Šis ceļvedis apraksta, kā konfigurēt Notakey Windows Credential Provider (WCP) attālās darbvirsmas autentifikācijai, kur otrais faktors ir apstiprinājums lietotāja tālrunī.
Notakey iekārtas iestatīšana
Izveidojiet lietotni. Notakey iekārtā (appliance) izveidojiet jaunu lietotni ar nosaukumu Windows Remote Desktop — atbilstošais attēls ielādēsies automātiski. Iespējojiet biometriskās pārbaudes atbalstu; iespējojiet force biometric check, ja pieteikšanās vienmēr jāapstiprina ar pirkstu nospiedumu vai sejas verifikāciju.
Definējiet lietotājus. Izveidojiet lietotājus tieši vai pievienojiet ārēju lietotāju avotu (Active Directory ir izplatīts risinājums, un tas aprakstīts ierīces dokumentācijā). Lietotājiem, kas sinhronizēti no AD, vēlāk var piešķirt eskalācijas vai vairāku lietotāju apstiprināšanas politikas.
Konfigurējiet reģistrēšanās prasības, lai lietotne parādītos Notakey Authenticator lietotnē. Ja AD ir pieejami tālruņu numuri, ir iespējama reģistrēšanās ar SMS vai WhatsApp. Ja tiek izmantoti vienkārši piekļuves dati, kas tiek pārbaudīti pret AD, rediģējiet prasību un atzīmējiet Authenticate against remote AUTH user sources.
Izveidojiet API piekļuves datus. Izveidojiet jaunu API klientu ar tukšu scopes lauku: sistēma ģenerēs Client ID un secret, kas nepieciešami akreditācijas datu nodrošinātājam (credential provider).
Windows datora iestatīšana
Izveidojiet reģistra failu ar savas iekārtas piekļuves datiem,
saglabājiet to kā wcp_notakey.reg un veiciet dubultklikšķi, lai to
importētu:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey]
[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey\WindowsCP]
"ServiceURL"="https://your-appliance.example.com/api/"
"ServiceID"="29afa6c0-907d-40f4-898f-8a96fcdf7230"
"ClientID"="c6df76db-10a7-4349-8e05-8b3656a4d404"
"ClientSecret"="pZ5lSo1Rz_ftCDg4h302794ZlmjMO64sVtiAvHop6dI"
"MessageTtlSeconds"=dword:0000001e
"MessageActionTitle"="Winlogin"
"MessageDescription"="Proceed as {0} on server {1}?"
"AuthCreateTimeoutSecs"=dword:00000014
"AuthWaitTimeoutSecs"=dword:0000003c
Nomainiet pirmās četras vērtības pret savām: ServiceURL ir jūsu ierīces API
galapunkts, ServiceID ir lietotnes ID, bet ClientID/ClientSecret ir
iepriekš izveidotie API piekļuves dati. Pārējās vērtības ir saprātīgi
noklusējumi heksadecimālā formātā: MessageTtlSeconds (0x1e = 30 s) nosaka,
cik ilgi push paziņojumu var apstiprināt, AuthCreateTimeoutSecs (0x14 =
20 s) nosaka, cik ilgi WCP gaida pieprasījuma izveidi, un AuthWaitTimeoutSecs
(0x3c = 60 s) — cik ilgi tas gaida lietotāja atbildi. Laukā
MessageDescription {0} apzīmē lietotājvārdu, bet {1} apzīmē datora
nosaukumu.
Instalējiet jaunāko Windows Credential Provider versiju no
lejupielāžu lapas, restartējiet Windows un vienreiz
piesakieties parastajā veidā. Pēc tam pārbaudiet LastLoggedOnProvider
vērtību zem
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI.
Bloķējiet datoru un izvēlieties Notakey Credential Provider. Ievadiet lietotājvārdu un paroli — Notakey pieprasīs atļauju paroles šifrēšanai, un turpmāk pieteikšanās notiks ar lietotājvārdu un apstiprinājumu telefonā.
Pāreja uz pilnībā bezparoles režīmu
Lai Notakey būtu vienīgais pieteikšanās veids, atspējojiet noklusējuma
akreditācijas datu nodrošinātāju: atrodiet tā CLSID zem
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers
un pievienojiet DWORD vērtību ar nosaukumu Disabled un vērtību 1. To pašu
var kontrolēt lielākā mērogā ar Group Policy.
Pēc tam aktīvs paliek tikai Notakey Credential Provider — pieteikšanās vairs nav nepieciešama parole, tikai lietotājvārds un otrais faktors.