Описание

Indeed Enterprise Single Sign-On реализует технологию единого доступа Single Sign On в информационные системы организации: централизованно хранит пароли приложений пользователя и выполняет автоматическую подстановку пароля в скрытом виде при необходимости доступа в приложение или выполнения других действий, требующих аутентификации. Indeed AM ESSO Агент упрощает процедуру аутентификации в приложениях исключая необходимость ручного ввода пароля и периодической смены пароля пользователем.

Поддерживаемые приложения

Технология доступа Indeed Enterprise Single Sign-On применяется для windows и web приложений и настраивается без программного вмешательства в серверную или клиентскую часть целевого приложения. Поддержка нового приложения подразумевает создание специального шаблона в формате .xml. В шаблоне указывается, какие формы приложения будут контролироваться. Контроль доступа выражается в повторном запросе аутентификации, заполнении полей регистрационными данными (имя пользователя и пароль), активации нужных элементов управления (нажатие кнопки «Вход»), запись события в журнал и т.п.

Поддерживаемые технологии аутентификации

В дополнение к стандартной технологии аутентификации, реализованной в большинстве продуктов Single Sign-On, - универсальному паролю мастер-паролю, Indeed AM Enterprise SSO поддерживает альтернативные технологии аутентификации.

Установка

Информация

Установка компонента выполняется на рабочих местах пользователей. Для установки компонента требуются права Локального администратора.


Информация

Для развертывания Indeed AM SSO Агент на рабочих станциях пользователей в автоматическом режиме удобно использовать механизм групповых политик (Microsoft Group Policy). Или любой другой инструмент, позволяющий
массово распространять и устанавливать msi-пакеты на рабочие станции пользователей (например, Microsoft System Center Configuration Manager). Подробнее со способами распространения компонентов системы Indeed AM в автоматическом режиме можно ознакомиться в документе Indeed AM. Руководство по развертыванию системы.pdf.

  1. Запустите программу установки IndeedID.Enterprise SSO.Agent.msi и следуйте указаниям Мастера установки.
  2. После завершения установки компонента потребуется перезагрузка системы. Нажмите Да, чтобы выполнить перезагрузку сразу, или Нет, чтобы сделать это позднее вручную.

Информация

Файлы для Indeed AM SSO Агент расположены: indeed AM <Номер версии>\Indeed AM Enterprise SSO\<Номер версии>\

  • IndeedID.ESSO.Agent.msi - Пакет для установки Indeed AM SSO Агент на 32-битных ОС.
  • IndeedID.ESSO.Agent.x64.msi - Пакет для установки Indeed AM SSO Агент на 64-битных ОС.
  • Misc\ - Файлы шаблонов групповых политик. 

Настройка подключения к AM серверу

Настройка через реестр

  1. Откройте редактор реестра Windows.
  2. Перейдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\SrvLocator2.

  3. Измените строковый параметр ServerUrlBase  и укажите значение URL вашего Indeed Access Manager Server (например http(s)://dc.indeed-id.local/easerver/).

    Информация

    При использовании https соединения требуется выполнить установку клиентского сертификата на каждый сервер Indeed AM.

Настройка через GPO

Информация

При настройке через политики значения будут указаны по пути реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\SrvLocator2 и будут приоритетнее ручной настройки.

Добавьте политику IndeedID.ServerUrl.admx на рабочее место, с установленным indeed AM Windows Logon.

Через gpedit.msc пройдите по пути Конфигурация компьютера - Административные шаблоны - Indeed ID - ClientConnection - Настройки подключения к серверу. Включите политику.

В поле "URL-адрес АМ сервера" укажите значение URL вашего Indeed Access Manager Server (например http(s)://dc.indeed-id.local/easerver/).

Настройка web-плагина Indeed ESSO

При работе с web-приложениями Indeed AM ESSO Агент использует web-плагин для браузеров Internet Explorer, Mozilla Firefox и Google Chrome.

Internet Explorer

Надстройка Indeed AM SSO Helper для Internet Explorer устанавливается вместе с IndeedId ESSO Агент. Для работы расширения включите его в браузере. Если после установки Indeed AM ESSO Агент надстройка не появилась в браузере выполните следующие действия:

  • Перейдите в Свойства браузера (Internet options)-> Дополнительно (Advanced) -> раздел Обзор (Browsing) и включите опцию Разрешение сторонних расширений обозревателя (Enable third-party browser extensions).

Информация

На серверных операционных системах в дополнение перейдите в Диспетчер серверов (Server manager) -> Локальный сервер (Loсal server) и отключите Конфигурацию усиленной безопасности Internet Explorer (IE ESC).

Для массовой настройки параметров работы с надстройками в Internet Explorer используйте групповые политики Windows.
Политики располагаются в Редакторе локальной групповой политики (Local Group Policy Editor, gpedit.msc) в разделе Конфигурация пользователя (User Configuration)\Административные шаблоны (Administrative Templates)\Компоненты Windows (Windows Components)\Internet Explorer.

  1. Включите политику Автоматически активировать новые установленные надстройки (Automatically activate newly installed add-ons) для автоматического включения web-плагина.
  2. Для запрета выключения надстроек пользователями включите политику Не разрешать пользователям включать и отключать надстройки (Do not allow users to enable or disable addons).

Mozilla Firefox

Расширение Indeed Id ESSO устанавливается вместе с Indeed-Id ESSO Агент. Для работы расширения включите его в браузере.

Google Chrome

Расширение Indeed AM ESSO устанавливается в ручном или автоматическом режиме, через механизм групповых политик Microsoft Windows.

Установка из Интернет-магазина Chrome:

  1. Установите Indeed AM ESSO Агент на рабочую станцию, обладающей доступом в Интернет.
  2. Запустите Google Chrome. Загрузка расширения произойдет автоматически в течение 1 минуты. После загрузки расширения доступ к интернету не требуется. Для работы расширения включите его в браузере.

Информация

Загрузку и включение расширения потребуется производить для каждой сессии пользователя в Windows. Если расширение было удалено из браузера вручную, то для повторной установки загрузите его из Интернет-магазина Chrome.

Доступно по ссылке https://chrome.google.com/webstore/detail/indeed-id-esso/lcjenjmcehnkfkghcflkfialplejjkdj

Установка через механизм групповых политик:

Расширение Indeed AM ESSO, распространяемое групповыми политиками, устанавливается для всех пользователей рабочей станции. Для установки не требуется доступ в Интернет.

Для настройки групповой политики на установку расширения Indeed AM ESSO выполните следующие действия:

  1. Создайте в Диспетчере служб IIS (IIS Manager) web-приложение с произвольным именем, например chromeplugin, определите для него пул приложений DefaultAppPool и Анонимную проверку подлинности (Anonymous Authentication).
  2. В каталог приложения поместите файлы lcjenjmcehnkfkghcflkfialplejjkdj.crx и update.xml (располагаются в дистрибутиве Indeed AM Single Sign-On\<версия>\Misc\ChromePlugin).
  3. В разделе Типы MIME (MIME Types) веб-сайта, в котором находится приложение chromeplugin, добавьте новый тип с расширением .crx и описанием application/chrome.
  4. Настройте безопасное https соединение для приложения chromeplugin и убедитесь что к нему можно обратиться с рабочих станций пользователей.
  5. Добавьте шаблоны adm/admx в локальное/центральное хранилище административных шаблонов контроллера домена и создайте новый объект групповой политики в оснастке Управление групповой политикой (Group Policy Management) с произвольным именем.
  6. Откройте для редактирования созданный объект групповой политики и перейдите в раздел Конфигурация компьютера (Computer Configuration) -> Административные шаблоны (Administrative Templates) -> Google -> Google Chrome -> Расширения (Extensions).
  7. Включите политику Создать список приложений и расширений, устанавливаемых принудительно (Configure the list of force-installed apps and extensions) и укажите идентификатор расширения (указан в имени файла .crx) и путь к .xml файлу в каталоге созданного в п.2 web-приложения chromeplugin. Сохраните внесенные изменения. 
  8. Включите политику Настроить источники для установки расширений, приложений и пользовательских скриптов (Configure extension, app, and user script install sources) и укажите адрес сервера, на котором развернуто созданное в п.2 web-приложение chromeplugin. Сохраните изменения.
  9. Распространите действие объекта групповой политики на рабочие станции пользователей с установленным Indeed AM ESSO Агент.
  10. Расширение автоматически загрузится и установится после применения групповой политики к рабочей станции Может потребоваться до нескольких минут для того, чтобы оно отобразилось в списке установленных в браузере. Установленное через групповые политики расширение отмечено соответствующим символом.

Работа Indeed AM Single Sign-On

Работа Indeed AM Single Sign-On заключается в отслеживании запуска приложений и автоматическом заполнении полей и форм данными, необходимыми для получения доступа в приложение:
имя пользователя, пароль и т.п. Автоматическое заполнение полей данными происходит только после подтверждения личности пользователя с применением поддерживаемой технологии аутентификации. Таким образом, Indeed AM Single Sign-On избавляет пользователей от необходимости запоминания, записи, хранения, ручного ввода паролей для выполнения входа в приложение. Благодаря централизованному хранению SSO-профилей пользователи получают доступ в приложения
с любой рабочей станции, где установлен компонент Indeed AM ESSO Агент. Поддержка в Indeed AM ESSO Агент технологий аутентификации, специально адаптированных для использования в терминальной среде и не требующих установки дополнительного оборудования, дает возможность
работать на «неподготовленном» компьютере и использовать тонкие клиенты на базе Windows CE, Linux, Wyse и т.п.

Единый доступ в приложения по технологии аутентификации Indeed

Доступ в приложения с использованием аутентификатора становится возможен после настройки учетной записи приложения, профиля пользователя и регистрации аутентификатора. Для получения доступа в приложение с использованием технологии аутентификации Indeed AM выполните следующие действия:

  1. Выполните вход на рабочую станцию. В панели задач отобразится всплывающее сообщение об открытии SSO-сессии.
  2. Indeed AM ESSO Агент запускается автоматически при входе в операционную систему. Для запуска вручную выберите пункт Indeed AM > AM SSO > AM SSO - Агент в меню Программы.

Выбор целевого приложения

Для выбора целевого приложения выполните одно из следующих действий:

  1. Нажмите [Ctrl]+[Alt]+[Q] или откройте приложение Indeed AM SSO Агент двойным щелчком по иконке в области уведомлений Windows.
  2. Нажатием правой кнопки мыши на иконку в области уведомлений Windows вызовите контекстное меню приложения Indeed-Id ESSO Агент и выберите пункт Быстрый запуск

В окне Выбор приложения доступны приложения, разрешенные для запуска с помощью Indeed AM ESSO Агент. Вид окна Выбор приложения определяется настройками ESSO-приложений. На рисунке ниже, представлена ситуация, когда у целевого приложения один исполняемый файл.

Информация

Если для одного целевого приложения настроено несколько учетных записей SSO, то после выбора приложения потребуется выбрать учетную запись.

Если приложение содержит в себе несколько компонентов (например, приложение «1С Предприятие» может содержать в себе приложения «1С:Бухгалтерия», «1С:Управление Торговлей» и т.д.), то исполняемые файлы каждого компонента группируются для удобства выбора в панели быстрого запуска под одним именем. На Рисунке ниже приведен пример группировки нескольких компонентов 1С под одним именем 1С:Предприятие.

После выбора приложения потребуется выбрать учетную запись, если их несколько для выбранного приложения.

Аутентификация

Для аутентификации в приложении выполните следующие действия:

  1. Выберите имя пользователя и способ входа. По умолчанию операционная система предлагает последний использованный способ. Следуйте подсказкам на экране и предоставьте обученный аутентификатор. При наличии нескольких обученных аутентификаторов используйте любой из них.
  2. Для выбора аутентификатора нажмите Сменить способ входа
  3. После аутентификации отображается окно входа в целевое приложение. В поля «Имя пользователя» и «Пароль» автоматически подставляются данные, указанные при создании учетной записи SSO, и выполняется вход в приложение. Помимо автоматической подстановки учетных данных в форму входа приложения поддерживается и ручной ввод логина и пароля. Указанные при первом входе в приложение логин и пароль запоминаются и будут автоматически подставлены при следующем входе. При отмене аутентификации вход в приложение не будет выполнен: текущая форма приложения или само приложение будет закрыто.
  4. Если в настройках запуска приложения администратором определен параметр запуска приложения только при помощи Indeed AM ESSO Агент и настроено требование аутентификации при входе в приложение, то в случае отмены аутентификации отобразится сообщение об ошибке.

Доступ к целевым приложениям регулируется административными настройками. Некоторые приложения могут быть запрещены для запуска администратором ESSO. Запрещенные приложения недоступны в окне Выбор приложения Indeed AM ESSO Агент. При попытке запуска запрещенного приложения отображается сообщение об ошибке «A device attached to the system is not functioning».

Смена пользователя

Для изменения пользователя ESSO выполните следующие действия:

Выполните вход в операционную систему и перейдите в контекстное меню Indeed AM ESSO Агент: 

  • Нажмите [Ctrl]+[Alt]+[Q] или откройте приложение Indeed AM SSO Агент двойным щелчком по иконке в области уведомлений Windows.
  • Нажатием правой кнопки мыши на иконку в области уведомлений Windows вызовите контекстное меню приложения Indeed AM SSO Агент и выберите пункт Сменить пользователя. . .

В окне Вход в SSO введите имя учетной записи, под которой требуется выполнить вход в приложение.

Выполните аутентификацию по имеющимся у выбранного пользователя аутентификатору. В случае успешной аутентификации Агент ESSO откроет сессию SSO  выбранного пользователя:

Управление паролем

Indeed AM Single Sign-On предусматривает регулярную смену пароля в приложениях. Как правило, пароль меняется автоматически. Самостоятельная ручная смена пароля регулируется установками администратора ESSO. Если ручная смена пароля разрешена, при очередной смене пароля новое значение пароля не генерируется автоматически, а запрашивается у пользователя.
Поведение при запросе нового пароля у пользователя зависит от типа учетной записи пользователя AM SSO, выбранного администратором ESSO: Если администратором настроена ручная смена пароля пользователем, то при смене пароля отобразится следующее окно.

Введите новый пароль и его подтверждение.

  • Режим ввода пароля (скрытый пароль/открытый ввод символов) регулируется нажатием кнопки  (Открыть пароль).
  • При нажатии кнопки  (Генерировать случайный пароль) выполняется автоматическая генерация пароля в соответствии с установленными для данного приложения ограничениями.
  • Сгенерированный пароль автоматически вставляется в поле Пароль, при этом включается функция Открыть пароль и очищается поле Подтверждение пароля.


При вводе нового пароля в стандартном режиме выполняется проверка пароля на соответствие критериям сложности, установленным для данного приложения. В случае несоответствия пароля критериям сложности отображается сообщение об ошибке. Если учетная запись AM SSO относится к типу Учетных данных Active Directory, при смене пароля отображается следующее сообщение:

Команды Indeed AM ESSO Агент

В контекстном меню, которое открывается правым щелчком по иконке приложения Indeed AM ESSO Агент в панели уведомлений Windows, доступны следующие команды:

Сменить пользователя – выбрать другую учетную запись для получения доступа в приложение. При выборе команды отображается окно Вход в SSO со списком доступных учетных записей и возможностью выбрать способ входа. По умолчанию используется способ, при помощи которого выполнялся последний вход пользователя.

Отключить быстрые клавиши – отключение использование комбинаций клавиш:
[Ctrl]+[Alt]+[Q] - вызов окна быстрого запуска
[Ctrl]+[Alt]+[U] - обновление данных ESSO
[Ctrl]+[Alt]+[R] - принудительная обработка формы приложения («рематчинг»)

По умолчанию все комбинации включены.

Обновить данные – загрузка изменений профиля SSO. Примеры сообщений приведены на рисунках ниже.

Обновление данных ESSO:

Новые данные ESSO получены:


Ошибка обновления данных:

Быстрый запуск – выполняется при выборе соответствующего пункта в контекстном меню Indeed AM ESSO Агент или нажатии комбинации [Ctrl]+[Alt]+[Q] и предоставляет доступ к списку приложений, разрешенных для запуска (открывается окно Выбор приложения).

Информация

Приложение не отображается в списке, если Indeed AM ESSO Агент не может найти его исполняемый файл на рабочей станции пользователя.

Обработка ошибок

При возникновении ошибок во время работы (например, ошибка заполнения формы) Indeed AM ESSO Агент предоставляет возможность выбора действия для обработки ошибки. В таких случаях отображается окно Обработка ошибки:

В окне Обработка ошибки предлагаются варианты действий (после выбора действия окно закроется автоматически):

  • Повторить – операция, в ходе которой возникла ошибка, будет выполнена повторно.
  • Завершить приложение – приложение, при работе с которым возникла ошибка, будет завершено. Не сохраненные данные будут потеряны.
  • Закрыть окно – будет закрыто текущее окно или форма приложения. При закрытии главного окна приложение может быть завершено.
  • Игнорировать – не будет предпринято никаких действий.

Часто задаваемые вопросы

Ознакомьтесь со списком часто задаваемых вопросов и ответов на них в Базе знаний:


  • No labels