Šiame vadove sukonfigūruosime Notakey Windows Credential Provider (WCP) – Windows prisijungimo duomenų teikėją, kad prie nuotolinio darbalaukio būtų jungiamasi su antruoju veiksniu telefone.
Įrenginio sąranka
Sukurkite aplikaciją. Notakey įrenginyje sukurkite naują aplikaciją pavadinimu Windows Remote Desktop. Atitinkama grafika įkeliama automatiškai. Įjunkite biometrinės patikros palaikymą; jei prisijungiant visada turi būti reikalaujama piršto atspaudo ar veido atpažinimo, įjunkite force biometric check (privalomą biometrinę patikrą).
Apibrėžkite naudotojus. Naudotojus galite sukurti tiesiogiai arba prijungti išorinį naudotojų šaltinį. Dažniausiai pasirenkama Active Directory, kurios prijungimas aprašytas įrenginio dokumentacijoje. Iš AD sinchronizuotiems naudotojams vėliau galima taikyti eskalavimo ar kelių naudotojų patvirtinimo politikas.
Sukonfigūruokite registracijos reikalavimus, kad aplikacija atsirastų Notakey Authenticator programėlėje. Jei AD yra telefonų numeriai, registracija galima SMS žinute arba per WhatsApp. Jei naudojami paprasti prisijungimo duomenys, tikrinami pagal AD, atverkite reikalavimą ir pažymėkite Authenticate against remote AUTH user sources.
Sugeneruokite API prisijungimo duomenis. Sukurkite naują API klientą su tuščiu aprėpčių (scopes) lauku, o sistema sugeneruos Client ID ir slaptąjį raktą, kuriuos naudos prisijungimo duomenų teikėjas.
Windows kompiuterio sąranka
Sukurkite registro failą su savo įrenginio prieigos duomenimis, išsaugokite jį
pavadinimu wcp_notakey.reg ir importuokite dukart spustelėdami:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey]
[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey\WindowsCP]
"ServiceURL"="https://your-appliance.example.com/api/"
"ServiceID"="29afa6c0-907d-40f4-898f-8a96fcdf7230"
"ClientID"="c6df76db-10a7-4349-8e05-8b3656a4d404"
"ClientSecret"="pZ5lSo1Rz_ftCDg4h302794ZlmjMO64sVtiAvHop6dI"
"MessageTtlSeconds"=dword:0000001e
"MessageActionTitle"="Winlogin"
"MessageDescription"="Proceed as {0} on server {1}?"
"AuthCreateTimeoutSecs"=dword:00000014
"AuthWaitTimeoutSecs"=dword:0000003c
Pirmąsias keturias reikšmes pakeiskite savosiomis: ServiceURL yra jūsų
įrenginio API adresas, ServiceID – aplikacijos ID, o
ClientID/ClientSecret reiškia aukščiau sugeneruotus API prisijungimo
duomenis. Likusios reikšmės yra tinkamos numatytosios, užrašytos
šešioliktaine forma: MessageTtlSeconds (0x1e = 30 s) nurodo, kiek laiko
push pranešimą galima patvirtinti; AuthCreateTimeoutSecs (0x14 = 20 s)
nurodo, kiek laiko WCP laukia užklausos sukūrimo; o AuthWaitTimeoutSecs
(0x3c = 60 s) nurodo, kiek laiko laukiama naudotojo atsakymo.
MessageDescription lauke {0} reiškia naudotojo vardą, o {1} reiškia
kompiuterio pavadinimą.
Iš atsisiuntimų puslapio įdiekite naujausią Windows
Credential Provider versiją, iš naujo paleiskite Windows ir vieną kartą
prisijunkite įprastai. Tada patikrinkite LastLoggedOnProvider reikšmę
skiltyje
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI.
Užrakinkite kompiuterį ir pasirinkite Notakey Credential Provider. Įveskite naudotojo vardą ir slaptažodį – Notakey paprašys leidimo užšifruoti slaptažodį, ir nuo šiol prisijungimui pakaks naudotojo vardo ir patvirtinimo telefone.
Perėjimas prie prisijungimo vien be slaptažodžio
Kad Notakey taptų vieninteliu prisijungimo keliu, išjunkite numatytąjį
prisijungimo duomenų teikėją: raskite jo CLSID skiltyje
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers
ir pridėkite DWORD reikšmę pavadinimu Disabled su reikšme 1. Visam
kompiuterių parkui tą patį galima padaryti centralizuotai per Group Policy.
Po šio žingsnio aktyvus lieka tik Notakey Credential Provider, o prisijungti užtenka naudotojo vardo ir antrojo veiksnio.