Локальная платформа двухфакторной аутентификации Protectimus может быть установлена на частном сервере или в частном облаке клиента.

• Требования для установки на частном сервере: Java (JDK версии 8); СУБД PostgreSQL (версия 10 и выше)
• Требования для установки в частном облаке: 2 Core (CPU), 8 GB (MEM); ОС: Linux/Windows; Disk: 20GB; Load Balancer.

Для обеспечения бесперебойной работы сервера двухфакторной аутентификации, разверните кластер из нескольких серверов (рекомендуем использовать минимум 3 ноды). Для распределения нагрузки понадобится Load Balancer. Вы можете установить Платформу Protectimus с помощью инсталлятора для Windows или из Docker-образа.

Как начать работу с MFA-платформой Protectimus

1. Установите платформу Protectimus, создав образ Docker, или воспользуйтесь установщиком для Windows.
2. Зарегистрируйтесь и активируйте лицензию.
3. Настройте синхронизацию пользователей с каталогом пользователей (или добавьте/импортируйте пользователей вручную).
4. Настройте основные параметры, включая ресурсы и токены.
5. Выпустите и импортируйте доверенный SSL-сертификат.
6. Интегрируйте платформу в свою инфраструктуру.

• Как обновить локальную платформу Protectimus.
• План реагирования на сбои в работе локальной платформы MFA Protectimus.

1. Установка Платформы Protectimus из Docker-образа

1. Для установки On-premise платформы Protectimus необходимо скачать и установить docker, docker-compose:

• Docker: https://docs.docker.com/engine/install/
• Docker-compose: https://docs.docker.com/compose/install/

2. Склонировать git репозиторий: https://github.com/protectimus/platform-linux.git

3. Перейти в каталог platform-linux/platform и запустить:

docker-compose up -d

4. За процессом разворачивания платформы можно наблюдать используя команду:

docker-compose logs -f

5. После завершения процесса запуска, платформа будет доступна по адресу: https://localhost:8443

2. Установка платформы на Windows при помощи инсталлятора

1. Скачайте установщик Protectimus Platform, нажав на кнопку ниже, и запустите его.
   Скачать установщик платформы

   Скачать установщик платформы

    

   Пожалуйста, введите свой email, чтобы продолжить:

   Отменить Скачать
   Выберите Platform и нажмите Next. Если вы планируете использовать интеграцию по RADIUS и отправку одноразовых паролей через чат-ботов в Telegram, Facebook Messenger или Viber, установите соответствующие галочки.

2. Перед развертыванием платформы Protectimus, на вашем сервере должна быть установлена Java. Нажмите кнопку Install, чтобы проверить наличие Java. Если Java еще не установлена, последняя версия JDK будет установлена автоматически.

3. Также на вашем сервере должна быть установлена система управления базами данных PostgreSQL (версия 9.2 и выше). Нажмите кнопку Install, чтобы проверить наличие PostgreSQL. Если PostgreSQL еще не установлена, последняя версия PostgreSQL будет установлена автоматически.

ВНИМАНИЕ: Во время установки вам нужно будет задать имя суперпользователя (superuser name) и пароль. Этот логин и пароль понадобится вам для входа в PostgreSQL позже.

Пожалуйста, запомните свое имя суперпользователя (в данном случае postgres) и пароль, который вы добавите на этом этапе. Это имя и пароль потребуются для входа в PostgreSQL позже.

4. Войдите в базу данных PostgreSQL. Введите имя суперпользователя и пароль, которые вы указали при установке PostgreSQL, и нажмите LogIn. Затем нажмите Next, чтобы продолжить установку.

5. Создайте и выберите базу данных, которую вы будете использовать для локальной платформы Protectimus.

• Создайте новую базу данных. Введите желаемое имя базы данных и нажмите Create.
• Проверьте, создалась ли база данных, с помощью кнопки List.
• Нажмите Select, выберите только что созданную базу данных и нажмите Next.

6. Запустите базу данных. Нажмите Init, чтобы выполнить сценарии SQL и запустить базу данных. Это может занять некоторое время.

7. Выберите папку для установки локальной платформы Protectimus и нажмите Install.

3. Регистрация в системе Protectimus

4. Оплата и активация лицензии

1. Перейдите по ссылке https://service.protectimus.com/ru/platform и нажмите на кнопку Приобрести лицензию.

2. Введите ваш лицензионный ключ в поле Ключ лицензирования и нажмите кнопку Отправить.

3. На следующем шаге нажмите на кнопку Оплатить.

4. Выберите способ оплаты. Если вам необходим альтернативный способ оплаты, свяжитесь со службой поддержки клиентов Protectimus.

5. После успешной оплаты нажмите на кнопку Выдача лицензии для платформы. Вы также можете сделать это на странице https://service.protectimus.com/ru/platform, нажав кнопку Выдача лицензии.

6. Введите ключ в поле Ключ лицензирования и нажмите кнопку Отправить. После этого файл лицензии будет загружен.

7. После получения файла лицензии загрузите его на сервер и укажите путь к файлу лицензии в параметре licence.file.path в файле с именем protectimus.platform.properties. Обратите внимание, что путь к файлу лицензии следует указывать с двойными обратными косыми рисками (например: C:\some\path\file) ).

5. Синхронизация пользователей с вашей службой каталогов

1. Войдите в свою учетную запись в Protectimus и нажмите: Пользователи — Синхронизация — Добавить поставщика пользователей

2. В разделе Соединение заполните данные о службе каталогов.

keytool -import -alias ___ -file '___.cer' -keystore 'C:\Program Files\Java\jre___\lib\security\cacerts' -storepass changeit

DC=domain,DC=local

CN=Administrator, CN=Users, DC=demo, DC=domain, DC=local

administrator@domain.local

3. После внесения информации о вашем каталоге пользователей, добавьте атрибуты синхронизации.Нажмите кнопку Атрибуты. Затем добавьте атрибуты, как показано в примере. Кроме того, вы можете настроить OpenLDAP – для этого выберите его из списка поставщиков в поле Вендор.

4. Теперь настройте параметр Password Encoder.Выберите алгоритм, соответствующий вашей конфигурации. Доступные алгоритмы: AD-specific (UTF-16LE), Plain, BCRYPT, SHA256, SSHA256, SHA512, SSHA512, MD4, MD5, SMD5, SHA и SSHA.

5. После успешного добавления поставщика пользователей вам необходимо импортировать пользователей в систему Protectimus и синхронизировать их с вашим каталогом пользователей.В поле Режим синхронизации выберите, как вы хотите импортировать своих пользователей. Есть три варианта настроек импорта пользователей:
   • Только импорт — данные пользователей никогда не будут обновляться.
   • Импорт и обновление — данные пользователей будут обновляться, когда это возможно.
   • Импорт, обновление и удаление — данные пользователей будут обновляться, когда это возможно. Пользователи Protectimus, а также назначенные им программные токены будут удалены при удалении пользователя из внешнего пользовательского хранилища.

6. Теперь задайте настройку Использовать пагинацию.Когда включена опция Использовать пагинацию и количество записей превышает 200 или 500, для извлечения данных будет использовано несколько запросов. Это нужно потому, что LDAP по умолчанию ограничивает количество возвращаемых записей.

7. Настройте Фильтр который будет применен при синхронизации.Используйте этот фильтр чтобы выбрать только тех пользователей, которых вы хотите синхронизировать. Например, чтобы импортировать только тех пользователей, у которых указаны атрибуты telephoneNumber и mail, настройте такой фильтр:

   (&(telephoneNumber=*)(mail=*))

   Для импорта пользователей из определенной группы выберите нужную группу. В нашем примере это группа Users.

8. Далее задайте настройку Выпустить SMS токен.Если активирована опция Выпустить SMS токен, во время синхронизации вашим пользователям будут выпущены и назначены SMS-токены.

9. В разделе Назначение на ресурс вы можете выбрать ресурс, на который будут назначены пользователи при синхронизации.

10. Следующий шаг — активировать синхронизацию пользователей. Это можно сделать тремя способами:
    1. Нажать кнопку Синхронизировать сейчас, чтобы синхронизировать всех пользователей одновременно. Вы также можете нажать кнопку Синхронизировать измененных пользователей, чтобы синхронизировать только тех пользователей, которые были изменены с момента последней синхронизации.
     
    2. Использовать возможность синхронизации отдельных пользователей из каталога, для этого используйте функцию Синхронизировать отдельных пользователей.
    
    3. Активировать автоматическую синхронизацию пользователей, для этого необходимо активировать параметр Активирован вверху страницы.
    

6. Как настроить основные параметры

1. Создание ресурса.
2. Добавление пользователей. Вы можете активировать синхронизацию пользователей с каталогом или добавить/импортировать пользователей вручную.
3. Создание токенов.

   ОБРАТИТЕ ВНИМАНИЕ: Если вы планируете использовать токены Protectimus BOT, Protectimus MAIL или Protectimus SMS для доставки одноразовых паролей своим пользователям, следуйте инструкциям, чтобы настроить эти методы доставки OTP:

   • Настройка токенов Protectimus BOT
   • Настройка токенов Protectimus MAIL
   • Настройка токенов Protectimus SMS

   Кроме того, вы можете настроить Портал самообслуживания пользователей, который позволит пользователям самостоятельно выпускать, регистрировать и управлять своими токенами.

4. Назначение токенов пользователям;
5. Назначение пользователей с токенами на ресурс.

• Добавить администратора;
• Настроить Портал самообслуживания пользователей;
• Создать и назначить географические или временные фильтры;
• Настроить интеллектуальную идентификацию (анализ окружения пользователей).

7. Как интегрировать и настроить локальную платформу Protectimus