Налаштування параметрів сервера HES

Hideez Enterprise Server – Налаштування параметрів HES Server

Для коректної роботи вам необхідно вказати деякі основні параметри.

Увійдіть у сервер HES, відкрийте Налаштування→ Параметри

Ліцензування

Натисніть Імпорт ліцензії.

Імпортуйте ліцензію з файлу, який ви завантажили з порталу Hideez. Або ви можете запитати нас, і ми створимо для вас ліцензію.

Пошта

Адміністратори можуть налаштувати облікові дані для надсилання користувачам електронних листів із сервісними повідомленнями. Такі повідомлення використовуються для запрошення нових співробітників, скидання паролів співробітників, зміни пошти для співробітників, надсилання кодів активації для Hideez Key тощо.

Щоб перевірити поточні облікові дані, які ви використовуєте для відправки листів, вам потрібно розгорнути розділ Пошта:

Натисніть Налаштувати, щоб встановити або змінити облікові дані для надсилання імейлів:

Щоб налаштувати облікові дані електронної пошти, заповніть наступні поля:

Хост - це адреса поштового сервера, до якого ви хочете підключитися. Наприклад, для Gmail хостом SMTP може бути "smtp.gmail.com", а хостом IMAP - "imap.gmail.com". Реальний хост може відрізнятися залежно від постачальника послуг електронної пошти та конкретного протоколу, який ви використовуєте.

Порт - це цифровий код, який визначає конкретний мережевий порт для встановлення з'єднання з поштовим сервером за допомогою певного поштового протоколу.

SSL (Так) - це опція, яка вказує, чи використовувати SSL (протокол захищених сокетів) для встановлення захищеного з'єднання з поштовим сервером. SSL шифрує дані, що передаються між вашим комп'ютером і сервером, щоб захистити конфіденційну інформацію під час передачі.

Електронна пошта - адреса електронної пошти, яку ви використовуєте для надсилання та отримання повідомлень.

Пароль - пароль, пов'язаний з вашою адресою електронної пошти. Він використовується для аутентифікації та підтвердження вашої особи при підключенні до сервера.

Active Directory

Локальний сервер Active Directory (on-premises)

Ці параметри необхідно вказати, якщо ви будете використовувати сценарії HES для роботи з AD. Імпорт та синхронізація користувачів з Active Directory Імпорт та синхронізація користувачів з Active Directory зі зміною доменного пароля

Натисніть кнопку Додати домен

Заповніть і збережіть наступні параметри (у локальному каталозі Active Directory):

Доменне ім’я: введіть свій домен Active Directory. Це необхідно для імпорту користувачів із раніше створених груп в AD.
Ім’я входу користувача: ім’я для входу адміністратора AD із дозволами на отримання користувачів і груп із AD і зміну паролів користувачів.
Пароль: пароль адміністратора AD із дозволом отримувати користувачів і групи з AD і змінювати паролі користувачів.
Автоматична зміна пароля (Днів): кількість днів, після якої необхідно змінити пароль від облікового запису домену користувачам із групи Security Key Auto Password Change.
Ім'я групи синхронізації користувачів * - Користувачі, додані до групи синхронізації у директорії Active Directory, автоматично імпортуватимуться до HES під час синхронізації. Якщо користувача вилучено з групи, він залишається у списку співробітників HES. Синхронізація з Active Directory відбувається один раз на годину.

Ви можете задати будь-які стандартні назви для груп, але ці назви повинні відповідати групам у вашому локальному Active Directory для синхронізації користувачів або автоматичної зміни паролів.

Ім'я групи користувачів автоматичної зміни паролю * - Якщо користувач є членом як групи синхронізації, так і групи автоматичної зміни паролю, то обліковий запис домену буде імпортовано під час синхронізації, і буде створено новий пароль. Коли новий пароль записується одночасно в Hideez Key, він також буде змінений у Active Directory. З цього моменту користувач повинен використовувати свій Ключ Безпеки для входу. Подальші заплановані зміни паролю будуть виконуватись за тим самим алгоритмом. Якщо користувач вилучений із групи автоматичної зміни паролю, логіка автоматичної зміни паролю припиняє працювати.

Налаштування доступу до Active Directory та делегування прав

1. Підключення до AD для отримання списку користувачів

Будь-який користувач AD може отримати список інших користувачів.
Якщо зміна паролів не потрібна, підключайтеся до AD з акаунтом, який має мінімальні права.

2. Зміна паролів, блокування та розблокування користувачів AD

Ці дії можуть виконувати лише:
- Адміністратори AD.
- Члени групи Account Operators.
- Користувачі, які отримали делеговані права на зміну пароля.

Для підключення до AD з боку HES використовуйте обліковий запис із відповідними повноваженнями.

3. Делегування прав на зміну паролів

Щоб делегувати права іншому користувачеві або групі, виконайте такі кроки (потрібні права адміністратора):

Запуск консоль Active Directory Users and Computers (ADUC):
- Клацніть правою кнопкою миші (ПКМ) на OU, який містить потрібних користувачів.
- Виберіть пункт меню Delegate Control.

Вибір користувача або групи для делегування:

Виберіть користувача або групу, яким необхідно надати права на зміну паролів чи інші додаткові повноваження.

Надання прав:

Відмітьте необхідні права для делегування:
- Create, delete, and manage user accounts
- Reset user passwords and force password change at next logon

Важливе зауваження:

Якщо ви делегуєте звичайному користувачу право на зміну паролів, він зможе змінювати паролі всім звичайним користувачам, крім адміністраторів.

Azure AD

Щоб підключити Azure AD до HES, спочатку налаштуйте програму Azure AD:

Увійдіть в Azure portal
Перейдіть в Azure Active Directory -> App registrations

New Registration

Перейдіть до огляду програми, скопіюйте Application (client) ID, Directory (tenant) ID і вставте ці значення в налаштування домену на сервері Hideez.

Перейдіть до Certificates & secrets → New client secret а потім додайте та скопіюйте Client Secret.

Скопіюйте секрет зі стовпчика Value і вставте його в поле Client Secret на Hideez Server

На порталі Azure перейдіть до дозволів API permissions -> Add permission -> Microsoft Graph

Перейдіть у API permissions -> Add a permission -> Microsoft Graph. Натисніть Application permissions, потім оберіть Directory -> Directory.ReadWrite.All permission

Натисніть Grant admin consent (опціонально)

Заповніть і збережіть наступні параметри HES (Azure AD):

Ідентифікатор програми: введіть свій ідентифікатор програми Azure AD.
Секрет клієнта: введіть секрет клієнта Azure AD.
Ідентифікатор орендаря: введіть свій ідентифікатор клієнта Azure AD.
Автоматична зміна пароля (Днів): кількість днів, після якої необхідно змінити пароль від облікового запису домену користувачам із групи Security Key Auto Password Change.

Після збереження даних параметри входу в налаштуваннях не відображаються.

Якщо ви використовуєте Linux і вам потрібна інтеграція AD, приєднайте свій сервер Linux до AD

Увага! Щойно ви видалите логін і пароль адміністратора AD із налаштувань, усі сценарії синхронізації AD перестануть працювати.

За допомогою цієї інструкції ви можете додати на сервер кілька доменів одночасно. Кожен домен управляється окремо

Інші налаштування домену

Налаштування домену - Ці облікові дані будуть використані для підключення до Active Directory через LDAPS.
Параметри єдиного входу користувачів за замовчанням - Цей параметр буде використовуватися для всіх користувачів, синхронізованих із Active Directory. Пізніше ви можете змінити ці налаштування єдиного входу для кожного користувача окремо в налаштуваннях користувача.
Налаштування безпарольного входу на робочу станцію - Оновіть параметри безпарольного входу на робочу станцію

Дізнайтеся більше про налаштування безпарольного входу на робочу станцію

Splunk

Також тут можна встановити налаштування Splunk.

FIDO2

Якщо функцію «Дозволити автентифікатори платформи» ввімкнено, ви можете вибрати тип ключа безпеки, який реєструєте для користувача (за замовчуванням він кросплатформний):

Отже, список ключів FIDO користувача буде виглядати так: