Использование Indeed AM со Space VDI

По результатам совместных тестовых испытаний выявлена полная совместимость и корректность совместной работы экосистемы виртуализации, включающей в себя SpaceVM версии 6.х. и Space Disp версии 5.х., и платформы Indeed Access Manager 8.0 и выше.

Indeed Access Manager Server

Описание

Indeed Access Manager - система централизованного управления доступом пользователей к информационным ресурсам компании, позволяющая консолидировать процедуры управления, предоставления и получения доступа в информационные системы предприятия. Indeed Access Manager состоит из ряда программных продуктов (компонентов), разделяющих общие принципы организации: архитектуры, системы хранения данных, администрирования, общего стиля оформления пользовательского интерфейса.

Установка

Создать ВМ в SpaceVM и установить на созданную ВМ ОС Windows server 2019.
Установить основной модуль Indeed Access Manager Server с хранилищем данных в AD на ВМ с ОС Windows server 2019 согласно документации Indeed ID.
После установки системы необходимо прислать идентификатор инсталляции для генерации лицензий. Документация по получению идентификатора и регистрации лицензии доступна по ссылке.
Для корректной работы с AD необходимо загрузить дополнительный шаблоны Файлы административных шаблонов групповых политик в формате ADMX, подробная информация доступна в документации по ссылке.

Indeed AM Windows Logon

Описание

Данный продукт Indeed AM Windows® Logon предоставляет пользователям следующие возможности:

Доступ в операционную систему по паролю учетной записи.
Доступ в операционную систему c применением технологии аутентификации Indeed AM.
Доступ к удаленному рабочему столу с применением технологии аутентификации Indeed AM.
Доступ в операционную систему по кэшированному аутентификатору при отсутствии связи с сервером Indeed.

С целью обеспечения безопасности данных во время отсутствия пользователя на рабочем месте Indeed AM Windows® Logon поддерживает как ручную блокировку рабочей станции, так и автоматическую блокировку (при извлечении устройства аутентификации или использовании экранной заставки). Независимо от способа блокировки для разблокирования рабочей станции всегда требуется повторное подтверждение личности пользователя с помощью аутентификатора. Дополнительно модуль поддерживает возможность самостоятельной регистрации аутентификаторов и управления ими с помощью приложения Indeed AM – Управление аутентификаторами. Функция Indeed AM Paste – автоматическая подстановка пароля в скрытом виде в нужное поле при нажатии определенной комбинации "горячих клавиш". Продукт Indeed AM Windows® Logon поддерживает более 20 современных технологий аутентификации. К ним относятся двухфакторная аутентификация, биометрическая аутентификация, сертификаты, бесконтактные карты, одноразовые пароли, sms-технологии и др. Для каждой категории пользователей системы Indeed AM Windows® Logon может быть подобрана собственная оптимальная технология аутентификации. Также пользователям может быть разрешено применение несколько технологий:

технология аутентификации, адаптированная для работы в удаленном режиме;
комбинация технологий аутентификации (мультифакторная аутентификация).

Устанавливается модуль, как и другие с помощью запуска msi пакета. Настройка производится через GPO либо редактируется реестр. Шаблоны групповых политик для включения в GPO, расположены indeed AM\Misc\GroupPolicyTemplates. Дальше необходимо настроить политики, используя доступные инструкции с сайта indeed. Для обеспечения доступа в систему с использованием технологии аутентификации Indeed на вашем рабочем месте должны быть установлены:

Модуль Indeed AM Windows® Logon, обеспечивающий возможность доступа в систему по аутентификатору.
Модуль Indeed AM Provider, соответствующий выбранной технологии аутентификации.
Аппаратное устройство аутентификации (в случае необходимости).

Возможности входа в систему по аутентификатору и управления аутентификаторами доступны только при наличии разрешения, установленного администратором системы.

Подготовка

Подготовить ВМ для использования в Space VDI. Подробная информация содержится в разделе Подготовка эталонного образа на основе Windows 8.1/10.
Установить и настроить Indeed AM Windows Logon и дополнительные модули на подготовленную ВМ. Подробная информация доступна в документации по ссылке.
Перевести ВМ в режим шаблона.
Создать динамический пул ВМ, в качестве шаблона для которого использовать созданный шаблон.
При использовании для авторизации бесконтактных карт или биометрической аутентификации необходимо настроить перенаправление USB по протоколу RDP на компьютере АРМ. Подробная информация содержится в разделе Настройки для возможности перенаправления USB (Spice и RDP).

Использование

Подключиться к созданному пулу ВМ из Space Client.
При использовании для авторизации бесконтактных карт или биометрической аутентификации необходимо перенаправить соответствующее устройство в ВМ. Подробная информация содержится в разделе Окно ВМ.
Выполнить для входа необходимые действия в появившемся окне Indeed.

Indeed AM RDP Windows Logon

Описание

Модуль Indeed AM RDP Windows Logon позволяет реализовать возможность двухфакторной аутентификации с помощью технологии Indeed AM в процессе подключения по RDP или Remote App. В качестве второго фактора могут выступать мастер-пароль (провайдер Passcode), одноразовый пароль, сгенерированный мобильным приложением (провайдер Software OTP), одноразовый пароль, отправленный по SMS или e-mail.

Подготовка

Подготовить ВМ для использования в Space VDI. Подробная информация содержится в разделе Подготовка эталонного образа на основе Windows 8.1/10.
Установить и настроить Indeed AM RDP Windows Logon на подготовленную ВМ. Подробная информация доступна в документации по ссылке.
Перевести ВМ в режим шаблона.
Создать динамический пул ВМ, в качестве шаблона для которого использовать созданный шаблон.

Использование

Подключиться к созданному пулу ВМ из Space Client.
Выполнить для входа необходимые действия в появившемся окне Indeed.