы - имя темы, в которую будут публиковаться сообщения;

• Формат даты сообщения - формат даты в полях сообщения;

• Дополнительный текст перед OTP - произвольный текст сообщения, предшествующий одноразовому паролю;

• Путь к формату сообщения - путь к файлу json с форматом сообщения.

Настройка через реестр

1. Откройте редактор реестра на сервере Indeed AM;

2. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP создайте следующие параметры:

   1. SmsSenderType (DWORD) - тип отправителя СМС (для Apache Kafka установите значение 3);
   2. ParsePhone (DWORD) - включение парсинга телефонного номера;
   3. PhonePrefix (REG_SZ) - префикс номера телефона (если вы включили парсинг телефонного номера);
   4. PhoneLength (DWORD) - длина номера телефона (если вы включили парсинг телефонного номера);

3. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP\Kafka создайте следующие параметры:

   1. messageOTP (REG_SZ) - произвольный текст сообщения, предшествующий одноразовому паролю;

   2. MessageFormatPath (REG_SZ) - путь к файлу json с форматом сообщения;

   3. MessageDateFormat (REG_SZ) - формат даты в полях сообщения;

   4. ServerUrl (REG_SZ) - адрес сервера Apache Kafka;

   5. MessageTimeoutSec (REG_DWORD) - время ожидания локального сообщения. Это значение применяется только локально и ограничивает время, в течение которого создаваемое сообщение ожидает успешную доставку. Если вы укажете значение 0 сек, то время ожидания будет бесконечным;

   6. TopicName (REG_SZ) - имя темы Apache Kafka, в которую будут публиковаться сообщения;

   7. UseSerialization (REG_SDWORD) - включение или отключение сериализации;

   8. SchemaRegistryUrl - адрес подключения к schema registry;
   9. RecordSchemaPath (REG_SZ) - путь к файлу json со схемой сериализации;

      Если вы используете авторизацию в Apache Kafka, добавьте следующие параметры;

   10. SecurityProtocol (REG_SZ) - протокол, используемый для связи с брокерами;

   11. SaslMechanism (REG_SZ) - механизм SASL для аутентификации;

Настройка формата сообщения (Date time format)

Настройка через GPO

Политика позволяет задать настройки формата отображения даты. Примеры форматов можно посмотреть по ссылке https://docs.microsoft.com/ru-ru/dotnet/standard/base-types/standard-date-and-time-format-strings

Включен (Enabled)

Дата будет отображаться согласно заданному в политике формату.

Настройка через реестр

1. Откройте редактор реестра на сервере Indeed AM;

2. Откройте раздел "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP";

3. Создайте следующие параметры:
   1. SMSOTP (DWORD) со значением 1.
   2. dateFormat (REG_SZ) - Позволяет задать настройки формата отображения даты. Примеры форматов можно посмотреть по ссылке Строки стандартных форматов даты и времени.

Настройки генерации одноразового пароля (One-time password generation settings)

Настройка через GPO

Политика применяется к серверам Indeed AM и позволяет задать длину и вхождение групп символов при генерации одноразового пароля.

Не задан (Not Configured) или Отключен (Disabled)

Если политика не задана или отключена, то пароль будет состоять из цифр и иметь длину 4 символов.

Включен (Enabled)

Одноразовый пароль будет генерироваться согласно заданным в политике правилам. Если политика не определена или выключена, то пароль будет состоять из цифр, строчных латинских букв и иметь длину 6 символов.

Настройка через реестр

1. Откройте редактор реестра на сервере Indeed AM;

2. Откройте раздел "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP";

3. Создайте следующие параметры:
   1. OTPGeerator (DWORD) - Включает данную настройку;
   2. OneTimePasswordLength (DWORD) - Длина одноразового пароля;
   3. AllowDigitsChGr (DWORD) - Использовать цифры в OTP;
   4. AllowLatinsLowerChGr (DWORD) - Использовать строчные латинские буквы в OTP;
   5. AllowLatinsUpperChGr (DWORD) - Использовать прописные латинские буквы в OTP;
   6. AllowSpecialChGr (DWORD) - Использовать специальные символы в OTP.

Настройки формата телефонного номера (Settings phone number)

Настройка через GPO

Политика применяется к серверам Indeed AM и позволяет настраивать формат телефонного номера. При включении данной политики, включается нормализация телефонного номера. Это означает, что:

1. Пробелы, табуляцию, скобочки, дефисы будут удаляться.
2. Если в строке записаны несколько номеров и разделены запятой или точкой с запятой, будет браться первый номер в строке до разделителя.
3. 8 будет заменяться на +7.
4. Если в номере не хватает +7 или 8 в начале строки, то будет добавляться +7 перед номером.
5. В номерах могут быть символы O вместо цифры 0, они будут заменяться обратно на цифры.

Настройка через реестр

1. Откройте редактор реестра на сервере Indeed AM;

2. Откройте раздел "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs\SMSOTP";

3. Создайте следующие параметры:
   1. ParsePhone (DWORD) - Включает парсинг телефонного номера;
   2. PhoneLength (DWORD) - Размер телефонного номера;
   3. PhonePrefix (DWORD) - Префикс телефонного номера.

Настройки одновременного подключения к серверу SMPP

Политика применяется к серверам Indeed AM и определяет порядок обработки запросов к серверу SMPP. Включение политики может быть необходимо, в случае если сервер SMPP не поддерживает несколько подключений от одного пользователя (учетной записи, указанной в политике Настройка сервиса SMPP) одновременно.

Не задан (Not Configured) или Отключен (Disabled)

Подключение к серверу SMPP и запросы на отправку сообщений будут происходить параллельно.

Включен (Enabled)

Подключение к серверу SMPP и запросы на отправку сообщений будут происходить последовательно.

Настройка защиты от спама

Чтобы настроить защиту от спама:

1. Откройте редактор реестра;
2. Создайте раздел Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-Id\BSPs\SMSOTP\SpamProtection\;
3. Создайте необходимые параметры:

   1. SpamProtectionEnabled: Флаг включения защиты от спама (DWORD). Значение по умолчанию: 0

   2. TimeSpanSec: Интервал времени (сек), по которому осуществляются расчеты (DWORD). Значение по умолчанию: 600

   3. EvaluationWindow: Окно оценки (DWORD). Значение по умолчанию: 10

   4. MinSuccessfulLogonPercent: Минимальный процент успешных входов относительно всех отправленных сообщений (DWORD). Значение по умолчанию: 20