Вход с помощью средства электронной подписи#
Настройка метода аутентификации в консоли управления#
При использовании для аутентификации средства электронной подписи необходимо:
в блоке настроек Сертификаты загрузить сертификаты удостоверяющих центров, подтверждающих подлинность сертификатов ключей электронной подписи или настроить взаимодействие с внешним сервисом проверки электронной подписи.
настроить в блоке Правила соответствия параметры сопоставления учетной записи пользователя в хранилище по его атрибутам из сертификата электронной подписи. В правилах сопоставления используются строки подстановки. Например, правило
cn=${SUBJECT.CN}
означает, что атрибутSUBJECT.CN
сертификата будет сравниваться с атрибутомcn
в хранилище данных. Возможно указание нескольких условий одновременно, а также указание альтернативных правил.
При конфигурировании входа по электронной подписи можно также указать:
следует ли этот метод использовать в качестве первого и второго фактора. Если да, то пользователь, прошедший аутентификацию по электронной подписи, будет считаться прошедшим двухфакторную аутентификацию (пример настройки на рисунке ниже);
следует ли проверять действительность сертификата. В этом случае Blitz Identity Provider, используя указанную в сертификате точку распределения списка отзыва (CRL), будет проверять, не был ли сертификат отозван. Для активации этой возможности следует отметить чекбокс
Проверять, что сертификат пользователя не отозван
;следует ли создавать (регистрировать) учетную запись при первом входе по электронной подписи. В этом случае, если пользователь не найден по определенным правилам соответствия, то ему будет предложено зарегистрировать учетную запись. Чтобы включить эту функцию, следует отметить чекбокс
Создавать учетную запись, если пользователь не найден по сертификату электронной подписи
и настроить правила регистрации пользователя – каким образом заполнять атрибуты в хранилище из атрибутов сертификата. Для задания правил следует использовать строки подстановки. Например, правилоemail=${SUBJECT.E}
означает, что в атрибутemail
будет сохранена электронная почта из сертификата электронной подписи пользователя.
Использование и обновление плагина#
Для корректной работы входа по электронной подписи на компьютерах пользователей используется специальный плагин – Blitz Smart Card Plugin. При первом входе по электронной подписи пользователю будет предложено установить плагин. После загрузки файла и его запуска пользователю следует пройти все шаги установки плагина. При повторном входе с данного устройства не потребуется устанавливать плагин заново.
Blitz Identity Provider поставляется вместе с версией плагина, позволяющей работать со средством электронной подписи в качестве метода аутентификации.
При необходимости обновить версию Blitz Smart Card Plugin следует заменить дистрибутивы плагина – они размещены в директории assets
с установкой Blitz Identity Provider, в архиве assets.zip
. Структура архива имеет следующий вид:
plugins/sc/deb/BlitzScPlugin.deb
plugins/sc/rpm/BlitzScPlugin.rpm
plugins/sc/win/BlitzScPlugin.msi
plugins/sc/mac/BlitzScPlugin.pkg
plugins/sc/mac/BlitzScPlugin-10.14.pkg
...
Необходимо распаковать архив assets.zip
, заменить файлы с дистрибутивом плагина и заархивировать обратно файлы в assets.zip
.
Также можно при необходимости скорректировать настройки использования плагина электронной подписи.