Портал документации Рутокен

Page tree

В Rutoken KeyBox реализована интеграция с Indeed Access Manager (Indeed AM) версии 6.х и 8.2 и выше.

Интеграция позволяет объединить следующие операции:

  • выпуск устройства;
  • запрос сертификата;
  • запись сертификата на устройство;
  • регистрация способа входа «Смарт-карта или USB-ключ + PIN» пользователя Indeed AM.

Когда устройство выпускается в Rutoken KeyBox, в Indeed АМ регистрируется способ входа «Смарт-карта или USB-ключ + PIN», и на устройство записывается сертификат. Выпущенное устройство можно использовать для аутентификации в домене и SSO-приложениях, для цифровой подписи и доступа к ресурсам по персональным сертификатам.

При изъятии и отзыве устройства удаляется и аутентификатор, и сертификаты, которые содержатся на устройстве. При выключении устройства аутентификатор становится неактивным, при включении - активным.

Предварительные настройки

Чтобы разрешить доступ к разделу Indeed AM:

  1. Запустите Мастер настройки.
  2. Перейдите в раздел Общие функции.
  3. Включите опцию Интеграция с Indeed Access Manager.

Настройка интеграции

Выберите инструкцию в зависимости от версии Indeed AM.

Чтобы настроить интеграцию Rutoken KeyBox с Indeed AM 6:

  1. Установите и настройте следующие компоненты Indeed AM:
    • Indeed Administration Tools (или Indeed Admin Pack) на каждый сервер Rutoken KeyBox;
    • Indeed Extended Security Provider на каждый сервер Indeed AM;

    • Indeed AM Smart Card + PIN Provider на каждый сервер Indeed AM и на пользовательские рабочие станции.

      Indeed Administration Tools входит в состав дистрибутива Indeed AM 6.
      Чтобы получить компоненты Indeed Extended Security Provider и Indeed AM Smart Card + PIN Provider, обратитесь в службу технической поддержки.

  2. Настройте Extended Security Provider:

    1. Создайте группу безопасности Indeed-ID Enrollment Admins.
    2. Добавьте сервисную учетную запись в группы безопасности Indeed-ID User Admins и Indeed-ID Enrollment Admins.

  3. В Консоли управления Rutoken KeyBox откройте раздел Конфигурация.

  4. Перейдите в настройки политики использования устройств в раздел Indeed AM.

  5. Включите опцию Включить интеграцию с Indeed AM и выберите Indeed AM 6.

  6. Настройте следующие параметры:

ПараметрОписание
Использовать прокси-сервер Indeed AMЕсли опция включена, Rutoken KeyBox обращается к прокси-серверу Indeed AM, который направляет запрос на серверы Indeed AM.
Используйте прокси-сервер, если серверы Rutoken KeyBox находятся за пределами домена, в котором установлен Indeed AM
URL-адрес прокси-сервераАдрес, по которому доступен Indeed AM Proxy Server
Имя пользователя
Пароль		Логин и доменный пароль пользователя, входящего в группы безопасности Indeed-ID User Admins и Indeed-ID Enrollment Admins
Разрешить использование Indeed AM Windows LogonЕсли опция включена, при выпуске устройства в Rutoken KeyBox пользователь может аутентифицироваться в домене с помощью провайдера Indeed AM Windows Logon
Разрешить использование Indeed AM Enterprise Single Sign-OnЕсли опция включена, при выпуске устройства в Rutoken KeyBox пользователь может аутентифицироваться в приложениях с помощью провайдера Indeed AM Enterprise SSO Agent
Генерировать случайный пароль учетной записи WindowsЕсли опция включена, при выпуске устройства в Rutoken KeyBox для пользователя генерируется случайный доменный пароль.
Когда срок действия пароля истекает, генерируется новый пароль. Новый пароль известен только системе Indeed AM

Если удалить последний зарегистрированный аутентификатор пользователя, то выключатся разрешения на использование Indeed AM Windows Logon, Indeed AM Enterprise Single Sign-On и генерацию случайного пароля.

Пример работы интеграции

Если у пользователя нет ни одного аутентификатора в Indeed AM и ни одного устройства в Rutoken KeyBox, то после выпуска устройства с настроенными параметрами интеграции у пользователя появится:

  • один способ входа в Indeed AM – «Смарт-карта или USB-ключ + PIN»;
  • одно устройство в Rutoken KeyBox. Например, eToken.

Чтобы настроить интеграцию Rutoken KeyBox с Indeed AM 8.2 и выше:

  1. Установите и настройте компонент Indeed AM Smart Card + PIN Provider на каждом сервере Indeed AM и на пользовательских рабочих станциях, с которых будут выпускаться устройства.

  2. В Консоли управления Rutoken KeyBox откройте раздел Конфигурация.

  3. Перейдите в настройки политики использования устройств в раздел Indeed AM.

  4. Включите опцию Включить интеграцию с Indeed AM и выберите Indeed AM 8.2.

  5. В поле Адрес сервера введите адрес сервера Indeed AM. Например, https://server.demo.local/am/core.

  6. Для подключения к серверу Indeed AM введите UPN-имя учетной записи пользователя (например, admin@demo.local) и пароль.

    Rutoken KeyBox и Indeed AM должны быть подключены к одному каталогу пользователей.
    Учетная запись должна состоять в группе локальных или глобальных администраторов Indeed AM и иметь следующие привилегии:

    • регистрация любого аутентификатора;
    • включение аутентификатора;
    • отключение аутентификатора;
    • удаление аутентификатора.

  7. Нажмите Сохранить. Выполнится проверка подключения к серверу.

  • No labels