Настройка web-плагина Indeed ESSO через групповые политики описана в данной статье.

Предусловия:

• В домене indeed.local установлен и настроен АМ 8.2.4.
• Создана учетная запись с правами добавления/редактирования доменных групповых политик.
• Создана общая сетевая папка, доступная на чтение для всех (в данной инструкции используется "\\dc\SYSVOL\indeed.local\Indeed\Windows Logon")
• В сетевую папку добавлены msi пакеты Windows Logon и необходимых провайдеров:
  IndeedID.WindowsLogon.x64
  IndeedID.Passcode.Provider
  IndeedId.SoftwareTOTP.Provider
  IndeedID.AirKey.Provider
  

1. Скопируйте шаблоны групповых политик Indeed из "...\Indeed AM 8.2.4\Misc\ADMX Templates" в директорию "C:\Windows\SYSVOL\sysvol\indeed.local\Policies\PolicyDefinitions":
   1. Переместите все шаблоны соответствующего языка:
      Все .admx файлы и языковые описания(папку "ru-RU" или "en-EN") из директорий "...\ADMX Templates" и "...\ADMX Templates\BSPs".
   2. Переместите требуемые шаблоны:
      Базовый шаблон "IndeedID.BaseFile.admx", соответствующие .admx файлы и языковые описания(папку "ru-RU" или "en-EN") из директорий "...\ADMX Templates" и "...\ADMX Templates\BSPs".
2. Скопируйте в сетевую папку требуемые для установки msi пакеты Indeed. Можно использовать стандартную сетевую папку на контроллере домена "C:\Windows\SYSVOL\sysvol".
3. Создайте группу безопасности, например, Windows Logon, и добавьте в нее все компьютеры на которые требуется установить компоненты Indeed.
4. Создайте групповую политику, которая будет использоваться для установки клиентских компонентов. Для этого:
   1. Откройте оснастку “Управление групповой политикой” - Лес - Домены - indeed.local.
   2. Нажмите ПКМ на indeed.local - "Создать объект групповой политики в этом домене и связать его...".
   3. Введите название групповой политики Windows Logon_<8.2.4>.
5. Выберите созданную политику. В окне "Фильтры безопасности" удалите группу "Прошедшие проверку". Добавьте группу созданную ранее.
   
6. Откройте редактирование политики Windows Logon_<8.2.4> и перейдите:
   Конфигурация компьютера - Политики - Конфигурация программ - Установка программ.
7. Добавьте пакеты компонентов Indeed для установки из сетевой папки(\\dc\SYSVOL\indeed.local\indeed\Windows Logon\...).
   
   На вкладке "Развертывание":
   1. Снимите флажок с опции "Удалять это приложение, если его использование выходит за рамки, допустимые политикой управления".
         
   2. Для x32 пакетов нажмите "Дополнительно" и снимите флажок с опции "Сделать это 32-разрядное х86 приложение доступным для компьютеров с архитектурой Win64".
         
   3. При обновлении, на вкладке "Обновления", нажмите кнопку "Добавить...". В окне "Добавление обновления" выполните следующие шаги:
      • Выберете опцию “из указанного объекта групповой политики”.
      • Нажмите кнопку “Обзор” и выберете групповую политику, через которую была выполнена установка предыдущей версии.
      • Выберите соответствующий пакет Indeed, через который была выполнена установка предыдущей версии.
      • Выберете опцию “Обновление возможно поверх имеющегося приложения” и нажмите “Ок”.
        
8. Далее, перейдите:
   Конфигурация компьютера - Политики - Административные шаблоны - Indeed ID - Client Connection.
   1. Выберите политику "Настройки подключения к серверу" и укажите URL-адрес сервера АМ.
      
   2. При необходимости использовать вход в офлайн-режиме перейдите:
      Конфигурация компьютера - Политики - Административные шаблоны - Indeed ID - Cache server
      Задайте публичный ключ. Его значение можно узнать:
      1. Откройте файл SessionPublicKey.pub сгенерированный при установке Core server на шаге "Сессионный секрет".
      2. Откройте расшифрованный файл конфигурации "C:\inetpub\wwwroot\am\core\Web.config". Найдите в теге "sessionEncryptionSettings" параметр "publicKey".
         Скопируйте значение в политику: