Описание
Возможности Indeed AM Windows® Logon
Продукт Indeed AM Windows® Logon предоставляет пользователям следующие возможности:
- Доступ в операционную систему по паролю учетной записи
- Доступ в операционную систему c применением технологии аутентификации Indeed AM
- Доступ к удаленному рабочему столу с применением технологии аутентификации Indeed AM
- Доступ в операционную систему по кэшированному аутентификатору при отсутствии связи с сервером Indeed.
С целью обеспечения безопасности данных во время отсутствия пользователя на рабочем месте Indeed AM Windows® Logon поддерживает как ручную блокировку рабочей станции, так и автоматическую блокировку (при извлечении устройства аутентификации или использовании экранной заставки). Независимо от способа блокировки для разблокирования рабочей станции всегда требуется повторное подтверждение личности пользователя с помощью аутентификатора.
Дополнительные возможности
Дополнительные возможности, предоставляемые продуктом Indeed AM Windows® Logon, включают:
- Возможность самостоятельного регистрации аутентификаторов и управления ими с помощью приложения Indeed AM – Управление аутентификаторами.
- Функцию Indeed AM Paste – автоматическая подстановка пароля в скрытом виде в нужное поле при нажатии определенной комбинации "горячих клавиш".
Поддерживаемые технологии аутентификации
Продукт Indeed AM Windows® Logon поддерживает более 20 современных технологий аутентификации. К ним относятся двухфакторная аутентификация, биометрическая аутентификация, сертификаты, бесконтактные карты, одноразовые пароли, sms-технологии и др.
Для каждой категории пользователей системы Indeed AM Windows® Logon может быть подобрана собственная оптимальная технология аутентификации. Также пользователям может быть разрешено применение несколько технологий:
- технология аутентификации, адаптированная для работы в удаленном режиме;
- комбинация технологий аутентификации (мультифакторная аутентификация).
Установка
Для установки компонента Indeed AM Windows® Logon запустите программу установки IndeedID.WindowsLogon.msi и следуйте указаниям Мастера установки.
После завершения установки компонента необходима перезагрузка системы. Нажмите Да, чтобы выполнить перезагрузку сразу, или Нет, чтобы сделать это позднее вручную.
Информация
Файлы для Indeed AM Windows Logon расположены: indeed AM <Номер версии>\Indeed AM Windows Logon\<Номер версии>\
- IndeedID.WindowsLogon.msi - Пакет для установки Indeed AM Windows Logon на 32-битных ОС.
- IndeedID.WindowsLogon.x64.msi - Пакет для установки Indeed AM Windows Logon на 64-битных ОС.
- Misc\ - Файлы шаблонов групповых политик.
Информация
Для развертывания Indeed AM Windows® Logon на рабочих станциях пользователей в автоматическом режиме удобно использовать механизм групповых политик (Microsoft Group Policy). Или любой другой инструмент, позволяющий массово распространять и устанавливать msi-пакеты на рабочие станции пользователей (например, Microsoft System Center Configuration Manager).
Подробнее со способами распространения компонентов системы Indeed AM в автоматическом режиме можно ознакомиться в документе Indeed AM. Руководство по развертыванию системы.pdf.
Настройка
Настройка через реестр
- Откройте редактор реестра Windows.
- Перейдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\SrvLocator2.
Измените строковый параметр ServerUrlBaseи укажите значение URL вашего Indeed Access Manager Server (например http(s)://dc.indeed-id.local/easerver/).
Информация
При использовании https соединения требуется выполнить установку клиентского сертификата на каждый сервер Indeed AM.
Настройка через GPO
Информация
Шаблоны групповых политик расположены indeed AM\Misc\GroupPolicyTemplates
Информация
При настройке через политики значения будут указаны по пути реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\SrvLocator2 и будут приоритетнее ручной настройки.
Добавьте политику IndeedID.ServerUrl.admx на рабочее место, с установленным indeed AM Windows Logon.
Через gpedit.msc пройдите по пути Конфигурация компьютера - Административные шаблоны - Indeed ID - ClientConnection - Настройки подключения к серверу. Включите политику.
В поле "URL-адрес АМ сервера" укажите значение URL вашего Indeed Access Manager Server (например http(s)://dc.indeed-id.local/easerver/).
Работа с Indeed AM Windows® Logon
Для обеспечения доступа в систему с использованием технологии аутентификации Indeed на вашем рабочем месте должны быть установлены:
- Модуль Indeed AM Windows® Logon, обеспечивающий возможность доступа в систему по аутентификатору.
- Модуль Indeed AM Provider, соответствующий выбранной технологии аутентификации.
- Аппаратное устройство аутентификации (в случае необходимости).
Информация
Возможности входа в систему по аутентификатору и управления аутентификаторами
доступны только при наличии разрешения, установленного администратором системы.
Первый вход в систему
После установки необходимого программного обеспечения на ваш компьютер первый вход в систему осуществляется по паролю учетной записи.
Если для вашей учетной записи разрешена регистрация аутентификаторов, то при входе в систему запустится «Мастер первого входа» (Рисунок 4) и предложит зарегистрировать аутентификатор.
Информация
Мастер первого входа отображается только при условии, что вы являетесь лицензированным пользователем Indeed AM и имеете разрешение на использование технологии аутентификации Indeed AM. Для получения подробной информации обратитесь к администратору системы.
Вы можете зарегистрировать аутентификатор сразу или позднее в любое удобное время.
- Чтобы перейти к регистрации аутентификатора, в окне Управление аутентификаторами выберите один из доступных способов аутентификации (например,«Пароль Passcode»).
- Чтобы выполнить вход в систему без регистрации аутентификатора, нажмите "Завершить". В этом случае Мастер первого входа будет отображаться при каждом следующем входе в систему до регистрации первого аутентификатора.
Если на рабочей станции не найдены необходимые провайдеры Indeed AM, регистрация аутентификаторов невозможна. При отображении данного сообщения обратитесь к администратору системы.
Регистрация первого аутентификатора
Если пользователю разрешено использовать технологию аутентификации Indeed AM, то после входа на рабочую станцию по доменному паролю ему будет предложено зарегистрировать свой первый аутентификатор. Для этого необходимо выбрать способ аутентификации и следовать инструкциям Мастера регистрации аутентификатора. Внешний вид окна и текст подсказок зависят от выбранного способа аутентификации.
- Выполните необходимые действия следуя подсказкам в окне Управление аутентификаторами.
- Если вы хотите вернуться на предыдущую страницу и выбрать другой способ входа, нажмите "Вернуться".
После выполнения необходимых действий по регистрации в окне Управление аутентификаторами отображается сообщение "Новый аутентификатор успешно обучен".
Вы можете добавить произвольный текстовый комментарий к зарегистрированному аутентификатору (если данное действие разрешено администратором системы). Для завершения регистрации аутентификатора нажмите "Сохранить".
Тип зарегистрированного аутентификатора и комментарий к нему отображаются в окне Управление аутентификаторами. Если для учетной записи пользователя разрешено добавление нескольких аутентификаторов, то вы можете перейти к их регистрации, нажав на ссылку Добавить способ входа. Также вы можете изменить, проверить или удалить зарегистрированный аутентификатор (если данные действия разрешены администратором системы).
Информация
При использовании определенных моделей биометрических устройств (например, сканеров отпечатков пальцев Digent IZZIX FD 2000, FD/FM 1000) возможны ошибки при регистрации и распознавании аутентификатора, связанные с уровнем чувствительности сканера и индивидуальными особенностями человека (температура тела, уровень влажности кожи, способ прикладывания пальца). Во избежание таких ошибок рекомендуется проверять аутентификатор сразу после регистрации.
При следующем входе в систему будет доступен способ входа по зарегистрированному аутентификатору.
Если для вашей учетной записи разрешена генерация случайного пароля, то после регистрации первого аутентификатора в окне Управление аутентификаторами отображается сообщение:
Информация
Случайный пароль для учетной записи будет сгенерирован по истечении срока действия текущего пароля. Если для вашей учетной записи был сгенерирован случайный пароль, то следующий вход в систему возможен только с использованием аутентификатора.
Если для учетной записи разрешено кэширование аутентификаторов, то при последующем входе в систему по аутентификатору будет выполнено сохранение аутентификатора в локальную память компьютера. В дальнейшем вы сможете выполнять доступ в систему по кэшированному аутентификатору при отсутствии подключения к серверам Indeed.
Вход в систему с использованием аутентификатора
Информация
Этот способ входа доступен при условии, что вы являетесь лицензированным пользователем Indeed AM, для вашей учетной записи разрешено регистрация аутентификаторов и вы уже зарегистрировали хотя бы один аутентификатор.
Для входа в систему по паролю выполните следующие действия:
- После загрузки операционной системы перейдите на экран выбора пользователя.
- Выберите вашу учетную запись. Если необходимо изменить имя учетной записи, нажмите Другой пользователь
В открывшемся окне Вход в Windows отображается имя пользователя, выполнявшего вход в систему последним и используемый им способ входа.
Если вы хотите сменить учетную запись, нажмите "Отмена" и выберите учетную запись нужного пользователя.
Если вы хотите выбрать другой способ входа, нажмите "Сменить способ входа" и выберите один из способов входа, соответствующий зарегистрированному ранее аутентификатору.
Чтобы выполнить вход в систему, необходимо предоставить зарегистрированный аутентификатор. Внешний вид окна аутентификации и текст подсказок зависят от выбранного типа аутентификатора. Выполните требуемые действия.
Информация
Если администратором системы установлено требование на смену доменного пароля и разрешена генерация случайного пароля, то при следующей аутентификации с помощью технологии Indeed будет сгенерирован случайный пароль. При этом отображается сообщение об успешной автоматической смене пароля.
Если доменный пароль был сброшен администратором системы при хотя бы одном зарегистрированном аутентификаторе, то при входе в систему по этому аутентификатору отобразится предупреждение о рассинхронизации пароля. Пользователю потребуется ввести и подтвердить новый доменный пароль.
Если запрос на изменение пароля произойдет в момент, когда ни один из серверов Indeed не будет доступен (но при этом будет доступен хотя бы один контроллер домена), то после ввода нового пароля пользователем также появится сообщение о рассинхронизации пароля, т.к. новый пароль, установленный пользователем, невозможно будет синхронизировать с хранилищем данных Indeed
В этом случае новый доменный пароль необходимо будет синхронизировать с хранилищем данных Indeed при следующем входе в систему с использованием аутентификатора при хотя бы одном доступном сервере Indeed. После успешной синхронизации пароля будет выполнен вход в систему.
Автоматическая идентификация
Если на сервере Indeed AM и на вашей рабочей станции настроена автоматическая идентификация, то для входа в систему указывать пользователя не нужно. выберите Автоидентификация и приложите ранее зарегистрированный аутентификатор к считывателю.
Информация
Автоматическая идентификация пользователей поддерживается только провайдерами Indeed AM Z2USB и Indeed AM OMNIKEY.
Для использования автоматической идентификации необходимо зарегистрировать аутентификатор после того, как будет выполнена настройка автоматической идентификации на всех серверах Indeed AM и рабочей станции пользователя.
Информация
Функция автоматической идентификации может быть использована вместе с функцией автоматического завершения сеанса пользователя, если другой пользователь предоставит свой аутентификатор. Для настройки автоматической идентификации и автоматического завершения сеанса пользователя обратитесь к документу Indeed AM Admin Pack. Руководство по установке и использованию.pdf
Доступ к удаленному рабочему столу с использованием аутентификатора
Для доступа к удаленному рабочему столу по аутентификатору требуются:
Стандартная утилита Windows mstsc.exe (Подключение к удаленному рабочему столу/Remote Desktop) на терминальном клиенте.
- Модуль Indeed AM Windows® Logon, установленный на терминальном сервере.
- Модуль Indeed AM Provider, соответствующий используемой технологии аутентификации, установленный на терминальном клиенте и терминальном сервере.
- Аппаратное устройство аутентификации, подключенное к терминальному клиенту (не требуется при использовании провайдеров Indeed OTM Provider, Indeed Google Authenticator Provider, Indeed Passcode Provider).
Для доступа к удаленному рабочему столу по аутентификатору выполните следующие действия:
- Запустите Подключение к удаленному рабочему столу.
- Введите имя/адрес терминального сервера и установите подключение.
- В отобразившемся окне Вход в Windows выберите вашу учетную запись, способ входа (тип аутентификатора) и пройдите аутентификацию.
Информация
Если для вашей учетной записи не сгенерирован случайный пароль, вы можете получить доступ к удаленному рабочему столу по паролю.
Вход в систему при отсутствии сети
Вход в систему по аутентификатору может быть выполнен даже при отсутствии физического подключения к сети. Действия при входе в систему в отсутствие сети по кэшированному аутентификатору аналогичны действиям при входе в систему по аутентификатору при доступной сети.
Данный способ входа доступен, если:
- Для вашей учетной записи было установлено разрешение на кэширование аутентификаторов.
- Было выполнено кэширование аутентификаторов (при первом входе в систему по аутентификатору).
- Был выполнен вход в систему по кэшированному аутентификатору при доступной сети.
Информация
Срок действия кэшированных аутентификаторов может быть ограничен администратором системы. По умолчанию этот срок составляет 10 дней, отсчитывается с даты последнего входа в и не зависит от того, будет ли выполнен вход в систему в дальнейшем в течение этого срока. Например, при установленном сроке 10 дней и выполнении входа в систему 12.04.2010 кэшированные аутентификаторы будут действительны с 00 ч 00 мин 13.04.2010 до 00ч 00 мин 23.04.2010. Если для вашей учетной записи разрешено кэширование аутентификаторов, то уточните у администратора наличие возможных ограничений. Если срок действия кэшированных аутентификаторов истек и серверы Indeed недоступны, при попытке входа в систему отображается сообщение об ошибке: "Ошибка при входе в систему. Сервер не найден. Кэширование данных пользователя запрещено".
Indeed AM Paste
В случаях, когда ввод пароля требуется для доступа в приложения, программный комплекс Indeed AM делает его использование максимально безопасным. C помощью Indeed AM Paste вы можете автоматически подставлять скрытый пароль в поле ввода при нажатии определенной комбинации «горячих клавиш» (по умолчанию [Ctrl] [Alt] [V]). Включить и отключить функцию Indeed AM Paste вы можете из приложения Indeed AM Paste Tray. Щелкните на значке в области уведомлений Windows и выберите нужный пункт контекстного меню:
- Разрешить Indeed AM Paste (включение функции, выбрано по умолчанию)
- Запускать при загрузке (запуск Indeed AM Paste Tray при загрузке Windows, выбран по умолчанию)
- Выход (выход из приложения)
Чтобы воспользоваться функцией Indeed AM Paste, выполните следующие действия:
- В окне приложения установите фокус мыши в поле ввода пароля.
- Нажмите комбинацию «горячих клавиш».
- Отображается окно Аутентификация. Подтвердите свою личность любым доступным способом (Аутентификатор/Пароль).
После успешной аутентификации в поле ввода отображается скрытый пароль.
Run as administrator
Для систем Microsoft Windows Vista и более поздних версий реализован запрос на аутентификацию по технологии Indeed AM для стандартной команды Run as administrator. После запуска данной команды отображается диалог выбора учетной записи, затем окно Аутентификация системы Indeed AM. В зависимости от версии операционной системы окно выбора учетной записи может иметь разный вид.
Часто задаваемые вопросы
Ознакомиться со списком часто задаваемых вопросов и ответов на них можно в Базе знаний по продуктам компании Indeed.
