Selles juhendis seadistame Notakey Windows Credential Provideri (WCP), Windowsi sisselogimisliidese laienduse, kaugtöölaua autentimiseks, kus teiseks teguriks on kasutaja telefon.
Seadme seadistamine
Looge rakendus. Looge Notakey seadmes uus rakendus nimega Windows Remote Desktop. Sobiv graafika laaditakse automaatselt. Lubage biomeetrilise kontrolli tugi; kui sisselogimine peab alati nõudma sõrmejälje- või näotuvastust, lubage ka force biometric check.
Määrake kasutajad. Looge kasutajad otse või ühendage väline kasutajaallikas. Levinuim valik on Active Directory, mille seadistamist kirjeldab seadme dokumentatsioon. AD-st sünkroonitud kasutajatele saab hiljem määrata eskaleerimis- või mitme kasutaja kinnituse poliitikaid.
Seadistage registreerimisnõuded, et rakendus ilmuks Notakey Authenticatoris. Kui AD-s on telefoninumbrid olemas, saab registreerimiseks kasutada SMS-i või WhatsAppi. Kui kasutate lihtsaid sisselogimisandmeid, mida kontrollitakse AD vastu, muutke nõuet ja märkige Authenticate against remote AUTH user sources.
Looge API kliendi andmed. Looge uus API klient, jättes õiguste (scopes) välja tühjaks, nii et süsteem genereerib credential provideri jaoks Client ID ja salajase võtme.
Windowsi arvuti seadistamine
Looge registrifail oma seadme juurdepääsuandmetega, salvestage see nimega
wcp_notakey.reg ja importige topeltklõpsuga:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey]
[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey\WindowsCP]
"ServiceURL"="https://your-appliance.example.com/api/"
"ServiceID"="29afa6c0-907d-40f4-898f-8a96fcdf7230"
"ClientID"="c6df76db-10a7-4349-8e05-8b3656a4d404"
"ClientSecret"="pZ5lSo1Rz_ftCDg4h302794ZlmjMO64sVtiAvHop6dI"
"MessageTtlSeconds"=dword:0000001e
"MessageActionTitle"="Winlogin"
"MessageDescription"="Proceed as {0} on server {1}?"
"AuthCreateTimeoutSecs"=dword:00000014
"AuthWaitTimeoutSecs"=dword:0000003c
Asendage neli esimest väärtust enda omadega: ServiceURL on teie seadme API
otspunkt, ServiceID rakenduse ID ning ClientID ja ClientSecret eespool
genereeritud API kliendi andmed. Ülejäänud väärtused on mõistlikud
vaikeseaded, kuueteistkümnendkujul: MessageTtlSeconds (0x1e = 30 s)
määrab, kui kaua tõuketeadet saab kinnitada, AuthCreateTimeoutSecs
(0x14 = 20 s), kui kaua WCP ootab päringu loomist, ja
AuthWaitTimeoutSecs (0x3c = 60 s), kui kaua oodatakse kasutaja vastust.
Väljal MessageDescription tähistab {0} kasutajanime ja {1} arvuti nime.
Paigaldage uusim Windows Credential Provider
allalaadimiste lehelt, taaskäivitage Windows ja logige üks
kord tavapärasel viisil sisse. Seejärel kontrollige väärtust
LastLoggedOnProvider võtme
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI all.
Lukustage arvuti ja valige Notakey Credential Provider. Sisestage kasutajanimi ja parool – Notakey küsib luba parooli krüpteerimiseks ning edaspidi piisab sisselogimiseks kasutajanimest ja kinnitusest telefonis.
Täielikult paroolivabaks
Et Notakey jääks ainsaks sisselogimisviisiks, keelake vaikimisi credential
provider: leidke selle CLSID võtme
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers
alt ja lisage DWORD-väärtus nimega Disabled väärtusega 1. Suurema
arvutipargi puhul saab sama teha Group Policy kaudu.
Pärast seda jääb aktiivseks ainult Notakey Credential Provider, sisselogimiseks on vaja üksnes kasutajanime ja teist tegurit.