Краткая информация по альтернативам Aladdin 2FA для пользователей iPhone

Версия ПО:  JMS/JAS 3.7.x - 4.x, IOS

Токены:  Устройства Apple iPhone

Проблема: 

Приложение Aladdin 2FA для iPhone пропало из AppStore, установить и пользоваться смартфоном как вторым фактором стало невозможно.

Причина:

Ввиду наложенных на компанию "Аладдин Р.Д." санкций со стороны недружественных стран, компания Apple удалила сертификат разработчика и удалила все приложения, выпущенные компанией для продукции Apple из AppStore.

Решение:

      В настоящем документе приведены возможные альтернативы загрузки мобильного приложения Aladdin 2FA для новых пользователей, использующих iPhone

• Основной вариант – использовать приложение Aladdin 2FA для рабочих станций. В этом случае не нужно никаких дополнительных настроек со стороны продукта. Схема работы остаётся прежней. Скачать приложения можно на нашем сайте https://www.aladdin-rd.ru/catalog/aladdin-2fa/#download
• В случае, если использовать приложение для рабочих станций возможности нет – можно воспользоваться такими приложениями, как Яндекс Ключ или Google Authenticator. Для этого необходимо:

1. Создать глобальную группу в JMS или группу в ресурсной системе (AD, ALD Pro, RedAdm и т.д.).

2. В эту группу необходимо добавить (и в дальнейшем добавлять) всех пользователей, которые будут пользоваться данными приложениями:

3. Создать новый профиль выпуска программных ОТР-токенов и настроить его аналогично имеющемуся, за исключением способа передачи ОТР-секрета. Его необходимо оставить с настройкой «Базовый»:

1. 4. Привязать этот новый профиль аналогично уже имеющемуся, но с фильтрацией по ранее созданной группе (по вхождению):

1. 5. В настройках привязки старого профиля необходимо также добавить фильтрацию по созданной группе, но уже по исключению (для того, чтобы пользователям не создавалось лишних аутентификаторов):

1. 6. Если кастомизировались шаблоны писем для выпуска ОТР-токенов (для защищённого способа передачи), то необходимо их также кастомизировать и для базового варианта:

​​​​​​​7. Выполнить план обслуживания ЖЦ OTP. Пользователю должно прийти письмо следующего вида:

Ограничения:

1. Пуши будут работать только в версии для рабочих станций. Для Яндекс Ключа или Google Authenticator они работать не будут
2. Надо понимать, что передача ОТР-секрета базовым способом не является безопасной в общем случае, поскольку ссылка не одноразовая. Необходимо донести до пользователей, что ей нельзя делиться, а письмо после активации ОТР-токена лучше удалить.

Данное решение временное, до тех пор, пока не будет решён вопрос с размещением нового приложения в AppStore.