Protectimus DSPA

Компонент Protectimus DSPA (Dynamic Strong Password Authentication) позволяет интегрировать решение двухфакторной аутентификации Protectimus напрямую с Microsoft Active Directory или любым другим хранилищем пользователей (AD/LDAP, базы данных).

После интеграции, динамические 2FA пароли будут запрашиваться на всех сервисах, подключенных к данному каталогу пользователей (например, при входе в Windows, ADFS и OWA).

Protectimus DSPA добавляет к статическим паролям приставку в виде 6 цифр — одноразовый пароль, который генерируется по алгоритму TOTP и постоянно меняется. Получается пароль вида: P@ssw0rd!459812. Где:

• P@ssw0rd! — постоянная часть,
• 459812 — одноразовый пароль.

Интервал смены одноразовых паролей задает администратор, он должен быть кратным 30 секундам.

Для конечного пользователя аутентификация будет выглядеть так: чтобы войти в свою учетную запись, пользователь вводит свой статический пароль и одноразовый код в одной строке. Для создания одноразовых паролей пользователям необходимо использовать приложение Protectimus SMART.

1. Установите On-Premise платформу Protectimus

1.1. Windows

1.2. Другая операционная система

2. Зарегистрируйтесь

3. Создайте поставщика пользователей

1. После запуска платформы и регистрации в системе Protectimus, войдите в свою учетную запись и во вкладке DSPA выберите Добавить службу > Добавить поставщика пользователей.

2. Заполните данные о службе каталогов.

ldaps://dc1.domain.local:636

keytool -import -alias ___ -file '___.cer' -keystore 'C:\Program Files\Java\jre___\lib\security\cacerts' -storepass changeit

DC=domain,DC=local

CN=Administrator, CN=Users, DC=demo, DC=domain, DC=local

(memberOf=CN=DSPA Group, DC=domain, DC=local)

Для импорта пользователей из определенной группы

(mail=*)

для импорта только тех пользователей, у которых указан атрибут mail

3. После успешного добавления поставщика пользователей, необходимо синхронизировать пользователей со службой каталогов. Это можно сделать тремя способами:
 

• Нажать кнопку Синхронизировать сейчас.

• Использовать возможность синхронизации отдельных пользователей из каталога, для этого выберите Синхронизировать отдельных пользователей.

• Активировать автоматическую синхронизацию пользователей, для этого необходимо активировать параметр Активирован вверху страницы.

4. Добавьте пароли пользователям

ОБРАТИТЕ ВНИМАНИЕ! Вы можете активировать портал самообслуживания пользователей, чтобы ваши пользователи могли сами указать свои пароли. О настройке портала самообслуживания читайте ниже.

1. Перейдите на страницу редактирования пользователя (нажмите на кнопку Пользователи в меню слева). После этого нажмите на Логин пользователя > Действия > Редактировать, чтобы перейти в меню редактирования пользователя.

2. Задайте пароль пользователя в соответствующем поле и нажмите Сохранить.

5. Добавьте токены

На данный момент компонент Protectimus DSPA совместим только с токенами-приложениями на iOS и Android Protectimus Smart OTP, поэтому рекомендуем активировать портал самообслуживания пользователей, чтобы ваши конечные пользователи могли самостоятельно выпустить токены. О настройке портала самообслуживания читайте ниже.

1. Выберите синхронизированного пользователя и нажмите Назначить токен, после — Новый.

2. Выберите токен Protectimus SMART и настройте его. Приложение Protectimus Smart OTP доступно бесплатно на Google Play и App Store.

6. Активация и деактивация Protectimus DSPA

1. Чтобы активировать компонент Protectimus DSPA, перейдите во вкладку DSPA и активируйте чекбокс напротив параметра  Активность. Соответственно, чтобы деактивировать компонент Protectimus DSPA, необходимо снять галочку с параметра Активность.
   
   При деактивации DSPA все пароли будут сброшены (т.е убрана динамическая часть).

2. Для работы Protectimus DSPA необходимы:
   • Настроенный поставщик пользователей;
   • Синхронизированный пользователь;
   • Установленный у пользователя пароль;
   • Токен назначенный на пользователя.
   Проверить выполнения данных условий можно по нажатию на кнопку Пользователи на вкладке DSPA.

3. Результаты обновления паролей можно видеть в таблице ниже. При деактивации DSPA все пароли будут сброшены (т.е убрана динамическая часть).

4. Результат обновлений можно посмотреть по нажатию на иконку в таблице отчетов.

7. Настройка портала самообслуживания пользователей

8. Работа пользователей с порталом самообслуживания

8.1. Авторизация на портале самообслуживания

8.2. Создание токена Protectimus SMART OTP

1. Пользователю нужно выбрать пункт Регистрация и Назначение нового токена. После этого откроется список доступных к созданию типов токенов, нужно выбрать Protectimus SMART.

2. Пользователь должен выбрать токен Protectimus SMART, после чего откроется окно, в котором нужно ввести имя токена, задать длину одноразового пароля, выбрать время жизни одноразового пароля и нажать на кнопку Показать QR-код.
   
   Полученный QR код нужно просканировать с помощью приложения Protectimus Smart OTP, предварительно установив его на свой смартфон. Приложение Protectimus Smart OTP доступно бесплатно на Google Play и App Store.
   
   Далее для создания токена необходимо ввести OTP, сгенерированный при помощи приложения Protectimus SMART OTP.

8.3. Создание пароля

1. Пользователь должен перейти во вкладку Создание пароля.

2. После этого нужно ввести пароль такой же, как указан в службе каталогов.