Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline epsgar  
#1 Оставлено : 14 апреля 2016 г. 12:09:37(UTC)
epsgar

Статус: Участник

Группы: Участники
Зарегистрирован: 12.11.2015(UTC)
Сообщений: 18
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 6 раз
Приветствую!

При настроенной вторичной аутентификации, пользователю предлагается ввести одноразовый пароль.
В контексте .NET примера нужно задать callback, который запросит этот пароль и просунет далее в str\rstr.
Но в таком случае получается "синхронное" ожидание OTP пароля (private DSSRequestSecurityTokenResponse ProcessResponse(DSSRequestSecurityTokenResponse response)).
Есть ли возможность, например, в рамках одной транзакции сначала выпустить токен без OTP подтверждения, а потом уже с ним?

Используется .NET примеры DSS интеграции от 1660 версии.

Offline khomenko  
#2 Оставлено : 14 апреля 2016 г. 16:59:38(UTC)
Михаил Хоменко

Статус: Активный участник

Группы: Администраторы, Участники
Зарегистрирован: 28.04.2010(UTC)
Сообщений: 140
Мужчина
Откуда: Крипто-Про

Поблагодарили: 15 раз в 14 постах
Добрый день,

Будет или нет затребован с пользователя ввод одноразового пароля - зависит от настроек DSS.
DSS можно настроить таким образом, чтобы подтверждение одноразовым паролем требовалось только для операций подписи (например)
Настройка требований вторичной аутентификации задаётся по пользователям либо оператором, либо самим пользователем.

Второй момент:
DssWsTrustChannel предоставляет несколько методов Issue. Т.е. вы можете самостоятельно контролировать обмен RST/RSTR с ЦИ DSS, и в нужный момент получив ответ от пользователя (ввод ОТP), отправите RSTR cодержащий Challenge Response (OTP) в ЦИ.
Offline epsgar  
#3 Оставлено : 15 апреля 2016 г. 12:16:20(UTC)
epsgar

Статус: Участник

Группы: Участники
Зарегистрирован: 12.11.2015(UTC)
Сообщений: 18
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 6 раз
Цитата:
DSS можно настроить таким образом, чтобы подтверждение одноразовым паролем требовалось только для операций подписи (например)

DSS специально настроен на вторичную аутентификацию авторизации пользователя.

Цитата:
DssWsTrustChannel предоставляет несколько методов Issue. Т.е. вы можете самостоятельно контролировать обмен RST/RSTR с ЦИ DSS, и в нужный момент получив ответ от пользователя (ввод ОТP), отправите RSTR cодержащий Challenge Response (OTP) в ЦИ.

В процессе обменом STR\RSTR до момента token.IsFinal требуется, в конечном итоге, установленный OTPCallback.
Переформулирую свой вопрос: можно ли получить сначала secToken без обработки OTP, а потом на основе его выпустить новый, уже с обработкой OTP.

При ковырянии в исходниках DSSWSTrustChannel я не смог подобрать таких условий .Issue(), чтобы и token получить и на обработку OTP не нарваться. Если не сложно, укажите направление дальнейших раскопок...
Offline Георгий Садофьев  
#4 Оставлено : 15 апреля 2016 г. 14:01:58(UTC)
Георгий Садофьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.10.2011(UTC)
Сообщений: 130
Мужчина

Поблагодарили: 26 раз в 25 постах
Добрый день!

Если Вы включили вторичную аутентификацию, то получить токен сможете только после ввода OTP.

Вы хотите разнести по времени операции инициирования процедуры вторичной аутентификации (отправка запроса на токен) и операцию ввода OTP?
Если да, то Вам следует воспользоваться методами:

Код:

SecurityToken Issue(RequestSecurityToken rst, out RequestSecurityTokenResponse rstr) (1)
SecurityToken Issue(RequestSecurityTokenResponse rstr, out RequestSecurityTokenResponse rrstr) (2)


Сначала Вы вызываете метод (1), он возвращает null в качестве токена и RSTR, содержащий запрос на ввод OTP. Затем, когда Вы получите от пользователя OTP, вы вызовете метод (2), передав ему на вход RSTR, содержащий OTP. В случае успеха метод (2) вернёт Вам токен.
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.