Вход при отсутствии сети

Войти в систему по аутентификатору можно даже при отсутствии физического подключения к сети. Вход по кешированному аутентификатору аналогичен входу по аутентификатору при доступной сети.

Чтобы настроить вход при отсутствии сети:

1. Настройте кеширование сессии с помощью групповых политик или реестра.
2. Включите кеширование и настройте срок действия аутентификаторов в Management Console.
3. Настройте срок хранения сессии в кеше.

Предварительная настройка

Вход при отсутствии сети доступен в следующих случаях:

• Для вашей учетной записи было установлено разрешение на кеширование аутентификаторов;
• Было выполнено кеширование аутентификаторов при первом входе в систему по аутентификатору;
• Был выполнен вход в систему по кешированному аутентификатору при доступной сети;
• Окружение соответствует системным требованиям для Windows Logon.

Настроить кеширование сессии

В случаях, когда отсутствует соединение с Core Server, пользователи могут пройти аутентификацию в Windows Logon в офлайн-режиме. Для этого используется сессия, закешированная на компьютере пользователя.

Чтобы настроить вход по закешированной сессии, используйте политику Настройки публичного ключа сеанса.

Через GPO

1. Добавьте файл политики IndeedID.SessionPublicKey.admx из папки \windows\misc\ADMX Templates на компьютер с Core Server и установленным Windows Logon.
2. Откройте редактор GPO.
3. Откройте раздел Конфигурация компьютера → Административные шаблоны → Indeed ID → Cache server.
4. Включите политику Настройки публичного ключа сеанса.
5. В свойствах политики в поле Публичный ключ сессии введите значение публичного ключа, сгенерированного при установке Core Server. Значение публичного ключа можно найти в конфигурационном файле Core Server am/core/app-settings.json в разделе Authentication:Token:Sign в параметре publicKey.
6. Перейдите в раздел Конфигурация компьютера → Административные шаблоны → Indeed ID → Client Connection.
7. Включите политику Проверка доступности сервера Indeed EA\ESSO.
8. В параметрах политики задайте значения для настроек Таймаут ожидания результата проверки (мс) и Время жизни результата проверки (мс).

Через реестр

1. Откройте редактор реестра на компьютере.

2. Откройте раздел Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\AM\CacheServer.

3. Создайте строковый параметр SessionPublicKey.

4. Присвойте параметру значение публичного ключа, сгенерированного при установке Core Server.

   Значение публичного ключа можно найти в конфигурационном файле Core Server am/core/app-settings.json в разделе Authentication:Token:Sign в параметре publicKey.

Включить кеширование и настроить срок действия аутентификаторов

Включить кеширование и задать срок действия кешированных аутентификаторов можно в настройках приложения политики или пользователя в Management Console.

По умолчанию срок действия кешированных аутентификаторов составляет 10 дней, отсчитывается с даты последнего входа в приложение и не зависит от того, будет ли выполнен вход в приложение в дальнейшем в течение этого срока.

Например, при установленном сроке 10 дней и выполнении входа в приложение в 10:00 12.04.2025 кешированные аутентификаторы будут действительны с 10:00 12.04.2010 до 10:00 мин 22.04.2025.

Если срок действия кешированных аутентификаторов истек и Core Server недоступен, при попытке входа в приложение отображается сообщение Ошибка при входе в систему. Сервер не найден. Кеширование данных пользователя запрещено.

Настроить срок хранения сессии в кеше

При кратковременных разрывах подключения к Core Sever можно настроить период, в течение которого сессию можно будет использовать повторно.

В течение заданного периода сессия хранится в кеше и может быть повторно использована при запросе на новое соединение с сервером. При этом проверка работоспособности сервера повторно не происходит, вместо этого используется закешированный результат проверки.

По истечении периода хранения сессия завершается. По новому запросу на соединение с сервером создается новая сессия.

Чтобы настроить срок хранения сессии в кеше:

Через GPO

1. Откройте редактор GPO.
2. Откройте раздел Конфигурация компьютера → Административные шаблоны → Indeed ID → Client Connection.
3. Включите политику Настройки подключения к серверу.
4. В свойствах политики задайте нужное значение для параметра Период удержания объекта сессии (мс). Значение по умолчанию — 180000 мс (3 минуты).
5. Перезагрузите компьютер, чтобы применить настройки.

Через реестр

1. Откройте редактор реестра.
2. Откройте раздел Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\SrvLocator2.
3. Для параметра SessionHoldPeriodMs типа DWORD установите нужное значение. Значение по умолчанию — 180000 мс (3 минуты).
4. Перезагрузите компьютер, чтобы применить настройки.

Примечание

При обновлении и удалении модуля Windows Logon все данные кеширования автоматически удаляются, чтобы не допустить утечки данных и избежать ошибок при последующей установке и работе компонентов Access Manager.

Не рекомендуется обновлять модуль в инсталляциях, где Windows Logon используется совместно с Indeed AM Enterprise Single Sign-On. В этом случае аутентификация в ESSO Agent в офлайн-режиме может быть недоступна.