Indeed-Id Enterprise SSO - Руководство пользователя
advertisement
Indeed-Id Enterprise SSO Руководство пользователя © Компания «Индид», 2009 – 2015. Все права защищены. Этот документ входит в комплект поставки продукта. Информация, содержащаяся в этом документе, может быть изменена разработчиком без уведомления пользователя. 8 (800) 333-09-06 ООО Индид 8 (812) 640-06-09 195067, Санкт-Петербург, ул. Маршала Тухачевского д.27 к.2 офис 1466 телефон бесплатной горячей линии Санкт-Петербург 8 (800) 333-09-06 или support@indeed-id.com служба поддержки пользователей Версия 3.7.10 ИНН/КПП 7801540219/780601001, ОГРН 1117847053103 юридический и фактический адрес компании http://indeed-id.ru/ web-сайт компании Оглавление Введение 4 Условные обозначения 4 О продукте Indeed-Id Enterprise SSO 5 Поддерживаемые приложения 5 Поддерживаемые технологии аутентификации 5 Функционирование Indeed-Id Enterprise SSO 6 Единый доступ в приложения по технологии аутентификации Indeed-Id 6 Выбор целевого приложения 7 Выбор учетной записи 9 Аутентификация 10 Запрещенные приложения 11 Управление аутентификаторами 12 Добавление аутентификатора 14 Редактирование аутентификатора 18 Проверка аутентификатора 20 Удаление аутентификатора 23 Управление паролем 24 Команды приложения Indeed-Id Enterprise SSO Агент 26 Обработка ошибок 28 Indeed-Id Enterprise SSO Руководство пользователя 3 Введение Приветствуем вас и благодарим за приобретение программного комплекса Indeed Enterprise Authentication. Данное Руководство описывает процедуру единого доступа в приложения с использованием технологии аутентификации Indeed-Id и возможности управления аутентификаторами. Условные обозначения В Руководстве используются следующие условные обозначения: Важная информация. Разделы, содержащие важную информацию, необходимую для успешной работы. Дополнительная информация. Разделы, содержащие дополнительную информацию. Indeed-Id Enterprise SSO Руководство пользователя 4 О продукте Indeed-Id Enterprise SSO Модуль Indeed-Id Enterprise Single Sign-On реализует технологию единого доступа (Single Sign On) в рамках организации. Indeed-Id Enterprise SSO централизованно хранит пароли всех приложений, с которыми работает пользователь, и выполняет автоматическую подстановку пароля в скрытом виде при необходимости доступа в приложение или выполнения других действий, требующих аутентификации. Исключая необходимость ручного ввода пароля и периодической смены пароля пользователем, Indeed-Id Enterprise SSO значительно упрощает процедуру аутентификации в приложениях. Поддерживаемые приложения Технология доступа Indeed-Id Enterprise SSO может применяться для любых типов приложений windows и web. Система Indeed-Id Enterprise SSO может быть настроена на любой тип приложений без программного вмешательства в серверную или клиентскую часть целевого приложения. Поддержка нового приложения в системе подразумевает создание специального шаблона в формате .xml. В шаблоне указывается, какие формы приложения необходимо контролировать. Контроль доступа может выражаться в повторном запросе аутентификации, заполнении полей регистрационными данными (имя пользователя и пароль), активации нужных элементов управления (например, нажатие кнопки «Вход»), запись события в журнал и т.п. Поддерживаемые версии браузеров для web-приложений: • Microsoft Internet Explorer 8 и выше • Mozilla Firefox 4 и выше Поддерживаемые технологии аутентификации В дополнение к стандартной технологии аутентификации, реализованной в большинстве систем Single Sign-On, - универсальному паролю (мастер-паролю), - система Indeed-Id Enterprise SSO поддерживает более 20 альтернативных технологий аутентификации. К ним относятся двухфакторная аутентификация, биометрическая аутентификация, сертификаты, бесконтактные карты, одноразовые пароли, sms-технологии и др. Для каждой категории пользователей системы Indeed-Id Enterprise SSO может быть подобрана собственная оптимальная технология аутентификации. Также пользователям может быть разрешено применение несколько технологий: • технология аутентификации, адаптированная для работы в удаленном режиме • комбинация технологий аутентификации (мультифакторная аутентификация). Indeed-Id Enterprise SSO Руководство пользователя 5 Функционирование Indeed-Id Enterprise SSO Функционирование системы Indeed-Id Enterprise SSO заключается в отслеживании запуска приложений и автоматическом заполнении требуемых полей и форм данными, необходимыми для получения доступа в приложение (имя пользователя, пароль и т.п.). Автоматическое заполнение полей данными осуществляется только после успешного подтверждения личности пользователя с применением любой из поддерживаемых технологий аутентификации. Таким образом, система Indeed-Id Enterprise SSO позволяет пользователям отказаться от запоминания, письменного фиксирования и хранения множества паролей для различных приложений, а также от ручного ввода пароля для выполнения входа в приложение. Благодаря централизованному хранению Enterprise SSO-профилей пользователям предоставляется возможность доступа в приложения с любой рабочей станции, где установлен компонент Indeed-Id Enterprise SSO Агент. Модуль Indeed-Id Enterprise SSO адаптирован к работе в терминальной среде, что позволяет избежать явного ввода пароля при работе с приложениями в терминальной сессии. Для обеспечения данного режима работы необходима установка компонента Indeed-Id Enterprise SSO Агент на терминальном сервере. Поддержка технологий аутентификации, специально адаптированных для использования в терминальной среде и не требующих установки дополнительного оборудования, позволяет работать на «неподготовленном» компьютере и использовать тонкие клиенты на базе Windows CE, Linux, Wyse и т.п. Единый доступ в приложения по технологии аутентификации Indeed-Id Защищенный доступ в поддерживаемые приложения становится возможен после настройки учетной записи приложения и профиля пользователя и регистрации одного или более аутентификаторов. • Настройка учетной записи администратором системы. приложения и профиля пользователя выполняется • Регистрация аутентификатора может выполняться вами самостоятельно или под контролем администратора системы. • На вашей рабочей станции должно быть установлено приложение Indeed-Id SSO Агент, обеспечивающее аутентификацию пользователя в приложении. Для получения доступа в приложение с использованием технологии аутентификации Indeed-Id выполните следующие действия: Выполните вход на рабочую станцию. При входе в систему в панели задач отображается всплывающее сообщение об успешном открытии SSO-сессии (Рисунок 1a). Рисунок 1a – Старт сессии пользователя Indeed-Id Enterprise SSO. Если приложение Indeed-Id Enterprise SSO Агент не запущено автоматически при входе в систему, запустите его, выбрав пункт Enterprise SSO - Агент в главном меню или пункт IndeedId > Enterprise SSO > Enterprise SSO - Агент в меню Программы. Indeed-Id Enterprise SSO Руководство пользователя 6 Выбор целевого приложения Для выбора целевого приложения выполните одно из следующих действий: • Воспользуйтесь сочетанием клавиш Ctrl + Alt + Q или откройте приложение Indeed-Id Enterprise SSO Агент двойным щелчком по иконке в области уведомлений Windows. • Нажатием правой кнопки мыши на иконку в области уведомлений Windows вызовите контекстное меню приложения Indeed-Id Enterprise SSO Агент и выберите пункт Быстрый запуск (Рисунок 1b). Рисунок 1b – Контекстное меню Indeed-Id Enterprise SSO Agent. В результате отображается окно Выбор приложения. В окне Выбор приложения доступны приложения, разрешенные для запуска с помощью Indeed-Id Enterprise SSO Агент. В зависимости от настроек параметров ESSO-приложений администратором системы окно выбора приложения может выглядеть по-разному. На рисунке 1c представлена ситуация, когда целевое приложение имеет один исполняемый файл. Рисунок 1c − Пример отображения приложения с одним исполняемым файлом. Indeed-Id Enterprise SSO Руководство пользователя 7 Если для одного целевого приложения настроено несколько учетных записей SSO, то после выбора приложения потребуется выбрать учетную запись. Если приложение содержит в себе несколько модулей (например, приложение «1С Предприятие» может содержать в себе несколько модулей «1С:Бухгалтерия», «1С:Управление торговлей» и т.д.), то все возможные исполняемые файлы этого приложения могут быть сгруппированы для удобства выбора в панели быстрого запуска под одним именем. На Рисунке 1d представлен пример группировки нескольких модулей 1С под одним именем 1С:Предприятие. Рисунок 1d − Пример отображения приложения со множеством возможных вариантов запуска. Indeed-Id Enterprise SSO Руководство пользователя 8 Выбор учетной записи Администратором системы может быть настроено несколько учетных записей SSO для доступа в одно целевое приложение. Если для вас настроено несколько учетных записей SSO, после выбора приложения потребуется выбрать учетную запись (Рисунок 2): Рисунок 2 − Пример отображения приложения со множеством возможных вариантов запуска. Indeed-Id Enterprise SSO Руководство пользователя 9 Аутентификация Для аутентификации в выбранном приложении выполните следующие действия: Выберите имя пользователя и способ входа (по умолчанию система предлагает последний использованный способ). Следуя подсказкам на экране, предоставьте системе обученный аутентификатор. При наличии нескольких обученных аутентификаторов Вы можете использовать любой из них. Для выбора аутентификатора нажмите Сменить способ входа (Рисунок 3). Рисунок 3 – Аутентификация в приложении 1С Предприятие по технологии One Time Matrix. После успешной аутентификации отображается окно входа в целевое приложение. В поля «Имя пользователя» и «Пароль» автоматически подставляются данные, указанные при создании учетной записи SSO, и выполняется вход в приложение. Повторная аутентификация для доступа в приложение может не потребоваться, в зависимости от настроек вашего профиля SSO. Также вам может быть предоставлена возможность получить доступ в приложение с помощью ручного ввода пароля. Если при входе в приложение вы отменили аутентификацию, то вход в приложение не будет выполнен. Текущая форма приложения или само приложение будет закрыто. Если в настройках запуска приложения администратором определен параметр запуска приложения только при помощи Indeed-Id ESSO Агент и настроено требование аутентификации Indeed-Id Enterprise SSO Руководство пользователя 10 при входе в приложение, то в случае отмены аутентификации отобразится сообщение об ошибке (Рисунок 4): Рисунок 4 – Сообщение Indeed-Id ESSO Agent о закрытии приложения в случае отмены аутентификации. Если данные учетной записи SSO не заданы администратором системы, то вам необходимо ввести их самостоятельно при первом запуске приложения. При последующем запуске приложения ввод этих данных не потребуется. Запрещенные приложения Возможность доступа к целевым приложениям регулируется административными настройками. В зависимости от установленных администратором системы параметров, некоторые приложения могут быть запрещены для запуска. Запрещенные приложения недоступны в окне Выбор приложения Агента Indeed-Id Enterprise SSO. При попытке запуска запрещенного приложения отображается сообщение об ошибке «A device attached to the system is not functioning» (Рисунок 5): Рисунок 5 – Сообщение Indeed-Id ESSO Agent при попытке запуска приложения из черного списка. Indeed-Id Enterprise SSO Руководство пользователя 11 Управление аутентификаторами Вы можете управлять аутентификаторами с помощью приложения Indeed-Id Управление аутентификаторами. Данное приложение позволяет добавлять новые аутентификаторы, редактировать, проверять и удалять имеющиеся. Возможности управления аутентификаторами установленного администратором системы. доступны при наличии разрешения, Для перехода к управлению аутентификаторами выполните следующие действия: 1. Откройте приложение Indeed-Id Управление аутентификаторами (Программы > Indeed-Id > Indeed-Id Управление аутентификаторами). 2. В окне Аутентификация выберите свою учетную запись и способ входа (тип аутентификатора). По умолчанию автоматически выбирается последний использованный способ входа. Выполните требуемые действия (в зависимости от выбранного способа входа). Для входа в приложение «Управление аутентификаторами следует» использовать ранее зарегистрированный аутентификатор. При использовании пароля для доступа к приложению часть функций будет недоступна. Рисунок 6a – Окно аутентификации. Возможности добавления, редактирования и удаления аутентификаторов доступны после авторизации с использованием аутентификатора. Возможность проверки аутентификаторов доступна как после авторизации с использованием аутентификатора, так и после авторизации с использованием пароля. Indeed-Id Enterprise SSO Руководство пользователя 12 3. После успешной аутентификации отображается окно Управление аутентификаторами (Рисунок 6b). Рисунок 6b – Управление аутенификаторами. • • • • Для Для Для Для перехода перехода перехода перехода к к к к добавлению аутентификатора нажмите Добавить способ входа. редактированию выбранного аутентификатора нажмите Изменить. проверке выбранного аутентификатора нажмите Проверить. удалению выбранного аутентификатора нажмите Удалить. Смотрите также: • Добавление аутентификатора • Редактирование аутентификатора • Проверка аутентификатора • Удаление аутентификатора Indeed-Id Enterprise SSO Руководство пользователя 13 Добавление аутентификатора Количество аутентификаторов, которое вы можете добавить, устанавливается администратором системы. После достижения максимального количества аутентификаторов кнопка Добавить способ входа в окне Управление аутентификаторами становится неактивна. Для добавления аутентификатора выполните следующие действия: В окне Управление аутентификаторами нажмите Добавить способ входа. Выберите технологию аутентификации (например, «Карта». Рисунок 6с). Рисунок 6с – Выбор технологии аутентификации. Indeed-Id Enterprise SSO Руководство пользователя 14 Следуйте инструкциям по регистрации аутентификатора. Внешний вид окна и текст подсказок зависят от выбранного типа аутентификатора (Рисунок 6d). Рисунок 6d – Регистрация аутентификатора. Indeed-Id Enterprise SSO Руководство пользователя 15 После успешной регистрации аутентификатора в окне Управление аутентификаторами отображается сообщение "Новый аутентификатор успешно обучен"(Рисунок 6e). Рисунок 6e – Создание комментария к зарегистрированному аутентификатору. Вы можете добавить произвольный текстовый комментарий к зарегистрированному аутентификатору (если данное действие разрешено администратором системы). Для завершения регистрации аутентификатора нажмите Сохранить. Indeed-Id Enterprise SSO Руководство пользователя 16 Тип зарегистрированного аутентификатора и комментарий к нему отображаются в окне Управление аутентификаторами. Если для вашей учетной записи разрешено добавление нескольких аутентификаторов, вы можете перейти к их регистрации, нажав на кнопку Добавить аутентификатор (Рисунок 6f). Рисунок 6f – Список зарегистрированных аутентификаторов пользователя. При использовании определенных моделей биометрических устройств (например, сканеров отпечатков пальцев Digent IZZIX FD 2000, FD/FM 1000) возможны ошибки при регистрации и распознавании аутентификатора, связанные с уровнем чувствительности сканера и индивидуальными особенностями человека (температура тела, уровень влажности кожи, способ прикладывания пальца). Во избежание таких ошибок рекомендуется проверять аутентификатор сразу после регистрации. Indeed-Id Enterprise SSO Руководство пользователя 17 Редактирование аутентификатора Вы можете отредактировать (повторно зарегистрировать) аутентификатор или изменить только комментарий к аутентификатору (если это действие разрешено администратором системы). Для редактирования аутентификатора выполните следующие действия: В окне Управление аутентификаторами выберите аутентификатор и нажмите Изменить (Рисунок 7a). Рисунок 7a – Редактирование зарегистрированного аутентификатора. Indeed-Id Enterprise SSO Руководство пользователя 18 Выполните одно из указанных действий: • Чтобы отредактировать только комментарий к аутентификатору, соответствующее поле и нажмите Сохранить (Рисунок 7b). введите его в Рисунок 7b – Редактирование комментария. • Чтобы перейти к редактированию самого аутентификатора, нажмите Задать заново. После нажатия на ссылку Задать заново в окне отобразятся инструкции по регистрации аутентификатора. Внешний вид окна и текст подсказок зависят от выбранного типа аутентификатора. выполните требуемые действия. После успешной регистрации аутентификатора в окне нажмите Сохранить. Indeed-Id Enterprise SSO Руководство пользователя 19 Проверка аутентификатора Для проверки аутентификатора выполните следующие действия: В окне Управление аутентификаторами выберите аутентификатор и нажмите Проверить (Рисунок 8a). Рисунок 8a – Проверка зарегистрированного аутентификатора. После нажатия на ссылку Проверить в окне Управление аутентификаторами отображаются инструкции по регистрации аутентификатора. Внешний вид окна и текст подсказок зависят от выбранного типа аутентификатора. Выполните требуемые действия. Indeed-Id Enterprise SSO Руководство пользователя 20 После завершения проверки в окне Управление аутентификаторами отображается сообщение о результате. • Если аутентификаторы совпадают (Рисунок 8b): Рисунок 8b – Проверка зарегистрированного аутентификатора: аутентификаторы совпадают. Indeed-Id Enterprise SSO Руководство пользователя 21 • Если аутентификаторы не совпадают (Рисунок 8c): Рисунок 8с – Проверка зарегистрированного аутентификатора: аутентификаторы не совпадают. Если аутентификаторы не совпадают, нажмите Вернуться и повторите процедуру проверки или заново обучите аутентификатор. Indeed-Id Enterprise SSO Руководство пользователя 22 Удаление аутентификатора Для удаления аутентификатора выполните следующие действия: В окне Управление аутентификаторами выберите аутентификатор и нажмите Удалить. Для подтверждения действия нажмите Да (Рисунок 9a). Рисунок 9a – Подтверждение удаления аутентификатора. Если для вашей учетной записи был сгенерирован случайный пароль, при попытке удалить единственный имеющийся аутентификатор система отображает диалог-предупреждение (Рисунок 9b): Рисунок 9b – Подтверждение удаления последнего аутентификатора. Если вы удалили все аутентификаторы и не можете выполнить вход в систему по паролю, обратитесь к администратору системы. После сброса пароля вы снова сможете выполнить вход в систему и зарегистрировать новые аутентификаторы. Indeed-Id Enterprise SSO Руководство пользователя 23 Управление паролем В целях обеспечения безопасности данных система Indeed-Id Enterprise SSO предусматривает регулярную смену пароля в приложениях. Как правило, смена пароля осуществляется автоматически. Возможность самостоятельной ручной смены пароля регулируется установками администратора системы. Если ручная смена пароля разрешена, при очередной смене пароля новое значение пароля не генерируется автоматически, а явно запрашивается у пользователя. Поведение системы при запросе нового пароля у пользователя зависит от типа учетной записи пользователя Enterprise SSO, выбранного администратором системы: Если администратором системы настроена ручная смена пароля пользователем, то при смене пароля отобразится следующее окно (Рисунок 10a): Рисунок 10a – Изменение пароля пользователем. Необходимо ввести новый пароль и его подтверждение. • Режим ввода пароля (скрытый пароль/открытый ввод символов) регулируется нажатием кнопки • (Открыть пароль). (Генерировать случайный пароль) выполняется При нажатии кнопки автоматическая генерация пароля в соответствии с установленными для данного приложения ограничениями. Сгенерированный пароль автоматически вставляется в поле Пароль, при этом включается функция Открыть пароль и очищается поле Подтверждение пароля. Indeed-Id Enterprise SSO Руководство пользователя 24 При вводе нового пароля в стандартном режиме выполняется проверка пароля на соответствие критериям сложности, установленным для данного приложения. В случае несоответствия пароля критериям сложности отображается сообщение об ошибке. Если учетная запись Enterprise SSO относится к типу «Используются данные Windows», при смене пароля отображается следующее сообщение (Рисунок 10b): Рисунок 10b – Ошибка заполнения формы при смене пароля. Indeed-Id Enterprise SSO Руководство пользователя 25 Команды приложения Indeed-Id Enterprise SSO Агент В контекстном меню, которое открывается правым щелчком по иконке приложения Indeed-Id Enterprise SSO Агент в панели уведомлений Windows (Рисунок 1b), доступны следующие команды: • • • Сменить пользователя. Команда позволяет выбрать другую учетную запись для получения доступа в приложение. При выборе команды отображается окно Вход в SSO со списком доступных учетных записей и возможностью выбрать способ входа. По умолчанию используется способ, которым был выполнен вход в систему. Способ Вход по паролю недоступен. Отключить быстрые клавиши. Команда позволяет отключить использование комбинаций клавиш Ctrl+Alt+Q (вызов окна быстрого запуска), Ctrl+Alt+U обновление данных ESSO, Ctrl+Alt+R (принудительная обработка формы приложения («рематчинг»)). По умолчанию быстрые клавиши включены. Обновить данные. Команда позволяет загрузить последние изменения вашего профиля SSO. Результат выполненной команды отображается в виде всплывающего сообщения в правом нижнем углу экрана. Примеры сообщений приведены на Рисунках 11a, 11b и 11c: Рисунок 11a – Обновление данных ESSO. Рисунок 11b – Новые данные получены. Рисунок 11c – Ошибка обновления данных. • Быстрый запуск. Команда выполняется при выборе соответствующего пункта в контекстном меню или нажатии комбинации клавиш Ctrl+Alt+Q и позволяет получить доступ к списку всех приложений, разрешенных для запуска (открывается окно Выбор приложения). Indeed-Id Enterprise SSO Руководство пользователя 26 Приложение не отображается в списке, если SSO Агент не может найти исполняемый файл на рабочей станции пользователя (Рисунок 12). его Рисунок 12 – Окно «Выбор приложения». Indeed-Id Enterprise SSO Руководство пользователя 27 Обработка ошибок При возникновении ошибок во время работы в системе (например, ошибка заполнения формы) Indeed-Id Enterprise SSO предоставляет возможность выбора действия для обработки ошибки. В таких случаях отображается окно Обработка ошибки (Рисунок 13): Рисунок 13 – Окно «Обработка ошибки». В окне Обработка ошибки предлагаются следующие варианты действий (после выбора действия окно будет закрыто автоматически): • Повторить - операция, в ходе которой возникла ошибка, будет выполнена повторно. • Завершить приложение - приложение, при работе с которым возникла ошибка, будет завершено. Несохраненные данные будут потеряны. • Закрыть окно - будет закрыто текущее окно/форма приложения. При закрытии главного окна приложение может быть завершено. • Игнорировать - не будет предпринято никаких действий. Indeed-Id Enterprise SSO Руководство пользователя 28
