Indeed-Id Enterprise SSO - Руководство пользователя

Indeed-id
Enterprise SSO
Руководство пользователя
Версия 3.6.02
© 2009 - 2013 Компания Индид
Содержание
ВВЕДЕНИЕ
1.
С чего начать?
3
Условные обозначения
3
О ПРОДУКТЕ INDEED-ID ENTERPRISE SSO
4
1.1.
Базовые термины и понятия
4
1.2.
Возможности Indeed-id Enterprise SSO
4
1.2.1.
Поддерживаемые приложения
4
1.2.2.
Поддерживаемые технологии аутентификации
5
1.2.3.
Интеграция с инфраструктурой открытых ключей (PKI)
5
1.3.
2.
3
Функционирование Indeed-id Enterprise SSO
ЕДИНЫЙ ДОСТУП В ПРИЛОЖЕНИЯ ПО ТЕХНОЛОГИИ АУТЕНТИФИКАЦИИ INDEED-ID
6
7
2.1.
Выбор целевого приложения
2.2.
Выбор учетной записи
10
2.3.
Аутентификация
11
2.4.
Запрещенные приложения
14
8
3.
РАБОТА В РЕЖИМЕ ИНТЕГРАЦИИ С ИНФРАСТРУКТУРОЙ ОТКРЫТЫХ КЛЮЧЕЙ (PKI)
15
4.
УПРАВЛЕНИЕ АУТЕНТИФИКАТОРАМИ
16
4.1.1.
Обучение аутентификатора
18
4.1.2.
Переобучение аутентификатора
22
4.1.3.
Проверка аутентификатора
25
4.1.4.
Удаление аутентификатора
28
5.
УПРАВЛЕНИЕ ПАРОЛЕМ
29
6.
КОМАНДЫ ПРИЛОЖЕНИЯ INDEED-ID ENTERPRISE SSO АГЕНТ
31
7.
ОБРАБОТКА ОШИБОК
33
8.
КОНТАКТНАЯ ИНФОРМАЦИЯ
34
© 2009 - 2013 Компания Индид
2
Введение
Приветствуем Вас и благодарим за то, что Вы стали пользователем программного
комплекса Indeed-id Access Management. Данное Руководство описывает процедуру
единого доступа в приложения с использованием технологии аутентификации Indeed-id и
возможности управления аутентификаторами.
С чего начать?
•
Перед началом работы рекомендуется ознакомиться с разделами:
o О продукте Indeed-id Enterprise SSO
Условные обозначения
В Руководстве используются следующие условные обозначения:
Важная информация. Разделы,
необходимую для успешной работы.
Дополнительная
информацию.
информация.
© 2009 - 2013 Компания Индид
содержащие
Разделы,
важную
содержащие
информацию,
дополнительную
3
1. О продукте Indeed-id Enterprise SSO
Данный раздел содержит общие сведения о продукте Indeed-id Enterprise SSO.
1.1. Базовые термины и понятия
В рамках системы Indeed-id используются следующие термины, связанные с продуктом
Indeed-id Enterprise SSO:
•
Профиль доступа пользователя (Enterprise SSO-профиль) - перечень
приложений и сетевых ресурсов, доступ к которым обеспечивается компонентами
модуля Indeed-id Enterprise SSO. Для каждого ресурса фиксируется набор параметров
и правил, уточняющих или ограничивающих предоставление доступа. Профиль
доступа может быть персональным, ролевым и смешанным.
o
Персональный профиль доступа – перечень приложений и сетевых
ресурсов, определяемый индивидуально для каждого пользователя.
o
Ролевой профиль доступа (роль) - перечень приложений и сетевых
ресурсов, наиболее часто используемых определенными категориями
пользователей. Ролевой профиль может быть закреплен как за отдельным
пользователем, так и за группой пользователей. Одному и тому же
пользователю может быть назначено несколько ролей.
o
Смешанный профиль доступа - профиль пользователя, объединяющий в
себе свойства ролевого профиля и персонального профиля.
1.2. Возможности Indeed-id Enterprise SSO
Модуль Indeed-id Enterprise Single Sign-On (далее Indeed-id Enterprise SSO)
реализует технологию единого доступа (Single Sign On) в рамках организации. Indeed-id
Enterprise SSO централизованно хранит пароли всех приложений, с которыми работает
пользователь, и выполняет автоматическую подстановку пароля в скрытом виде при
необходимости доступа в приложение или выполнения других действий, требующих
аутентификации. Исключая необходимость ручного ввода пароля и периодической смены
пароля пользователем, Indeed-id Enterprise SSO значительно упрощает процедуру
аутентификации в приложениях.
1.2.1. Поддерживаемые приложения
Технология доступа Indeed-id Enterprise SSO может применяться для любых типов
приложений, включая Windows-, web- и java-приложения, независимо от типа
архитектуры (однозвенная, двухзвенная, трехзвенная, “толстый” клиент, “тонкий” клиент,
терминальные приложения).
Модуль Indeed-id Enterprise SSO может быть настроен на любой тип приложений без
программного вмешательства в серверную или клиентскую часть целевого приложения.
Поддержка нового приложения в системе подразумевает создание специального шаблона
в формате .app. В шаблоне указывается, какие формы приложения необходимо
контролировать. Контроль доступа может выражаться в повторном запросе
аутентификации, заполнении полей регистрационными данными (имя пользователяпароль), активации нужных элементов управления (например, нажатие кнопки «Вход»),
© 2009 - 2013 Компания Индид
4
запись события в журнал и т.п. Для упрощения процедуры создания шаблонов в
комплекте поставки модуля Indeed-id Enterprise SSO предоставляется набор инструментов,
включающий визуальный редактор. Это позволяет создать шаблон для типовой формы
авторизации в течение нескольких минут.
В текущей версии Indeed-id Enterprise SSO уже реализована поддержка большинства
часто используемых систем, таких как 1C Предприятие, Банк-Клиенты, IBM Lotus Notes,
SAPGui, IBM Tivolli, Oracle eBusiness Suite, Novell Клиент, Microsoft Dynamics AX, Дело,
Siebel, CSBI Банкир, Microsoft Outlook, Google Mail и др. Шаблоны для поддержки данных
систем предоставляются в библиотеке готовых шаблонов.
Поддерживаемые версии браузеров для web-приложений:
•
Microsoft Internet Explorer 8 и выше
•
Mozilla Firefox 4 и выше (начиная с версии Indeed-id ESSO 4.0.3)
1.2.2. Поддерживаемые технологии аутентификации
В дополнение к стандартной технологии аутентификации, реализованной в большинстве
систем Single Sign-On, - универсальному паролю (мастер-паролю), - продукт Indeed-id
Enterprise SSO поддерживает более 20 альтернативных технологий аутентификации. К
ним относятся двухфакторная аутентификация, биометрическая аутентификация,
сертификаты, бесконтактные карты, одноразовые пароли, sms-технологии и др.
Для каждой категории пользователей системы Indeed-id Enterprise SSO может быть
подобрана собственная оптимальная технология аутентификации. Также пользователям
может быть разрешено применение несколько технологий:

технология аутентификации, адаптированная для работы в удаленном режиме;

комбинация технологий аутентификации (мультифакторная аутентификация).
1.2.3. Интеграция с инфраструктурой открытых ключей (PKI)
Интеграция с инфраструктурой открытых ключей (Public Key Infrastructure, PKI) расширяет
функциональные возможности модуля Indeed-id Enterprise SSO за счет использования
сертификатов пользователей при шифровании учетных данных. Система Indeed-id
Enterprise SSO с поддержкой PKI рекомендуется к использованию в следующих условиях:
•
при наличии в организации развернутой рабочей инфраструктуры PKI;
•
при использовании средств двухфакторной аутентификации на базе Aladdin eToken;
•
при необходимости централизованной приостановки доступа в
дистанционной блокировки пользователей путем отзыва сертификата;
•
при «смешанном» режиме работы пользователей, когда сотрудникам организации
необходимо получать доступ к информационным ресурсам из разных точек (офис
организации, дом, офис другой организации при нахождении в командировке и т.п.), а
также в случаях нарушения соединения между офисами и подразделениями
организации. В таких ситуациях системой Indeed-id Enterprise SSO обеспечивается
возможность централизованного управления данными и хранения данных на сервере с
автоматической синхронизацией в локальном кэше.
© 2009 - 2013 Компания Индид
систему
или
5
1.3. Функционирование Indeed-id Enterprise SSO
Функционирование Indeed-id Enterprise SSO заключается в отслеживании запуска
приложений и автоматическом заполнении требуемых полей и форм данными,
необходимыми для получения доступа в приложение (имя пользователя, пароль и т.п.).
Автоматическое заполнение полей данными осуществляется только после успешного
подтверждения личности с применением любой из поддерживаемых технологий
аутентификации. Таким образом, Indeed-id Enterprise SSO позволяет отказаться от
запоминания, письменного фиксирования и хранения множества паролей для различных
приложений, а также от ручного ввода пароля для выполнения входа в приложение.
Благодаря централизованному хранению Enterprise SSO-профилей Вам предоставляется
возможность доступа в приложения с любой рабочей станции, где установлен компонент
Indeed-id Enterprise SSO Агент.
Модуль Indeed-id Enterprise SSO адаптирован к работе в терминальной среде, что
позволяет избежать явного ввода пароля при работе с приложениями в терминальной
сессии. Для обеспечения данного режима работы необходима установка компонента
Indeed-id Enterprise SSO Агент на терминальном сервере. Поддержка технологий
аутентификации, специально адаптированных для использования в терминальной среде и
не требующих установки дополнительного оборудования, дает пользователю свободу
перемещения, позволяет работать на «неподготовленном» компьютере и использовать
тонкие клиенты Windows CE, Linux, Wyse и т.п.
© 2009 - 2013 Компания Индид
6
2. Единый доступ в приложения
аутентификации Indeed-id
по
технологии
Защищенный доступ в поддерживаемые приложения и системы становится возможен
после настройки учетной записи приложения и профиля пользователя и обучения одного
или более аутентификаторов.
•
Настройка учетной записи приложения и профиля пользователя выполняются
администратором системы.
•
Обучение аутентификатора может выполняться пользователем самостоятельно или
под контролем администратора системы.
•
На рабочей станции пользователя должно быть установлено приложение Indeed-id
SSO Агент, обеспечивающее аутентификацию пользователя в приложении.
Для получения доступа в приложение с использованием технологии аутентификации
Indeed-id выполните следующие действия:
1. Выполните вход на рабочую станцию. При входе в систему в панели задач
отображается всплывающее сообщение об успешном открытии SSO-сессии.
2. Если приложение Indeed-id Enterprise SSO Агент не запущено автоматически при
входе в систему, запустите его, выбрав пункт Enterprise SSO - Агент в главном меню
или пункт Indeed-id > Enterprise SSO > Enterprise SSO - Агент в меню
Программы.
3. Выполните одно из следующих действий:
a. Запустите целевое приложение с помощью ярлыка на рабочем столе или с
помощью меню Пуск > Программы. Indeed-id Enterprise SSO Агент
отслеживает запуск приложения и отображает окно аутентификации. Следуя
подсказкам на экране, предоставьте системе обученный аутентификатор.
b. Используйте возможность быстрого запуска. Откройте приложение Indeed-id
Enterprise SSO Агент, выберите целевое приложение из списка доступных и
пройдите процедуру аутентификации.
4. После предоставления системе действительного аутентификатора в поля «Имя
учетной записи» и «Пароль» на форме целевого приложения автоматически
подставляются данные, указанные при создании учетной записи SSO, и выполняется
вход в приложение.
© 2009 - 2013 Компания Индид
7
2.1. Выбор целевого приложения
Для выбора целевого приложения выполните одно из следующих действий:
Воспользуйтесь сочетанием клавиш Ctrl + Shift + Q или
a. Откройте приложение Indeed-id Enterprise SSO Агент двойным щелчком по иконке
в панели задач.
b. Нажатием правой кнопки мыши на иконку
в панели задач вызовите контекстное
меню приложения Indeed-id Enterprise SSO Агент и выберите пункт Быстрый
запуск.
В результате отображается окно Выбор приложения. В окне Выбор приложения
доступны приложения, всегда разрешенные для запуска и приложения, разрешенные для
запуска только с помощью Indeed-id Enterprise SSO Агент.
В зависимости от настроек параметров ESSO приложений администратором системы окно
выбора приложения может выглядеть по-разному. На рисунке 1a представлена ситуация,
когда целевое приложение имеет один исполняемый файл.
Рисунок 1a. Пример отображения приложения с одним исполняемым файлом
Если для одного целевого приложения настроено несколько учетных записей SSO,
после выбора приложения потребуется выбрать учетную запись (см. п. 2.2).
© 2009 - 2013 Компания Индид
8
Если приложение содержит в себе несколько модулей (например, приложение «1С
Предприятие» может содержать в себе несколько модулей «1С:Бухгалтерия»,
«1С:Управление торговлей» и т.д.), то все возможные исполняемые файлы этого
приложения могут быть сгруппированы для удобства выбора в панели быстрого запуска
под одним именем. На рисунке 1b представлен пример группировки нескольких модулей
1С под одним именем 1С:Предприятие.
Рисунок 1b. Пример отображения приложения со множеством возможных вариантов запуска
© 2009 - 2013 Компания Индид
9
2.2. Выбор учетной записи
Администратором системы может быть настроено несколько учетных записей SSO для
доступа в одно целевое приложение. Если для Вас настроено несколько учетных записей
SSO, после выбора приложения потребуется выбрать учетную запись:
© 2009 - 2013 Компания Индид
10
2.3. Аутентификация
Для аутентификации в выбранном приложении выполните следующие действия:
1. Выберите имя пользователя и способ входа (по умолчанию система предлагает
последний использованный способ).
© 2009 - 2013 Компания Индид
11
2. Следуя подсказкам на экране, предоставьте системе обученный аутентификатор.
•
При наличии нескольких обученных аутентификаторов Вы можете использовать
любой из них. Для выбора аутентификатора нажмите Сменить способ входа.
© 2009 - 2013 Компания Индид
12
3. После успешной аутентификации отображается окно входа в целевое приложение. В
поля «Имя пользователя» и «Пароль» автоматически подставляются данные, указанные
при создании учетной записи SSO, и выполняется вход в приложение.
Повторная аутентификация для доступа в приложение может не потребоваться, в
зависимости от настроек вашего профиля SSO. Также Вам может быть предоставлена
возможность получить доступ в приложение с помощью ручного ввода пароля.
Если при входе в приложение Вы отменили аутентификацию, вход в приложение не будет
выполнен. Текущая форма приложения или само приложение будет закрыто.
Если в настройках запуска приложения, администратором определен параметр запуска
приложения только при помощи Indeed-id ESSO Агент и настроено требование
аутентификации при входе в приложение, то в случае, отмены аутентификации
отобразится сообщение об ошибке:
Если данные учетной записи SSO не заданы администратором системы, Вам
необходимо ввести их самостоятельно при первом запуске приложения. При
последующем запуске приложения ввод этих данных не потребуется.
© 2009 - 2013 Компания Индид
13
2.4. Запрещенные приложения
Возможность доступа к целевым приложениям регулируется административными
настройками. В зависимости от установленных администратором системы параметров,
некоторые приложения могут быть запрещены для запуска. Запрещенные приложения
недоступны в окне Выбор приложения Агента Indeed-Id Enterprise SSO. При попытке
запуска запрещенного приложения отображается сообщение об ошибке «A device attached
to the system is not functioning»:
© 2009 - 2013 Компания Индид
14
3. Работа в режиме интеграции с инфраструктурой
открытых ключей (PKI)
В режиме интеграции системы Indeed-id Enterprise SSO с инфраструктурой открытых
ключей (PKI) расшифровка и зашифровка данных Enterprise SSO-профилей
осуществляется с использованием персональных сертификатов пользователей . Порядок
действий пользователя при входе в систему в PKI-режиме остается прежним. При
осуществлении операций расшифровки данных Агентом Indeed-id Enterprise SSO
выполняется проверка действительности персонального сертификата, привязанного к
Enterprise SSO-профилю. Если сертификат был сохранен в памяти внешнего устройства,
при входе пользователя в систему и при аутентификации в приложении осуществляется
запрос PIN-кода. При установке режима, где учетные данные «Задаются пользователем»,
самостоятельной смене пароля и выполнении других операций зашифровки данных ввод
PIN-кода не требуется.
© 2009 - 2013 Компания Индид
15
4. Управление аутентификаторами
При наличии обученных аутентификаторов и соответствующих прав, выданных
администратором системы, для Вас доступны операции переобучения, проверки и
удаления аутентификаторов.
Для перехода к управлению аутентификаторами:
1. В меню Программы выберите Indeed-id > Indeed-id Управление
аутентификаторами.
2. Отображается окно Аутентификация. Выберите свою учетную запись.
© 2009 - 2013 Компания Индид
16
3. Следуя подсказкам на экране, предоставьте системе обученный аутентификатор. Если
у Вас нет обученных аутентификаторов, необходимо ввести пароль.
•
При наличии нескольких обученных аутентификаторов Вы можете использовать
любой из них. Для выбора аутентификатора нажмите Сменить способ входа.
4. Отображается окно Управление аутентификаторами. Теперь
переобучить (изменить), проверить или удалить аутентификаторы.
© 2009 - 2013 Компания Индид
Вы
можете
17
4.1.1. Обучение аутентификатора
В
зависимости
от
установленных
администратором
параметров,
обучение
аутентификатора может предлагаться при первом входе в систему. В этом случае
отображается окно Управление аутентификаторами.
Для перехода к обучению аутентификатора выберите способ входа.
Если при первом входе в систему не предлагается обучить аутентификатор либо Вы
отменили
это
действие,
откройте
приложение
Indeed-id
Управление
аутентификаторами, пройдите аутентификацию и выполните шаги, как описано ниже.
© 2009 - 2013 Компания Индид
18
Для обучения аутентификатора:
1. В окне Управление аутентификаторами нажмите Добавить
аутентификатор.
© 2009 - 2013 Компания Индид
19
2. Следуя подсказкам на экране, предоставьте системе аутентификатор.
© 2009 - 2013 Компания Индид
20
•
После успешного обучения аутентификатора в окне Управление
аутентификаторами отображается сообщение «Новый аутентификатор
успешно обучен».
● Вы можете добавить произвольный текстовый комментарий к обученному
аутентификатору (если данное действие разрешено администратором
системы).
● Для завершения обучения аутентификатора нажмите Сохранить
3. Настройка способов входа завершена. Нажмите Выход
•
© 2009 - 2013 Компания Индид
21
4.1.2. Переобучение аутентификатора
Для переобучения аутентификатора:
1. В окне Управление аутентификаторами нажмите Изменить.
2. Нажмите Задать заново.
© 2009 - 2013 Компания Индид
22
3. Следуя подсказкам на экране, предоставьте системе аутентификатор.
© 2009 - 2013 Компания Индид
23
4. Отображается сообщение об успешном обучении аутентификатора. Нажмите
Сохранить.
© 2009 - 2013 Компания Индид
24
4.1.3. Проверка аутентификатора
Для проверки аутентификатора:
1. В окне Управление аутентификаторами нажмите Проверить.
2. Следуя подсказкам на экране, предоставьте системе обученный аутентификатор.
© 2009 - 2013 Компания Индид
25
3. Если предоставлен верный аутентификатор, отображается сообщение о совпадении
аутентификаторов.
© 2009 - 2013 Компания Индид
26
Если предоставлен неверный/недействительный аутентификатор, отображается
сообщение об ошибке.
В случае ошибки выполните проверку повторно или переобучите аутентификатор.
© 2009 - 2013 Компания Индид
27
4.1.4. Удаление аутентификатора
Для удаления аутентификатора:
1. В окне Управление аутентификаторами нажмите Удалить.
2. Нажмите Да для подтверждения операции.
3. После подтверждения операции происходит удаление аутентификатора.
Чтобы обучить новый аутентификатор, нажмите Добавить аутентификатор и
выполните шаги, описанные в разделе Обучение аутентификатора.
© 2009 - 2013 Компания Индид
28
5. Управление паролем
В целях обеспечения безопасности данных система Indeed-id Enterprise SSO
предусматривает регулярную смену пароля в приложениях. Как правило, смена пароля
осуществляется автоматически. Возможность самостоятельной ручной смены пароля
регулируется установками администратора системы. Если ручная смена пароля
разрешена, при очередной смене пароля новое значение пароля не генерируется
автоматически, а явно запрашивается у пользователя.
Поведение системы при запросе нового пароля у пользователя зависит от типа учетной
записи пользователя Enterprise SSO, выбранного администратором системы:
Если данные учетной записи пользователя Enterprise SSO «Задаются администратором»,
при смене пароля отображается следующее сообщение:
Необходимо ввести новый пароль и его подтверждение.
•
Режим ввода пароля (скрытый пароль/открытый ввод символов) регулируется
нажатием кнопки
•
(Открыть пароль).
(Генерировать случайный пароль) выполняется
При нажатии кнопки
автоматическая генерация пароля в соответствии с установленными для данного
приложения ограничениями. Сгенерированный пароль автоматически вставляется
в поле Пароль, при этом включается функция Открыть пароль и очищается
поле Подтверждение пароля.
© 2009 - 2013 Компания Индид
29
При вводе нового пароля в стандартном режиме выполняется проверка пароля на
соответствие критериям сложности, установленным для данного приложения. В
случае несоответствия пароля критериям сложности отображается сообщение об
ошибке.
Если учетная запись Enterprise SSO относится к типу «Используются данные Windows»,
при смене пароля отображается следующее сообщение:
© 2009 - 2013 Компания Индид
30
6. Команды
Агент
приложения
Indeed-id
Enterprise
SSO
В контекстном меню, которое открывается правым щелчком по иконке приложения
Indeed-id Enterprise SSO Агент в панели задач, доступны следующие команды:
•
Быстрый запуск. Команда Быстрый запуск выполняется при выборе
соответствующего пункта в контекстном меню или нажатии комбинации клавиш
[Ctrl][Shift][Q] и позволяет получить доступ к списку всех приложений, разрешенных
для запуска (открывается окно Выбор приложения).
Приложение не отображается в списке, если SSO Агент не может найти его
исполняемый файл.
© 2009 - 2013 Компания Индид
31
•
Обновить данные. Команда Обновить данные позволяет загрузить последние
изменения Вашего профиля SSO. Результат выполненной команды отображается в
виде всплывающего сообщения в правом нижнем углу экрана.
a. Обновление данных выполнено, изменений профиля SSO не обнаружено.
b. Обновление данных выполнено, обнаружены и загружены изменения профиля
SSO.
c. Обновление данных не выполнено (возможно, истек срок пользовательской
лицензии, или лицензия была отозвана администратором).
Приложение Indeed-id Enterprise SSO Агент регулярно обновляет данные без
участия пользователя. Автоматическое обновление данных выполняется каждые
2 часа (значение по умолчанию).
Период обновления данных может отличаться от значения по умолчанию, если
иное значение указано в пакете кастомизации Indeed-id, установленном на
рабочей станции. Пакет кастомизации Indeed-id разрабатывается индивидуально
для каждого клиента. Обратитесь в службу технической поддержки Indeed-id,
чтобы узнать подробнее о возможностях пакета кастомизации для Вашей
компании.
•
Сменить пользователя. Команда Сменить пользователя позволяет выбрать
другую учетную запись для получения доступа в приложение. При выборе команды
отображается окно Вход в SSO со списком доступных учетных записей и
возможностью выбрать способ входа. По умолчанию используется способ, которым
был выполнен вход в систему.
Способ Вход по паролю недоступен.
© 2009 - 2013 Компания Индид
32
7. Обработка ошибок
При возникновении ошибок во время работы в системе (например, ошибка заполнения
формы) Indeed-id Enterprise SSO предоставляет Вам возможность выбора действия для
обработки ошибки. В таких случаях отображается окно SSO: Обработка ошибки:
В окне SSO: Обработка ошибки предлагаются следующие варианты действий (после
выбора действия окно будет закрыто автоматически):
• Повторить - операция, в ходе которой возникла ошибка, будет выполнена повторно.
• Завершить приложение - приложение, при работе с которым возникла ошибка, будет
завершено. Несохраненные данные будут потеряны.
• Закрыть окно - будет закрыто текущее окно/форма приложения. При закрытии
главного окна приложение может быть завершено.
• Игнорировать - не будет предпринято никаких действий.
© 2009 - 2013 Компания Индид
33
8. Контактная информация
Компания Индид
Телефон: 8 (495) 640-06-09 (Москва), 8 (812) 640-06-09 (Санкт-Петербург)
Адрес электронной почты: inbox@indeed-id.com
Официальный сайт: indeed-id.com
Служба поддержки пользователей Indeed-id
Телефон бесплатной горячей линии: 8 (800) 333-09-06
Адрес электронной почты: support@indeed-id.com
© 2009 - 2013 Компания Индид
34