Подготовка к установке JAS-плагина для AD FS

Перед установкой JAS-плагина установите роль Службы федерации Active Directory (имя службы Active Directory Federation Service – AD FS) в соответствии с документацией Microsoft Windows Server.

Установка JAS-плагина для AD FS

Чтобы установить JAS-плагин (модуль расширения) для AD FS, на сервере с установленной ролью Службы федерации Active Directory выполните следующие действия.

  1. Запустите файл установки: JAS.ADFSPlugin-X.X.X.XXX-x64.msi (только для 64-битных систем).

Отобразится следующее окно.

Рис. 39 – Окно приветствия мастера установки JAS-плагина для AD FS

  2. Нажмите Далее.

Отобразится следующее окно.

Рис. 40 – Окно лицензионного соглашения

  3. Выберите Я принимаю условия лицензионного соглашения, после чего нажмите Далее.

Отобразится следующее окно.

Рис. 41 - Окно выбора варианта установки

  4. Выберите Полная.

Отобразится следующее окно.

Рис. 42 – Подготовка к установке

  5. Нажмите Установить.

По завершении установки отобразится следующее окно.

Рис. 43 – Окно завершения установки

  6. Нажмите Готово.

JAS-плагин для ADFS установлен.

Сразу после установки плагина будет автоматически запущен так называемый «конфигуратор» Настройка AFDS-плагина (см. «Настройка JAS-плагина для AD FS», с. 65).

После установки JAS-плагин становится доступен для подключения в настройках службы AD FS (Рис. 45).

Для проверки корректности установки JAS-плагина для AD FS откройте оснастку MMC Управление AD FS. Раскройте путь AD FS -> Политики проверки подлинности. На панели справа в разделе Многофакторная проверка подлинности напротив пункта Глобальные параметры нажмите Изменить (Рис. 44).

Рис. 44 – Вызов окна изменения параметров многофакторной аутентификации посредством AD FS

В открывшемся окне откройте на вкладку Многофакторная:

Рис. 45 – Проверка корректности установки JAS-плагина для AD FS

Убедитесь в наличии логического поля ADFS адаптер для аутентификации через JAS (его присутствие свидетельствует о корректной установке JAS-плагина для AD FS).

Убедитесь, что флажок ADFS адаптер для аутентификации через JAS установлен.

Убедитесь, что сделаны остальные необходимые настройки многофакторной аутентификации посредством AD FS в соответствии с документацией Microsoft Windows Server.

Настройка JAS-плагина для AD FS

После установки JAS-плагина AD FS автоматически откроется окно так называемого «конфигуратора» Настройка JAS-плагина для AD FS (Рис. 46, с. 66).

Если вы закрыли окно конфигуратора, то можете запустить его вручную , см. «Работа с конфигуратором JAS-плагина для AD FS», ниже.

Работа с конфигуратором JAS-плагина для AD FS

Ниже описана процедура работы с конфигуратором Настройка JAS-плагина для AD FS.

  1. В меню Пуск выберите JaCarta Authentication Server -> Настройка JAS-плагина для AD FS.

Отобразится следующее окно.

Рис. 46 – Окно Настройка JAS-плагина для AD FS

При загрузке конфигуратор считывает текущее содержание настроек плагина из реестра.

Примечание. При редактировании полей формы можно воспользоваться всплывающей подсказкой при наведении курсора мыши на поле ввода (Рис. 47)

Рис. 47 – Использование всплывающей подсказки в полях формы

  2. Выполните настройку, руководствуясь Табл. 15.

Табл. 15 - Настройка JAS-плагина для AD FS

Поле конфигуратора

Имя параметра в реестре

Описание

<Секция> Общие настройки

Имя файла лога

LogFilePath

Путь, по которому будет сохраняться файл журнала

Уровень логирования

LogLevel

Уровень ведения журнала событий.

·   OFF –ведение журнала событий отключено;

·   FATAL – неустранимая ошибка;

·   ERROR – ошибка (значение по умолчанию);

·   WARN – предупреждение;

·   INFO – информация;

·   DEBUG – отладка;

·   ALL – показывать все события.

Каждый последующий уровень включает все предыдущие (кроме OFF), например, если выставлено значение INFO, то будут отображаться сообщения уровней: INFO, WARN, ERROR, FATAL

Язык

Culture

Язык пользовательского интерфейса JAS-плагина для AD FS. Допустимые значения:

·   en (английский язык);

·   ru (русский язык).

Значение по умолчанию: ru

Примечание. Параметр определяет, на каком языке имя плагина в должно отражаться в консоли настроек ADFS, а также язык сообщений в журналах JAS-плагина для ADFS (за локализацию сообщений в браузере пользователя отвечают настройки языка веб-страниц браузера).

<Секция> Подключение к JAS

Адрес JAS

ServiceUri

Адрес сервера JAS в следующем формате:

http://<FQDN-имя сервера>:8221/api/v4.1

где <FQDN-имя сервера> – полное доменное имя (FQDN) сервера JAS, например, srv01.test.com;

Использовать аутентификацию

WithSecurity

Флаг следует оставить неустановленным (в текущей версии данная настройка не используется).

Логин JAS

JASUsername

Не заполняется (в текущей версии данная настройка не используется)

Пароль JAS

JASPassword

Не заполняется (в текущей версии данная настройка не используется)

Поддерживаемые протоколы

SecurityProtocols

Список поддерживаемых протоколов шифрования для обмена данных между сетевыми узлами. Представляются списком через запятую (например: Ssl3, Tls, Tls11, Tls12). Допустимые значения:

·   Ssl3;

·   Tls;

·   Tls11;

·   Tls12.

По умолчанию указываются все допустимые типы протоколов

<Секция> Параметры аутентификации

Выбор типа аутентификации

AuthTypeSelection

Режим выбора типа аутентификации, если их задано более одного (см. параметр AuthTypes, выше). Допустимые значения:

·   Auto — автоматический;

·   Manual — ручной

Ручной режим позволяет пользователю перед началом аутентификации самому выбрать подходящий тип аутентификации (в виде меню/списка; в текущей версии JAS это опции «Вход по OTP-коду», «Вход по коду из SMS» и «Вход по Push»). При автоматическом режиме выбор осуществляется согласно приоритету (подробнее см. в описании параметра AuthTypes).

Значение по умолчанию: Auto.

Типы аутентификации

AuthTypes

Поддерживаемые типы аутентификации и их приоритет. Текстовое поле.

Подробнее логика использования параметра AuthTypes описана в Табл. 16, с. 73.

Допустимые значения:

·   Messaging – аутентификация в JAS осуществляется посредством Messaging-токенов;

·   OTP – аутентификация в JAS осуществляется посредством OTP-токенов;

·   Push – аутентификация в JAS осуществляется посредством Push-токенов.

Допускается одновременное указание обоих типов (указываются через запятую); приоритет типа аутентификации устанавливается порядком его следования (у первого – выше).

Значение по умолчанию: "Messaging, OTP, Push"

Примечание.

1.        Аутентификация доступна для указанного типа аутентификации, если на сервере существует хотя бы один незаблокированный токен соответствующего типа (OTP или Messaging), принадлежащий текущему пользователю. Если аутентификация не доступна для первого из указанных поддерживаемых типов аутентификации, то проверяется доступность аутентификации для следующего поддерживаемого типа аутентификации.

2.        В случае неудачного завершения аутентификации по одному из доступных типов (например при исчерпании числа попыток ввода пароля), процесс аутентификации завершается (второй тип аутентификации не задействуется).

Количество повторов

RetriesCount

Кол-во доступных пользователю дополнительных попыток аутентификации (т.е. ввода одноразового пароля) посредством OTP-токена. (Настройка не действует в отношении Messaging-токенов)

Значение по умолчанию: 3

Важно!

1.        При обновлении JAS-плагина для AD FS с версии 1.6 до версии 1.7 в случае если значение параметра RetriesCount было больше или равно 1, данное значение следует уменьшить на 1 (в версии  JAS 1.6 данный параметр обозначал общее число попыток аутентификации).

2.        Настройка представляет собой условное ограничение (действует только в рамках текущего сеанса работы пользователя с web-формой при вводе одноразового пароля). Реальное ограничение числа попыток ввода пользователем одноразового пароля, превышение которого приводит к блокировке всех OTP-токенов пользователя, производится путем конфигурирования сервера JAS, параметр MaxAuthFailCount (Максимальное количество неудачных попыток аутентификации) секции OtpTokenConfigPreferenses (подробнее смотри раздел «Приложение 3. Справочник конфигурационных файлов JAS», с. 137)

Проводить аутентификацию, если пользователь не обнаружен в JAS

UserNotFoundAction

Действия JAS-плагина, если пользователь, который пытается аутентифицироваться, не зарегистрирован в JAS. Подробнее логика обращения к параметру UserNotFoundAction описана в Табл. 16, с. 73.

Допустимые значения:

·   Accept (флаг установлен) – автоматическая успешная аутентификация (решение об успешной аутентификации принимается вне сервера JAS);

·   Reject  (флаг не установлен) – отклонять запрос.

Значение по умолчанию: Reject

Проводить аутентификацию, если не обнаружен токен в JAS

TokensNotFoundAction

Действия JAS-плагина, если у пользователя, обратившегося с запросом на аутентификацию, в JAS зарегистрированы OTP- и/или Messaging-токены, но все они заблокированы (отключены). Подробнее логика обращения к параметру TokenNotFoundAction описана в Табл. 16, с. 73.

Допустимые значения:

·   Accept (флаг установлен) – автоматическая успешная аутентификация (решение об успешной аутентификации принимается вне сервера JAS);

·   Reject  (флаг не установлен) – отклонять запрос.

Значение по умолчанию: Reject

<Секция> Параметры messaging

Идентификатор системы

MessagingSystemId

Идентификатор внешней системы, используется для поиска на сервере JAS Messaging-токена, принадлежащего данному пользователю (при выпуске токена определяется параметром Идентификатор системы в профиле выпуска Messaging-токенов, см. руководство по функциями управления JMS [3].

Значение по умолчанию: пустая строка

Текст SMS

MessagingAdditionalInfo

Текст, который будет отправляться в SMS пользователю вместе с одноразовым паролем.

Значение по умолчанию: пустая строка

Время жизни кода (с)

MessagingTtl

Время жизни для одноразового пароля (в секундах, напр. 180), в течение которого ответ пользователя будет актуальным.

Если параметр не задан (пустая строка), то сервер JAS в процессе аутентификации будет использовать значение, заданное в свойствах Messaging-токена (см. параметр Время жизни OTP (с), в свойствах Messaging-токена или профиля выпуска Messaging-токенов; руководство по функциями управления JMS [3]).

Значение по умолчанию: пустая строка (не задано)

Таймаут между попытками (мс)

MessagingRetryDelay

Таймаут между попытками аутентификации посредством Messaging-токена (в миллисекундах), например 5000.

Параметр применяется к работе непосредственно сервера JAS, который на его основе принимает решение о возможности приёма попытки аутентификации. При попытке аутентификации, произошедшей до истечения указанного таймаута, возникает ошибка аутентификации.

Если параметр не задан (пустая строка), то сервер JAS в процессе аутентификации будет использовать либо собственное значение по умолчанию (5000 мс), либо значение, заданное в свойствах Messaging-токена (см. параметр Задержка генерации OTP (мс) в свойствах Messaging-токена или профиля выпуска Messaging-токенов; см. руководство по функциями управления JMS [3]).

Значение по умолчанию: пустая строка (не задано)

Период блокировки (с)

MessagingNewSmsTimeout

Задержка (в секундах) доступности кнопки для отправки нового одноразового пароля (OTP).

Параметр имеет действие только в рамках пользовательского интерфейса (не передается на сервер JAS и не регулирует его работу).

Если значение больше нуля – кнопка отправки нового OTP будет доступна по истечению указанного времени.

Если значение равно нулю – кнопка будет доступна всегда.

Если значение меньше нуля – кнопка никогда не будет показываться.

Примечание. Значение параметра должно быть согласовано со значением параметра Таймаут между попытками (мс) (MessagingRetryDelay), чтобы отправленное из пользовательского интерфейса значение OTP-секрета могло быть принято сервером JAS для принятия решения об аутентификации.

Значение по умолчанию: 60

<Секция> Параметры Push

Метаданные для A2FA

PushMetadata

Дополнительная информация (метаданные), которые будут отображаться на экране мобильного приложения Aladdin 2FA при отправке Push-запроса на аутентификацию. Строковый тип.

Значение по умолчанию: ADFS

Таймаут между попытками (с)

PushNewAttemptTimeout

Интервал времени (в секундах) между повторами попыток отправки Push-запроса на мобильное устройство. В случае нарушения таймаута выводится ошибка следующего вида: «Частота доставки Push может быть ограничена - не чаще чем один раз в %PushNewAttemptTimeout% с.»

Строковый тип. Допускается вносить только числовые значения или пустую строку.

Значение по умолчанию: 60

Период блокировки (с)

PushSendTimeout

Максимальный таймаут (в секундах) ожидания подтверждения Push-запроса пользователем (нажатия пользователем на кнопку подтверждения или отказа). В случае если от пользователя за указанный период подтверждение или отказа от аутентификации не поступает, то возникает ошибка аутентификации.

Строковый тип. Допускается вносить только числовые значения или пустую строку.

Значение по умолчанию: 60

<настройка отсутствует в графическом конфигураторе, осуществляется только в реестре>

InstallPath

Путь к установленному JAS-плагину для AD FS.

(Требуется службе AD FS для загрузки пользовательских html-страниц)

Значение по умолчанию: C:\Program Files\Aladdin\JAS ADFS Plugin\

Кнопки управления

По умолчанию

Привести значения в форме к значениям по умолчанию (например, для последующего редактирования или сохранения в реестр)

Загрузить из реестра

Загрузить в форму значения из реестра.

(При запуске конфигуратора значения из реестра автоматически загружаются в поля формы.)

Сохранить в реестр

Сохранение текущих значений из формы в реестр.

В момент нажатия на кнопку пользователю предлагается перезапуск службы ADFS, Рис. 49.

Сохранить в файл

Отображаемые в форме параметры можно сохранить в reg-файл для последующего восстановления настроек

Загрузить из файла

Конфигуратор позволяет загрузить в форму параметры плагина из reg-файла, ранее сохраненного с помощью кнопки Сохранить в файл

Примечание. Указанные в таблице параметры реестра (графа Имя параметра в реестре) располагаются в разделе реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin\JAS ADFS Plugin], Рис. 48.

Рис. 48 – Настройки JAS-плагина для AD FS в реестре

  3. Если служба AD FS запускается от имени выделенной учетной записи (например от учетной записи пользователя), то необходимо предоставить данной учетной записи полные права (разрешение Full Control) на раздел реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin\JAS ADFS Plugin]

  4. По нажатии на кнопку Сохранить в реестр отредактированные значения полей будут сохранены в реестр, при этом пользователю будет предложено выполнить автоматическую перезагрузку службы AD FS с тем, чтобы новые значения настроек вступили в силу, Рис. 49.

Рис. 49 – Настройки JAS-плагина для AD FS в реестре

Примечание. Для перезагрузки службы можно также использовать последовательность команд:

net stop adfssrv
net start adfssrv

В некоторых случаях для вступления настроек в силу требуется перезапуск самого компьютера, где установлена служба AD FS с JAS-плагином.

После сохранения настроек JAS-плагин для AD FS готов к работе.

Табл. 16 – Иллюстрация логики работы JAS-плагина для AD FS в зависимости от состояния токенов конкретного пользователя

Состояние токена

Действие JAS-плагина в зависимости от установленного типа аутентификации

(значения параметра AuthTypes)

OTP-токен

Messaging-токен

AuthTypes:

OTP, Messaging

AuthTypes:

Messaging, OTP

AuthTypes:

OTP

AuthTypes:

Messaging

Отсутствует

Отсутствует

UserNotFoundAction

UserNotFoundAction

UserNotFoundAction

UserNotFoundAction

Отсутствует

Заблокирован

TokensNotFoundAction

TokensNotFoundAction

UserNotFoundAction

TokensNotFoundAction

Отсутствует

Действует

Аутентификация по Messaging

Аутентификация по Messaging

UserNotFoundAction

Аутентификация по Messaging

Заблокирован

Отсутствует

TokensNotFoundAction

TokensNotFoundAction

TokensNotFoundAction

UserNotFoundAction

Заблокирован

Заблокирован

TokensNotFoundAction

TokensNotFoundAction

TokensNotFoundAction

TokensNotFoundAction

Заблокирован

Действует

Аутентификация по Messaging

Аутентификация по Messaging

TokensNotFoundAction

Аутентификация по Messaging

Действует

Отсутствует

Аутентификация по OTP

Аутентификация по OTP

Аутентификация по OTP

UserNotFoundAction

Действует

Заблокирован

Аутентификация по OTP

Аутентификация по OTP

Аутентификация по OTP

TokensNotFoundAction

Действует

Действует

Аутентификация по OTP

Аутентификация по Messaging

Аутентификация по OTP

Аутентификация по Messaging

Примечания к Табл. 16:

  1. Состояние Заблокирован подразумевает блокировку всех токенов соответствующего типа (например, OTP), а состояние Действует подразумевает наличие хотя бы одного незаблокированного токена соответствующего типа (например, OTP).
  2. Информация, приведенная в Табл. 16 имеет иллюстративный характер для комбинации из двух значений параметра AuthTypes (а именно OTP и Messaging). Если в список значений будет добавлено также значение Push, то описание логики принятия решений будет дополнена следующим:
  • Если метод PUSH имеет наивысший приоритет и Push-токен не заблокирован, то произойдет аутентификация по нему.
  • Если метод PUSH имеет наивысший приоритет и Push-токен заблокирован, то право аутентификации переходит к следующему по приоритету методу (см. Табл. 16);
  • Если метод PUSH имеет наивысший приоритет но Push-токен у пользователя отсутствует, то право аутентификации переходит к следующему по приоритету методу (см. Табл. 16);
  • Если метод PUSH является единственным в списке или остался последним доступным среди методов аутентификации, то:
    • Если PUSH-токен в наличии у пользователя -- осуществляется аутентификация по PUSH-токену;
    • Если PUSH-токен заблокирован, то отрабатывает опция TokensNotFoundAction;
    • Если PUSH-токен отсутствует, то отрабатывает опция UserNotFoundAction.

Проверка работы JAS-плагина для AD FS

Для проверки работы JAS-плагина для AD FS выполните следующие действия:

  1. Убедитесь в том, что JAS-плагин для AD FS установлен и настроен в соответствии с предыдущими разделами.
  2. Используя консоль управления JMS выпустите аппаратный или программный OTP-токен (см. разделы «Выпуск аппаратных OTP-токенов» и «Выпуск программных OTP-токенов (мобильное приложение Aladdin 2FA)»  в руководстве администратора по функциям управления JMS [3]).
  3. В случае OTP-токена с алгоритмом HOTP выполните его синхронизацию (см. раздел «Синхронизация значений OTP (только для токенов HOTP)» в руководстве администратора по функциям управления JMS [3]).
  4. В браузере Internet Explorer перейдите по ссылке https://<имя_Службы_федерации>/adfs/ls/idpinitiatedsignon

(в случае если браузер запущен на сервере, хостирующем AD FS, можно использовать следующую ссылку: https://localhost/adfs/ls/idpinitiatedsignon).

Примечание. В версии ОС Microsoft Windows Server 2016 по умолчанию отключена тестовая веб-страница AD FS. Для включения этой возможности на сервере, хостирующем AD FS, следует выполнить следующую PowerShell-команду:

Set-AdfsProperties -EnableIdPInitiatedSignonPage $true

Подробнее о решении проблемы см. по ссылке:  https://blogs.technet.microsoft.com/rmilne/2017/06/20/how-to-enable-idpinitiatedsignon-page-in-ad-fs-2016/

Откроется веб-страница следующего вида:

Рис. 50 – Стартовая проверочная страница службы федерации AD

где Aladdin_FS – отображаемое имя службы федерации, заданное при ее установке.

Примечание. В общем случае строку <имя_Службы_федерации> можно посмотреть в свойствах AD FS, в оснастке MMC Управление AD FS, см. Рис. 51).

Рис. 51 – Просмотр имени Службы федерации Active Directory

  5. Нажмите Вход. Отобразится страница, как на Рис. 52 (для случая настройки реестра AuthTypeSelection=Auto, см. Табл. 15, с. 67) или как на Рис. 53 (для случая настройки реестра  AuthTypeSelection=Manual).

Рис. 52 – Веб-страница AD FS, использующей OTP-аутентификацию посредством JAS-плагина

где JASDOMAIN\Администратор – имя пользователя, под учетной записью которого был выполнен данный HTTP-запрос.

Рис. 53 – Веб-страница AD FS, с примером множественного ручного выбора типа аутентификации

В случае если в браузере отражены данные веб-страницы, служба федерации Active Directory и JAS-плагин для AD FS настроены правильно.