> Protectimus DSPA

Protectimus DSPA

Компонент Protectimus DSPA (Dynamic Strong Password Authentication) позволяет интегрировать решение двухфакторной аутентификации Protectimus напрямую с Microsoft Active Directory или любым другим хранилищем пользователей (AD/LDAP, базы данных).

После интеграции, динамические 2FA пароли будут запрашиваться на всех сервисах, подключенных к данному каталогу пользователей (например, при входе в Windows, ADFS и OWA).

Protectimus DSPA добавляет к статическим паролям приставку в виде 6 цифр — одноразовый пароль, который генерируется по алгоритму TOTP и постоянно меняется. Получается пароль вида: [email protected]!459812. Где:
  • [email protected]! — постоянная часть,
  • 459812 — одноразовый пароль.
Интервал смены одноразовых паролей задает администратор, он должен быть кратным 30 секундам.

Для конечного пользователя аутентификация будет выглядеть так: чтобы войти в свою учетную запись, пользователь вводит свой статический пароль и одноразовый код в одной строке. Для создания одноразовых паролей пользователям необходимо использовать приложение Protectimus SMART.

1. Установите On-Premise платформу Protectimus

1.1. Windows

Скачайте инсталлятор On-Premise платформы Protectimus для Windows здесь.

Компонент Protectimus DSPA будет установлен автоматически.

1.2. Другая операционная система

Установите локальную платформу Protectimus, используя Docker. Инструкции вы найдете здесь.

2. Зарегистрируйтесь

Установщик автоматически откроет регистрационную форму по адресу http://localhost:8080.

Пожалуйста, создайте учетную запись и войдите в систему для настройки необходимых параметров. Настройка Protectimus DSPA - пройдите регистрацию

3. Создайте поставщика пользователей

  1. После запуска платформы и регистрации в системе Protectimus, войдите в свою учетную запись и во вкладке DSPA выберите Добавить службу > Добавить поставщика пользователей.
Настройка Protectimus DSPA - создайте поставщика пользователей шаг 1 Настройка Protectimus DSPA - создайте поставщика пользователей шаг 2  
  1. Заполните данные о службе каталогов.
Настройка Protectimus DSPA - создайте поставщика пользователей шаг 3   Основные настройки:
Поле Значение Примечание
Urls Url адрес подключения к вашему серверу LDAP Пример:
ldaps://dc1.domain.local:636
Для DSPA необходимо использовать именно ldaps соединение, также нужно импортировать SSL сертификат.
Стандартный способ:
keytool -import -alias ___ -file '___.cer' -keystore 'C:\Program Files\Java\jre___\lib\security\cacerts' -storepass changeit
Base DN Полный DN каталога, в котором находятся ваши пользователи Пример:
DC=domain,DC=local
User Dn DN администратора или пользователя, который имеет доступ к информации пользователей Пример:
CN=Administrator, CN=Users, DC=demo, DC=domain, DC=local
У пользователя должны быть права на смену паролей.
Пароль Пароль указанного пользователя
Фильтр Фильтр, который будет применен при синхронизации Используйте этот фильтр чтобы выбрать только тех пользователей, которых вы хотите синхронизировать.

Пример:
(memberOf=CN=DSPA Group, DC=domain, DC=local)

Для импорта пользователей из определенной группы
(mail=*)

для импорта только тех пользователей, у которых указан атрибут mail
 
  1. После успешного добавления поставщика пользователей, необходимо синхронизировать пользователей со службой каталогов. Это можно сделать тремя способами:
  2.  
  • Нажать кнопку Синхронизировать сейчас.
Настройка Protectimus DSPA - кнопка Синхронизировать сейчас  
  • Использовать возможность синхронизации отдельных пользователей из каталога, для этого выберите Синхронизировать отдельных пользователей.
Настройка Protectimus DSPA - кнопка Синхронизировать отдельных пользователей  
  • Активировать автоматическую синхронизацию пользователей, для этого необходимо активировать параметр Активирован вверху страницы.
Настройка Protectimus DSPA - Активировать автоматическую синхронизацию пользователей

4. Добавьте пароли пользователям

ОБРАТИТЕ ВНИМАНИЕ! Вы можете активировать портал самообслуживания пользователей, чтобы ваши пользователи могли сами указать свои пароли. О настройке портала самообслуживания читайте ниже.
Чтобы задать пароль пользователю вручную:
  1. Перейдите на страницу редактирования пользователя (нажмите на кнопку Пользователи в меню слева). После этого нажмите на Логин пользователя > Действия > Редактировать, чтобы перейти в меню редактирования пользователя.
Настройка Protectimus DSPA - задайте пароли пользователям шаг 1  
  1. Задайте пароль пользователя в соответствующем поле и нажмите Сохранить.
Настройка Protectimus DSPA - задайте пароли пользователям шаг 2

5. Добавьте токены

На данный момент компонент Protectimus DSPA совместим только с токенами-приложениями на iOS и Android Protectimus Smart OTP, поэтому рекомендуем активировать портал самообслуживания пользователей, чтобы ваши конечные пользователи могли самостоятельно выпустить токены. О настройке портала самообслуживания читайте ниже.
В этом пункте мы опишем как создать токен вручную:
  1. Выберите синхронизированного пользователя и нажмите Назначить токен, после — Новый.
Настройка Protectimus DSPA - создание токенов вручную шаг 1  
  1. Выберите токен Protectimus SMART и настройте его. Приложение Protectimus Smart OTP доступно бесплатно на Google Play и App Store.
Настройка Protectimus DSPA - создание токенов вручную шаг 2

6. Активация и деактивация Protectimus DSPA

  1. Чтобы активировать компонент Protectimus DSPA, перейдите во вкладку DSPA и активируйте чекбокс напротив параметра  Активность. Соответственно, чтобы деактивировать компонент Protectimus DSPA, необходимо снять галочку с параметра Активность.

    При деактивации DSPA все пароли будут сброшены (т.е убрана динамическая часть).
Активация и деактивация Protectimus DSPA  
  1. Для работы Protectimus DSPA необходимы:
    • Настроенный поставщик пользователей;
    • Синхронизированный пользователь;
    • Установленный у пользователя пароль;
    • Токен назначенный на пользователя.
    Проверить выполнения данных условий можно по нажатию на кнопку Пользователи на вкладке DSPA.
Как проверить все ли настроено для работы Protectimus DSPA Как проверить все ли настроено для работы Protectimus DSPA  
  1. Результаты обновления паролей можно видеть в таблице ниже. При деактивации DSPA все пароли будут сброшены (т.е убрана динамическая часть).
При деактивации DSPA все пароли будут сброшены (т.е убрана динамическая часть)  
  1. Результат обновлений можно посмотреть по нажатию на иконку в таблице отчетов.
Результат обновлений можно посмотреть по нажатию на иконку в таблице отчетов Результат обновлений можно посмотреть по нажатию на иконку в таблице отчетов

7. Настройка портала самообслуживания пользователей

Если вы хотите, чтобы пользователи самостоятельно создавали свои токены и задавали пароли, воспользуйтесь Порталом самообслуживания пользователей.

На странице с информацией о Ресурсе необходимо перейти на вкладку Самообслуживание и включить самообслуживание для ресурса, указав адрес, по которому будет доступна страница самообслуживания.

Более подробная инструкция по настройке портала самообслуживания доступна здесь. Настройка портала самообслуживания пользователей - шаг 1 Настройка портала самообслуживания пользователей - шаг 2 Настройка портала самообслуживания пользователей - шаг 3 Настройка портала самообслуживания пользователей - шаг 4

8. Работа пользователей с порталом самообслуживания

8.1. Авторизация на портале самообслуживания

Для авторизации на портале самообслуживания вашему пользователю необходимо перейти по адресу, который был указан при создании портала, и использовать логин (CN) и одноразовый пароль, который будет прислан на email. Вход пользователя в портал самообслуживания пользователей Портал самообслуживания пользователей

8.2. Создание токена Protectimus SMART OTP

  1. Пользователю нужно выбрать пункт Регистрация и Назначение нового токена. После этого откроется список доступных к созданию типов токенов, нужно выбрать Protectimus SMART.
Выберите Регистрация и Назначение нового токена Выберите Protectimus SMART  
  1. Пользователь должен выбрать токен Protectimus SMART, после чего откроется окно, в котором нужно ввести имя токена, задать длину одноразового пароля, выбрать время жизни одноразового пароля и нажать на кнопку Показать QR-код.

    Полученный QR код нужно просканировать с помощью приложения Protectimus Smart OTP, предварительно установив его на свой смартфон. Приложение Protectimus Smart OTP доступно бесплатно на Google Play и App Store.

    Далее для создания токена необходимо ввести OTP, сгенерированный при помощи приложения Protectimus SMART OTP.
Выпуск токена Protectimus Smart

8.3. Создание пароля

  1. Пользователь должен перейти во вкладку Создание пароля.
Перейдите во вкладку Создание пароля  
  1. После этого нужно ввести пароль такой же, как указан в службе каталогов.
Введите такой же пароль, как указан в службе каталогов
Last updated on 2022-03-10