RSA SecurID

Uwaga: RSA SecurID to Zaawansowany autentifikator dostępne jako część Profesjonalnej edycji ADSelfService Plus.

RSA SecurID to system uwierzytelniania dwuetapowego (2FA) od RSA Security LLC, który umożliwia użytkownikom bezpieczne łączenie się z zasobami sieciowymi. Użytkownicy mogą bezpiecznie uzyskać dostęp do ADSelfService Plus, korzystając z kodów zabezpieczających z aplikacji mobilnej RSA SecurID, fizycznych tokenów lub kodów przesyłanych przez e-mail lub SMS.

Konfiguracja uwierzytelniania RSA SecurID

Możesz skonfigurować RSA SecurID jako uwierzytelniającego w ADSelfService Plus w dwóch krokach:

1. Dodaj serwer ADSelfService Plus do KONSOLI ZABEZPIECZEŃ SecurID jako agenta uwierzytelniania.
2. Skonfiguruj ADSelfService Plus dla RSA SecurID.

Wymagania wstępne

• Upewnij się, że zainstalowałeś obsługiwaną wersję RSA Authentication Manager.
  • W przypadku integracji SDK: RSA Authentication Manager 8.0 lub wyższy
  • W przypadku integracji REST API: RSA Authentication Manager 8.2 SP1 lub wyższy

Dodawanie ADSelfService Plus jako agenta uwierzytelniania w KONSOLI ZABEZPIECZEŃ RSA SecurID

1. Zaloguj się do konsoli administracyjnej RSA (np. https://adssp-rsa.mydomain.com/sc).
2. Przejdź do Użytkowanie > Agenci Uwierzytelniania. Kliknij Dodaj nowy.



3. Wprowadź nazwę hosta serwera ADSelfService Plus w polu Nazwa hosta i kliknij Rozwiąż IP, aby ustanowić połączenie między KONSOLĄ ZABEZPIECZEŃ SecurID a serwerem ADSelfService Plus.
4. Kliknij Zapisz, aby dodać serwer ADSelfService Plus jako agenta uwierzytelniania.

Konfiguracja ADSelfService Plus dla RSA SecurID

Konfiguracja RSA SecurID może być przeprowadzona za pomocą jednej z tych metod:

• Integracja REST API
• Integracja SDK

Uwaga: Zaleca się konfigurowanie uwierzytelniania RSA za pomocą REST API, ponieważ RSA SecurID już nie wspiera Integracji SDK.

Kroki do skonfigurowania RSA SecurID z integracją REST API

1. Zaloguj się do konsoli administracyjnej RSA i przejdź do Ustawienia > Ustawienia systemu.
2. W sekcji Ustawienia uwierzytelniania kliknij API uwierzytelniania RSA SecurID.
3. Kopiuj szczegóły ID dostępu, Klucz dostępu i Port komunikacyjny.
4. Zaloguj się do konsoli administracyjnej ADSelfService Plus i przejdź do Administracja > Konfiguracja > Samoobsługa > Uwierzytelnianie wieloskładnikowe > RSA SecurID.
5. Z listy rozwijanej Wybierz zasady wybierz politykę.

Uwaga: ADSelfService Plus pozwala na tworzenie polityk opartych na OU i grupach. Aby utworzyć politykę, przejdź do Konfiguracja > Samoobsługa > Konfiguracja polityki > Dodaj nową politykę. Kliknij Wybierz OU/Grupy i dokonaj wyboru na podstawie swoich wymagań. Musisz wybrać przynajmniej jedną funkcję samoobsługową. Na koniec kliknij Zapisz politykę.

6. Kliknij RSA SecurID.
7. Dla Typu integracji wybierz REST API.



8. Wprowadź nazwę hosta menedżera uwierzytelniania RSA w polu Nazwa hosta API.
9. Wklej numer portu i klucz dostępu uzyskane w Kroku 3 w odpowiednich polach Port i Klucz Dostępu.
10. Wprowadź nazwę agenta uwierzytelniającego (tj. nazwę hosta lub URL dostępu serwera ADSelfService Plus) w polu Id klienta.
11. Zaznacz pole Bezpieczne zapytania API do serwera RSA z uwierzytelnianiem HMAC, aby zweryfikować integralność zapytań uwierzytelniających. Proszę postępować zgodnie z krokami wymienionymi w sekcji Wymagania wstępne HMAC przed włączeniem uwierzytelniania HMAC.



12. Wprowadź ID dostępu skopiowane w Kroku 3 w polu ID Dostępu.
13. Wybierz Wzorzec nazwy użytkownika, który pasuje do Formatu konta użytkownika w konsoli administracyjnej RSA.

Uwaga: Użytkownicy w różnych domenach mogą mieć tę samą nazwę użytkownika, co powoduje niejasności podczas mapowania RSA. Aby zapewnić bezpieczne uwierzytelnianie, zdecydowanie zalecamy używanie wzorca nazwy użytkownika, który zawiera domenę. Ten Wzorzec Nazwy Użytkownika musi odpowiadać Formatowi Konta Użytkownika RSA w konsoli administracyjnej RSA, aby dokładnie mapować konta użytkowników domeny do kont użytkowników RSA.

14. Kliknij Testuj połączenie i Zapisz.

Kroki konfiguracji RSA SecurID z integracją SDK

1. Upewnij się, że wymagane pliki JAR wymienione poniżej są obecne w folderze <ADSelfService_Plus_install_directory>/lib.
   • authapi-8.6.jar
   • log4j-1.2.12rsa-1.jar
   • cryptojcommon-6.1.3.3.jar
   • jcmFIPS-6.1.3.3.jar
   • cryptojce-6.1.3.3.jar

Uwaga: Te pliki JAR dotyczą najnowszej wersji SDK agenta uwierzytelniającego dla Java (wersja 8.6). Jeśli nie są obecne w folderze <ADSelfService_Plus_install_directory>/lib, proszę pobrać je z Społeczność RSA.

2. W konsoli administracyjnej RSA przejdź do Dostęp > Agenci uwierzytelniający > Wygeneruj plik konfiguracyjny.
3. Kliknij Wygeneruj plik konfiguracyjny, aby pobrać plik AM_Config.zip.
4. Wydobądź plik sdconf.rec z pliku ZIP.
5. Zaloguj się do portalu administracyjnego ADSelfService Plus i przejdź do Administrator > Konfiguracja > Samoobsługa > Uwierzytelnianie wieloskładnikowe > Ustawienia uwierzytelniaczy > RSA SecurID.
6. Z rozwijanego menu Wybierz politykę wybierz politykę.

Uwaga: ADSelfService Plus pozwala na tworzenie polityk opartych na OU i grupach. Aby utworzyć politykę, przejdź do Konfiguracja > Samoobsługa > Konfiguracja Polityki > Dodaj nową politykę. Kliknij Wybierz OUs/Gruppy, a następnie dokonaj wybory w zależności od swoich wymagań. Musisz wybrać co najmniej jedną funkcję samoobsługi. Na koniec kliknij Zapisz politykę.

7. Kliknij RSA SecurID.
8. Dla Typu integracji wybierz SDK.



9. Kliknij Przeglądaj i wybierz plik sdconf.rec pobrany z konsoli zabezpieczeń SecurID.
10. Wybierz Wzór Nazwy Użytkownika, który pasuje do formatu konta użytkownika w konsoli administracyjnej RSA.

Uwaga: Użytkownicy z różnych domen mogą mieć tę samą nazwę użytkownika, co powoduje niejasność podczas dopasowywania kont RSA do kont użytkowników ADSelfService Plus w trakcie MFA. W celu zapewnienia bezpiecznej autoryzacji, zdecydowanie zalecamy używanie Wzoru Nazwy Użytkownika, który zawiera nazwę domeny (domain_dns_name) lub adres e-mail (email_id), aby dokładnie mapować konta użytkowników domeny do kont użytkowników RSA, które muszą być w tym samym formacie. Wykorzystywanie tylko nazwy użytkownika (user_name) w Wzorze Nazwy Użytkownika jest odradzane z powodów bezpieczeństwa.

11. Kliknij Zapisz.

Po włączeniu, użytkownicy należący do polityki, dla której włączono autoryzację RSA, będą proszeni o weryfikację swojej tożsamości za pomocą tokenów SecurID podczas logowania.

Wymagania wstępne HMAC

Kod autoryzacji wiadomości oparty na haszowaniu (HMAC) jest używany do weryfikacji żądań autoryzacyjnych, które są wymieniane między agentami autoryzacji a API autoryzacji RSA SecurID.

1. Zaloguj się do urządzenia za pomocą klienta Secure Shell lub uzyskaj dostęp do urządzenia na maszynie wirtualnej za pomocą VMware vSphere Client, Hyper-V Virtual Machine Manager lub Hyper-V Manager.
2. Aby zweryfikować żądania autoryzacyjne poprzez wdrożenie HMAC, wpisz następujące:
   • ./rsautil store –a update_config
   • auth_manager.rest_service.authorization.mode 1 GLOBAL 501
3. Aby używać tylko klucza dostępu API autoryzacji RSA SecurID do autoryzacji, wpisz następujące:
   • ./rsautil store –a update_config
   • auth_manager.rest_service.authorization.mode 0 GLOBAL 501

Różne metody logowania do ADSelfService Plus z użyciem RSA SecurID

Metoda 1: PIN generowany przez użytkownika lub system

Autoryzacja hasłem RSA może składać się z PIN-u połączonego z kodem tokena, samego kodu tokena lub wyłącznie hasła. To zależy od ustawień konfiguracyjnych w RSA Authentication Manager. Jeśli ustawienia w konsoli zabezpieczeń RSA wymagają, aby użytkownicy tworzyli PIN samodzielnie lub korzystali z systemowo wygenerowanego PIN-u, użytkownicy zobaczą następujące opcje po wprowadzeniu ważnego hasła.

Opcja 1: PIN generowany przez użytkownika

• Użytkownicy mogą stworzyć swój własny PIN.
• Następnie będą proszeni o użycie tego samodzielnie wygenerowanego PIN-u wraz z kodem tokena RSA do autoryzacji.

Uwaga: Jeśli samodzielnie utworzony PIN użytkownika jest nieważny, będą musieli ponownie wprowadzić hasło RSA, aby zrestartować proces autoryzacji.

Opcja 2: PIN generowany przez system

• W tym przypadku RSA Authentication Manager automatycznie generuje losowy PIN.
• Użytkownicy są zobowiązani do zanotowania tego systemowo wygenerowanego PIN-u i wykorzystania zarówno tego PIN-u, jak i kodu RSA do uwierzytelnienia.

Metoda 2: Następny kod

• Jeśli użytkownik wprowadzi błędne kody kolejno, menedżer uwierzytelniania RSA może poprosić go o wprowadzenie następnego kodu.
• Użytkownicy będą musieli poczekać, aż nowy kod zostanie wyświetlony na urządzeniu RSA, aby kontynuować proces uwierzytelnienia.

Metoda 3: Kod

Użytkownicy muszą użyć zarówno PIN-u, jak i kodu RSA do uwierzytelnienia.