Tento návod popisuje konfiguraci Notakey Windows Credential Provider (WCP), poskytovatele přihlašovacích údajů pro Windows, pro autentizaci ke vzdálené ploše s druhým faktorem na telefonu.
Nastavení zařízení Notakey
Vytvořte aplikaci. V zařízení Notakey vytvořte novou aplikaci pojmenovanou Windows Remote Desktop; odpovídající grafika se načte automaticky. Zapněte podporu biometrické kontroly; pokud má každé přihlášení vyžadovat otisk prstu nebo ověření obličeje, zapněte navíc force biometric check (vynucenou biometrickou kontrolu).
Definujte uživatele. Uživatele vytvořte přímo, nebo připojte externí zdroj uživatelů. Nejčastější volbou je Active Directory a jeho napojení popisuje dokumentace zařízení. Uživatelům synchronizovaným z AD lze později přiřadit zásady eskalace nebo schvalování více uživateli.
Nastavte požadavky na registraci, aby se aplikace zobrazila v Notakey Authenticatoru. Pokud jsou v AD uložena telefonní čísla, je k dispozici registrace přes SMS nebo WhatsApp. Používáte-li jednoduché přihlašovací údaje ověřované proti AD, upravte požadavek a zaškrtněte Authenticate against remote AUTH user sources.
Vygenerujte přihlašovací údaje k API. Vytvořte nového API klienta s prázdným polem scopes, a systém vygeneruje Client ID a tajný klíč (secret) pro credential provider.
Nastavení počítače s Windows
Vytvořte soubor registru s přihlašovacími údaji ke svému zařízení, uložte jej
jako wcp_notakey.reg a poklepáním jej importujte:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey]
[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey\WindowsCP]
"ServiceURL"="https://your-appliance.example.com/api/"
"ServiceID"="29afa6c0-907d-40f4-898f-8a96fcdf7230"
"ClientID"="c6df76db-10a7-4349-8e05-8b3656a4d404"
"ClientSecret"="pZ5lSo1Rz_ftCDg4h302794ZlmjMO64sVtiAvHop6dI"
"MessageTtlSeconds"=dword:0000001e
"MessageActionTitle"="Winlogin"
"MessageDescription"="Proceed as {0} on server {1}?"
"AuthCreateTimeoutSecs"=dword:00000014
"AuthWaitTimeoutSecs"=dword:0000003c
První čtyři hodnoty nahraďte vlastními: ServiceURL je API endpoint vašeho
zařízení, ServiceID je identifikátor aplikace a ClientID/ClientSecret
jsou přihlašovací údaje k API vygenerované výše. Zbývající položky mají
rozumné výchozí hodnoty, zapsané šestnáctkově: MessageTtlSeconds (0x1e = 30 s)
určuje, jak dlouho lze push notifikaci schválit, AuthCreateTimeoutSecs
(0x14 = 20 s), jak dlouho WCP čeká na vytvoření požadavku, a
AuthWaitTimeoutSecs (0x3c = 60 s), jak dlouho čeká na odpověď uživatele.
V MessageDescription představuje {0} uživatelské jméno a {1} název
počítače.
Nainstalujte nejnovější Windows Credential Provider ze
stránky ke stažení, restartujte Windows a jednou se přihlaste
běžným způsobem. Poté zkontrolujte hodnotu LastLoggedOnProvider v klíči
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI.
Uzamkněte počítač a vyberte Notakey Credential Provider. Zadejte uživatelské jméno a heslo – Notakey požádá o svolení heslo zašifrovat a od té chvíle probíhá přihlášení jako uživatelské jméno + schválení na telefonu.
Přechod na přihlašování bez hesla
Aby byl Notakey jedinou cestou dovnitř, zakažte výchozí credential provider:
najděte jeho CLSID v klíči
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers
a přidejte hodnotu DWORD s názvem Disabled nastavenou na 1. Ve větším
nasazení nabízí totéž nastavení Group Policy.
Poté zůstane aktivní pouze Notakey Credential Provider, a k přihlášení stačí uživatelské jméno a druhý faktor.