Ez az útmutató lépésről lépésre bemutatja, hogyan állítsa be a Notakey Windows Credential Providert (WCP, hitelesítőadat-szolgáltató) távoli asztali bejelentkezéshez, telefonos második faktorral.
A készülék beállítása
Hozza létre az alkalmazást. A Notakey készülékben hozzon létre egy új alkalmazást Windows Remote Desktop néven. A hozzá tartozó grafika automatikusan betöltődik. Engedélyezze a biometrikus ellenőrzés támogatását; ha a bejelentkezéshez minden esetben ujjlenyomat- vagy arcfelismerést szeretne megkövetelni, kapcsolja be a force biometric check (biometrikus ellenőrzés kikényszerítése) opciót is.
Adja meg a felhasználókat. Hozzon létre felhasználókat közvetlenül, vagy csatlakoztasson külső felhasználói forrást: a leggyakoribb választás az Active Directory, amelyet a készülék dokumentációja részletesen tárgyal. Az AD-ból szinkronizált felhasználókhoz később eszkalációs vagy többfelhasználós jóváhagyási szabályok is rendelhetők.
Állítsa be a regisztrációs követelményeket, hogy az alkalmazás megjelenjen a Notakey Authenticatorban. Ha az AD-ban szerepelnek telefonszámok, SMS-es vagy WhatsAppos regisztráció is elérhető. Ha a regisztrációhoz olyan egyszerű bejelentkezési adatokat használ, amelyeket az AD ellenőriz, szerkessze a követelményt, és jelölje be az Authenticate against remote AUTH user sources opciót.
Generáljon API-hozzáférést. Hozzon létre egy új API-klienst üres scopes mezővel. A rendszer legenerálja a credential providerhez szükséges Client ID-t és titkos kulcsot.
A Windows-gép beállítása
Hozzon létre egy registry-fájlt a készülék hozzáférési adataival, mentse
wcp_notakey.reg néven, majd dupla kattintással importálja:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey]
[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey\WindowsCP]
"ServiceURL"="https://your-appliance.example.com/api/"
"ServiceID"="29afa6c0-907d-40f4-898f-8a96fcdf7230"
"ClientID"="c6df76db-10a7-4349-8e05-8b3656a4d404"
"ClientSecret"="pZ5lSo1Rz_ftCDg4h302794ZlmjMO64sVtiAvHop6dI"
"MessageTtlSeconds"=dword:0000001e
"MessageActionTitle"="Winlogin"
"MessageDescription"="Proceed as {0} on server {1}?"
"AuthCreateTimeoutSecs"=dword:00000014
"AuthWaitTimeoutSecs"=dword:0000003c
Az első négy értéket cserélje ki a sajátjára: a ServiceURL a készülék
API-végpontja, a ServiceID az alkalmazás azonosítója, a
ClientID/ClientSecret pedig a fent generált API-hozzáférés. A többi érték
észszerű alapbeállítás, hexadecimálisan megadva: a MessageTtlSeconds
(0x1e = 30 mp) azt szabja meg, meddig hagyható jóvá az értesítés, az
AuthCreateTimeoutSecs (0x14 = 20 mp) azt, hogy a WCP meddig vár a kérés
létrehozására, az AuthWaitTimeoutSecs (0x3c = 60 mp) pedig azt, hogy
meddig vár a felhasználó válaszára. A MessageDescription mezőben a {0} a
felhasználónevet, az {1} a gép nevét jelöli.
Telepítse a legfrissebb Windows Credential Providert a
letöltési oldalról, indítsa újra a Windowst, és
jelentkezzen be egyszer a megszokott módon. Ezután ellenőrizze a
LastLoggedOnProvider értéket itt:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI.
Zárolja a gépet, és válassza a Notakey Credential Providert. Adja meg a felhasználónevet és a jelszót. A Notakey engedélyt kér a jelszó titkosítására, és ettől kezdve a bejelentkezéshez elég a felhasználónév és a telefonos jóváhagyás.
Áttérés a kizárólag jelszó nélküli bejelentkezésre
Ha azt szeretné, hogy a Notakey legyen az egyetlen belépési út, tiltsa le az
alapértelmezett credential providert: keresse meg a CLSID-jét itt:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers,
és vegyen fel alá egy Disabled nevű DWORD bejegyzést 1 értékkel. Nagyobb
géppark esetén ugyanez Group Policyval is kiosztható.
Ezután már csak a Notakey Credential Provider marad aktív: a bejelentkezéshez elég a felhasználónév és a második faktor.