Indeed PAM Gateway

Компонент Indeed PAM Gateway устанавливается на сервер Узел сеансов удаленных рабочих столов (Remote Desktop Session Host). Если серверов RDSH несколько, то Indeed PAM Gateway должен быть установлен на каждый.

Перейдите в каталог C:\Program Files\Indeed PAM\Gateway\ProxyApp и отредактируйте файл Pam.Proxy.App.exe.config:

<pamProxy ... />:

• ApiUrl - URL Indeed PAM Core

• IdpUrl - URL Indeed PAM IdP

• GatewaySecret - Секрет для ключей клиентов в целях дополнительной аутентификации компонента
  

  Секрет и его хэш генерируются консольной утилитой Pam.ConsoleApp.exe. Запустите командную строку, перейдите в папку "ConsoleApp" и выполните команду "Pam.ConsoleApp.exe generate-secret" D:\ConsoleApp>Pam.ConsoleApp.exe generate-secret Secret: OClhdGA1M6wWFcYflCfF1qINX8dYbvTrU0Aad4cb7piASoMEEiB2yM0I8N6zq7T/FSQunLyYzsRcm3PhQzqM9w== Hash: bQAl17Y58+Htv982eadHmFaDguAPNrjd+Bl9vN0Uw5c= Done.

  
  

  Хэш нужно будет указать при настройке Indeed PAM IdP.

  
  

• IdpRequiresHttps - требовать защищённое подключение
• остальное оставить без изменений

<pamProxy ApiUrl="https://pam.indeed-id.local/api" IdpUrl="https://pam.indeed-id.local/idp" GatewaySecret="OClhdGA1M6wWFcYflCfF1qINX8dYbvTrU0Aad4cb7piASoMEEiB2yM0I8N6zq7T/FSQunLyYzsRcm3PhQzqM9w==" IdpRequiresHttps="true" AgentConnectionTimeout="60" AgentHeartbeatTimeout="20" VideoTempPath="C:\ProgramData\Indeed\Pam\VideoTemp\" FileCopyMaxPercentToIgnore="1" FileCopyEnoughPercentToSave="50" FileCopyMinBytesToSave="1048576" />

Настройка коллекции сеансов

1. Выполните вход на сервер с ролью Посредник подключений удаленного рабочего стола (Remote Desktop Connection Broker) и запустите Диспетчер серверов (Server Manager)
2. Перейдите в пункт Служба удалённых рабочих столов (Remote Desktop Services) - Коллекции (Collections)
3. В разделе Коллекции (Collections) нажмите Задачи (Tasks) и выберите пункт Создать коллекцию сеансов (Create session collections)
4. Завершите работу мастера по созданию коллекции с необходимыми вам настройками.
5. В разделе Удалённые приложения RemoteApp (RemoteApp Programs) нажмите Задачи (Tasks) и выберите пункт Опубликовать удалённое приложение RemoteApp (Publish RemoteApp Programs)
6. Нажмите Добавить (Add), выберите приложение C:\Program Files\Indeed PAM\Gateway\ProxyApp\Pam.Proxy.App.exe, нажмите Далее (Next) и Опубликовать (Publish).
7. В разделе Удалённые приложения RemoteApp (RemoteApp Programs) откройте контекстное меню опубликованного приложения и выберите пункт Изменить свойства (Edit Properties).
8. Перейдите в пункт Параметры (Parameters), установите опцию Разрешить любые параметры командной строки (Allow any command-line parameters) и нажмите Ок.

Настройка доступа к web приложениям

Установка Indeed-Id ESSO Agent/Admin Pack

Для доступа к web приложениям через Indeed PAM потребуется установка дополнительных компонентов Indeed-Id:

• Indeed-Id Admin Pack
• Indeed-Id ESSO Agent
• Расширение для браузера

Настройка расширения для Internet Explorer через групповые политики

После установки Indeed-Id ESSO Agent в Internet Explorer будет автоматически добавлено расширение, но оно будет выключено. Для автоматического включения и настройки расширения потребуется:

1. Запустите оснастку Управление групповой политикой (Group Policy Management), выберите домен, откройте контекстное меню пункта Объекты групповой политики (Group Policy Objects) и выберите Создать (New) или используйте уже имеющийся объект групповой политики.
2. Перейдите в Объекты групповой политики (Group Policy Objects), откройте контекстное меню объекта групповой политики и выберите Изменить (Edit).

3. Перейдите

   Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Internet Explorer\Средства безопасности\Управление надстройками (Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Security Features\Add-on Management)

   
   

4. Установите переключатель на Включено (Enabled) и нажмите Показать (Show) в разделе Параметры (Options).
5. В поле Имя значения (Value name) введите ID расширения {D1080A9B-B3D0-443C-AE86-1A2B295A53A2}, в поле Значение (Value) введите 1 и сохраните изменения.
   

6. Перейдите

   Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления браузером\Вкладка "Безопасность" (Computer configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page).

   
   

7. Откройте параметр Список назначений зоны для веб-сайтов (Site to Zone Assignment List), установите переключатель на Включено (Enabled) и нажмите Показать (Show) в разделе Параметры (Options).
8. В поле Имя значения (Value name) введите URL узла, на котором расположено веб приложение, в поле Значение (Value) введите 2 и сохраните изменения.
   

9. Перейдите

   Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления браузером\Вкладка "Дополнительно" (Computer configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Advanced Page).

   
   

10. Откройте параметр Разрешить сторонние расширения браузера (Allow third-party browser extensions), установите переключатель на Включено (Enabled) и сохраните изменения.
11. Откройте параметр Включить усиленный защищённый режим (Turn on Enhanced Protected Mod), установите переключатель на Отключено (Disabled) и сохраните изменения.
12. Закройте Редактор управления групповыми политиками (Group Policy Management Editor)
13. Вызовите контекстное меню домена или подразделения, нажмите Связать существующий объект групповой политики (Link an Existing GPO), выберите объект групповой политики и настройте его на работу с сервером Indeed PAM Gateway.
14. Выполните вход на сервер Indeed PAM Gateway и запустите Диспетчер серверов (Server Manager).
15. Перейдите в пункт Локальный сервер (Local Server) и откройте опцию Конфигурация усиленной безопасности Internet Explorer (Internet Explorer Enhanced Security Configuration).
16. Для групп Администратора (Administrators) и Пользователи (Users) установите переключатель на Выключено (Off).

Настройка расширения для Google Chrome через групповые политики

1. Выполните вход на сервер c ролью Internet Information Services (IIS), перейдите в C:\initpub\wwwroot\ и создайте каталог ChromeExtension.
2. Запустите Диспетчер служб IIS (Internet Information Services (IIS) Manager) и раскройте пункт Сайты (Sites) в разделе Подключения (Connections).
3. Откройте контекстное меню сайта Default Web Site или любого другого сайта и выберите Добавить приложение (Add Application).
4. В поле Псевдоним (Alias) введите ChromeExtension, в поле Физический путь (Physical path) введите C:\initpub\wwwroot\ChromeExtension и сохраните изменения.
   
5. Выберите сайт, в котором было создано приложение ChromeExtension, откройте Типы MIME (MIME Types) в разделе IIS и нажмите Добавить (Add) в разделе Действия (Actions).
6. В поле Расширение файла (File name extension) введите .crx, в поле Тип MIME (MIME Type) введите application/chrome и сохраните изменения.
   

7. Пришлите в службу поддержки support@indeed-id.com URL приложения ChromeExtension.

   Пример: https://server.indeed-id.local/ChromeExtension

   
   

8. Откройте каталог C:\initpub\wwwroot\ChromeExtension и поместите в него файлы файлы полученные от службы поддержки:
   • Update.xml
   • icpjelgegalmjjkfoilkbeeodgfbcaam.crx
9. Выполните установку ADMX шаблонов на контроллер домена, шаблоны входят в состав дистрибутива и расположены в каталоге IndeedPAM\IESSO\IndeedID.SSO.Agent\Chrome\PolicyTemplates\ADMX
10. Запустите оснастку Управление групповой политикой (Group Policy Management), выберите домен, откройте контекстное меню пункта Объекты групповой политики (Group Policy Objects) и выберите Создать (New) или используйте уже имеющийся объект групповой политики.
11. Перейдите в Объекты групповой политики (Group Policy Objects), откройте контекстное меню объекта групповой политики и выберите Изменить (Edit).

12. Перейдите
    

    Конфигурация компьютера/Административные шаблоны/Google/Google Chrome/Расширения (Computer Configuration/Administrative Templates/Google/Google Chrome/Extensions).

    
    

13. Откройте параметр Создать список приложений и расширений, устанавливаемых принудительно (Configure the list of force-installed apps and extensions), установите переключатель на Включено (Enabled) и нажмите Показать (Show) в разделе Параметры (Options).

14. В поле Значение (Value name) введите ID расширения icpjelgegalmjjkfoilkbeeodgfbcaam и URL, по которому доступен файл update.xml, сохраните изменения.
    
    

    

    Разделителем между ID приложения и URL является точка с запятой. icpjelgegalmjjkfoilkbeeodgfbcaam;https://server.indeed-id.local/ChromeExtension/Update.xml

    
    

15. Откройте параметр Настроить источники для установки расширений, приложений и пользовательских скриптов (Configure extension, app, and user script install sources), установите переключатель на Включено (Enabled) и нажмите Показать (Show) в разделе Параметры (Options).

16. В поле Значение (Value name) введите URL узла, на котором расположено веб приложение ChromeExtension и сохраните изменения.
    
    

    URL должен заканчиваться символом - звёздочка. https://server.indeed-id.local/*

    
    

17. Закройте Редактор управления групповыми политиками (Group Policy Management Editor)
18. Вызовите контекстное меню домена или подразделения, нажмите Связать существующий объект групповой политики (Link an Existing GPO), выберите объект групповой политики и настройте его на работу с сервером Indeed PAM Gateway.