Установка и настройка модуля Indeed EA Remote Authentication
Автор Anton Shlykov, Last modified by Maksim Kuzmov на 19 февраля 2018 01:40 PM
Модуль Indeed EA Remote Authentication позволяет реализовать возможность двухфакторной аутентификации с помощью технологии Indeed-Id в процессе подключения по RDP или Remote App. В качестве второго фактора могут выступать мастер-пароль (провайдер Passcode), одноразовый пароль, сгенерированный мобильным приложением GoogleAuthenticator (провайдер Google Authenticator ), одноразовый пароль, отправленный по SMS или email.

Установку модуля необходимо производить на машину, которая выполняет роль терминального сервера - сервер с установленной ролью RD Session Host или на рабочую станцию, на которою производится подключение по RDP.

Последовательность установки и настройки следующая:
1. Выполнить вход на терминальный сервер (сервер RD Session Host или рабочую станцию для подключения по RDP) под пользователем с правами локального администратора.

2. Выполнить запуск инсталлятора в зависимости от битности системы.

3. Выполнить установку модуля, следуя инструкциям инсталлятора.




4. Откройте редактор реестра Windows

5. Создайте в разделе HKEY_LOCAL_MACHINE\SOFTWARE\ ключ Indeed-ID с вложенным ключом RemoteAuth.

6. В созданном ключе RemoteAuth создайте строковый параметр ProviderId и задайте для него значение, соответствующее используемому провайдеру:
  • {F696F05D-5466-42B4-BF52-21BEE1CB9529} − для Passcode Provider
  • {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} – для Google Authenticator Provider
  • {093F612B-727E-44E7-9C95-095F07CBB94B} – для Email OTP Provider
  • {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} – для SMS OTP Provider
Настройка для Passcode:
Настройка для Passcode

Настройка для Google Authenticator:
Настройка для Google Authenticator


7. В случае использования в качестве второго фактора Email OTP Provider возможно задать имя атрибута Active Directory в профиле пользователя, из которого система будет получать адрес электронной почты пользователя для отправки одноразового пароля. По умолчанию используется атрибут mail.

В случае необходимости задать атрибут, отличный от mail , следует в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создать строковый параметр EmailAttribute и указать в качестве его значения имя атрибута, в котором хранится адрес электронной почты пользователя.

Настройка для Email OTP, когда адрес почты получается из атрибута mail (по умолчанию):


Настройка для Email OTP, когда адрес почты получается из атрибута otherMailbox:


8. В случае использования в качестве второго фактора SMS OTP Provider возможно задать имя атрибута Active Directory в профиле пользователя, из которого система будет получать номер телефона пользователя для отправки одноразового пароля. По умолчанию используется атрибут telephoneNumber.

В случае необходимости задать атрибут, отличный от telephoneNumber , следует в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создать строковый параметр PhoneAttribute и указать в качестве его значения имя атрибута, в котором хранится номер телефона пользователя.

Настройка для SMS OTP, когда номер телефона получается из атрибута telephoneNumber (по умолчанию):


Настройка для SMS OTP, когда номер телефона получается из атрибута mobile:



Как это работает (на примере RDWeb):
1. Пользователь входит на портал RDWeb Access и выбирает опубликованное RDP подключение.

2. В появившемся системном окне пользователь вводит доменные логин и пароль.


3. Если доменные логин и пароль введены верно, в процессе аутентификации пользователь получает окно с запросом одноразового пароля (способ получения зависит от настроенного провайдера аутентификации).


4. После введения корректного одноразового пароля пользователь попадает в RDP сессию.

ВАЖНО
1. Для входа по Passcode и Google Authenticator необходимо, чтобы у пользователя был обучен соответствующий аутентификатор в системе Indeed-Id. Плюс, пользователю должна быть выдана пользовательская лицензия Indeed EA.
2. Для входа по одноразовому паролю, который отправляется пользователю по email или в виде SMS, обучение аутентификатора не требуется. Пользователю должна быть выдана пользовательская лицензия Indeed EA. Плюс, должно быть настроено подключение к SMS шлюзу или серверу электронной почты.
(5 голос(а))
Эта статья полезна
Эта статья бесполезна

Комментарии (0)
Добавить новый комментарий
 
 
Полное имя:
Email:
Комментарии: