Hideez Authenticator (UA)
  • Огляд застосунку
  • Інструкція для адміністраторів
    • Налаштування Єдиного входу для співробітника
    • Налаштування для безпарольного входу в робочу станцію
      • Налаштування центру сертифікації в Active Directory
      • Налаштування сервера для безпарольного входу
    • Наступні кроки
  • Інструкція для користувачів
    • Інструкція для Android
      • Попереднє налаштування мобільного застосунку для Android та реєстрація застосунку на сервері
      • Реєстрація Hideez Authenticator на сервері
        • Реєстрація єдиного входу (SSO)
          • Реєстрація SSO (обліковий запис адміністратора)
          • Реєстрація SSO (обліковий запис користувача)
        • Реєстрація Hideez Authenticator для авторизації в ПК
          • Реєстрація Hideez Authenticator для безпарольної авторизації в ПК
            • Продовження дії сертифіката для безпарольної авторизації
          • Реєстрація Hideez Authenticator для авторизації через пароль
            • Перехідний акаунт
      • Вхід за допомогою Hideez Authenticator
        • Вхід на сервер HES за допомогою технології Single sign-on (SSO)
          • Вхід без логіна і пароля на сервер HES за допомогою Hideez Authenticator (SSO)
          • Вхід в обліковий запис HES за допомогою Hideez Authenticator як другого фактору (2FA)
        • Вхід в робочу станцію
          • Безпарольний вхід в робочу станцію
            • Офлайн вхід в робочу станцію
          • Авторизація у робочу станцію через пароль
          • Вхід у віддалену робочу станцію через підключення до RDP
      • Блокування ПК за допомогою смартфона
      • Створення OTP-паролів
      • Вимкнення мобільного застосунку
        • Вимкнення входу в робочу станцію через Hideez Authenticator
        • Вимкнення входу в HES через Hideez Authenticator
      • Сервісні операції
    • Інструкція для iOS
      • Попереднє налаштування мобільного застосунку для iOS
      • Реєстрація програмного ключа
        • Реєстрація єдиного входу (SSO)
          • Реєстрація SSO (обліковий запис адміністратора)
          • Реєстрація SSO (обліковий запис користувача)
        • Реєстрація Hideez Authenticator для авторизації в ПК
          • Реєстрація Hideez Authenticator для безпарольної авторизації в ПК
            • Продовження дії сертифіката для безпарольної авторизації
          • Реєстрація Hideez Authenticator для авторизації через пароль
            • Перехідний акаунт
      • Вхід за допомогою Hideez Authenticator
        • Вхід за допомогою технології Single sign-on (SSO)
          • Вхід без логіна і пароля за допомогою Hideez Authenticator (технологія SSO)
          • Вхід в обліковий запис HES за допомогою Hideez Authenticator як другого фактору (2FA)
        • Вхід в робочу станцію
          • Безпарольний вхід у робочу станцію
            • Офлайн вхід в робочу станцію
          • Авторизація у робочу станцію через пароль
          • Вхід у віддалену робочу станцію через підключення до RDP
      • Блокування ПК за допомогою смартфона
      • Створення OTP-паролів
      • Вимкнення мобільного застосунку
        • Вимкнення входу в робочу станцію через Hideez Authenticator
        • Вимкнення входу в HES через Hideez Authenticator
      • Сервісні операції
  • Усунення несправностей
  • Допомога
  • Портал Документації Hideez
Powered by GitBook
On this page
  • Як працює безпарольна автентифікація?
  • Налаштування сертифікаційного центру Active Directory
  • Щоб створити шаблон сертифіката:
  1. Інструкція для адміністраторів
  2. Налаштування для безпарольного входу в робочу станцію

Налаштування центру сертифікації в Active Directory

PreviousНалаштування для безпарольного входу в робочу станціюNextНалаштування сервера для безпарольного входу

Last updated 5 months ago

Як працює безпарольна автентифікація?

Вона базується на технології Microsoft Virtual Smart Card, яка дозволяє входити в облікові записи домену, використовуючи не фізичні, а віртуальні смарт-карти. Як і з звичайними смарт-картами, це можливе за умови налаштування контролера домену та центру сертифікації. Віртуальна смарт-карта створюється на робочій станції за допомогою модуля TPM.

При ініціалізації віртуальної смарт-карти частина інформації, необхідної для входу в акаунт (дані смарт-карти), передається до мобільного застосунку і зберігається там. Під час входу користувач сканує QR-код на екрані комп’ютера, що дозволяє встановити з’єднання між комп’ютером і телефоном, після чого дані смарт-карти передаються на комп’ютер, і ПК розблоковується.

Налаштування сертифікаційного центру Active Directory

Для сертифікаційного центру потрібно створити шаблон сертифіката, який ви будете запитувати для віртуальної смарт-карти.

Щоб створити шаблон сертифіката:

  1. На вашому сервері відкрийте Microsoft Management Console (MMC). Один зі способів зробити це — ввести mmc.exe у меню "Пуск", клацнути правою кнопкою на mmc.exe і вибрати "Запустити від імені адміністратора".

  1. Клацніть "Файл", а потім виберіть "Додати/Видалити снапін".

  2. Додайте або видаліть снапін.

  1. У списку доступних снапінів виберіть "Шаблони сертифікатів" і натисніть "Додати".

  2. Снапін "Шаблони сертифікатів" тепер буде знаходитися під Console Root в MMC. Двічі клацніть, щоб переглянути всі доступні шаблони сертифікатів.

  3. Клацніть правою кнопкою миші на шаблон "Smartcard Logon" і виберіть "Дублювати шаблон".

  1. На вкладці "Сумісність" у розділі "Certification Authority" перевірте вибір і при необхідності змініть його.

  1. На вкладці "Загальні":

  • Введіть назву, наприклад, "TPM Virtual Smart Card Logon".

  • Встановіть період дії на бажану величину.

  1. На вкладці "Обробка запитів":

  • Встановіть "Призначення" на "Підпис" та "вхід через смарт-карту".

  • Увімкніть "Запитати у користувача під час реєстрації".

  1. На вкладці "Криптографія":

  • Встановіть мінімальний розмір ключа на 2048.

  • Виберіть "Запити повинні використовувати одного з наступних постачальників" і виберіть "Microsoft Base Smart Card Crypto Provider".

  1. На вкладці "Безпека" додайте групу безпеки, якій ви хочете надати доступ до реєстрації. Наприклад, якщо ви хочете дати доступ усім користувачам, виберіть групу "Аутентифіковані користувачі" і надайте їм права на реєстрацію.

  2. Клацніть "ОК", щоб завершити зміни та створити новий шаблон. Ваш новий шаблон тепер повинен з’явитися в списку шаблонів сертифікатів.

  3. Виберіть "Файл", а потім "Додати/Видалити снапін", щоб додати снапін "Certification Authority" до вашої консолі MMC. Коли з’явиться запит на вибір комп’ютера для управління, виберіть комп’ютер, на якому знаходиться CA, ймовірно, це буде "Local Computer".

  1. Додайте снапін "Certification Authority".

  2. У лівій панелі MMC розгорніть "Certification Authority (Local)", а потім розгорніть ваш CA у списку сертифікаційних центрів.

  1. Клацніть правою кнопкою миші на "Шаблони сертифікатів", виберіть "Новий", а потім "Шаблон сертифіката для випуску". У списку виберіть новий шаблон, який ви тільки що створили (TPM Virtual Smart Card Logon), і натисніть "ОК".

Примітка: Може знадобитися деякий час, поки ваш шаблон буде репліковано на всі сервери і з’явиться в цьому списку.

  1. Після реплікації шаблону в MMC, клацніть правою кнопкою миші в списку сертифікаційних центрів, виберіть "Усі завдання" і натисніть "Зупинити службу". Потім клацніть правою кнопкою на ім’я CA ще раз, виберіть "Усі завдання" і натисніть "Запустити службу".