ID Провайдера

{DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68}

Информация

Файлы для Indeed AM AirKey Provider расположены: indeed AM <Номер версии>\Indeed AM Providers\Indeed AM AirKey Provider\

  • Server\<Номер версии>\IndeedAM.AuthProviders.AirKey-<номер версии>.x64.ru-ru.msi - Пакет для установки Indeed AM AirKey Provider на сервере Indeed AM на 64-битных ОС.
  • Server\<Номер версии>\IndeedAM.AuthProviders.AirKey-<номер версии>.x86.ru-ru.msi - Пакет для установки Indeed AM AirKey Provider на сервере Indeed AM на 32-битных ОС.
  • Client\<Номер версии>\IndeedID.AirKey.Provider.msi - Пакет для установки Indeed AM AirKey Provider на клиентской машине.

Файлы шаблонов политик расположены: indeed AM <номер версии>\Misc\ADMX Templates.


О компоненте Indeed AM AirKey Provider

Информация

Для осуществления аутентификации с помощью Push-уведомлений есть следующие требования:

В сетевой инфраструктуре: 

  • Установка сервера Indeed Indeed Key Server. Данный сервер выполняет отправку уведомлений на смартфон пользователя используя API сервисы Google. 

  • Установка провайдера аутентификации Indeed AirKey. Установка провайдера позволит использовать данную технологию аутентификации в целевых сценариях. 

На стороне клиента: 

  • Установка приложения Indeed Key. Приложение необходимо для получения уведомлений об аутентификации в целевых приложениях с помощью компонентов Indeed Access Manager. 

Без установки Indeed Indeed Key Server, Indeed AirKey Provider и приложения Indeed Key, аутентификация с помощью Push-уведомлений невозможна.

Установка провайдера

  1. Выполнить установку AirKey Provider на сервере Indeed AM и на клиенте через запуск соответствующего пакета для установки.

    Информация

    Если в инфраструктуре используется несколько серверов Indeed AM, то установку провайдера необходимо выполнить на всех серверах инфраструктуры.

    При использовании провайдера в клиентских сценариях с Indeed AM Windowsl Logon и ESSO Agent, необходимо выполнить установку провайдера из папки Client на клиентские машины.

  2. После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.
  3. Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.

Настройка провайдера

  1. Откройте Консоль администрирования
  2. Пройдите в раздел Конфигурация 
  3. В разделе Конфигурация выберите пункт Push-аутентификация

Укажите следующие данные:

  1. URL-адрес Indeed Key Server - Указывается URL по которому Indeed AirKey сервер доступен с машины Indeed AM
  2. Отображаемое имя сервера - Указывается название сервера Indeed AM Indeed Key Server, отображаемое в мобильном приложении
  3. Доверенный ID Indeed Key Server - Укажите произвольный уникальный идентификатор. Необходим для подтверждения запроса удаления аутентификатора. Значение идентификатора должно совпадать с тем, что введено в конфигурационном файле Indeed Key Server (тег trustedClients)
  4. Режим работы AirKey - по умолчанию выбран Push. В случае выбора режима OTP, вместо подтверждения входа на телефоне, пользователю потребуется ввести 6-тизначный код в соответствующее окно ввода.
  5. Способ подтверждения Push - принудительный запрос у пользователя подтверждения:
    1. Подтверждение не требуется - для подтверждения входа, у пользователя не будет запрашиваться доп. аутентификация на устройстве
    2. Подтверждение биометрическими средствами - для подтверждения входа, у пользователя будет запрашиваться доп. аутентификация на устройстве, с помощью биометрии
    3. Подтверждение любыми средствами, доступными на устройстве - для подтверждения входа, у пользователя будет запрашиваться доп. аутентификация на устройстве, с помощью любого доступного на устройстве метода
  6. Способ подтверждения для отображения OTP - принудительный запрос у пользователя подтверждения:
    1. Подтверждение не требуется - для подтверждения входа, у пользователя не будет запрашиваться доп. аутентификация на устройстве
    2. Подтверждение биометрическими средствами - для подтверждения входа, у пользователя будет запрашиваться доп. аутентификация на устройстве, с помощью биометрии
    3. Подтверждение любыми средствами, доступными на устройстве - для подтверждения входа, у пользователя будет запрашиваться доп. аутентификация на устройстве, с помощью любого доступного на устройстве метода
  7. Время отображения OTP - количество секунд, которое актуален OTP.


Настройка доверенного идентификатора для Indeed Key Server

Информация

По умолчанию при удалении аутентификатора в User Console, утилите управления аутентификаторами или в консоли администратора, аутентификатор будет удален из системы без уведомлений и останется отображаться в приложении. Для настройки push уведомления с информацией об удаление аутентификатора и удалением в приложении необходимо выполнить дополнительные настройки.

 

  1. Откройте конфигурационный файл Indeed Key Server  Web.config (C:\inetpub\wwwroot\airkeycloud)

  2. Добавьте в файл следующие теги после блока "appSettings": 

    Информация

    В параметре id тега add укажите уникальный идентификатор, указанный в пункте Доверенный ID Indeed Key Server, в консоли администрирования.


    Пример
    <trustedClientsSettings>
    <trustedClients>
      <add id="1" />
    </trustedClients>
  </trustedClientsSettings>
  3. После применения параметров пользователь будет получать уведомления об удалении ключа.

Настройка приложения на смартфоне

Установка сертификата УЦ

Информация

Установка сертификата УЦ необходима, только если для сервера AirKey используется доменный сертификат. При использовании сертификата общедоступного УЦ выполнять настройку не требуется.

  1. Экспортируйте корневой сертификат в формате cer/crt, pfx/p12 не распознается как корневой сертификат. 
  2. Отправьте сертификат на смартфон и установите его. 
    1. Пример запроса на установку сертификата на IOS устройствах. 
    2. Пример запроса на установку сертификата на Android устройствах. Для установки укажите произвольное название сертификата и в пункте "Использование" выберите: "VPN и приложения". 
  3. Добавить сертификат в доверенные.
    1. Для IOS устройств откройте: Настройки → Основные → Об этом устройстве → Доверие сертификатов.  В группе "Доверять корневым сертификатам полностью" включите доверие к установленному сертификату.
    2. Для Android устройств откройте: НастройкиБезопасность и блокировка экранаШифрование и учетные данные
      • Убедитесь что в радел "Учетные данные пользователя" успешно добавлен сертификат.
      • Убедитесь что в раздел "Надежные сертификатыПользователь" успешно добавлен сертификат. 

Установка приложения

Приложение Indeed Key доступно для смартфонов с iOS 13.0 и выше, Android 7.0 и выше.

Для того, чтобы скачать приложение, воспользуйтесь следующими ссылками: 

Корректная работа приложения Indeed Key гарантируется только в том случае, если оно скачано из официальных магазинов приложений.


Информация

Для корректной работы Push уведомлений на Android устройствах убедитесь, что выполнены следующие обязательные требования:

  1. Вы разрешили приложению отправку уведомлений
  2. Для версии Android 9 и выше необходимо отключить режим энергосбережения. 

Примечание: корректная работа Push-уведомлений возможна не на всех модификациях Android.

  1. Откройте приложение. В панели "Аутентификаторы" нажмите на значок "+" для добавления аутентификатора.

  2. Разрешите приложению доступ к камере и отсканируйте QR код. 
  3. Подтвердите регистрацию аутентификатора нажав кнопку "Принять".



  4. После успешной регистрации аутентификатор будет отображаться на главном окне программы.


    1. Для удаления нажмите на необходимый аутентификатор и выберите "Удалить аутентификатор".


Настройка параметров аутентификации

Информация

Перед настройкой групповой политики необходимо добавить в список административных шаблонов шаблоны политик Indeed AM. Файлы шаблонов политик входят в состав дистрибутива провайдера и расположены в каталоге Misc.

Информация

Политики распространяются на машины с установленными компонентами Indeed AM Windows Logon и Indeed AM ESSO Agent.

Таймаут операции для приложения AirKey

Политика определяет время ожидания операции для приложения AirKey.

Требовать команды от пользователя

Политика указывает ждать команды от пользователя для активации процедуры входа.

Настройка защиты от спама

Описание работы

Осуществляется оценка процента успешных входов относительно всех отправленных сообщений за указанный интервал времени (оценка осуществляется только если кол-во отправленных сообщений превышает "Окно оценки").

При обнаружении атаки блокируется дальнейшая отправка сообщений, при попытке входа возникает ошибка: Potential spam attack detected.

Отправка возобновится спустя некоторое время когда будет превышен необходимый порог успешных входов за указанный интервал времени. Максимальное время блокировки равно временному интервалу оценки. 

Чтобы настроить защиту от спама:

  1. Откройте редактор реестра;
  2. Создайте раздел Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-Id\BSPs\AirKey\SpamProtection\;
  3. Создайте необходимые параметры:

    1. SpamProtectionEnabled: Флаг включения защиты от спама (DWORD). Значение по умолчанию: 0

    2. TimeSpanSec: Интервал времени (сек), по которому осуществляются расчеты (DWORD). Значение по умолчанию: 600

    3. EvaluationWindow: Окно оценки (DWORD). Значение по умолчанию: 10

    4. MinSuccessfulLogonPercent: Минимальный процент успешных входов относительно всех отправленных сообщений (DWORD). Значение по умолчанию: 20

События лог-сервера

2090: Обнаружена потенциальная спам-атака. Отправка сообщений приостановлена.

1118: Отправка сообщений пользователям возобновлена.

  • No labels