Versions Compared
Key
- This line was added.
- This line was removed.
- Formatting was changed.
Info | ||
---|---|---|
| ||
{CA4645CC-5896-485E-A6CA-011FCC20DF1D} |
Info | ||
---|---|---|
| ||
Файлы для Indeed SMS Telegram OTP Provider расположены: indeed AM <Номер версии>\Indeed AM Providers\Indeed AM SMS Telegram OTP Provider\
|
О компоненте Indeed AM Telegram OTP Provider
Note |
---|
Установка
| ||
Для работы компонента требуется доступ к серверам Telegram для |
сервисной службы. |
Info | ||
---|---|---|
| ||
Для работы службы требуется доступ в интернет, чтобы производить чтение данных с серверов Telegram. | ||
В данной версии системы Indeed провайдер Telegram OTP поддерживается только в сценариях с Indeed NPS Radius. |
Компонент Indeed AM Telegram Provider предназначен для аутентификации пользователей с применением технологии одноразовых паролей, доставляемых пользователям через созданного бота в мессенджере Telegram.
Одноразовый пароль представляет собой набор случайных символов (цифр, специальных символов и латинских букв). Генерация пароля происходит на сервере Indeed AM, затем пароль передается на серверы Telegram и отображается в чате с ботом.
Установка
Установка сервисной службы
- Выполните установку службы "AM Telegram Service" через запуск инсталлятора IndeedId.Telegram.Service-v1.0.0.x86.ru-ru.msi пакета для установки службы для работы с ботом из дистрибутива провайдера и выполните установку, следуя указаниям мастера.
- После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.
- Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.
Установка провайдера
Выполните установку провайдера Telegram OTP на сервере Indeed AM через запуск IndeedAM.AuthProviders.TelegramOTP.msi запуск соответствующего пакета из дистрибутива провайдера и выполните установку, следуя указаниям мастера.
Info title Информация Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.
- После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.
- Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.
Настройка
Создание бота
- Откройте приложение Telegram, найдите специального бота "@botfather" и откройте диалог с данным ботом.
- Нажмите "Start" и введите команду "/newbot".
- Необходимо указать имя создаваемого бота, данное название будет отображаться в окне диалога с ботом. Введите любое имя, например, IndeedOTP.
- Необходимо указать имя пользователя для аккаунта с ботом с 'bot' в конце, данное имя пользователя используется для ссылок на него. Введите любое имя, например, IndeedOTP_bot.
- В случае успешной регистрации будет отображен токен для доступа к API. Данный токен потребуется для настройки службы "AM Telegram Service".
Image Added
Настройка службы
Откройте конфигурационный файл службы AM.Telegram.Service.exe.config (C:\Program Files (x86)\Indeed-Id\Indeed-Id Telegram Service).
Info title Информация Для сохранения изменений в конфигурационном файле приложения, требуется запустить редактор с правами администратора.
- В атрибутах value для соответствующих атрибутов key укажите необходимые значения
- culture - Язык локализации, поддерживается русский и английский. Значение по умолчанию: ru-RU.
- EAWebAPIURL - URL адрес сервер Indeed AM.
- username - Имя сервисного пользователя от имени которого будет осуществляться регистрация аутентификаторов.
- password - Пароль сервисного пользователя.
- lognames - Формат логирования имен пользователей. Значение по умолчанию: Name. Поддерживаемые форматы:
- Id - Идентификатор пользователя в системе Indeed AM в формате rootUserCatalogProviderId_Guid.
- Name - Значение атрибута name из Active Directory.
- CanonicalName - Имя пользователя в формате Canonical-Name (myserver.demo.local/users/UserName).
- PrincipalName - Значение атрибута userPrincipalName из Active Directory.
- SamCompatibleName - Имя пользователя в формате domainName\UserName.
- DistinguishedName - Значение атрибута distinguishedName из Active Directory.
- Sid - Значение атрибута objectSid из Active Directory.
- Email - Значение атрибута mail из Active Directory или значение указанное в конфигурационном файле сервера.
Phone- Значение атрибутаtelephoneNumber из Active Directory или значение указанное в конфигурационном файле сервера.
Code Block language yml title Пример <add key="lognames" value="PrincipalName,Sid" />
botId - Идентификатор бота(токен), получаемый при его регистрации в Telegram.
Code Block language yml title Пример <appSettings> <add key="culture" value="ru-RU" /> <add key="EAWebAPIURL" value="https://server.indeed.local/easerver/" /> <add key="username" value="telegram@indeed.local" /> <add key="password" value="Q1q2E3e4" /> <add key="lognames" value="Name" /> <add key="botId" value="1156320278:AAG24_EODMotm_feYYQOfbPddK_2Z_JDiKQ" /> </appSettings>
- Задайте url для подключения к лог серверу. Редактируем тег logServer.
- URL - url для подключения к log серверу в формате http(s)://полное_dns_имя_сервера/ls/api.
- CertificateThumbprint - если закрытый ключ в реестре, а сертификат в хранилище компьютера.
- CertificateFilePath - если ключевая пара в pfx.
CertificateFilePassword- пароль от pfx.
Code Block language yml <logServer Url="https://logserver.indeed.local/ls/api/" CertificateThumbprint="" CertificateFilePath="" CertificateFilePassword="" />
- Запустите службу "AM Telegram Service".
Настройка сервиса отправки
Настройка через групповые политики
Info | ||
---|---|---|
| ||
Перед настройкой групповой политики необходимо добавить в список административных шаблонов шаблоны политик Indeed AM. Файлы шаблонов политик входят в состав дистрибутива провайдера и расположены в каталоге Misc. |
- Откройте политику "Сервис отправки Telegram".
- В поле "Идентификатор бота Telegram" Укажите идентификатор(токен) созданного бота.
В поле "Дополнительный текст перед OTP" можно задать дополнительную информацию:
Info Необязательный параметр
- <app> - Приложение
- <requestLocalServerTime> - Время
- <requestComputerDns> - dns имя клиентской машины
- <requestComputerIp> - ip адрес клиентской машины
Image Removed
Image Added
Настройка через реестр
Info | ||
---|---|---|
| ||
В /Misc/Reg провайдера расположен .reg файл с примером настройки. |
- В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs создайте раздел "TelegramOTP".
- В разделе "TelegramOTP" создайте параметр типа REG_SZ с именем "BotId" и укажите идентификатор (токен) бота.
В разделе "TelegramOTP" создайте параметр типа REG_SZ с именем "messageOTP" и укажите дополнительную информацию, которую будет отображать перед OTP:
Info Необязательный параметр
- <app> - Приложение
- <requestLocalServerTime> - Время
- <requestComputerDns> - dns имя клиентской машины
- <requestComputerIp> - ip адрес клиентской машины
Image Added
Настройка параметров аутентификации
Info | ||
---|---|---|
| ||
Перед настройкой групповой политики необходимо добавить в список административных шаблонов шаблоны политик Indeed AM. Файлы шаблонов политик входят в состав дистрибутива провайдера и расположены в каталоге Misc. |
Настройка генерации одноразового пароля
Политика позволяет задать длину и вхождение групп символов при генерации одноразового пароля.
Группы символов:
- Цифры - "0-9";
- Строчные латинские буквы - "a-z";
- Прописные латинские буквы - "A-Z";
- Специальные символы - ",.<>/?[]{}=+-_\|!@#$%^&*()"
Если политика не определена или выключена, то пароль будет состоять из цифр, строчных латинских букв и иметь длину 6 символов.
Image AddedРегистрация аутентификатора
Note | ||
---|---|---|
| ||
При регистрации провайдера будет запрошен номер телефона из аккаунта Telegram, необходимо чтобы у пользователя в AD номер телефона полностью соответствовал и был одного формата. Поддерживаемы форматы: +7xxxxxxxxxx или 8xxxxxxxxxx |
- Откройте чат с созданным ботом и нажмите "Start".
- Введите команду "/register". После ввода команды необходимо предоставить номер телефона аккаунта Telegram боту.
Image Added
- При успешной регистрации аутентификатора отобразится сообщение "Вы были успешно зарегистрированы".
Image Added
Backtotop
Table of Contents | ||
---|---|---|
|