Uwierzytelnianie dwuetapowe

Dzięki uwierzytelnianiu dwuetapowemu (2FA) możesz dodać dodatkową warstwę zabezpieczeń do ADManager Plus. Gdy użytkownicy próbują uzyskać dostęp do interfejsu ADManager Plus, nie będą mogli kontynuować, dopóki 2FA nie zostanie zakończone. Wbudowany administrator ADManager Plus jest jedynym użytkownikiem, który ma możliwość pominięcia 2FA. ADManager Plus oferuje opcje przeprowadzenia 2FA za pomocą usług uwierzytelniających, takich jak Duo Security, Google Authenticator, jednorazowe hasło za pośrednictwem e-maila i inne.

Kroki do skonfigurowania 2FA w ADManager Plus

1. Przejdź do zakładki Delegacja.
2. W lewym panelu, w sekcji Konfiguracja, kliknij Ustawienia logowania.
3. Na stronie Ustawienia logowania, przejdź do zakładki Uwierzytelnianie dwuetapowe.
4. Przełącz Uwierzytelnianie dwuetapowe przycisk, aby włączyć 2FA.
5. Wybierz pożądane 2FA z następujących usług uwierzytelniających:
   • Duo Security
   • Google Authenticator
   • Jednorazowe hasło przez email
   • RSA Authenticator
   • Microsoft Authenticator
   • Weryfikacja SMS

   Duo Security

   Uwierzytelnianie za pomocą Duo Security można skonfigurować na dwa sposoby w Web v4 SDK i Web v2 SDK.

   Kroki do skonfigurowania Web v4 SDK

   Uwaga: Do skonfigurowania uwierzytelniania Web v4 SDK wymagane jest bezpieczne połączenie. Upewnij się, że włączono połączenie HTTPS.

   1. Zaloguj się do swojego konta Duo Security (np. https://admin-domain.duosecurity.com) lub zarejestruj nowe konto i zaloguj się.
   2. Przejdź do Aplikacje i kliknij Chroń aplikację.
   3. Wyszukaj Web SDK i kliknij Chroń.
   4. Skopiuj wartości ID klienta, Tajny klucz klienta i Nazwa hosta API.
   5. Przejdź do konsoli ADManager Plus i rozszerz Duo Security.
   6. Zaznacz Włącz Duo Security i wybierz Web v4 SDK jako Typ integracji.
   7. Wklej ID klienta, Tajny klucz klienta i Nazwa hosta API uzyskane z panelu administracyjnego Duo w odpowiednich polach.
   8. Wprowadź ten sam wzór nazwy użytkownika używany w Duo Security w polu Wzór nazwy użytkownika.
   9. Kliknij Zapisz.

   Kroki do skonfigurowania Web v2 SDK

   Uwaga: Duo Security wycofało Web v2 SDK, dlatego zaleca się przejście do Web v4 SDK, które oferuje nowy Uniwersalny Prompt.

   1. Zaloguj się do swojego konta Duo Security (np. https://admin-domain.duosecurity.com) lub zarejestruj nowe konto i zaloguj się.
   2. Przejdź do Aplikacje i kliknij Chroń aplikację.
   3. Wyszukaj Web SDK i kliknij Chroń.
   4. Skopiuj wartości Klucz integracji, Tajny klucz i Nazwa hosta API.
   5. Przejdź do konsoli ADManager Plus i rozszerz Duo Security.
   6. Zaznacz Włącz Duo Security i wybierz Web v2 SDK jako Typ integracji.
   7. Wklej Klucz integracji, Tajny klucz i Nazwa hosta API uzyskane z panelu administracyjnego Duo w odpowiednich polach.
   8. Wprowadź ten sam wzór nazwy użytkownika używany w Duo Security w polu Wzór nazwy użytkownika.
   9. Kliknij Zapisz.

   Proszę wykonać poniższe kroki w panelu administracyjnym Duo, aby migrować z Web v2 SDK, które używa tradycyjnego promptu, do Web v4 SDK, które stosuje nowy Uniwersalny Prompt.

   Kroki do aktywacji Uniwersalnego Promptu Duo

   1. W panelu administracyjnym Duo, wybierz aplikację Web SDK, która została wcześniej skonfigurowana dla ADManager Plus i skopiuj wartości Klucz integracji, Tajny klucz oraz Nazwa hosta API.
   2. Przewiń w dół do sekcji Uniwersalny Prompt. Aktualizacja aplikacji będzie gotowa wiadomość zostanie wyświetlona, wskazując, że Uniwersalny Prompt może być teraz aktywowany dla ADManager Plus.
   3. Przejdź do konsoli ADManager Plus i rozwiń Duo Security.
   4. Kliknij Web v4 SDK i wklej wartości Klucz integracji, Klucz tajny oraz Hostname API w odpowiednie pola Client ID, Client Secret i Hostname API.
   5. Po skonfigurowaniu Web v4 SDK w ADManager Plus i uwierzytelnieniu użytkownika przez bezramkowe SDK Duo v4, wiadomość Aktualizacja aplikacji gotowa w panelu administracyjnym Duo zostanie zastąpiona wiadomością Nowy prompt gotowy.
   6. Wybierz Wyświetl nowy Uniwersalny Prompt, aby aktywować uniwersalny prompt dla ADManager Plus.

   Google Authenticator

   • Zainstaluj i skonfiguruj Google Authenticator na swoim smartfonie, postępując zgodnie z krokami podanymi na tej stronie.
   • Przełącz się na ADManager Plus i rozwiń Google Authenticator.
   • Kliknij przycisk Włącz Google Authenticator.
   • Podczas logowania do ADManager Plus, wprowadź kod wygenerowany przez aplikację Google Authenticator na swoim smartfonie, oprócz swojej nazwy użytkownika i hasła.

   Jednorazowe hasło przez e-mail

   Ustawienia Serwera e-mail muszą być skonfigurowane, aby używać Jednorazowego Hasła (OTP) przez e-mail jako metody 2FA.

   • Rozwiń Jednorazowe hasło przez e-mail i zaznacz opcję Jednorazowe hasło przez e-mail.
   • Wprowadź temat i stwórz wiadomość używając Makr w polach Temat i Wiadomość, odpowiednio.
   • Kliknij Zapisz.

   RSA Authenticator

   RSA SecurID to mechanizm 2FA opracowany przez RSA, dział bezpieczeństwa EMC, dla użytkowników próbujących uzyskać dostęp do zasobu sieciowego. Użytkownicy mogą korzystać z kodów zabezpieczających generowanych przez mobilną aplikację RSA SecurID, token sprzętowy lub token wysłany na ich e-mail lub urządzenie mobilne, aby zalogować się do ADManager Plus. Możesz skonfigurować RSA SecurID dla integracji SDK lub dla integracji REST API.

   Kroki do skonfigurowania RSA SecurID dla integracji SDK

   1. Zaloguj się do swojego panelu administracyjnego RSA (np. https://RSA machinename.domain DNS name/sc).
   2. Przejdź do zakładki Dostęp.
   3. W sekcji Agenci uwierzytelniający, kliknij Dodaj nowy.
   4. Dodaj Serwer ADManager Plus jako Agenta uwierzytelniającego i kliknij Zapisz.
   5. Powróć do zakładki Dostęp. W sekcji Agenci uwierzytelniający, kliknij Generuj plik konfiguracyjny.
   6. Pobierz plik AM_Config.zip.
   7. Skopiuj plik konfiguracyjny Menedżera uwierzytelnienia, sdconf.rec z archiwum zip i wklej go do <-installation-dir>/bin. Jeśli istnieje plik o nazwie securid (plik tajny węzła), skopiuj i wklej go również.
   Uwaga:

   1. Upewnij się, że pliki JAR wymienione poniżej zostały wypakowane z RSA SecurID i umieszczone w folderze <ADManagerPlus_install_directory>/lib:
      • authapi.jar
      • Log4j.jar
      • certj.jar
      • commons-logging.jar
      • cyrptojce.jar
      • cryptojcommon.jar
      • jcmFIPS.jar
      • sslj.jar
      • xmlsec.jar
   2. Uruchom ponownie ADManager Plus po dodaniu plików.

   Kroki do skonfigurowania RSA SecurID dla integracji REST API

   1. W konsoli admina RSA przejdź do Ustawienia → Ustawienia systemowe.
   2. W sekcji Ustawienia uwierzytelnienia kliknij RSA SecurID Authentication API.
   3. Skopiuj szczegóły ID dostępu, klucz dostępu i port komunikacyjny.
   4. Przejdź do konsoli ADManager Plus i rozwiń RSA Authenticator.
   5. Zaznacz pole Włącz RSA Authenticator.
   6. Dla Typu integracji wybierz REST API.
   7. Wprowadź nazwę hosta menedżera uwierzytelniania RSA w polu Nazwa hosta API.
   8. Wklej numer portu i klucz dostępu uzyskane w Kroku 3 odpowiednio w polach Port i Klucz dostępu.
   9. Wprowadź nazwę agenta uwierzytelniania (tj. nazwę hosta serwera ADManager Plus) w polu ID klienta.
   10. Zaznacz pole Bezpieczne żądania API do serwera RSA z HMAC Authentication, aby zweryfikować integralność żądań uwierzytelniania. Proszę postępować zgodnie z krokami wymienionymi w sekcji Wymagania wstępne HMAC przed włączeniem uwierzytelniania HMAC.
   11. Wprowadź ID dostępu skopiowane w Kroku 3 w polu ID dostępu.
   12. Kliknij Testuj połączenie i zapisz.

   Uwaga: Proszę upewnić się, że wszyscy użytkownicy przypisani do skonfigurowanego agenta uwierzytelniania (serwer ADManager Plus) zapisali się w menedżerze uwierzytelniania RSA z tym samym nazwiskiem i przypisanymi im tokenami SecurID.

   Kroki do skonfigurowania serwera ADManager Plus jako agenta uwierzytelniania

   1. Zaloguj się do konsoli admina RSA (np. https://nazwa maszyny RSA.domena DNS/sc).
   2. Przejdź do Uzyskaj dostęp → Agenci uwierzytelniania → Dodaj nowy.

   

   3. Wprowadź nazwę hosta serwera ADManager Plus w polu Nazwa hosta i kliknij Rozwiąż IP, aby nawiązać połączenie między KONSOLEM BEZPIECZEŃSTWA SecurID a serwerem ADManager Plus.
   4. Kliknij Zapisz, aby dodać serwer ADManager Plus jako agenta uwierzytelniania.

   

   Wymagania wstępne HMAC

   Hash-based message authentication code (HMAC) jest używany do walidacji żądań uwierzytelnienia, które są wymieniane między agentami uwierzytelniania a interfejsem API uwierzytelniania RSA SecurID.

   1. Zaloguj się do urządzenia za pomocą klienta Secure Shell lub uzyskaj dostęp do urządzenia na maszynie wirtualnej przy użyciu VMware vSphere Client, Hyper-V Virtual Machine Manager lub Hyper-V Manager.
   2. Aby zweryfikować żądania uwierzytelnienia implementując HMAC, wpisz następujące:

      ./rsautil store –a update_config

      auth_manager.rest_service.authorization.mode 1 GLOBAL 501

   3. Aby używać tylko klucza dostępu interfejsu API uwierzytelniania RSA SecurID do uwierzytelnienia, wpisz następujące:

      ./rsautil store –a update_config

      auth_manager.rest_service.authorization.mode 0 GLOBAL 501

   Microsoft Authenticator

   • Zainstaluj i skonfiguruj Microsoft Authenticator na swoim smartfonie.
   • Przejdź do ADManager Plus i rozwiń Microsoft Authenticator.
   • Zaznacz opcję Włącz Microsoft Authenticator.
   • Podczas logowania do ADManager Plus, wpisz kod wygenerowany przez aplikację Microsoft Authenticator na swoim smartfonie, oprócz swojej nazwy użytkownika i hasła.

   Weryfikacja SMS

   Aby włączyć weryfikację SMS jako metodę uwierzytelniania, skonfiguruj ustawienia bramy SMS w ADManager Plus i wykonaj następujące kroki:

   • Rozwiń Weryfikacja SMS i zaznacz Włącz weryfikację SMS.
   • W polu Wiadomość wpisz treść SMS-a używając makr i kliknij Zapisz.

   Kroki, aby zarejestrować swój numer telefonu

   • Zaloguj się do ADManager Plus używając swoich danych logowania.
   • Na stronie Zaloguj się używając weryfikacji SMS, która się otworzy, wpisz swój numer telefonu i kliknij Wyślij kod.
   • Wpisz six-cyfrowy kod tajny, który otrzymałeś na SMS w polu. W razie potrzeby, włącz opcję Zaufaj tej przeglądarce, aby pominąć ten krok na następne 180 dni.
   • Kliknij Zweryfikuj kod, aby zweryfikować.
6. Aby zarządzać użytkownikami zarejestrowanymi w 2FA, kliknij przycisk Zarejestrowani użytkownicy. Wyświetli się lista użytkowników zarejestrowanych w 2FA. W razie potrzeby możesz usunąć skonfigurowane 2FA i pozwolić użytkownikowi na ponowną konfigurację ustawień.
7. Kliknij Więcej opcji, aby skonfigurować następujące:
   • Zaznacz Włącz opcję "Zaufaj tej przeglądarce" podczas uwierzytelniania, aby zaufać przeglądarce i pozwolić uwierzytelnionym technikom wsparcia na wejście do ADManager Plus bez pytania o 2FA przez czas określony w polu Zaufaj tej przeglądarce na __ dni.
   • Zaznacz Pomiń 2FA dla wybranych techników i wybierz techników z okna pop-up, aby pozwolić wybranym technikom na pominięcie 2FA podczas logowania do ADManager Plus.

Aby spersonalizować preferowaną metodę 2FA

Aby wybrać preferowaną metodę uwierzytelniania lub użyć innej usługi uwierzytelniającej niż ta, którą aktualnie używasz, wykonaj poniższe kroki.

1. Przejdź do opcji Moje konto w prawym górnym rogu.
2. W lewym panelu kliknij opcję Zarządzaj moimi ustawieniami TFA.
3. Kliknij przycisk Edytuj i wybierz swoją preferowaną metodę uwierzytelniania z dostępnych opcji.
4. Aby ustawić Google Authenticator lub Microsoft Authenticator jako preferowaną metodę, zeskanuj kod QR wyświetlany na ekranie i wprowadź kod wygenerowany przez aplikację na swoim smartfonie.
5. Kliknij przycisk Zweryfikuj.