Indeed RDP Windows Logon

Модуль Indeed AM RDP Windows Logon позволяет реализовать возможность двухфакторной аутентификации с помощью технологии Indeed-Id в процессе подключения по RDP или Remote App. В качестве второго фактора могут выступать мастер-пароль (провайдер Passcode), одноразовый пароль, сгенерированный мобильным приложением (провайдер Software ТOTP ), одноразовый пароль, отправленный по SMS или email.

Установка и настройка RDP Windows Logon.

1. Выполнить установку Indeed RDP Windows Logon в зависимости от битности системы через запуск инсталлятора Indeed.EA.RDPWindowsLogon-v1.0.5.
2. Открыть редактор реестра Windows.
3. Создать в разделе HKEY_LOCAL_MACHINE\SOFTWARE\ ключ Indeed-ID с вложенным ключом RemoteAuth.
4. В разделе RemoteAuth создать: 

1. Строковый параметр ProviderId и задать значение, соответствующее используемому провайдеру.

   Информация

   ProviderId может иметь разные ID провайдеров:

   {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} - SMS OTP

   {093F612B-727E-44E7-9C95-095F07CBB94B} - EMAIL OTP

   {F696F05D-5466-42b4-BF52-21BEE1CB9529} - Passcode

   {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} - Software TOTP

   {AD3FBA95-AE99-4773-93A3-6530A29C7556} - HOTP Provider
   

   Информация

   В случае использования в качестве второго фактора EMAIL OTP Provider возможно задать имя атрибута Active Directory в профиле пользователя, из которого система будет получать email-адрес пользователя для отправки одноразового пароля. 
   

   В случае необходимости задать атрибут, отличный от mail , следует в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создать строковый параметр EmailAttribute и указать в качестве его значения имя атрибута, в котором хранится адрес электронной почты пользователя. 

   • Настройка для Email OTP, когда адрес почты получается из атрибута mail (по умолчанию):
     

   • Настройка для Email OTP, когда адрес почты получается из атрибута otherMailbox:

     

   Информация

   В случае использования в качестве второго фактора SMS OTP Provider возможно задать имя атрибута Active Directory в профиле пользователя, из которого система будет получать номер телефона пользователя для отправки одноразового пароля. 
   

   В случае необходимости задать атрибут, отличный от telephoneNumber , следует в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создать строковый параметр PhoneAttribute и указать в качестве его значения имя атрибута, в котором хранится номер телефона пользователя.
   

   • Настройка для SMS OTP, когда номер телефона получается из атрибута telephoneNumber (по умолчанию):
   • Настройка для SMS OTP, когда номер телефона получается из атрибута mobile:
     
     

2. Строковый параметр LSEventCacheDirectory в значении укажите путь к папке для хранения локального кеша.

   Информация

   Папка  LSEventCacheDirectory должна быть доступна для всех пользователей Indeed RDP Windows Logon.

   
   

3. Строковый параметр LSUrl в значении укажите адрес Log сервера.
   

   
   

5. Создать в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID ключ AuthProxy. В созданном ключе создайте:
   
1. Строковый параметр ServerUrlBase. В значении для параметра укажите адрес вашего сервера Indeed.
   

2. DWORD параметр IsIgnoreCertErrors, указать значение 0 или 1.

   Информация

   Данный параметр предназначен для проверки сертификата сервера Indeed, при значении 1 происходит игнорирование ошибок сертификата.

   
   

3. Строковый параметр AppId со значением RDP Windows Logon.
   

   

Пример работы расширения.

1. Подключаемся к машине на которой установлен WL RDP.
   
   
2. Указываем пользователя и доменный пароль и нажимаем "Ок".
   
   
   
3. Вводим одноразовый пароль.