Налаштування параметрів сервера Hideez

Hideez Enterprise Server – Налаштування параметрів HES Server

Для коректної роботи вам необхідно вказати деякі основні параметри.

Увійдіть у сервер HES, відкрийте Налаштування ->Параметри

Сервер

Налаштування назви домену

Ліцензування

Натисніть Імпорт ліцензії.

Імпортуйте ліцензію з файлу, який ви завантажили з порталу Hideez. Або ви можете запитати нас, і ми створимо для вас ліцензію.

Пошта

Адміністратори можуть налаштувати облікові дані для надсилання користувачам електронних листів із сервісними повідомленнями. Такі повідомлення використовуються для запрошення нових співробітників, скидання паролів співробітників, зміни пошти для співробітників, надсилання кодів активації для Hideez Key тощо.

Щоб перевірити поточні облікові дані, які ви використовуєте для відправки листів, вам потрібно розгорнути розділ Пошта:

Щоб налаштувати облікові дані електронної пошти, заповніть наступні поля:

Хост - це адреса поштового сервера, до якого ви хочете підключитися. Наприклад, для Gmail хостом SMTP може бути "smtp.gmail.com", а хостом IMAP - "imap.gmail.com". Реальний хост може відрізнятися залежно від постачальника послуг електронної пошти та конкретного протоколу, який ви використовуєте.

Порт - це цифровий код, який визначає конкретний мережевий порт для встановлення з'єднання з поштовим сервером за допомогою певного поштового протоколу.

SSL (Так) - це опція, яка вказує, чи використовувати SSL (протокол захищених сокетів) для встановлення захищеного з'єднання з поштовим сервером. SSL шифрує дані, що передаються між вашим комп'ютером і сервером, щоб захистити конфіденційну інформацію під час передачі.

Електронна пошта - адреса електронної пошти, яку ви використовуєте для надсилання та отримання повідомлень.

Пароль - пароль, пов'язаний з вашою адресою електронної пошти. Він використовується для аутентифікації та підтвердження вашої особи при підключенні до сервера.

Налаштована пошта може виглядати наступним чином:

Active Directory

Якщо вам потрібно делегувати права для користувачів Active Directory, які можуть змінювати і паролі і імпортувати співробіників будь ласка перегляньте цей посібник:

  • Налаштування доступу до Active Directory та делегування прав.

Підключення Hideez Server до Active Directory (On-premises)

Ці параметри необхідно вказати, якщо ви будете використовувати сценарії HES для роботи з AD. Імпорт та синхронізація користувачів з Active Directory Імпорт та синхронізація користувачів з Active Directory зі зміною доменного пароля

Натисніть кнопку Додати домен:

Заповніть і збережіть наступні параметри (у локальному каталозі Active Directory):

  • Доменне ім’я: введіть свій домен Active Directory. Це необхідно для імпорту користувачів із раніше створених груп в AD.

  • Ім’я входу користувача: ім’я для входу адміністратора AD із дозволами на отримання користувачів і груп із AD і зміну паролів користувачів.

  • Пароль: пароль адміністратора AD із дозволом отримувати користувачів і групи з AD і змінювати паролі користувачів.

Якщо вам потрібно делегувати права користувачам Active Directory, які можуть змінювати паролі та імпортувати співробітників, або якщо ви бажаєте надати такі права конкретному користувачеві Active Directory без використання облікових даних адміністратора, будь ласка, перегляньте цей посібник:

  • Автоматична зміна пароля (Днів): кількість днів, після якої необхідно змінити пароль від облікового запису домену користувачам із групи Security Key Auto Password Change.

  • Ім'я групи синхронізації користувачів * - Користувачі, додані до групи синхронізації у директорії Active Directory, автоматично імпортуватимуться до HES під час синхронізації. Якщо користувача вилучено з групи, він залишається у списку співробітників HES. Синхронізація з Active Directory відбувається один раз на годину.

Ви можете задати будь-які стандартні назви для груп, але ці назви повинні відповідати групам у вашому локальному Active Directory для синхронізації користувачів або автоматичної зміни паролів.

  • Ім'я групи користувачів автоматичної зміни паролю * - Якщо користувач є членом як групи синхронізації, так і групи автоматичної зміни паролю, то обліковий запис домену буде імпортовано під час синхронізації, і буде створено новий пароль. Коли новий пароль записується одночасно в Hideez Key, він також буде змінений у Active Directory. З цього моменту користувач повинен використовувати свій Ключ Безпеки для входу. Подальші заплановані зміни паролю будуть виконуватись за тим самим алгоритмом. Якщо користувач вилучений із групи автоматичної зміни паролю, логіка автоматичної зміни паролю припиняє працювати.

Поведінка при видаленні користувача з групи синхронізації:

  • Залишити – Користувач залишиться на сервері Hideez після видалення його з групи синхронізації в Active Directory. Він зможе використовувати SSO-вхід у вебсервіси та розблоковувати ПК.

  • Деактивувати – Користувач буде деактивований на сервері Hideez, але не видалений після виключення з групи синхронізації в Active Directory. У такому стані він не зможе використовувати SSO-вхід у вебсервіси, але зможе розблоковувати ПК. Щоб знову активувати користувача, адміністратор повинен вручну активувати його в системі.

  • Видалити – Користувач буде повністю видалений із сервера Hideez після його виключення з групи синхронізації в Active Directory. Він втратить доступ до SSO-входу у вебсервіси та можливість розблокування ПК. Щоб додати користувача знову, адміністратор має:

    • Додати його до групи синхронізації в Active Directory та виконати синхронізацію.

    • Додати користувача вручну.

    • Дочекатися автоматичної синхронізації (раз на годину сервер Hideez автоматично синхронізується з Active Directory, імпортує користувачів із групи синхронізації та оновлює дані про них).

Вимкнути синхронізацію з доменом

Якщо вам не потрібно імпортувати співробітників, але потрібно лише налаштувати робочі станції, приєднані до домену Avtive Directory On-Premises ви можете увімкнути наступне налаштування:

  • Вимкнути синхронізацію з доменом

При увімкненому параметрі імпорт співробітників із Avtive Directory не відбувається оскільки On-Premises синхронізація не увімкнена.

Підключення Hideez Server до Azure AD (entra ID)

Щоб підключити Azure AD до HES, спочатку налаштуйте програму Azure AD:

  • Увійдіть в Azure portal

  • Перейдіть в Azure Active Directory -> App registrations

  • New Registration

  • Перейдіть до огляду програми, скопіюйте Application (client) ID, Directory (tenant) ID і вставте ці значення в налаштування домену на сервері Hideez.

  • Перейдіть до Certificates & secrets → New client secret а потім додайте та скопіюйте Client Secret.

  • Скопіюйте секрет зі стовпчика Value і вставте його в поле Client Secret на Hideez Server

  • На порталі Azure перейдіть до дозволів API permissions -> Add permission -> Microsoft Graph

Перейдіть у API permissions -> Add a permission -> Microsoft Graph. Натисніть Application permissions, потім оберіть Directory -> Directory.ReadWrite.All permission

  • Додайте наступні дозволи:

Для імпорту користувачів:

  • User.Read.All

  • Group.Read.All

  • Domain.Read.All (або використовуйте Directory.Read.All як більш загальний варіант)

Для керування паролями:

  • User.ReadWrite.All

  • User-PasswordProfile.ReadWrite.All

Ці дозволи дозволяють серверу Hideez змінювати паролі безпосередньо в облікових записах Microsoft Entra ID.

Паролі оновлюватимуться автоматично згідно з інтервалом, вказаним у полі Auto Password Change (days) на сервері Hideez.

Заповніть і збережіть наступні параметри HES (Azure AD):

  • Ідентифікатор програми: введіть свій ідентифікатор програми Azure AD.

  • Секрет клієнта: введіть секрет клієнта Azure AD.

  • Ідентифікатор орендаря: введіть свій ідентифікатор клієнта Azure AD.

  • Автоматична зміна пароля (Днів): кількість днів, після якої необхідно змінити пароль від облікового запису домену користувачам із групи Security Key Auto Password Change.

Після збереження даних параметри входу в налаштуваннях не відображаються.

Поведінка при видаленні користувача з групи синхронізації:

  • Залишити – Користувач залишиться на сервері Hideez після видалення його з групи синхронізації в Active Directory. Він зможе використовувати SSO-вхід у вебсервіси та розблоковувати ПК.

  • Деактивувати – Користувач буде деактивований на сервері Hideez, але не видалений після виключення з групи синхронізації в Active Directory. У такому стані він не зможе використовувати SSO-вхід у вебсервіси, але зможе розблоковувати ПК. Щоб знову активувати користувача, адміністратор повинен вручну активувати його в системі.

  • Видалити – Користувач буде повністю видалений із сервера Hideez після його виключення з групи синхронізації в Active Directory. Він втратить доступ до SSO-входу у вебсервіси та можливість розблокування ПК. Щоб додати користувача знову, адміністратор має:

    • Додати його до групи синхронізації в Active Directory та виконати синхронізацію.

    • Додати користувача вручну.

    • Дочекатися автоматичної синхронізації (раз на годину сервер Hideez автоматично синхронізується з Active Directory, імпортує користувачів із групи синхронізації та оновлює дані про них).

Якщо ви використовуєте Linux і вам потрібна інтеграція AD, приєднайте свій сервер Linux до AD

Увага! Щойно ви видалите логін і пароль адміністратора AD із налаштувань, усі сценарії синхронізації AD перестануть працювати.

За допомогою цієї інструкції ви можете додати на сервер кілька доменів одночасно. Кожен домен управляється окремо

Інші налаштування домену

  • Налаштування домену - Ці облікові дані будуть використані для підключення до Active Directory через LDAPS.

  • Параметри єдиного входу користувачів за замовчуванням

    Цей параметр застосовується до всіх користувачів, синхронізованих із Active Directory. Під час імпорту користувачів із Active Directory для кожного з них буде автоматично увімкнено SSO-вхід у вебсервіси. Також на електронну пошту кожного співробітника буде надіслано запрошення на сервер Hideez із можливістю вибору методу автентифікації.

    За потреби ви можете змінити налаштування єдиного входу для окремих користувачів у їхніх індивідуальних параметрах.

  • Налаштування безпарольного входу на робочу станцію - Оновіть параметри безпарольного входу на робочу станцію

Дізнайтеся більше про налаштування безпарольного входу на робочу станцію

Splunk

Також тут можна встановити налаштування Splunk.

Splunk – це платформа для збору, аналізу та візуалізації машинних даних у реальному часі. Вона допомагає організаціям моніторити системи, виявляти загрози та усувати проблеми шляхом обробки логів та інших даних.

FIDO2

Якщо функцію «Дозволити автентифікатори платформи» ввімкнено, ви можете вибрати тип ключа безпеки, який реєструєте для користувача (за замовчуванням він кросплатформний):

Отже, список ключів FIDO користувача буде виглядати так:

SAML

Більше про налаштування SAML ви можете дізнатися за цим посиланням.

OIDC

Налаштування OpenID Connect можна встановити у розділі OIDC.

Зовнішній вигляд

У цьому розділі ви можете налаштувати головні логотипи для сервера, логотип бічної панелі та логотип для електронного листа.

PreviousПідключення сервера Linux до Active DirectoryNextНалаштування DNS-сервера

Last updated