Подготовка к установке JAS-плагина для AD FS
Перед установкой JAS-плагина установите роль Службы федерации Active Directory (имя службы Active Directory Federation Service – AD FS) в соответствии с документацией Microsoft Windows Server.
Установка JAS-плагина для AD FS
Чтобы установить JAS-плагин (модуль расширения) для AD FS, на сервере с установленной ролью Службы федерации Active Directory выполните следующие действия.
- Запустите файл установки: JAS.ADFSPlugin-X.X.X.XXX-x64.msi (только для 64-битных систем).
Отобразится следующее окно.
Рис. 39 – Окно приветствия мастера установки JAS-плагина для AD FS
2. Нажмите Далее.
Отобразится следующее окно.
Рис. 40 – Окно лицензионного соглашения
3. Выберите Я принимаю условия лицензионного соглашения, после чего нажмите Далее.
Отобразится следующее окно.
Рис. 41 - Окно выбора варианта установки
4. Выберите Полная.
Отобразится следующее окно.
Рис. 42 – Подготовка к установке
5. Нажмите Установить.
По завершении установки отобразится следующее окно.
Рис. 43 – Окно завершения установки
6. Нажмите Готово.
JAS-плагин для ADFS установлен.
Сразу после установки плагина будет автоматически запущен так называемый «конфигуратор» Настройка AFDS-плагина (см. «Настройка JAS-плагина для AD FS», с. 65).
После установки JAS-плагин становится доступен для подключения в настройках службы AD FS (Рис. 45).
Для проверки корректности установки JAS-плагина для AD FS откройте оснастку MMC Управление AD FS. Раскройте путь AD FS -> Политики проверки подлинности. На панели справа в разделе Многофакторная проверка подлинности напротив пункта Глобальные параметры нажмите Изменить (Рис. 44).
Рис. 44 – Вызов окна изменения параметров многофакторной аутентификации посредством AD FS
В открывшемся окне откройте на вкладку Многофакторная:
Рис. 45 – Проверка корректности установки JAS-плагина для AD FS
Убедитесь в наличии логического поля ADFS адаптер для аутентификации через JAS (его присутствие свидетельствует о корректной установке JAS-плагина для AD FS).
Убедитесь, что флажок ADFS адаптер для аутентификации через JAS установлен.
Убедитесь, что сделаны остальные необходимые настройки многофакторной аутентификации посредством AD FS в соответствии с документацией Microsoft Windows Server.
Настройка JAS-плагина для AD FS
После установки JAS-плагина AD FS автоматически откроется окно так называемого «конфигуратора» Настройка JAS-плагина для AD FS (Рис. 46, с. 66).
Если вы закрыли окно конфигуратора, то можете запустить его вручную , см. «Работа с конфигуратором JAS-плагина для AD FS», ниже.
Работа с конфигуратором JAS-плагина для AD FS
Ниже описана процедура работы с конфигуратором Настройка JAS-плагина для AD FS.
- В меню Пуск выберите JaCarta Authentication Server -> Настройка JAS-плагина для AD FS.
Отобразится следующее окно.
Рис. 46 – Окно Настройка JAS-плагина для AD FS
При загрузке конфигуратор считывает текущее содержание настроек плагина из реестра.
Примечание. При редактировании полей формы можно воспользоваться всплывающей подсказкой при наведении курсора мыши на поле ввода (Рис. 47)
Рис. 47 – Использование всплывающей подсказки в полях формы
2. Выполните настройку, руководствуясь Табл. 15.
Табл. 15 - Настройка JAS-плагина для AD FS
Поле конфигуратора | Имя параметра в реестре | Описание |
|---|---|---|
<Секция> Общие настройки | ||
Имя файла лога | LogFilePath | Путь, по которому будет сохраняться файл журнала |
Уровень логирования | LogLevel | Уровень ведения журнала событий. · OFF –ведение журнала событий отключено; · FATAL – неустранимая ошибка; · ERROR – ошибка (значение по умолчанию); · WARN – предупреждение; · INFO – информация; · DEBUG – отладка; · ALL – показывать все события. Каждый последующий уровень включает все предыдущие (кроме OFF), например, если выставлено значение INFO, то будут отображаться сообщения уровней: INFO, WARN, ERROR, FATAL |
Язык | Culture | Язык пользовательского интерфейса JAS-плагина для AD FS. Допустимые значения: · en (английский язык); · ru (русский язык). Значение по умолчанию: ru Примечание. Параметр определяет, на каком языке имя плагина в должно отражаться в консоли настроек ADFS, а также язык сообщений в журналах JAS-плагина для ADFS (за локализацию сообщений в браузере пользователя отвечают настройки языка веб-страниц браузера). |
<Секция> Подключение к JAS | ||
Адрес JAS | ServiceUri | Адрес сервера JAS в следующем формате: http://<FQDN-имя сервера>:8221/api/v4.1 где <FQDN-имя сервера> – полное доменное имя (FQDN) сервера JAS, например, srv01.test.com; |
Использовать аутентификацию | WithSecurity | Флаг следует оставить неустановленным (в текущей версии данная настройка не используется). |
Логин JAS | JASUsername | Не заполняется (в текущей версии данная настройка не используется) |
Пароль JAS | JASPassword | Не заполняется (в текущей версии данная настройка не используется) |
Поддерживаемые протоколы | SecurityProtocols | Список поддерживаемых протоколов шифрования для обмена данных между сетевыми узлами. Представляются списком через запятую (например: Ssl3, Tls, Tls11, Tls12). Допустимые значения: · Ssl3; · Tls; · Tls11; · Tls12. По умолчанию указываются все допустимые типы протоколов |
<Секция> Параметры аутентификации | ||
Выбор типа аутентификации | AuthTypeSelection | Режим выбора типа аутентификации, если их задано более одного (см. параметр AuthTypes, выше). Допустимые значения: · Auto — автоматический; · Manual — ручной Ручной режим позволяет пользователю перед началом аутентификации самому выбрать подходящий тип аутентификации (в виде меню/списка; в текущей версии JAS это опции «Вход по OTP-коду», «Вход по коду из SMS» и «Вход по Push»). При автоматическом режиме выбор осуществляется согласно приоритету (подробнее см. в описании параметра AuthTypes). Значение по умолчанию: Auto. |
Типы аутентификации | AuthTypes | Поддерживаемые типы аутентификации и их приоритет. Текстовое поле. Подробнее логика использования параметра AuthTypes описана в Табл. 16, с. 73. Допустимые значения: · Messaging – аутентификация в JAS осуществляется посредством Messaging-токенов; · OTP – аутентификация в JAS осуществляется посредством OTP-токенов; · Push – аутентификация в JAS осуществляется посредством Push-токенов. Допускается одновременное указание обоих типов (указываются через запятую); приоритет типа аутентификации устанавливается порядком его следования (у первого – выше). Значение по умолчанию: "Messaging, OTP, Push" Примечание. 1. Аутентификация доступна для указанного типа аутентификации, если на сервере существует хотя бы один незаблокированный токен соответствующего типа (OTP или Messaging), принадлежащий текущему пользователю. Если аутентификация не доступна для первого из указанных поддерживаемых типов аутентификации, то проверяется доступность аутентификации для следующего поддерживаемого типа аутентификации. 2. В случае неудачного завершения аутентификации по одному из доступных типов (например при исчерпании числа попыток ввода пароля), процесс аутентификации завершается (второй тип аутентификации не задействуется). |
Количество повторов | RetriesCount | Кол-во доступных пользователю дополнительных попыток аутентификации (т.е. ввода одноразового пароля) посредством OTP-токена. (Настройка не действует в отношении Messaging-токенов) Значение по умолчанию: 3 Важно! 1. При обновлении JAS-плагина для AD FS с версии 1.6 до версии 1.7 в случае если значение параметра RetriesCount было больше или равно 1, данное значение следует уменьшить на 1 (в версии JAS 1.6 данный параметр обозначал общее число попыток аутентификации). 2. Настройка представляет собой условное ограничение (действует только в рамках текущего сеанса работы пользователя с web-формой при вводе одноразового пароля). Реальное ограничение числа попыток ввода пользователем одноразового пароля, превышение которого приводит к блокировке всех OTP-токенов пользователя, производится путем конфигурирования сервера JAS, параметр MaxAuthFailCount (Максимальное количество неудачных попыток аутентификации) секции OtpTokenConfigPreferenses (подробнее смотри раздел «Приложение 3. Справочник конфигурационных файлов JAS», с. 137) |
Проводить аутентификацию, если пользователь не обнаружен в JAS | UserNotFoundAction | Действия JAS-плагина, если пользователь, который пытается аутентифицироваться, не зарегистрирован в JAS. Подробнее логика обращения к параметру UserNotFoundAction описана в Табл. 16, с. 73. Допустимые значения: · Accept (флаг установлен) – автоматическая успешная аутентификация (решение об успешной аутентификации принимается вне сервера JAS); · Reject (флаг не установлен) – отклонять запрос. Значение по умолчанию: Reject |
Проводить аутентификацию, если не обнаружен токен в JAS | TokensNotFoundAction | Действия JAS-плагина, если у пользователя, обратившегося с запросом на аутентификацию, в JAS зарегистрированы OTP- и/или Messaging-токены, но все они заблокированы (отключены). Подробнее логика обращения к параметру TokenNotFoundAction описана в Табл. 16, с. 73. Допустимые значения: · Accept (флаг установлен) – автоматическая успешная аутентификация (решение об успешной аутентификации принимается вне сервера JAS); · Reject (флаг не установлен) – отклонять запрос. Значение по умолчанию: Reject |
<Секция> Параметры messaging | ||
Идентификатор системы | MessagingSystemId | Идентификатор внешней системы, используется для поиска на сервере JAS Messaging-токена, принадлежащего данному пользователю (при выпуске токена определяется параметром Идентификатор системы в профиле выпуска Messaging-токенов, см. руководство по функциями управления JMS [3]. Значение по умолчанию: пустая строка |
Текст SMS | MessagingAdditionalInfo | Текст, который будет отправляться в SMS пользователю вместе с одноразовым паролем. Значение по умолчанию: пустая строка |
Время жизни кода (с) | MessagingTtl | Время жизни для одноразового пароля (в секундах, напр. 180), в течение которого ответ пользователя будет актуальным. Если параметр не задан (пустая строка), то сервер JAS в процессе аутентификации будет использовать значение, заданное в свойствах Messaging-токена (см. параметр Время жизни OTP (с), в свойствах Messaging-токена или профиля выпуска Messaging-токенов; руководство по функциями управления JMS [3]). Значение по умолчанию: пустая строка (не задано) |
Таймаут между попытками (мс) | MessagingRetryDelay | Таймаут между попытками аутентификации посредством Messaging-токена (в миллисекундах), например 5000. Параметр применяется к работе непосредственно сервера JAS, который на его основе принимает решение о возможности приёма попытки аутентификации. При попытке аутентификации, произошедшей до истечения указанного таймаута, возникает ошибка аутентификации. Если параметр не задан (пустая строка), то сервер JAS в процессе аутентификации будет использовать либо собственное значение по умолчанию (5000 мс), либо значение, заданное в свойствах Messaging-токена (см. параметр Задержка генерации OTP (мс) в свойствах Messaging-токена или профиля выпуска Messaging-токенов; см. руководство по функциями управления JMS [3]). Значение по умолчанию: пустая строка (не задано) |
Период блокировки (с) | MessagingNewSmsTimeout | Задержка (в секундах) доступности кнопки для отправки нового одноразового пароля (OTP). Параметр имеет действие только в рамках пользовательского интерфейса (не передается на сервер JAS и не регулирует его работу). Если значение больше нуля – кнопка отправки нового OTP будет доступна по истечению указанного времени. Если значение равно нулю – кнопка будет доступна всегда. Если значение меньше нуля – кнопка никогда не будет показываться. Примечание. Значение параметра должно быть согласовано со значением параметра Таймаут между попытками (мс) (MessagingRetryDelay), чтобы отправленное из пользовательского интерфейса значение OTP-секрета могло быть принято сервером JAS для принятия решения об аутентификации. Значение по умолчанию: 60 |
<Секция> Параметры Push | ||
Метаданные для A2FA | PushMetadata | Дополнительная информация (метаданные), которые будут отображаться на экране мобильного приложения Aladdin 2FA при отправке Push-запроса на аутентификацию. Строковый тип. Значение по умолчанию: ADFS |
Таймаут между попытками (с) | PushNewAttemptTimeout | Интервал времени (в секундах) между повторами попыток отправки Push-запроса на мобильное устройство. В случае нарушения таймаута выводится ошибка следующего вида: «Частота доставки Push может быть ограничена - не чаще чем один раз в %PushNewAttemptTimeout% с.» Строковый тип. Допускается вносить только числовые значения или пустую строку. Значение по умолчанию: 60 |
Период блокировки (с) | PushSendTimeout | Максимальный таймаут (в секундах) ожидания подтверждения Push-запроса пользователем (нажатия пользователем на кнопку подтверждения или отказа). В случае если от пользователя за указанный период подтверждение или отказа от аутентификации не поступает, то возникает ошибка аутентификации. Строковый тип. Допускается вносить только числовые значения или пустую строку. Значение по умолчанию: 60 |
<настройка отсутствует в графическом конфигураторе, осуществляется только в реестре> | InstallPath | Путь к установленному JAS-плагину для AD FS. (Требуется службе AD FS для загрузки пользовательских html-страниц) Значение по умолчанию: C:\Program Files\Aladdin\JAS ADFS Plugin\ |
Кнопки управления | ||
По умолчанию | Привести значения в форме к значениям по умолчанию (например, для последующего редактирования или сохранения в реестр) | |
Загрузить из реестра | Загрузить в форму значения из реестра. (При запуске конфигуратора значения из реестра автоматически загружаются в поля формы.) | |
Сохранить в реестр | Сохранение текущих значений из формы в реестр. В момент нажатия на кнопку пользователю предлагается перезапуск службы ADFS, Рис. 49. | |
Сохранить в файл | Отображаемые в форме параметры можно сохранить в reg-файл для последующего восстановления настроек | |
Загрузить из файла | Конфигуратор позволяет загрузить в форму параметры плагина из reg-файла, ранее сохраненного с помощью кнопки Сохранить в файл | |
Примечание. Указанные в таблице параметры реестра (графа Имя параметра в реестре) располагаются в разделе реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin\JAS ADFS Plugin], Рис. 48.
Рис. 48 – Настройки JAS-плагина для AD FS в реестре
3. Если служба AD FS запускается от имени выделенной учетной записи (например от учетной записи пользователя), то необходимо предоставить данной учетной записи полные права (разрешение Full Control) на раздел реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin\JAS ADFS Plugin]
4. По нажатии на кнопку Сохранить в реестр отредактированные значения полей будут сохранены в реестр, при этом пользователю будет предложено выполнить автоматическую перезагрузку службы AD FS с тем, чтобы новые значения настроек вступили в силу, Рис. 49.
Рис. 49 – Настройки JAS-плагина для AD FS в реестре
Примечание. Для перезагрузки службы можно также использовать последовательность команд:
net stop adfssrvnet start adfssrvВ некоторых случаях для вступления настроек в силу требуется перезапуск самого компьютера, где установлена служба AD FS с JAS-плагином.
После сохранения настроек JAS-плагин для AD FS готов к работе.
Табл. 16 – Иллюстрация логики работы JAS-плагина для AD FS в зависимости от состояния токенов конкретного пользователя
Состояние токена | Действие JAS-плагина в зависимости от установленного типа аутентификации (значения параметра AuthTypes) | ||||
OTP-токен | Messaging-токен | AuthTypes: OTP, Messaging | AuthTypes: Messaging, OTP | AuthTypes: OTP | AuthTypes: Messaging |
Отсутствует | Отсутствует | UserNotFoundAction | UserNotFoundAction | UserNotFoundAction | UserNotFoundAction |
Отсутствует | Заблокирован | TokensNotFoundAction | TokensNotFoundAction | UserNotFoundAction | TokensNotFoundAction |
Отсутствует | Действует | Аутентификация по Messaging | Аутентификация по Messaging | UserNotFoundAction | Аутентификация по Messaging |
Заблокирован | Отсутствует | TokensNotFoundAction | TokensNotFoundAction | TokensNotFoundAction | UserNotFoundAction |
Заблокирован | Заблокирован | TokensNotFoundAction | TokensNotFoundAction | TokensNotFoundAction | TokensNotFoundAction |
Заблокирован | Действует | Аутентификация по Messaging | Аутентификация по Messaging | TokensNotFoundAction | Аутентификация по Messaging |
Действует | Отсутствует | Аутентификация по OTP | Аутентификация по OTP | Аутентификация по OTP | UserNotFoundAction |
Действует | Заблокирован | Аутентификация по OTP | Аутентификация по OTP | Аутентификация по OTP | TokensNotFoundAction |
Действует | Действует | Аутентификация по OTP | Аутентификация по Messaging | Аутентификация по OTP | Аутентификация по Messaging |
Примечания к Табл. 16:
- Состояние Заблокирован подразумевает блокировку всех токенов соответствующего типа (например, OTP), а состояние Действует подразумевает наличие хотя бы одного незаблокированного токена соответствующего типа (например, OTP).
- Информация, приведенная в Табл. 16 имеет иллюстративный характер для комбинации из двух значений параметра AuthTypes (а именно OTP и Messaging). Если в список значений будет добавлено также значение Push, то описание логики принятия решений будет дополнена следующим:
- Если метод PUSH имеет наивысший приоритет и Push-токен не заблокирован, то произойдет аутентификация по нему.
- Если метод PUSH имеет наивысший приоритет и Push-токен заблокирован, то право аутентификации переходит к следующему по приоритету методу (см. Табл. 16);
- Если метод PUSH имеет наивысший приоритет но Push-токен у пользователя отсутствует, то право аутентификации переходит к следующему по приоритету методу (см. Табл. 16);
- Если метод PUSH является единственным в списке или остался последним доступным среди методов аутентификации, то:
- Если PUSH-токен в наличии у пользователя -- осуществляется аутентификация по PUSH-токену;
- Если PUSH-токен заблокирован, то отрабатывает опция TokensNotFoundAction;
- Если PUSH-токен отсутствует, то отрабатывает опция UserNotFoundAction.
Проверка работы JAS-плагина для AD FS
Для проверки работы JAS-плагина для AD FS выполните следующие действия:
- Убедитесь в том, что JAS-плагин для AD FS установлен и настроен в соответствии с предыдущими разделами.
- Используя консоль управления JMS выпустите аппаратный или программный OTP-токен (см. разделы «Выпуск аппаратных OTP-токенов» и «Выпуск программных OTP-токенов (мобильное приложение Aladdin 2FA)» в руководстве администратора по функциям управления JMS [3]).
- В случае OTP-токена с алгоритмом HOTP выполните его синхронизацию (см. раздел «Синхронизация значений OTP (только для токенов HOTP)» в руководстве администратора по функциям управления JMS [3]).
- В браузере Internet Explorer перейдите по ссылке https://<имя_Службы_федерации>/adfs/ls/idpinitiatedsignon
(в случае если браузер запущен на сервере, хостирующем AD FS, можно использовать следующую ссылку: https://localhost/adfs/ls/idpinitiatedsignon).
Примечание. В версии ОС Microsoft Windows Server 2016 по умолчанию отключена тестовая веб-страница AD FS. Для включения этой возможности на сервере, хостирующем AD FS, следует выполнить следующую PowerShell-команду:
Set-AdfsProperties -EnableIdPInitiatedSignonPage $trueПодробнее о решении проблемы см. по ссылке: https://blogs.technet.microsoft.com/rmilne/2017/06/20/how-to-enable-idpinitiatedsignon-page-in-ad-fs-2016/
Откроется веб-страница следующего вида:
Рис. 50 – Стартовая проверочная страница службы федерации AD
где Aladdin_FS – отображаемое имя службы федерации, заданное при ее установке.
Примечание. В общем случае строку <имя_Службы_федерации> можно посмотреть в свойствах AD FS, в оснастке MMC Управление AD FS, см. Рис. 51).
Рис. 51 – Просмотр имени Службы федерации Active Directory
5. Нажмите Вход. Отобразится страница, как на Рис. 52 (для случая настройки реестра AuthTypeSelection=Auto, см. Табл. 15, с. 67) или как на Рис. 53 (для случая настройки реестра AuthTypeSelection=Manual).
Рис. 52 – Веб-страница AD FS, использующей OTP-аутентификацию посредством JAS-плагина
где JASDOMAIN\Администратор – имя пользователя, под учетной записью которого был выполнен данный HTTP-запрос.
Рис. 53 – Веб-страница AD FS, с примером множественного ручного выбора типа аутентификации
В случае если в браузере отражены данные веб-страницы, служба федерации Active Directory и JAS-плагин для AD FS настроены правильно.

















