Версия: ITDR 2.1

Настройка многофакторной аутентификации

Начиная с версии 2.1, в Indeed ITDR для подтверждения дополнительного фактора аутентификации могут использоваться два механизма:

push-уведомления через мобильное приложение Indeed Key с использованием отдельной инсталляции Indeed Key Server;
push-уведомления через мобильное приложение Indeed Key с использованием Indeed Access Manager.

Выбор Access Manager в качестве механизма запроса и подтверждения дополнительного фактора позволяет автоматически использовать пользовательские аутентификаторы, ранее зарегистрированные в инсталляции Access Manager. В таком случае со стороны пользователей и администраторов не потребуются дополнительные действия для регистрации мобильных устройств.

Выбор отдельной инсталляции Indeed Key Server позволяет использовать мобильные приложения в рамках штатной поставки Indeed ITDR без разворачивания Access Manager. При этом для каждого пользователя потребуется дополнительно зарегистрировать аутентификатор при помощи Management Console. ITDR 2.1 не имеет отдельной консоли для самостоятельной регистрации аутентификатора пользователем.

Приложение Indeed Key доступно на Android и iOS.

Скачайте приложение по следующим ссылкам:

Настройка с использованием отдельной инсталляции Indeed Key Server

Активация режима Indeed Key Server

На боковой панели Management Console выберите раздел Настройки.
Установите переключатель в секции MFA в состояние Indeed Key.
Укажите адрес развернутого компонента Indeed Key Server. При установке по умолчанию этот компонент доступен по адресу 127.0.0.1:5000.

Рекомендации по развертыванию Indeed Key Server

В процессе регистрации аутентификаторов и подтверждения запросов через push-уведомлений мобильные приложения выполняют HTTP-запросы к веб-сервису Indeed Key Server. Для выполнения таких запросов и корректной работы приложений необходимо, чтобы веб-сервис был доступен из интернета. Этого можно достичь, установив контейнер Indeed Key Server в DMZ или установив в DMZ обратный прокси-сервер. В обоих случаях необходимо указать публичный адрес сервиса в конфигурации.

При установке Indeed ITDR контейнер Indeed Key Server автоматически устанавливается на узле управления и использует порт 5000. Для того, чтобы указать для этой инсталляции публичный адрес, необходимо выполнить следующие шаги:

Перейдите в директорию на узле управления, указанную при установке продукта.
Откройте для редактирования файл ./management/components/indeed-key-server/app-settings.json

Укажите планируемое публичное имя сервера и порт в поле Url в секции Server, как показано на примере:

"Server": {
  "Url": "http://mfa-server.company.com:9999",
  "Logon": {
    "Delay": "00:05:00"
  },
  "TrustedClients": [
    "TRUSTED_CLIENT_ID"
  ],
  "EndPoints": {
    "Http": {
      "Url": "http://+:5000"
    }
  }
}

Регистрация пользовательского аутентификатора

Администратору необходимо отправить пользователю QR-код на регистрацию аутентификатора.

Для этого:

На боковой панели Management Console выберите раздел MFA.
Введите имя пользователя в формате User Principal Name (user@itdr.local) и нажмите QR-код.

Передайте сгенерированный код пользователю и попросите отсканировать с помощью приложения Indeed Key.

Пользователю после получения QR-кода от администратора необходимо выполнить следующее:

В приложении Indeed Key нажать значок .
Нажать кнопку Сканировать QR-код.
Сканировать полученный QR-код с помощью камеры.

или

В приложении Indeed Key нажать значок .
Сканировать полученный QR-код с помощью камеры.

После регистрации аутентификатора пользователь будет получать push-уведомление, если администратор настроил запрос дополнительного фактора аутентификации в политике доступа. Подробнее о политике доступа.

Настройка с использованием Access Manager

Для работы с Access Manager требуется наличие установленной лицензии Authentication API.

Активация режима интеграции с Access Manager

На боковой панели Management Console продукта ITDR выберите раздел Настройки.
Установите переключатель в секции MFA в состояние Indeed Access Manager.
Укажите имя хоста, на котором развернута консоль Indeed Access Manager.
Если интеграция с Indeed Access Manager предполагает использование HTTPS, включите опцию Использовать защищенное соединение.
Если в системе развернут Access Manager версии 9.0 или новее, для использования API требуется взаимная аутентификация при помощи сертификатов.
1. Подготовьте сертификат в формате pfx, используя цепочку доверия, принимаемую сервером Access Manager. Обратитесь к документации Access Manager для подробной инструкции.
2. Убедитесь, что опция Использовать защищенное соединение включена.
3. Загрузите подготовленный сертификат, используя кнопку Выбрать сертификат.
4. Укажите пароль сертификата.

Настройка Access Manager

Для корректной интеграции ITDR и Access Manager на стороне последнего требуется разрешить аутентификацию через Authentication API. Для этого:

Откройте Management Console продукта Access Manager.
Выберите раздел Политики.
В разделе Приложения найдите и добавьте приложение Authentication API.
В разделе Область действия добавьте пользователей, группы безопасности или OU, для которых будет применяться MFA.

Подробная информация об управлении политиками в Access Manager доступна в документации (https://docs.indeed-id.ru/access-manager/9.3/admin-console/manage-policies/)

Важно

Access Manager использует протокол LDAP для получения информации о пользователях. Ограничение доступа к LDAP для сервисной учетной записи, используемой Access Manager, приведет к неработоспособности сценариев MFA.

Настройка автоматического ответа на push-уведомления

Период времени, в течение которого ответ на push-уведомления запоминается и пользователь не получает повторные push-уведомления, настраивается с помощью добавления параметра Graceful в конфигурационный файл. ITDR позволяет отдельно настроить периоды запоминания положительного и отрицательного ответа пользователя, а также отключить запоминание. Для настройки этого параметра:

Перейдите на страницу Настройки.
Укажите количество секунд, в течение которых будет запоминаться подтверждение в поле Помнить подтвержденный ответ. Для того, чтобы отключить запоминание, укажите 0.
Укажите количество секунд, в течение которых будет запоминаться отклоненный запрос в поле Помнить отклоненный ответ. Для того, чтобы отключить запоминание, укажите 0.

Примечание

Если на push-уведомление нет ответа, это приводит к автоматическому подтверждению или отклонению в соответствии с конфигурацией.

Настройка автоматического ответа на push-уведомления для привилегированных групп

В некоторых сценариях могут возникать дополнительные push-уведомления, вызванные дополнительными запросами аутентификации со стороны клиентской машины, если в политике доступа указаны субъекты доступа, которые включены в следующие привилегированные группы:

Administrators
Domain Admins
Enterprise Administrators
Schema Admins
Group Policy Creator Owners
Cert Publishers
RAS and IAS Servers

Это поведение может быть полностью либо частично скомпенсировано изменением настроек автоматического ответа на push-уведомления.

Настройка с использованием отдельной инсталляции Indeed Key Server​

Активация режима Indeed Key Server​

Регистрация пользовательского аутентификатора​

Настройка с использованием Access Manager​

Активация режима интеграции с Access Manager​

Настройка Access Manager​

Настройка автоматического ответа на push-уведомления​

Настройка автоматического ответа на push-уведомления для привилегированных групп​