Ключові функції сервісу автентифікації IPI за 5 хвилин
Сервіс автентифікації IPI – Ключові функції
Компоненти сервісу автентифікації IPI
Створений для менеджменту аутентифікації і доступом
Може використовуватися окремо і разом з апаратними (фізичними) і програмними ключами безпеки (Passkey, IPI Authentication app)
Розблокування комп'ютерів за допомогою ключів IPI Keys (Механізм Proxymity)
Розблокування та блокування комп'ютера за допомогою мобільного застосунку
Розблокування комп'ютера без пароля та в режимі офлайн за допомогою мобільного додатку у вигляді смарт-картки
Підтримує Єдиний вхід (SSO) до будь-яких веб-застосунків, що підтримують Open ID Connect
Може використовуватися в якості постачальника ідентифікаційних даних (IdP) для веб-застосунків, що підтримують SAML 2.0.
Може бути розгорнута в хмарі або на стороні клієнта
Інтегрована в домен для роботи з AD або Azure AD (Entra)
Крім того IPI Enterprise Server:
Може бути розгорнуто як на Windows, так і на Linux сервері
Може використовуватися як сервер FIDO-ключів підтримує ключі безпеки різних виробників
Розгортається з вихідних файлів або запускається в Docker
IPI Client (настільна програма)
Може бути встановлений централізовано, .msi
Розроблений лише для Windows 10-11
Ви можете зареєструвати адресу сервера на всіх Клієнтах централізовано
Ключі IPI (Апаратні безпекові токени)
Блокування і розблокування комп'ютера за допомогою рівня сигналу наближення
Підтримка стандарту FIDO2
Менеджер паролів
Автоматичний ввід облікових данних натиском кнопки на ключі
Ввід OTP кодів
З'єднання Bluetooth, RFID (IPI Key 3,4), NFC, USB (IPI Key4)
Може використовувати внутрішній (BLE) або зовнішній (USB Dongle) блютуз модуль
Змінна (IPI Key 3) чи перезарядна (IPI Key 4) батарея
IPI Authenticator (мобільний додаток)
Сумісний з Android та iOS пристроями
Мобільний вхід до будь-якого типу облікових записів Windows (також через RDP; безпарольний вхід на основі TPM, на основі паролю)
Опція єдиного входу
Генерація OTP
Ключі та мобільний додаток можуть бути використані водночас або окремо, за бажанням користувача.
Корпоративний Сервер IPI
Якщо ваша програма є постачальником послуг SAML 2.0, ви готові додати додатковий рівень безпеки за допомогою IPI IdP, увімкнути 2FA та використовувати ключі безпеки IPI або власні (сторонні або платформні) автентифікатори. SAML IdP використовує сховище ідентичностей IES або Active Directory, вмикаючи автентифікацію та забезпечуючи федерацію для таких сервіс провайдерів. Корпоративний Сервер IPI підтримує SAML 2.0 логін, вихід, одиночний вихід і метадані. Підтримується вхід як ініційований SP, так і ініційований IdP.
Читайте більше про цю функцію тут.
Облікові записи
Є різні типи облікових записів залежно від афіляції та розташування сховища:
Персональні облікові записи створюються на сервері адміністратором для окремого співробітника. Співробітник використовує обліковий запис, але не може змінити його. В момент синхронізації ключа та сервера паролі завантажуються на ключ та видаляються з сервера; в подальшому вони зберігаються лише на ключі співробітника.
Спільні облікові записи створюються на сервері адміністратором та можуть бути призначені для декількох співробітників. Співробітники використовують обліковий запис, але не можуть змінити його. В момент синхронізації ключа та сервера паролі завантажуються на ключ, але НЕ видаляються з сервера; в майбутньому вони зберігаються і на ключі, і на сервері. Використовуйте опцію Захист Даних для забезпечення безпеки даних на сервері.
Приватні облікові записи створюються співробітником через інтерфейс IPI Client, адміністратор не знає про їх існування, вони не передаються на сервер. Співробітник може додавати лише обліковий запис Web / App.
Типи облікових записів за доступом
Ви можете створити обліковий запис для доступу до сайтів та / або програм та розблокування вашого ПК (локальний акаунт, доменний акаунт, Microsoft або Azure AD акаунт).
Один і той самий обліковий запис може бути одночасно використаний для доступу до вебсайтів / програм та розблокування ПК. Наприклад, Ви можете задати доменний обліковий запис та сайти / програми, для яких можлива доменна авторизація.
Робочі станції
Щойно IPI Client встановлюється на комп'ютері користувача, ПК буде відображено у відповідному розділі на сервері. Обов’язковою умовою є те, що адміністратор має схвалити цей комп’ютер для роботи з IPI Key.
Якщо не буде схвалено, користувач не зможе підключити ключ (тобто співробітник не зможе працювати з ключем, який йому надали на роботі на якомусь своєму ноутбуці / комп’ютері, якщо адміністратор не дозволить це).
Профілі доступу (для апаратних ключів)
Профілі доступу — це інструмент для посилення або послаблення налаштувань безпеки для окремих користувачів. Ви можете налаштувати вимогу натискання кнопки / введення PIN-коду / підключення до сервера для першого підключення ключа до комп’ютера / доступу до менеджера паролів у IPI Client.
Для посилення безпеки Ви можете налаштувати вимогу введення PIN коду кожні n-хвилин.
Розблокування вашого ПК з IPI Key
Щоб ключ міг розблокувати ПК, мають бути виконані наступні умови:
клієнт встановлено на ПК
ПК підтверджено адміністратором на сервері
ключ має обліковий запис для розблокування ПК
За дотиком
Цей метод не вимагає окремих налаштувань - все працює з коробки. Якщо вищенаведені вимоги виконані, дотик до донгла розблокує ПК.
Розблокування за проксіміті (коли сигнал Bluetooth підвищується до певного рівня)
Сценарій потребує додаткового налаштування: у налаштуваннях робочої станції на сервері IES має бути вказано ключ, який може розблокувати комп’ютер за допомогою проксіміті.
Обмеження: Цей спосіб призначений для ситуації, коли за комп'ютером працює тільки один користувач. Якщо на одному комп'ютері працюють 2 або більше користувачів, цей спосіб розблокування можна дозволити лише в тому випадку, якщо ці співробітники працюють позмінно і не можуть закривати комп'ютер одночасно.
Адміністратору доступно налаштування рівня сигналу Bluetooth, за якого комп’ютер блокується чи розблоковується. Але регулювати рівень сигналу можна лише в %. Реальна відстань у метрах залежить від конкретної кімнати (її меблів, наявності перешкод, інших бездротових пристроїв і завантаженості мережі).
Розблокування ключем безпеки (FIDO2)
Цей метод працює, лише якщо ви використовуєте Azure AD. Bluetooth-ключ IPI і програмне забезпечення IPI не потрібні, лише налаштований ключ і налаштування з боку Azure AD.
Блокування вашого ПК IPI Key
Незалежно від налаштованого вами методу розблокування, ПК завжди блокується за проксіміті. Коли ключ далеко і рівень сигналу Bluetooth падає нижче встановленого значення, ПК блокується.
Щоб заблокувати ПК за допомогою ключа, ви також повинні розблокувати його за допомогою ключа IPI або підключити ключ до клієнта, якщо він розблокований вручну.
якщо ви розблокували комп'ютер вручну і не підключили ключ, автоматичного блокування не буде. На це вказує червоний значок клієнта IPI.
якщо ви розблокували комп’ютер вручну, а потім під’єднали ключ до Клієнта, комп’ютер буде заблоковано за проксіміті. Піктограма IPI Client з’явиться стандартного синього кольору.
якщо ви розблокували комп’ютер за допомогою ключа, ПК буде заблоковано за проксіміті.
Організаційна структура
Ви можете відтворити організаційну структуру вашої компанії, додаючи відділення чи підрозділи на IES. Це абсолютно необов'язково, але заповнені дані допоможуть Вам отримати відповіді в контексті звітів за кожним відділенням. Дані можуть бути отримані з AD для імпортованих користувачів.
Керування статусами ключей
Щоб забезпечити зручне керування ключами IPI, вони мають різні статуси, які дозволяють адміністратору впроваджувати різні політики безпеки, надані компанією.
Ready
Цей статус означає, що IPI Key не містить даних та може бути виданий співробітнику.
Пристрій має такий статус:
одразу після імпорту
після процедури очищення (Wipe)
Reserved
Цей статус означає, що ключ IPI було видано/надіслано користувачеві, але він ще не активований користувачем. Ключ не можна використовувати, на ньому немає даних. Потрібна процедура активації.
Ви можете додавати облікові записи на IPI Key з таким статусом, але фізично вони з'являться на ньому, коли пристрій перейде в статус Active.
Active
Цей статус означає, що IPI Key працює, і ви можете використовувати ключ. Цей статус дозволяє додавати / змінювати / видаляти облікові записи тощо.
Locked
Цей статус означає, що IPI Key заблоковано на апаратному рівні в результаті введення неправильного PIN-коду або коду активації. Користувач не може працювати, поки пристрій не буде розблоковано.
Suspended
Цей статус означає, що IPI Key тимчасово недоступний для використання. Це може бути в тому випадку, коли:
Співробітнику тимчасово заборонили користуватися ключем IPI (наприклад, під час відпустки) і примусово присвоїли цей статус
Адміністратор перевів ключ IPI із стану Locked за допомогою команди Activate device, і ключ IPI буде недоступний для використання, доки користувач не введе правильний код активації.
Deactivated
Цей статус означає, що ключ IPI було відібрано у попереднього користувача, але дані на ньому ще не стерто, або він зламаний.
Compromised
Цей статус означає, що ключ IPI було зламано. Адміністратор встановлює статус, пристрій стирається, всі зв'язки видаляються. Дані не можна відновити.
Додавання співробітників
Є 2 механізми додавання співробітників на IES.
Якщо Ви не використовуєте Active Directory, Ви можете вручну додати співробітника. Ви можете задати лише ім'я та завершити налаштування набагато пізніше, або створити користувача з повним налаштуванням.
Якщо у Вас є Active Directory у вашій компанії та Ви хочете найбільш щільно інтегрувати її, читайте наступний розділ.
Сценарії AD
Ви маєте задати наступні групи в AD:
Security Key Owners
Security Key Auto Password Change
Додатии усіх користувачів, які будуть користуватися ключами, в групу Security Key Owners.
Група Security Key Auto Password Change має включати співробітників, для яких доменні паролі мають бути автоматично згенеровані та змінені за графіком. Такі співробітники зможуть авторизуватися лише з IPI Key.
Щойно усі необхідні налаштування для доступу до AD на IES будуть збережені та початкова процедура імпорту завершена, групи Security Key Owners та Security Key Auto Password Change будуть автоматично синхронізовані зі списком користувачів на IES.
Синхронізація з AD відбувається раз на годину. Як це працює? Ви хочете додати нового співробітника, якому дозволено використовувати апаратний ключ безпеки. Додайте його до групи Security Key Owners, і після синхронізації він з’явиться в списку співробітників IES. Після цього потрібно присвоїти ключ співробітнику і пройти всі інші кроки.
Ви хочете, щоб для деяких співробітників налаштувати регулярну автоматичну зміну пароля в AD. Ні користувач, ні адміністратор не знатимуть цих паролів! Пароль зберігатиметься лише на апаратному ключі, а авторизація в доменному обліковому записі буде можлива лише за наявності ключа.
Одночасно додайте користувача до груп Security Key Owners та Security Key Auto Password Change. Як тільки співробітник імпортується з AD, його доменний обліковий запис також імпортується (навіть до того, як йому буде призначено апаратний ключ). Пароль із AD неможливо імпортувати, тому він генерується на стороні IES. Після призначення апаратного ключа співробітнику на стороні сервера створюється завдання для запису облікового запису домену з новим паролем на ключі. Співробітник продовжує використовувати поточний пароль для входу в обліковий запис домену до першого підключення апаратного ключа безпеки.
Ключ активується при першому підключенні (не забудьте надати співробітнику код активації). Раніше надіслане сервером завдання на створення облікового запису з новим паролем виконується. У той же час пароль користувача в AD оновлюється і записується в ключ.
Автоматична зміна пароля відбувається відповідно до налаштувань на IES.
Ви хочете припинити автоматичну зміну пароля для доменного облікового запису.
Видаліть користувача з групи «Security Key Auto Password Change». Автоматична зміна пароля перестане працювати.
Ви хочете позбавити свого співробітника права використовувати апаратний ключ безпеки.
Видаліть свого співробітника з групи власників ключів безпеки, і його ключ після синхронізації перейде в стан «Deactivated». Співробітник не буде видалений з IES (для збереження історії його дій), але він більше не зможе використовувати ключ. Вам просто потрібно фізично забрати апаратний ключ у співробітника та виконати процедуру очистки, щоб мати можливість передати його іншому співробітнику.
Кожен ключ IPI Key має заводський RFID-код. Його можна або ввести у ваш СКУД, або ви можете призначити новий потрібний RFID-код IPI Key за допомогою спеціального програматора. Програматор можна придбати окремо або він може входити в комплект вашої Системи контролю доступу (СКУД).
Змінити RFID-код на IPI Key без програматора неможливо!
Last updated