DSPA: интеграция с Active Directory для безопасной двухфакторной аутентификации

Компонент Protectimus DSPA (Dynamic Strong Password Authentication) позволяет интегрировать решение двухфакторной аутентификации Protectimus напрямую с Microsoft Active Directory или любым другим хранилищем пользователей (AD/LDAP, базы данных). После интеграции, динамические 2FA пароли будут запрашиваться на всех сервисах, подключенных к данному каталогу пользователей (например, при входе в Windows, ADFS и OWA).

Protectimus DSPA добавляет к статическим паролям приставку в виде 6 цифр — одноразовый пароль, который генерируется по алгоритму TOTP и постоянно меняется. Получается пароль вида: P@ssw0rd!459812. Где:

• P@ssw0rd! — постоянная часть,
• 459812 — одноразовый пароль.

Интервал смены одноразовых паролей задает администратор, он должен быть кратным 30 секундам.

Для конечного пользователя аутентификация будет выглядеть так: чтобы войти в свою учетную запись, пользователь вводит свой статический пароль и одноразовый код в одной строке. Для создания одноразовых паролей пользователям необходимо использовать приложение Protectimus SMART.

1. Установите Локальную платформу Protectimus

1.1. Windows

1.2. Другая операционная система

2. Зарегистрируйтесь

3. Создайте поставщика пользователей

1. После запуска платформы и регистрации в системе Protectimus, войдите в свою учетную запись и во вкладке DSPA выберите Добавить службу (Add task) -> Добавить поставщика пользователей (Add LDAP user provider).

2. Заполните данные о службе каталогов.

keytool -import -alias ___ -file '___.cer' -keystore 'C:\Program Files\Java\jre___\lib\security\cacerts' -storepass changeit

DC=domain,DC=local

CN=Administrator, CN=Users, DC=demo, DC=domain, DC=local

administrator@domain.local

3. После внесения информации о вашем каталоге пользователей, добавьте атрибуты синхронизации.
   
   Нажмите кнопку Атрибуты (Attributes).
   
   
   Затем добавьте атрибуты, как показано в примере.
   
   Кроме того, вы можете настроить OpenLDAP – для этого выберите его из списка поставщиков в поле Вендор (Vendor).
   
   

4. Теперь настройте параметр Password Encoder.
   
   Выберите алгоритм, соответствующий вашей конфигурации. Доступные алгоритмы: AD-specific (UTF-16LE), Plain, BCRYPT, SHA256, SSHA256, SHA512, SSHA512, MD4, MD5, SMD5, SHA и SSHA.
   
   

5. После успешного добавления поставщика пользователей вам необходимо импортировать пользователей в систему Protectimus и синхронизировать их с вашим каталогом пользователей.
   
   В поле Режим синхронизации выберите, как вы хотите импортировать своих пользователей.
   
   Есть три варианта настроек импорта пользователей:
   • Только импорт — данные пользователей никогда не будут обновляться.
   • Импорт и обновление — данные пользователей будут обновляться, когда это возможно.
   • Импорт, обновление и удаление — данные пользователей будут обновляться, когда это возможно. Пользователи Protectimus, а также назначенные им программные токены будут удалены при удалении пользователя из внешнего пользовательского хранилища.

6. Теперь задайте настройку Использовать пагинацию.
   
   Когда включена опция Использовать пагинацию и количество записей превышает 200 или 500, для извлечения данных будет использовано несколько запросов. Это нужно потому, что LDAP по умолчанию ограничивает количество возвращаемых записей.

7. Настройте Фильтр который будет применен при синхронизации.
   
   Используйте этот фильтр чтобы выбрать только тех пользователей, которых вы хотите синхронизировать.
   
   Например, чтобы импортировать только тех пользователей, у которых указаны атрибуты telephoneNumber и mail, настройте такой фильтр:
   
   

   (&(telephoneNumber=*)(mail=*))

   Для импорта пользователей из определенной группы выберите нужную группу. В нашем примере это группа Users.

8. Оставьте поле Выпустить SMS токен (Enroll SMS token) пустым.

9. В разделе Назначение на ресурс вы можете выбрать ресурс, на который будут назначены пользователи при синхронизации.
   
   

10. Следующий шаг — активировать синхронизацию пользователей. Это можно сделать тремя способами:
    
    
    1. Используйте кнопку Синхронизировать сейчас (Synchronize now), чтобы синхронизировать всех пользователей одновременно.
       
       Вы также можете нажать кнопку Синхронизировать измененных пользователей (Synchronize modified), чтобы синхронизировать только тех пользователей, которые были изменены с момента последней синхронизации.
       
       
       
    2. Использовать возможность синхронизации отдельных пользователей из каталога, для этого используйте функцию Синхронизировать отдельных пользователей.
    
    
    
    3. Активировать автоматическую синхронизацию пользователей, для этого необходимо активировать параметр Активирован вверху страницы.
    

4. Добавьте пароли пользователям

ВНИМАНИЕ! Вы можете активировать портал самообслуживания пользователей, чтобы ваши пользователи могли сами указать свои пароли. О настройке портала самообслуживания читайте в Инструкции по настройке Портала самообслуживания пользователей.

1. Перейдите на страницу редактирования пользователя (нажмите на кнопку Пользователи (Users) в меню слева). После этого нажмите на кнопку Редактировать (Edit) справа, чтобы перейти в меню редактирования пользователя.

2. Задайте пароль пользователя в соответствующем поле и нажмите Сохранить (Save).

5. Добавьте токены

На данный момент компонент Protectimus DSPA совместим только с токенами-приложениями на iOS и Android Protectimus Smart OTP, поэтому рекомендуем активировать портал самообслуживания пользователей, чтобы ваши конечные пользователи могли самостоятельно выпустить токены. О настройке портала самообслуживания читайте в Инструкции по настройке Портала самообслуживания пользователей.

1. Выберите синхронизированного пользователя и нажмите Назначить токен (Assign Token), после — Новый (New).

2. Выберите токен Protectimus SMART и настройте его. Приложение Protectimus Smart OTP доступно бесплатно на Google Play и App Store.

6. Активация и деактивация Protectimus DSPA

1. Чтобы активировать компонент Protectimus DSPA, перейдите во вкладку DSPA:
   
   
   Активируйте чекбокс напротив параметра Активность (Enabled).
   
   
   Соответственно, чтобы деактивировать компонент Protectimus DSPA, необходимо снять галочку с параметра Активность (Enabled).
   
   При деактивации DSPA все пароли будут сброшены (т.е убрана динамическая часть).

2. Для работы Protectimus DSPA необходимы:
   • Настроенный поставщик пользователей;
   • Синхронизированный пользователь;
   • Установленный у пользователя пароль;
   • Токен назначенный пользователю.
   Проверить выполнения данных условий можно по нажатию на кнопку Пользователи (Affected users) на вкладке DSPA.

3. Результаты обновления паролей можно видеть в разделе Отчет (Report).

4. Результаты обновлений можно просмотреть, нажав на иконку в таблице отчетов.

7. Настройка портала самообслуживания пользователей

8. Работа пользователей с порталом самообслуживания

8.1. Авторизация на портале самообслуживания

8.2. Создание токена Protectimus SMART OTP

1. Пользователю нужно выбрать пункт Регистрация и Назначение нового токена (Register New Token) -> Программные токены (Software Tokens) -> Protectimus SMART.

2. После чего откроется окно, в котором нужно ввести имя токена, задать длину одноразового пароля, выбрать время жизни одноразового пароля и нажать на кнопку «Показать QR-код».
   
   Полученный QR код нужно просканировать с помощью приложения Protectimus Smart OTP, предварительно установив его на свой смартфон. Приложение Protectimus Smart OTP доступно бесплатно на Google Play и App Store.
   
   Далее для создания токена необходимо ввести OTP, сгенерированный при помощи приложения Protectimus SMART OTP.

8.3. Создание пароля

1. Пользователь должен перейти во вкладку Создание пароля (Create Password).

2. После этого нужно ввести пароль такой же, как указан в службе каталогов.