Налаштування параметрів сервера Hideez
Hideez Enterprise Server – Налаштування параметрів HES Server
Для коректної роботи вам необхідно вказати деякі основні параметри.
Увійдіть у сервер HES, відкрийте Налаштування ->Параметри

Сервер
Налаштування назви домену

Ліцензування
Натисніть Імпорт ліцензії.


Пошта
Адміністратори можуть налаштувати облікові дані для надсилання користувачам електронних листів із сервісними повідомленнями. Такі повідомлення використовуються для запрошення нових співробітників, скидання паролів співробітників, зміни пошти для співробітників, надсилання кодів активації для Hideez Key тощо.
Щоб перевірити поточні облікові дані, які ви використовуєте для відправки листів, вам потрібно розгорнути розділ Пошта:

Щоб налаштувати облікові дані електронної пошти, заповніть наступні поля:
Хост - це адреса поштового сервера, до якого ви хочете підключитися. Наприклад, для Gmail хостом SMTP може бути "smtp.gmail.com", а хостом IMAP - "imap.gmail.com". Реальний хост може відрізнятися залежно від постачальника послуг електронної пошти та конкретного протоколу, який ви використовуєте.
Порт - це цифровий код, який визначає конкретний мережевий порт для встановлення з'єднання з поштовим сервером за допомогою певного поштового протоколу.
SSL (Так) - це опція, яка вказує, чи використовувати SSL (протокол захищених сокетів) для встановлення захищеного з'єднання з поштовим сервером. SSL шифрує дані, що передаються між вашим комп'ютером і сервером, щоб захистити конфіденційну інформацію під час передачі.
Електронна пошта - адреса електронної пошти, яку ви використовуєте для надсилання та отримання повідомлень.
Пароль - пароль, пов'язаний з вашою адресою електронної пошти. Він використовується для аутентифікації та підтвердження вашої особи при підключенні до сервера.
Налаштована пошта може виглядати наступним чином:

Active Directory
Якщо вам потрібно делегувати права для користувачів Active Directory, які можуть змінювати і паролі і імпортувати співробіників будь ласка перегляньте цей посібник:
Налаштування доступу до Active Directory та делегування прав.
Підключення Hideez Server до Active Directory (On-premises)
Натисніть кнопку Додати домен:

Заповніть і збережіть наступні параметри (у локальному каталозі Active Directory):
Доменне ім’я: введіть свій домен Active Directory. Це необхідно для імпорту користувачів із раніше створених груп в AD.
Ім’я входу користувача: ім’я для входу адміністратора AD із дозволами на отримання користувачів і груп із AD і зміну паролів користувачів.
Пароль: пароль адміністратора AD із дозволом отримувати користувачів і групи з AD і змінювати паролі користувачів.
Автоматична зміна пароля (Днів): кількість днів, після якої необхідно змінити пароль від облікового запису домену користувачам із групи Security Key Auto Password Change.
Ім'я групи синхронізації користувачів * - Користувачі, додані до групи синхронізації у директорії Active Directory, автоматично імпортуватимуться до HES під час синхронізації. Якщо користувача вилучено з групи, він залишається у списку співробітників HES. Синхронізація з Active Directory відбувається один раз на годину.
Ім'я групи користувачів автоматичної зміни паролю * - Якщо користувач є членом як групи синхронізації, так і групи автоматичної зміни паролю, то обліковий запис домену буде імпортовано під час синхронізації, і буде створено новий пароль. Коли новий пароль записується одночасно в Hideez Key, він також буде змінений у Active Directory. З цього моменту користувач повинен використовувати свій Ключ Безпеки для входу. Подальші заплановані зміни паролю будуть виконуватись за тим самим алгоритмом. Якщо користувач вилучений із групи автоматичної зміни паролю, логіка автоматичної зміни паролю припиняє працювати.


Поведінка при видаленні користувача з групи синхронізації:
Залишити – Користувач залишиться на сервері Hideez після видалення його з групи синхронізації в Active Directory. Він зможе використовувати SSO-вхід у вебсервіси та розблоковувати ПК.
Деактивувати – Користувач буде деактивований на сервері Hideez, але не видалений після виключення з групи синхронізації в Active Directory. У такому стані він не зможе використовувати SSO-вхід у вебсервіси, але зможе розблоковувати ПК. Щоб знову активувати користувача, адміністратор повинен вручну активувати його в системі.
Видалити – Користувач буде повністю видалений із сервера Hideez після його виключення з групи синхронізації в Active Directory. Він втратить доступ до SSO-входу у вебсервіси та можливість розблокування ПК. Щоб додати користувача знову, адміністратор має:
Додати його до групи синхронізації в Active Directory та виконати синхронізацію.
Додати користувача вручну.
Дочекатися автоматичної синхронізації (раз на годину сервер Hideez автоматично синхронізується з Active Directory, імпортує користувачів із групи синхронізації та оновлює дані про них).
Вимкнути синхронізацію з доменом
Якщо вам не потрібно імпортувати співробітників, але потрібно лише налаштувати робочі станції, приєднані до домену Avtive Directory On-Premises ви можете увімкнути наступне налаштування:

Підключення Hideez Server до Azure AD (entra ID)
Щоб підключити Azure AD до HES, спочатку налаштуйте програму Azure AD:
Увійдіть в Azure portal
Перейдіть в Azure Active Directory -> App registrations

New Registration

Перейдіть до огляду програми, скопіюйте Application (client) ID, Directory (tenant) ID і вставте ці значення в налаштування домену на сервері Hideez.

Перейдіть до Certificates & secrets → New client secret а потім додайте та скопіюйте Client Secret.


Скопіюйте секрет зі стовпчика Value і вставте його в поле Client Secret на Hideez Server

На порталі Azure перейдіть до дозволів API permissions -> Add permission -> Microsoft Graph


Перейдіть у API permissions -> Add a permission -> Microsoft Graph. Натисніть Application permissions, потім оберіть Directory -> Directory.ReadWrite.All permission

Додайте наступні дозволи:
Для імпорту користувачів:
User.Read.All
Group.Read.All
Domain.Read.All
(або використовуйтеDirectory.Read.All
як більш загальний варіант)
Для керування паролями:
User.ReadWrite.All
User-PasswordProfile.ReadWrite.All
Ці дозволи дозволяють серверу Hideez змінювати паролі безпосередньо в облікових записах Microsoft Entra ID.
Заповніть і збережіть наступні параметри HES (Azure AD):
Ідентифікатор програми: введіть свій ідентифікатор програми Azure AD.
Секрет клієнта: введіть секрет клієнта Azure AD.
Ідентифікатор орендаря: введіть свій ідентифікатор клієнта Azure AD.
Автоматична зміна пароля (Днів): кількість днів, після якої необхідно змінити пароль від облікового запису домену користувачам із групи Security Key Auto Password Change.
Після збереження даних параметри входу в налаштуваннях не відображаються.
Поведінка при видаленні користувача з групи синхронізації:
Залишити – Користувач залишиться на сервері Hideez після видалення його з групи синхронізації в Active Directory. Він зможе використовувати SSO-вхід у вебсервіси та розблоковувати ПК.
Деактивувати – Користувач буде деактивований на сервері Hideez, але не видалений після виключення з групи синхронізації в Active Directory. У такому стані він не зможе використовувати SSO-вхід у вебсервіси, але зможе розблоковувати ПК. Щоб знову активувати користувача, адміністратор повинен вручну активувати його в системі.
Видалити – Користувач буде повністю видалений із сервера Hideez після його виключення з групи синхронізації в Active Directory. Він втратить доступ до SSO-входу у вебсервіси та можливість розблокування ПК. Щоб додати користувача знову, адміністратор має:
Додати його до групи синхронізації в Active Directory та виконати синхронізацію.
Додати користувача вручну.
Дочекатися автоматичної синхронізації (раз на годину сервер Hideez автоматично синхронізується з Active Directory, імпортує користувачів із групи синхронізації та оновлює дані про них).
Якщо ви використовуєте Linux і вам потрібна інтеграція AD, приєднайте свій сервер Linux до AD
Увага! Щойно ви видалите логін і пароль адміністратора AD із налаштувань, усі сценарії синхронізації AD перестануть працювати.
Інші налаштування домену

Налаштування домену - Ці облікові дані будуть використані для підключення до Active Directory через LDAPS.
- Параметри єдиного входу користувачів за замовчуванням
Цей параметр застосовується до всіх користувачів, синхронізованих із Active Directory. Під час імпорту користувачів із Active Directory для кожного з них буде автоматично увімкнено SSO-вхід у вебсервіси. Також на електронну пошту кожного співробітника буде надіслано запрошення на сервер Hideez із можливістю вибору методу автентифікації.
За потреби ви можете змінити налаштування єдиного входу для окремих користувачів у їхніх індивідуальних параметрах.

Налаштування безпарольного входу на робочу станцію - Оновіть параметри безпарольного входу на робочу станцію


Splunk
Також тут можна встановити налаштування Splunk.

FIDO2

Якщо функцію «Дозволити автентифікатори платформи» ввімкнено, ви можете вибрати тип ключа безпеки, який реєструєте для користувача (за замовчуванням він кросплатформний):

Отже, список ключів FIDO користувача буде виглядати так:

SAML
Більше про налаштування SAML ви можете дізнатися за цим посиланням.
OIDC
Налаштування OpenID Connect можна встановити у розділі OIDC.

Зовнішній вигляд
У цьому розділі ви можете налаштувати головні логотипи для сервера, логотип бічної панелі та логотип для електронного листа.

Last updated