(2021-02-05 14:02:09 отредактировано Ranka)

RuToken, аутентификация пользователя Windows 10

Подскажите пожалуйста, хочу приобрести рутокен для ЭЦП а так же для аутентификации пользователя Windows 10, RuToken S или RuToken 2.0 - FIDO / U2F поддерживает или нет?( А то не могу найти документацию где было бы прописано что не поддерживает... Большое спасибо!

Ну или в общем, подойдет ли RuToken S или RuToken 2.0 для аутентификации пользователя Windows 10.
https://d.radikal.ru/d03/2102/90/043b3851991e.png

Re: RuToken, аутентификация пользователя Windows 10

Здравствуйте, Ranka, носители моделей Рутокен ЭЦП 2.0 и Рутокен S не поддерживают работу по протоколам FIDO2 и FIDO(U2F).  Рутокен U2F работает по протоколу FIDO, а Windows Hello поддерживает только работу с FIDO2.

Но решения есть, уточните, пожалуйста, вас интересует аутентификация в Windows в домене или на отдельном ПК?

Re: RuToken, аутентификация пользователя Windows 10

Николай Киблицкий пишет:

Здравствуйте, Ranka, носители моделей Рутокен ЭЦП 2.0 и Рутокен S не поддерживают работу по протоколам FIDO2 и FIDO(U2F).  Рутокен U2F работает по протоколу FIDO, а Windows Hello поддерживает только работу с FIDO2.

Но решения есть, уточните, пожалуйста, вас интересует аутентификация в Windows в домене или на отдельном ПК?

На отдельном ПК, просто ключ стоит все ок, вытащил блок, без ключа что бы не зайти, так же к этому что бы ЭЦП записать можно было и работать. Спасибо!

Re: RuToken, аутентификация пользователя Windows 10

Ranka пишет:

На отдельном ПК, просто ключ стоит все ок, вытащил блок, без ключа что бы не зайти, так же к этому что бы ЭЦП записать можно было и работать. Спасибо!

Для данной задачи вам подойдет продукт Рутокен Логон совместно с Рутокен ЭЦП 2.0.

Re: RuToken, аутентификация пользователя Windows 10

Здравствуйте, скажите есть какие-либо обновления по этому вопросу за прошедшие 3 года?
Мне нужно приобрести флешку-ключ с поддержкой FIDO2 для аутентификации в домене по технологии Windows Hello for Business.

Re: RuToken, аутентификация пользователя Windows 10

Здравствуйте beats.
В настоящий момент у нас появился аутентификатор Рутокен MFA.
Данное устройство полностью поддерживает спецификацию FIDO2 и совместимо с Windows Hello For Business.
Обратите внимание, что Windows Hello for Business поддерживает аутентификацию в доменах с помощью FIDO2-аутентификаторов только в облачной версии Azure Active Directory.

Re: RuToken, аутентификация пользователя Windows 10

Николай Киблицкий пишет:

В настоящий момент у нас появился аутентификатор Рутокен MFA.

Выпуск такого варианта аутентификатора это отличная новость!

Николай Киблицкий пишет:

Обратите внимание, что Windows Hello for Business поддерживает аутентификацию в доменах с помощью FIDO2-аутентификаторов только в облачной версии Azure Active Directory.

А вот это уже новость плохая) Потому что у нас локальный AD. Я видел в некоторых блогах такую информацию, но я не смог ее подтвердить в msdn документациях.
Вот выдержки из msdn
https://forum.rutoken.ru/uploads/images/2024/02/ae2f919bf50145e1f3c256647894d841.png
и еще
https://forum.rutoken.ru/uploads/images/2024/02/4153e10caedf001b9cfd0b9c2f405843.png
вроде тут не сказано про ограничения локалки. А термин On-premises насколько я понимаю синоним local.
Если вы уверены что локальный AD не поддерживает такой вход, не могли бы указать конкретные места где майкрософт упоминали это?

Re: RuToken, аутентификация пользователя Windows 10

beats, Мы исследовали данный вопрос в 2023 году. На тот момент все материалы Microsoft-а указывали на использование аутентификации FIDO2 только в облачных сервисах AD. Это связано с тем, что для Azure Active Directory используется другой протокол аутентификации - Oath вместо Kerberos. Протокол Kerberos разработан достаточно давно и поддерживает всего 2 механизма аутентификации - пароль и сертификат (PKI).
Сейчас появилась статья, которая подробно рассказывает о возможности аутентификации с помощью FIDO2 ключей - https://learn.microsoft.com/en-us/entra … n-premises.
Из текста статьи следует, что появился гибридный режим работы, позволяющий аутентифицировать пользователей в локальном AD с помощью "моста" в облако (AzureADHybridAuthenticationManagement module).
В статье четко указано ограничение:

The following scenarios aren't supported:
Windows Server Active Directory Domain Services (AD DS)-joined (on-premises only devices) deploymenеt

Мы не проверяли такой сценарий в связи с проблемами с доступом в AzureAD из России. Если у вам подходит способ, указанный в статье - он должен работать, т.к. Windows Hello полноценно работает с Рутокен MFA в качестве FIDO2 ключа.