Page History

О компоненте Indeed AM Telegram OTP Provider

Компонент Indeed AM Telegram Provider предназначен для аутентификации пользователей с применением технологии одноразовых паролей, доставляемых пользователям через созданного бота в мессенджере Telegram.

Одноразовый пароль представляет собой набор случайных символов (цифр, специальных символов и латинских букв). Генерация пароля происходит на сервере Indeed AM, затем пароль передается на серверы Telegram и отображается в чате с ботом.

Установка

Установка сервисной службы

1. Выполните установку службы "AM Telegram Service" через пакета для установки службы для работы с ботом из дистрибутива провайдера и выполните установку, следуя указаниям мастера.
2. После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.
3. Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.

Установка провайдера

1. Выполните установку провайдера Telegram OTP на сервере Indeed AM через запуск соответствующего пакета из дистрибутива провайдера и выполните установку, следуя указаниям мастера.

   Info
   title Информация
   Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.

   
   

2. После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.
3. Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.

Настройка

Создание бота

1. Откройте приложение Telegram, найдите специального бота "@botfather" и откройте диалог с данным ботом.
2. Нажмите "Start" и введите команду "/newbot".
3. Необходимо указать имя создаваемого бота, данное название будет отображаться в окне диалога с ботом. Введите любое имя, например, IndeedOTP.
4. Необходимо указать имя пользователя для аккаунта с ботом с 'bot' в конце, данное имя пользователя используется для ссылок на него. Введите любое имя, например, IndeedOTP_bot.
5. В случае успешной регистрации будет отображен токен для доступа к API. Данный токен потребуется для настройки службы "AM Telegram Service".

Настройка службы

1. Откройте конфигурационный файл службы AM.Telegram.Service.exe.config (C:\Program Files (x86)\Indeed-Id\Indeed-Id Telegram Service).

   Info
   title Информация
   Для сохранения изменений в конфигурационном файле приложения, требуется запустить редактор с правами администратора.

   
   

2. В атрибутах value для соответствующих атрибутов key укажите необходимые значения
   1. culture - Язык локализации, поддерживается русский и английский. Значение по умолчанию: ru-RU.
   2. EAWebAPIURL - URL адрес сервер Indeed AM.
   3. username - Имя сервисного пользователя от имени которого будет осуществляться регистрация аутентификаторов.
   4. password - Пароль сервисного пользователя.
   5. lognames - Формат логирования имен пользователей. Значение по умолчанию: Name.  Поддерживаемые форматы:
      • Id - Идентификатор пользователя в системе Indeed AM в формате rootUserCatalogProviderId_Guid.
      • Name - Значение атрибута name из Active Directory. 
      • CanonicalName - Имя пользователя в формате Canonical-Name   (myserver.demo.local/users/UserName). 
      • PrincipalName - Значение атрибута userPrincipalName из Active Directory. 
      • SamCompatibleName - Имя пользователя в формате domainName\UserName. 
      • DistinguishedName - Значение атрибута distinguishedName из Active Directory. 
      • Sid - Значение атрибута objectSid из Active Directory. 
      • Email - Значение атрибута mail из Active Directory или значение указанное в конфигурационном файле сервера. 

      • Phone- Значение атрибутаtelephoneNumber из Active Directory или значение указанное в конфигурационном файле сервера.

        Code Block
        language yml title Пример
        <add key="lognames" value="PrincipalName,Sid" />

        
        

   6. botId - Идентификатор бота(токен), получаемый при его регистрации в Telegram.

      Code Block
      language yml title Пример
      <appSettings> <add key="culture" value="ru-RU" /> <add key="EAWebAPIURL" value="https://server.indeed.local/easerver/" /> <add key="username" value="telegram@indeed.local" /> <add key="password" value="Q1q2E3e4" /> <add key="lognames" value="Name" /> <add key="botId" value="1156320278:AAG24_EODMotm_feYYQOfbPddK_2Z_JDiKQ" /> </appSettings>

      
      

3. Задайте url для подключения к лог серверу. Редактируем тег logServer.
   1. URL - url для подключения к log серверу в формате http(s)://полное_dns_имя_сервера/ls/api.
   2. CertificateThumbprint - если закрытый ключ в реестре, а сертификат в хранилище компьютера.
   3. CertificateFilePath - если ключевая пара в pfx.

   4. CertificateFilePassword- пароль от pfx.

      Code Block
      language yml
      <logServer Url="https://logserver.indeed.local/ls/api/" CertificateThumbprint="" CertificateFilePath="" CertificateFilePassword="" />

      
      

4. Запустите службу "AM Telegram Service".

Настройка сервиса отправки

Настройка через групповые политики

1. Откройте политику "Сервис отправки Telegram".
2. В поле "Идентификатор бота Telegram" Укажите идентификатор(токен) созданного бота.

3. В поле "Дополнительный текст перед OTP" можно задать дополнительную информацию:

   Info
   Необязательный параметр

   
   

   • <app> - Приложение
   • <requestLocalServerTime> - Время
   • <requestComputerDns> - dns имя клиентской машины
   • <requestComputerIp> - ip адрес клиентской машины

Настройка через реестр

1. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\BSPs создайте раздел "TelegramOTP".
2. В разделе "TelegramOTP" создайте параметр типа REG_SZ с именем "BotId" и укажите идентификатор (токен) бота.

3. В разделе "TelegramOTP" создайте параметр типа REG_SZ с именем "messageOTP" и укажите дополнительную информацию, которую будет отображать перед OTP:  

   Info
   Необязательный параметр

   • <app> - Приложение
   • <requestLocalServerTime> - Время
   • <requestComputerDns> - dns имя клиентской машины
   • <requestComputerIp> - ip адрес клиентской машины
   

Настройка параметров аутентификации

Настройка генерации одноразового пароля

Политика позволяет задать длину и вхождение групп символов при генерации одноразового пароля.

Группы символов:

• Цифры - "0-9";
• Строчные латинские буквы - "a-z";
• Прописные латинские буквы - "A-Z";
• Специальные символы - ",.<>/?[]{}=+-_\|!@#$%^&*()"

Если политика не определена или выключена, то пароль будет состоять из цифр, строчных латинских букв и иметь длину 6 символов.

Регистрация аутентификатора

1. Откройте чат с созданным ботом и нажмите "Start".
2. Введите команду "/register". После ввода команды необходимо предоставить номер телефона аккаунта Telegram боту.
3. При успешной регистрации аутентификатора отобразится сообщение "Вы были успешно зарегистрированы".