3.16.3

Ключові функції сервісу автентифікації Hideez за 5 хвилин

Сервіс автентифікації Hideez – Ключові функції

Компоненти сервісу автентифікації Hideez

Корпоративний сервер Hideez

  • Створений для менеджменту аутентифікації і доступом

  • Може використовуватися окремо і разом з апаратними (фізичними) і програмними ключами безпеки (Passkey, Hideez Authentication app)

  • Розблокування комп'ютерів за допомогою ключів Hideez Keys (Механізм Proxymity)

  • Розблокування та блокування комп'ютера за допомогою мобільного застосунку

  • Розблокування комп'ютера без пароля та в режимі офлайн за допомогою мобільного додатку у вигляді смарт-картки

  • Підтримує Єдиний вхід (SSO) до будь-яких веб-застосунків, що підтримують Open ID Connect

  • Може використовуватися в якості постачальника ідентифікаційних даних (IdP) для веб-застосунків, що підтримують SAML 2.0.

  • Може бути розгорнута в хмарі або на стороні клієнта

  • Інтегрована в домен для роботи з AD або Azure AD (Entra)

Крім того Hideez Enterprise Server:

  • Може бути розгорнуто як на Windows, так і на Linux сервері

  • Може використовуватися як сервер FIDO-ключів підтримує ключі безпеки різних виробників

  • Розгортається з вихідних файлів або запускається в Docker

Hideez Client (настільна програма)

  • Може бути встановлений централізовано, .msi

  • Розроблений лише для Windows 10-11

  • Ви можете зареєструвати адресу сервера на всіх Клієнтах централізовано

Ключі Hideez (Апаратні безпекові токени)

  • Блокування і розблокування комп'ютера за допомогою рівня сигналу наближення

  • Підтримка стандарту FIDO2

  • Менеджер паролів

  • Автоматичний ввід облікових данних натиском кнопки на ключі

  • Ввід OTP кодів

  • З'єднання Bluetooth, RFID (Hideez Key 3,4), NFC, USB (Hideez Key4)

  • Може використовувати внутрішній (BLE) або зовнішній (USB Dongle) блютуз модуль

  • Змінна (Hideez Key 3) чи перезарядна (Hideez Key 4) батарея

Hideez Authenticator (мобільний додаток)

  • Сумісний з Android та iOS пристроями

  • Мобільний вхід до будь-якого типу облікових записів Windows (також через RDP; безпарольний вхід на основі TPM, на основі паролю)

  • Опція єдиного входу

  • Генерація OTP

Ключі та мобільний додаток можуть бути використані водночас або окремо, за бажанням користувача.

Корпоративний Сервер Hideez

Якщо ваша програма є постачальником послуг SAML 2.0, ви готові додати додатковий рівень безпеки за допомогою Hideez IdP, увімкнути 2FA та використовувати ключі безпеки Hideez або власні (сторонні або платформні) автентифікатори. SAML IdP використовує сховище ідентичностей HES або Active Directory, вмикаючи автентифікацію та забезпечуючи федерацію для таких сервіс провайдерів. Корпоративний Сервер Hideez підтримує SAML 2.0 логін, вихід, одиночний вихід і метадані. Підтримується вхід як ініційований SP, так і ініційований IdP.

Читайте більше про цю функцію тут.

Облікові записи

Є різні типи облікових записів залежно від афіляції та розташування сховища:

  • Персональні облікові записи створюються на сервері адміністратором для окремого співробітника. Співробітник використовує обліковий запис, але не може змінити його. В момент синхронізації ключа та сервера паролі завантажуються на ключ та видаляються з сервера; в подальшому вони зберігаються лише на ключі співробітника.

  • Спільні облікові записи створюються на сервері адміністратором та можуть бути призначені для декількох співробітників. Співробітники використовують обліковий запис, але не можуть змінити його. В момент синхронізації ключа та сервера паролі завантажуються на ключ, але НЕ видаляються з сервера; в майбутньому вони зберігаються і на ключі, і на сервері. Використовуйте опцію Захист Даних для забезпечення безпеки даних на сервері.

  • Приватні облікові записи створюються співробітником через інтерфейс Hideez Client, адміністратор не знає про їх існування, вони не передаються на сервер. Співробітник може додавати лише обліковий запис Web / App.

Типи облікових записів за доступом

Ви можете створити обліковий запис для доступу до сайтів та / або програм та розблокування вашого ПК (локальний акаунт, доменний акаунт, Microsoft або Azure AD акаунт).

Один і той самий обліковий запис може бути одночасно використаний для доступу до вебсайтів / програм та розблокування ПК. Наприклад, Ви можете задати доменний обліковий запис та сайти / програми, для яких можлива доменна авторизація.

Робочі станції

Щойно Hideez Client встановлюється на комп'ютері користувача, ПК буде відображено у відповідному розділі на сервері. Обов’язковою умовою є те, що адміністратор має схвалити цей комп’ютер для роботи з Hideez Key.

Якщо не буде схвалено, користувач не зможе підключити ключ (тобто співробітник не зможе працювати з ключем, який йому надали на роботі на якомусь своєму ноутбуці / комп’ютері, якщо адміністратор не дозволить це).

Профілі доступу (для апаратних ключів)

Профілі доступу — це інструмент для посилення або послаблення налаштувань безпеки для окремих користувачів. Ви можете налаштувати вимогу натискання кнопки / введення PIN-коду / підключення до сервера для першого підключення ключа до комп’ютера / доступу до менеджера паролів у Hideez Client.

Для посилення безпеки Ви можете налаштувати вимогу введення PIN коду кожні n-хвилин.

Розблокування вашого ПК з Hideez Key

Щоб ключ міг розблокувати ПК, мають бути виконані наступні умови:

  • клієнт встановлено на ПК

  • ПК підтверджено адміністратором на сервері

  • ключ має обліковий запис для розблокування ПК

За дотиком

Цей метод не вимагає окремих налаштувань - все працює з коробки. Якщо вищенаведені вимоги виконані, дотик до донгла розблокує ПК.

Розблокування за проксіміті (коли сигнал Bluetooth підвищується до певного рівня)

Сценарій потребує додаткового налаштування: у налаштуваннях робочої станції на сервері HES має бути вказано ключ, який може розблокувати комп’ютер за допомогою проксіміті.

Обмеження: Цей спосіб призначений для ситуації, коли за комп'ютером працює тільки один користувач. Якщо на одному комп'ютері працюють 2 або більше користувачів, цей спосіб розблокування можна дозволити лише в тому випадку, якщо ці співробітники працюють позмінно і не можуть закривати комп'ютер одночасно.

Адміністратору доступно налаштування рівня сигналу Bluetooth, за якого комп’ютер блокується чи розблоковується. Але регулювати рівень сигналу можна лише в %. Реальна відстань у метрах залежить від конкретної кімнати (її меблів, наявності перешкод, інших бездротових пристроїв і завантаженості мережі).

Розблокування ключем безпеки (FIDO2)

Цей метод працює, лише якщо ви використовуєте Azure AD. Bluetooth-ключ Hideez і програмне забезпечення Hideez не потрібні, лише налаштований ключ і налаштування з боку Azure AD.

Блокування вашого ПК Hideez Key

Незалежно від налаштованого вами методу розблокування, ПК завжди блокується за проксіміті. Коли ключ далеко і рівень сигналу Bluetooth падає нижче встановленого значення, ПК блокується.

Щоб заблокувати ПК за допомогою ключа, ви також повинні розблокувати його за допомогою ключа Hideez або підключити ключ до клієнта, якщо він розблокований вручну.

  • якщо ви розблокували комп'ютер вручну і не підключили ключ, автоматичного блокування не буде. На це вказує червоний значок клієнта Hideez.

  • якщо ви розблокували комп’ютер вручну, а потім під’єднали ключ до Клієнта, комп’ютер буде заблоковано за проксіміті. Піктограма Hideez Client з’явиться стандартного синього кольору.

  • якщо ви розблокували комп’ютер за допомогою ключа, ПК буде заблоковано за проксіміті.

Організаційна структура

Ви можете відтворити організаційну структуру вашої компанії, додаючи відділення чи підрозділи на HES. Це абсолютно необов'язково, але заповнені дані допоможуть Вам отримати відповіді в контексті звітів за кожним відділенням. Дані можуть бути отримані з AD для імпортованих користувачів.

Керування статусами ключей

Щоб забезпечити зручне керування ключами Hideez, вони мають різні статуси, які дозволяють адміністратору впроваджувати різні політики безпеки, надані компанією.

Ready

Цей статус означає, що Hideez Key не містить даних та може бути виданий співробітнику.

Пристрій має такий статус:

  • одразу після імпорту

  • після процедури очищення (Wipe)

Reserved

Цей статус означає, що ключ Hideez було видано/надіслано користувачеві, але він ще не активований користувачем. Ключ не можна використовувати, на ньому немає даних. Потрібна процедура активації.

Ви можете додавати облікові записи на Hideez Key з таким статусом, але фізично вони з'являться на ньому, коли пристрій перейде в статус Active.

Active

Цей статус означає, що Hideez Key працює, і ви можете використовувати ключ. Цей статус дозволяє додавати / змінювати / видаляти облікові записи тощо.

Locked

Цей статус означає, що Hideez Key заблоковано на апаратному рівні в результаті введення неправильного PIN-коду або коду активації. Користувач не може працювати, поки пристрій не буде розблоковано.

Suspended

Цей статус означає, що Hideez Key тимчасово недоступний для використання. Це може бути в тому випадку, коли:

  • Співробітнику тимчасово заборонили користуватися ключем Hideez (наприклад, під час відпустки) і примусово присвоїли цей статус

  • Адміністратор перевів ключ Hideez із стану Locked за допомогою команди Activate device, і ключ Hideez буде недоступний для використання, доки користувач не введе правильний код активації.

Deactivated

Цей статус означає, що ключ Hideez було відібрано у попереднього користувача, але дані на ньому ще не стерто, або він зламаний.

Compromised

Цей статус означає, що ключ Hideez було зламано. Адміністратор встановлює статус, пристрій стирається, всі зв'язки видаляються. Дані не можна відновити.

Додавання співробітників

Є 2 механізми додавання співробітників на HES.

Якщо Ви не використовуєте Active Directory, Ви можете вручну додати співробітника. Ви можете задати лише ім'я та завершити налаштування набагато пізніше, або створити користувача з повним налаштуванням.

Якщо у Вас є Active Directory у вашій компанії та Ви хочете найбільш щільно інтегрувати її, читайте наступний розділ.

Сценарії AD

Імпорт користувачів з AD

Ви маєте задати наступні групи в AD:

  • Security Key Owners

  • Security Key Auto Password Change

Додатии усіх користувачів, які будуть користуватися ключами, в групу Security Key Owners.

Група Security Key Auto Password Change має включати співробітників, для яких доменні паролі мають бути автоматично згенеровані та змінені за графіком. Такі співробітники зможуть авторизуватися лише з Hideez Key.

Щойно усі необхідні налаштування для доступу до AD на HES будуть збережені та початкова процедура імпорту завершена, групи Security Key Owners та Security Key Auto Password Change будуть автоматично синхронізовані зі списком користувачів на HES.

Синхронізація з AD відбувається раз на годину. Як це працює? Ви хочете додати нового співробітника, якому дозволено використовувати апаратний ключ безпеки. Додайте його до групи Security Key Owners, і після синхронізації він з’явиться в списку співробітників HES. Після цього потрібно присвоїти ключ співробітнику і пройти всі інші кроки.

Ви хочете, щоб для деяких співробітників налаштувати регулярну автоматичну зміну пароля в AD. Ні користувач, ні адміністратор не знатимуть цих паролів! Пароль зберігатиметься лише на апаратному ключі, а авторизація в доменному обліковому записі буде можлива лише за наявності ключа.

Одночасно додайте користувача до груп Security Key Owners та Security Key Auto Password Change. Як тільки співробітник імпортується з AD, його доменний обліковий запис також імпортується (навіть до того, як йому буде призначено апаратний ключ). Пароль із AD неможливо імпортувати, тому він генерується на стороні HES. Після призначення апаратного ключа співробітнику на стороні сервера створюється завдання для запису облікового запису домену з новим паролем на ключі. Співробітник продовжує використовувати поточний пароль для входу в обліковий запис домену до першого підключення апаратного ключа безпеки.

Ключ активується при першому підключенні (не забудьте надати співробітнику код активації). Раніше надіслане сервером завдання на створення облікового запису з новим паролем виконується. У той же час пароль користувача в AD оновлюється і записується в ключ.

Автоматична зміна пароля відбувається відповідно до налаштувань на HES.

Ви хочете припинити автоматичну зміну пароля для доменного облікового запису.

Видаліть користувача з групи «Security Key Auto Password Change». Автоматична зміна пароля перестане працювати.

Ви хочете позбавити свого співробітника права використовувати апаратний ключ безпеки.

Видаліть свого співробітника з групи власників ключів безпеки, і його ключ після синхронізації перейде в стан «Deactivated». Співробітник не буде видалений з HES (для збереження історії його дій), але він більше не зможе використовувати ключ. Вам просто потрібно фізично забрати апаратний ключ у співробітника та виконати процедуру очистки, щоб мати можливість передати його іншому співробітнику.

Використання ключів Hideez для відкриття фізичних дверей

Кожен ключ Hideez Key має заводський RFID-код. Його можна або ввести у ваш СКУД, або ви можете призначити новий потрібний RFID-код Hideez Key за допомогою спеціального програматора. Програматор можна придбати окремо або він може входити в комплект вашої Системи контролю доступу (СКУД).

Змінити RFID-код на Hideez Key без програматора неможливо!