Автор: Anna Korobkyna

ОБРАТИТЕ ВНИМАНИЕ!
При интеграции решения двухфакторной аутентификации Protectimus с ADFS пользователи, которых вы создаете в облачном сервисе или платформе Protectimus должны иметь логины вида [email protected]

1. Зарегистрируйтесь и задайте базовые настройки

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.
2. Создайте ресурс.
3. Добавьте пользователей.

ВНИМАНИЕ! Логин пользователя в сервисе Protectimus должен иметь вид [email protected], где login — это имя пользователя в AD, а domain.com — ваш корпоративный домен. Например, если имя вашего пользователя в AD John-Doe а корпоративный домен google.com, то в сервисе Protectimus необходимо добавить пользователя с логином [email protected]

4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2. Установите Protectimus ADFS

1. Скачайте установщик Protectimus ADFS.
2. Запустите инсталлятор от имени администратора.

3. Вы увидите экран приветствия. Нажмите кнопку Next, чтобы продолжить установку.

4. На данном этапе выберите Protectimus MFA ADFS и нажмите Next.

5. Укажите API URL, API Login, API Key, Resource ID:

• API URL. При использовании сервиса используйте данный API URL https://api.protectimus.com, при использовании платформы адрес для доступа к API будет адресом сервера, где запущена платформа.
• API Login. Это адрес электронной почты, который был выбран при регистрации в сервисе.
• API Key. Ключ API находится в профиле пользователя. Чтобы перейти в профиль пользователя нажмите на своем логине в правом верхнем углу интерфейса и выберите пункт Профиль из выпадающего списка.
• Resource ID. После создания ресурса вы попадете на страницу со списком доступных ресурсов, где увидите только что созданный ресурс. Кроме прочего, в таблице будет отображен ID ресурса.

6. Все готово к установке, нажмите кнопку Install. Во время установки будет перезапущена служба ADFS.

7. Когда установка будет завершена, нажмите Finish.

3. Настройте многофакторную аутентификацию в ADFS

1. Запустите консоль управления AD FS: Server Manager -> Tools -> AD FS Management

2. Перейдите к настройкам многофакторной аутентификации: Authentication Policies -> Multi-Factor Authentication -> Global settings -> Edit

3. Затем:

• Добавьте пользователей/группу пользователей (нажав Add), к которым будет применяться многофакторная аутентификация;
• Отметьте галочками где вы хотите включить многофакторную аутентификацию;
• Выберите Protectimus MFA в качестве дополнительного метода мультифакторной аутентфикации;
• Нажмите Apply, чтобы завершить настройку Protectimus MFA для ADFS.

4. Проверка корректности установки и настройки

1. Для проверки необходимо перейти по адресу: https://adfs.yourdomain.com/adfs/ls/idpinitiatedsignon.aspx

2. На втором этапе аутентификации введете Ваш одноразовый пароль.

ВНИМАНИЕ! Требуется .NET Framework 4.7.x.

1. Зарегистрируйтесь и задайте базовые настройки

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2. Установите компонент Protectimus OWA 2FA

1. Скачайте установщик Protectimus OWA 2FA.
2. Запустите инсталлятор Protectimus OWA 2FA от имени администратора.

3. Вы увидите  экран приветствия. Нажмите кнопку Next, чтобы продолжить установку Protectimus OWA 2FA.

4. Ознакомьтесь с лицензионным соглашением и нажмите кнопку Next, чтобы продолжить установку.

5.  Введите API URL, API Login, API Key и нажмите Login.
   
   Эти параметры означают:
   • API URL. При использовании сервиса используйте данный API URL https://api.protectimus.com, при использовании платформы адрес для доступа к API будет адресом сервера, где запущена платформа.
   • API Login. Это адрес электронной почты, который был выбран при регистрации в сервисе.
   • API Key. Ключ API находится в профиле пользователя. Чтобы перейти в профиль пользователя нажмите на своем логине в правом верхнем углу интерфейса и выберите пункт Профиль из выпадающего списка.

6. Resource ID. Выберите Ресурс, который вы создали перед началом установки. Затем нажмите Next, чтобы продолжить установку.

Если вы еще не создали ресурс, добавьте его сейчас. Нажмите Add Resource и придумайте любое имя ресурса.

7. Задайте дополнительные настройки:
   • Invalid OTP Message — укажите текст сообщения для неверного OTP.
   • General API Error Message — укажите текст сообщения об ошибке API.
   • AD Group — если вы хотите активировать двухфакторную аутентификацию только для определенной группы пользователей, выберите эту группу. По умолчанию двухфакторная аутентификация будет включена для всех пользователей.
   • Cache Timeout — укажите, как часто Protectimus будет обращаться к Active Directory, чтобы проверить, добавлен ли в Active Directory пользователь, запрашивающий доступ к OWA. Время должно быть указано в минутах. По умолчанию установлено значение 15 минут, что означает, что Protectimus будет синхронизироваться с Active Directory каждые 15 минут. Если вы укажете значение 0, система будет связываться с Active Directory каждый раз, когда пользователь входит в систему.
   • OTP Cookie Lifetime — укажите, как часто пользователям необходмо будет проходить повторную аутентификацию. Время должно быть указано в минутах. По умолчанию установлено значение 720 минут (12 часов), что означает, что каждые 12 часов ваши пользователи должны будут вводить одноразовые пароли для продолжения работы с OWA.

ВНИМАНИЕ! Позже вы также cможете менять эти настройки в файле конфигурации.

8. Нажмите Next, чтобы продолжить установку.

9. Все готово к установке. Выберите модули, которые вы хотите защитить: OWA, Exchange Admin Center или оба сразу. Затем нажмите Install.

3. Войдите в Outlook Web App или EAC с двухфакторной аутентификацией

1. Откройте Outlook Web App или Exchange Admin Center.
2. Введите имя пользователя и пароль, а затем нажмите Sign in.

3. Введите одноразовый пароль с токена двухфакторной аутентификации.

ВНИМАНИЕ! Если вы используете токен OCRA, используйте код, который вы увидите на странице аутентификации, чтобы сгенерировать одноразовый пароль.

4. Изменение настроек

5. Конфигурация формата имени пользователя

Логин пользователя в сервисе Protectimus должен иметь вид user@domain или DOMAIN\user, где user — это имя пользователя в AD, а domain — Ваш корпоративный домен.

<add key="protectimus:is-owa-old-format" value="true" />

true

false

Если параметр не задан

ОБРАТИТЕ ВНИМАНИЕ:

1. Администраторы могут выполнять всю работу на заданных вами ресурсах, но только владелец аккаунта Protectimus можете управлять администраторами: создавать, задавать права, удалять.
2. Администратор может управлять пользователями, токенами, фильтрами, но он не может их удалять, если сам их не создавал.
3. Также, администратор не может изменить тарифный план, пополнить счет и просмотреть статистику по платежам.
4. Количество доступных для создания Администраторов ограничивается выбранным вами тарифным планом в сервисе Protectimus.

Как добавить администратора

1. Войдите в свою учетную запись в Облачном сервисе Protectimus или на Локальной платформе Protectimus.


2. Перейдите на страницу Администраторы.

3. Нажмите на кнопку Добавить администратора.

4. Укажите е-mail администратора, код подтверждения, выберите ресурсы, доступ к которым будет у администратора и нажмите Продолжить.

5. Затем сообщите данный код вашему администратору любым удобным способом, чтобы он смог зарегистрироваться в системе.

Эту функцию также можно назвать анализом окружения пользователя. Функция интеллектуальной идентификации позволяет анализировать окружение пользователя (имя браузера, версия браузера, операционная система, язык, разрешение окна, разрешение монитора, глубина цвета, доступна Java или нет, плагины). Если допустимый порог несовпадений будет превышен, пользователь будет заблокирован и не получит доступ к своей учетной записи даже с одноразовым паролем.

Как активировать интеллектуальную идентификацию

1. Войдите в свою учетную запись в Облачном сервисе Protectimus или на Локальной платформе Protectimus.


2. Перейдите на страницу Ресурсы.

3. Выберите нужный ресурс из списка, нажмите на его название.

4. Перейдите на вкладку Интеллектуальная идентификация. Установите «вес» каждого параметра (минимальный, нормальный или доверенный) и сохраните настройки.

1. Чтобы ограничить доступ к ресурсу в зависимости от страны, в которой находятся пользователи, создайте географический фильтр.
2. Чтобы ограничить доступ к ресурсу в зависимости от времени входа, создайте временной фильтр.
3. Созданный фильтр необходимо назначить на ресурс, к которому вы хотите его применить.

Количество доступных для создания фильтров ограничивается выбранным вами тарифным планом в сервисе Protectimus.

1. Как создать географический фильтр

1. Войдите в свою учетную запись в Облачном сервисе Protectimus или на Локальной платформе Protectimus.


2. Перейдите на страницу Фильтры — Geo-фильтры.

3. Нажмите кнопку Добавить фильтр.

4. Задайте название фильтра и выберите страны в которых будет разрешен или запрещен доступ к вашему ресурсу. После этого нажмите Сохранить.

5. Назначьте созданный географический фильтр на ресурс. Как это сделать читайте здесь.

2. Как создать временной фильтр

1. Войдите в свою учетную запись в Облачном сервисе Protectimus или на Локальной платформе Protectimus.


2. Перейдите на страницу Фильтры — Временные фильтры.

3. Нажмите кнопку Добавить фильтр.

4. Задайте название фильтра, укажите часовой пояс, отметьте дни недели и укажите время, в которое будет разрешен или запрещен доступ к вашему ресурсу. После этого нажмите Сохранить.

5. Назначьте созданный временный фильтр на ресурс. Как это сделать читайте здесь.

3. Как назначить фильтры на ресурс

1. Перейдите на страницу Ресурсы.

2. Выберите нужный ресурс и нажмите кнопку Назначить. Выберите Geo-фильтр или Временной фильтр в зависимости от того какой фильтр вы хотите назначить на ресурс.

3. После этого выберите нужный фильтр из списка и нажмите Назначить.

Подробная информация о всех OTP токенах Protectimus доступна на странице Токены. Вы можете использовать разные типы токенов для разных пользователей.

ОБРАТИТЕ ВНИМАНИЕ! Администратор может создавать токены и назначать их пользователям вручную или активировать Портал самообслуживания пользователей, через который пользователи смогут самостоятельно выполнять ряд действий по выпуску и обслуживанию токенов.

ОБРАТИТЕ ВНИМАНИЕ! Один пользователь может использовать только один токен для аутентификации в рамках одного ресурса. Количество доступных для создания токенов ограничивается выбранным вами тарифным планом в сервисе Protectimus.

1. Как добавлять токены вручную

1. Войдите в свою учетную запись в Облачном сервисе Protectimus или на Локальной платформе Protectimus.


2. Перейдите на страницу Токены.

3. Нажмите на кнопку Добавить токен.

4. Выберите тип токена, который хотите добавить. Это могут быть:

• Аппаратные токены. Protectimus Two (используйте кнопку Protectimus Two), Protectimus Slim NFC (используйте кнопку Protectimus Slim), Protectimus Flex (используйте кнопку Protectimus Slim),  Yubiko OATH, SafeNet eToken Pass.

• Программные токены. Приложение для генерации одноразовых паролей Protectimus Smart (используйте кнопку Protectimus SMART), любые другие мобильные аутентификаторы, например, Google Authenticator (используйте кнопку Google Authenticator), доставка OTP пароля по e-mail (используйте кнопку Protectimus MAIL), SMS (используйте кнопку Protectimus SMS) или через чат-боты в мессенджерах Facebook Messenger, Telegram, Viber (используйте кнопку Бот-токен).

• Универсальный токен. Через этот механизм можно добавить любые аппаратные OATH токены других производителей. Обратите внимание, вам понадобятся секретные ключи этих токенов.

5. После выбора нужного типа токена необходимо будет заполнить все необходимые поля, ввести одноразовый пароли с токена и нажать кнопку Сохранить.

ОБРАТИТЕ ВНИМАНИЕ! При создании токена любого типа вам доступна функция PIN-кода. Если вы активируете эту функцию, пользователь должен будет вводить заданный PIN-код каждый раз вместе с одноразовым паролем (до или после одноразового пароля, в зависимости от выбора администратора). Это дополнительный уровень защиты учетной записи пользователя. Даже если злоумышленник подберет пароль и завладеет токеном пользователя, он не сможет скомпрометировать учетную запись без PIN-кода.

ВНИМАНИЕ! После создания токена, необходимо назначить токен пользователю и назначить токен с пользователем на ресурс.

2. Как редактировать токены

1. Перейдите на страницу Токены.

2. Найдите нужный токен и нажмите на его название.

3. Вы попадете на страницу просмотра детальной информации о токене где сможете:

• изменить название токена;
• добавить/изменить/удалить PIN код;
• временно деактивировать токен;
• изменить длину одноразового пароля.

3. Как деактивировать токены

1. Перейдите на страницу Токены.

2. Найдите нужный токен и нажмите на выпадающий список в поле Активность. Вы можете деактивировать токен на:
   • 1 час;
   • 8 часов;
   • 12 часов;
   • 24 часа;
   • также можно отключить токен навсегда, выбрав опцию деактивировать.

ВНИМАНИЕ! При деактивации токена, система двухфакторной аутентификации будет принимать ЛЮБОЙ ОДНОРАЗОВЫЙ ПАРОЛЬ как правильный.

4. Как перевыпускать токены

1. Перейдите на страницу Токены.

2. Найдите нужный токен и нажмите на его название.

3. Перейдите во вкладку Перевыпуск токена, заполните все необходимые поля и нажмите кнопку Перевыпустить.

5. Как удалять токены

ОБРАТИТЕ ВНИМАНИЕ! Удалить токен может только тот администратор, который его создал, или главный администратор.

1. Перейдите на страницу Токены.

2. Найдите нужный токен, нажмите на красную кнопку с изображением корзины и подтвердите действие.

6. Как синхронизировать аппаратные токены с MFA сервером

1. Перейдите на страницу Токены.

2. Найдите нужный токен и нажмите на его название.

3. Перейдите на вкладку Синхронизация токена.

4. Введите два последовательных одноразовых пароля из токена в соответствующие поля и нажмите кнопку Отправить.

•  Облачном сервисе Protectimus можно добавлять пользователей вручную или импортировать пользователей с помощью CSV-файла.
• В On-Premise платформе Protetimus можно добавлять пользователей вручную, импортировать пользователей с помощью CSV-файла или включить синхронизацию пользователей с вашим каталогом пользователей (AD, LDAP, базы данных). Вы найдете инструкцию по настройке синхронизации пользователей с вашей службой каталогов в разделе On-Premise платформа.

Количество доступных для создания пользователей ограничивается выбранным вами тарифным планом. Если вам необходимо создать больше пользователей, выберите желаемое количество пользователей настроив свой тарифный план в сервисе Protectimus.

1. Как добавлять пользователей вручную

1. Войдите в свою учетную запись в Облачном сервисе Protectimus или на Локальной платформе Protectimus.


2. Перейдите на страницу Пользователи.

3. Нажмите на кнопку Добавить пользователя.

4. Укажите Логин пользователя, остальные параметры — по желанию. Логин пользователя должен содержать только латиницу, цифры и следующие символы: _-@∽!#%+.$. Пробелы и любые другие символы не допускаются.

ОБРАТИТЕ ВНИМАНИЕ! Если вы планируете активировать регистрацию токенов через портал самообслуживания пользователей, у пользователей должен быть установлен пароль в Protectimus или указан адрес электронной почты, на который будет приходить код подтверждения для входа в портал. Если указаны и пароль, и адрес электронной почты, то вход будет осуществляться по паролю. После выпуска и назначения на ресурс токена, для пользователя при входе также будет запрошен одноразовый пароль с этого токена.

2. Как импортировать пользователей

1. Перейдите на страницу Пользователи.

2. Нажмите на кнопку Импорт пользователей.

3. Создайте файл CSV в соответствии с инструкциями, которые вы увидите.

Пример:
login, email, phoneNumber, firstName, secondName, resourceName1, tokenName1, resourceId2, tokenId2
John, [email protected], 9990000001, John, Smith, matrix, smartToken, office, 901
Steve, [email protected], 9990000002, Steve, Stevenson, office, , , 79

4. Прикрепите CSV файл и нажмите на кнопку Импортировать.

3. Как назначить токен пользователю

1. Перейдите на страницу Пользователи.

2. Найдите нужного пользователя в списке всех пользователей, нажмите кнопку Назначить токен:

• если вы еще не добавили токен, нажмите на кнопку Новый и создайте токен для данного пользователя;
• если вы уже добавили токен (дополнительную информацию см. в разделе Токены), нажмите на кнопку Существующий, затем выберите нужный токен и нажмите Назначить.

4. Как деактивировать токен пользователя

1. Перейдите на страницу Пользователи.

2. Найдите нужного пользователя в списке и нажмите на его Логине.

3. Перейдите во вкладку Токены.

4. Нажмите кнопку Отменить и подтвердите действие.

5. Как редактировать пользователей

1. Перейдите на страницу Пользователи.

2. Найдите нужного пользователя в списке всех пользователей и нажмите на и нажмите на синюю кнопку справа.

3. Вы попадете на страницу редактирования пользователя и сможете внести изменения.

6. Как удалять пользователей

1. Перейдите на страницу Пользователи.

2. Найдите нужного пользователя в списке всех пользователей и нажмите на красную кнопку с изображение корзины.

3. Подтвердите действие.

Ресурс является средством группировки пользователей. Например, если вам нужно защитить пользователей разных веб-проектов, порталов или сотрудников разных отделов, вы можете добавить несколько Ресурсов.

Количество доступных для создания ресурсов (проектов) ограничивается выбранным вами тарифным планом. Если вам необходимо создать больше ресурсов, выберите желаемое количество ресурсов настроив собственный тарифный план.

1. Как создать ресурс

1. Войдите в свою учетную запись в Облачном сервисе Protectimus или на Локальной платформе Protectimus.


2. Перейдите на страницу Ресурсы.

3. Нажмите на кнопку Добавить ресурс.

4. После этих действий вы попадете на страницу добавления ресурса, где обязательно необходимо указать только Название ресурса, остальные параметры — по желанию.

• Webhook URL. При определенных событиях связанных с ресурсами вам будет отправлено уведомление, содержащее детальную информации в JSON формате. Для отправки уведомлений используется POST запрос на указанный webhook. В случае неудачного запроса попытка повторится несколько раз. В настоящее время webhook используется для получения результата интерактивной (INTERACTIVE) аутентификации. Интерактивная аутентификация поддерживается токеном Protectimus Bot.
• Сертификат открытого ключа удостоверяет принадлежность открытого ключа указанному webhook. Предоставленный сертификат должен быть в кодировке PEM (ASCII BASE64), файл pem должен содержать только открытый ключ начинаться с «——BEGIN CERTIFICATE—— » и заканчиваться  «——END CERTIFICATE—— «
• Разрешенные IP адреса. Позволяет ограничить доступ к системе только с доверенных IP-адресов.
• Проверка по IP активирована. Активирует ограничение доступа к системе из указанных IP-адресов.
• Количество неуспешных попыток входа до блокировки. Значение этого параметра должно быть в диапазоне от 3 до 10. Если пользователь или токен не пройдет аутентификацию, то для него будет увеличен счетчик неуспешных попыток аутентификации. При превышении порогового значения количества неверных попыток для указанного ресурса пользователь будет заблокирован. Разблокировать пользователя можно через веб-интерфейс. При успешной аутентификации счетчик неуспешных попыток обнулится, если он не превысил допустимый предел для ресурса и пользователь еще не был заблокирован.
• Активность. Позволяет активировать и деактивировать ресурс.

2. Как редактировать ресурс

1. Перейдите на страницу Ресурсы.

2. Выберите нужный ресурс и нажмите на синюю кнопку справа.

3. Вы попадете на страницу настроек ресурса и сможете внести изменения.

3. Как удалить ресурс

Удалить ресурс может только администратор, который его создал, либо главный администратор.

1. Перейдите на страницу Ресурсы.

2. Выберите ресурс, который собираетесь удалить, и нажмите на кнопку красного цвета с изображение корзины.

3. Подтвердите действие.

4. Как назначить пользователей и токены на ресурс

Пользователи и Токены должны быть назначены на Ресурс, иначе Пользователи не будут иметь доступа к этому Ресурсу и Токены не будут работать. Способ назначения пользователя на ресурс зависит от выбранного способа аутентификации. Protectimus поддерживает несколько способов аутентифицировать пользователя:

1. Аутентификация пользователя по статическому паролю. Для работы этого метода у пользователя должен быть задан пароль и пользователь должен быть назначен на ресурс для которого выполняется проверка.
2. Аутентификация пользователя по одноразовому паролю. Для этого у пользователя должен быть токен, и пользователь должен быть назначен на ресурс ВМЕСТЕ с токеном (сначала нужно назначить токен пользователю, а потом назначить токен с пользователем на ресурс). Назначение на ресурс отдельно пользователя и отдельно токена будет неправильным для работы этого метода.
3. Аутентификация пользователя по статическому и одноразовому паролю. Является комбинацией двух вышеописанных методов. Пользователь должен быть назначен на ресурс ВМЕСТЕ с токеном (сначала нужно назначить токен пользователю, а потом назначить токен с пользователем на ресурс). У пользователя должен быть задан пароль. Если токен пользователя будет отключен, то проверка ОТР выполняться не будет, в таком случае будет проверен только статический пароль и проходит ли пользователь фильтры, если они существуют.
4. Аутентификация токена на ресурсе. Этот способ позволяет не привязывать токен к какому-то конкретному пользователю и просто проверять валидность сгенерированного одноразового пароля. При использовании этого способа токен должен быть назначен на ресурс.

1. Перейдите на страницу Ресурсы.

2. Выберите нужный ресурс, нажмите Назначить, затем Токен с пользователем (убедитесь, что ранее вы назначили токены пользователям).

ВНИМАНИЕ! Вы можете назначить на ресурс только Пользователей или только Токены, если вы выберете аутентификацию пользователя по статическому паролю или аутентификацию токена на ресурсе.

3. Выберите токены, которые должны быть назначены на ресурс и нажмите Назначить.

Локальная платформа двухфакторной аутентификации Protectimus может быть установлена на частном сервере или в частном облаке клиента.

• Требования для установки на частном сервере: Java (JDK версии 8); СУБД PostgreSQL (версия 10 и выше)
• Требования для установки в частном облаке: 2 Core (CPU), 8 GB (MEM); ОС: Linux/Windows; Disk: 20GB; Load Balancer.

Для обеспечения бесперебойной работы сервера двухфакторной аутентификации, разверните кластер из нескольких серверов (рекомендуем использовать минимум 3 ноды). Для распределения нагрузки понадобится Load Balancer.

Вы можете установить Платформу Protectimus с помощью инсталлятора для Windows или из Docker-образа.

1. Установка Платформы Protectimus из Docker-образа

1. Для установки On-premise платформы Protectimus необходимо скачать и установить docker, docker-compose:

• Docker: https://docs.docker.com/engine/install/
• Docker-compose: https://docs.docker.com/compose/install/

2. Склонировать git репозиторий: https://github.com/protectimus/platform-linux.git

3. Перейти в каталог platform-linux/platform и запустить:

docker-compose up -d

4. За процессом разворачивания платформы можно наблюдать используя команду:

docker-compose logs -f

5. После завершения процесса запуска, платформа будет доступна по адресу: https://localhost:8443

2. Установка платформы на ОС Windows при помощи инсталлятора

1. Загрузите и запустите установщик On-premise платформы Protectimus. Выберите пункт Platform. Если вы планируете использовать компоненты DSPA или RProxy (необходим для интеграции по протоколу RADIUS) и/или доставку OTP паролей через чат-ботов в мессенджерах Telegram, Facebook Messenger, Viber, поставьте галочки напротив соответствующих компонентов. Нажмите Next.

2. Перед развертыванием платформы Protectimus, на вашем сервере должна быть установлена Java. Нажмите кнопку Install, чтобы проверить наличие Java. Если Java еще не установлена, последняя версия JDK будет установлена автоматически.

3. Также на вашем сервере должна быть установлена система управления базами данных PostgreSQL (версия 9.2 и выше). Нажмите кнопку Install, чтобы проверить наличие PostgreSQL. Если PostgreSQL еще не установлена, последняя версия PostgreSQL будет установлена автоматически.

ВНИМАНИЕ: Во время установки вам нужно будет задать имя суперпользователя (superuser name) и пароль. Этот логин и пароль понадобится вам для входа в PostgreSQL позже.

Пожалуйста, запомните свое имя суперпользователя (в данном случае postgres) и пароль, который вы добавите на этом этапе. Это имя и пароль потребуются для входа в PostgreSQL позже.

4. Войдите в базу данных PostgreSQL. Введите имя суперпользователя и пароль, которые вы указали при установке PostgreSQL, и нажмите LogIn. Затем нажмите Next, чтобы продолжить установку.

5. Создайте и выберите базу данных, которую вы будете использовать для локальной платформы Protectimus.

• Создайте новую базу данных. Введите желаемое имя базы данных и нажмите Create.
• Проверьте, создалась ли база данных, с помощью кнопки List.
• Нажмите Select, выберите только что созданную базу данных и нажмите Next.

6. Запустите базу данных. Нажмите Init, чтобы выполнить сценарии SQL и запустить базу данных. Это может занять некоторое время.

7. Выберите папку для установки локальной платформы Protectimus и нажмите Install.

3. Оплата и активация лицензии

1. Перейдите по ссылке https://service.protectimus.com/ru/platform и нажмите на кнопку Приобрести лицензию.

2. Введите ваш лицензионный ключ в поле Ключ лицензирования и нажмите кнопку Отправить.

3. На следующем шаге нажмите на кнопку Оплатить.

4. Выберите способ оплаты. Если вам необходим альтернативный способ оплаты, свяжитесь со службой поддержки клиентов Protectimus.

5. После успешной оплаты нажмите на кнопку Выдача лицензии для платформы.
   
   Вы также можете сделать это на странице https://service.protectimus.com/ru/platform, нажав кнопку Выдача лицензии.

6. Введите ключ в поле Ключ лицензирования и нажмите кнопку Отправить. После этого файл лицензии будет загружен.

7. После получения файла лицензии загрузите его на сервер и укажите путь к файлу лицензии в параметре licence.file.path в файле с именем protectimus.platform.properties.

4. Регистрация в системе Protectimus

5. Синхронизация пользователей с вашей службой каталогов

1. Войдите в свою учетную запись в Protectimus и нажмите: Пользователи — Синхронизация — Добавить поставщика пользователей

2. В разделе Соединение заполните данные о службе каталогов.

keytool -import -alias ___ -file '___.cer' -keystore 'C:\Program Files\Java\jre___\lib\security\cacerts' -storepass changeit

DC=domain,DC=local

CN=Administrator, CN=Users, DC=demo, DC=domain, DC=local

[email protected]

3. После внесения информации о вашем каталоге пользователей, добавьте атрибуты синхронизации.
   
   Нажмите кнопку Атрибуты.
   
   
   Затем добавьте атрибуты, как показано в примере.
   
   
   
   

4. После успешного добавления поставщика пользователей вам необходимо импортировать пользователей в систему Protectimus и синхронизировать их с вашим каталогом пользователей.
   
   В поле Режим синхронизации выберите, как вы хотите импортировать своих пользователей.
   
   Есть три варианта настроек импорта пользователей:
   • Только импорт — данные пользователей никогда не будут обновляться.
   • Импорт и обновление — данные пользователей будут обновляться, когда это возможно.
   • Импорт, обновление и удаление — данные пользователей будут обновляться, когда это возможно. Пользователи Protectimus, а также назначенные им программные токены будут удалены при удалении пользователя из внешнего пользовательского хранилища.

5. Теперь задайте настройку Использовать пагинацию.
   
   Когда включена опция Использовать пагинацию, и количество записей превышает 200 или 500, для извлечения данных будет использовано несколько запросов. Это нужно потому, что LDAP по умолчанию ограничивает количество возвращаемых записей.

6. Настройте Фильтр который будет применен при синхронизации.
   
   Используйте этот фильтр чтобы выбрать только тех пользователей, которых вы хотите синхронизировать.
   
   Например, чтобы импортировать только тех пользователей, у которых указаны атрибуты telephoneNumber и mail, настройте такой фильтр:
   
   

   (&(telephoneNumber=*)(mail=*))

   
   Для импорта пользователей из определенной группы выберите нужную группу.

7. Далее задайте настройку Выпустить SMS токен.
   
   Если активирована опция Выпустить SMS токен, во время синхронизации вашим пользователям будут выпущены и назначены SMS-токены.

8. В разделе Назначение на ресурс вы можете выбрать ресурс, на который будут назначены пользователи при синхронизации.
   
   

9. Следующий шаг — активировать синхронизацию пользователей. Это можно сделать тремя способами:
   
   
   1. Нажать кнопку Синхронизировать сейчас, чтобы синхронизировать всех пользователей одновременно.
      
      
      Вы также можете нажать кнопку Синхронизировать измененных пользователей, чтобы синхронизировать только тех пользователей, которые были изменены с момента последней синхронизации.
      
      
      
   2. Использовать возможность синхронизации отдельных пользователей из каталога, для этого используйте функцию Синхронизировать отдельных пользователей.
   
   
   
   3. Активировать автоматическую синхронизацию пользователей, для этого необходимо активировать параметр Активирован вверху страницы.
   

6. Как настроить SSL-сертификат, доставку сообщений по email и SMS, указать путь к файлу лицензии

• Добавить SSL-сертификат для платформы Protectimus. Поддерживаются разные форматы SSL сертификатов, включая .pkcs12, .pem, .der, .pfx.
• Настроить доставку сообщений по электронной почте.
• Настроить подключение к SMPP-серверу, чтобы добавить своего поставщика SMS для доставки одноразовых паролей по SMS.
• Указать путь к файлу лицензии. Обратите внимание, путь к файлу лицензии должен быть указан с двойными обратными слешами (C:\\some\\path\\file).

6.1. Настройка SSL-сертификата

https.port

https.keystore.type

https.keystore.password

https.keystore

https.port = 8443
https.keystore.type = JKS
https.keystore.password = **********
https.keystore = C:\\Program Files\\Protectimus\\Platform\\keystore.jks

6.2.Настройка доставки сообщений по электронной почте

smtp.host

smtp.port

smtp.user

smtp.password

default.from.address

smtp.host = smtp-server.com
smtp.port = 25
smtp.user = [email protected]
smtp.password = **********

6.3. Настройка подключения к серверу SMPP

smpp.server.login

smpp.server.password

smpp.server.host

smpp.server.port

smpp.message.encoding

smpp.from.address

smpp.server.login = login
smpp.server.password = **********
smpp.server.host = smpp.example.com
smpp.server.port = 12000
smpp.message.encoding = UTF-8
smpp.from.address = Protectimus

7. Как импортировать доверенный SSL сертификат

1. Импортируйте сертификат, как доверенный, в keystore:

keytool -keystore ___.jks -import -alias ___ -file ___.crt -trustcacerts

Пример:
keytool -keystore publicStore.jks -import -alias protectimus -file protectimus.crt -trustcacerts

2. Конвертируйте сертификат в PKCS12 формат:

openssl pkcs12 -inkey ___.key -in ___.crt -export -out certificate.pkcs12

Пример:
openssl pkcs12 -inkey privateKey.key -in protectimus_2020-2022.crt -export -out certificate.pkcs12

3. Импортируйте сертификат в keystore:

keytool -importkeystore -srckeystore certificate.pkcs12 -srcstoretype PKCS12 -destkeystore ___.jks

Пример:
keytool -importkeystore -srckeystore certificate.pkcs12 -srcstoretype PKCS12 -destkeystore publicStore.jks

8. Настройка платформы