Продукт Indeed IIS Extension обеспечивает возможность добавления второго фактора аутентификации пользователей в web приложениях, использующих проверку подлинности с помощью форм (Forms Authentication), развернутых на платформе Microsoft Internet Information Services (IIS) с использованием технологии аутентификации Indeed.

Информация

Файлы для Indeed IIS Extension расположены: indeed AM 7.0\Indeed IIS Extension\<Номер версии>\

  • Indeed.EA.IIS.Extension-v1.2.7.x64.ru-ru.msi - Пакет для установки Indeed IIS Extension
  • /Misc/Server2008/Indeed.EMC.IIS.Install.MSServer2008.ps1 - Скрипт для установки необходимых компонентов IIS сервера для Windows Server 2008.
  • /Misc/Server2008/NDP452-KB2901907-x86-x64-AllOS-ENU.exe - Пакет с обновлением Microsoft .NET Framework 4.5.2 для Windows Server 2008.
  • /Misc/Server2012/AccessControlInitialConfig/Indeed.EMC.IIS.Install.MSServer2012.ps1 - Скрипт для установки необходимых компонентов IIS сервера для Windows Server 2012.

Установка и настройка Indeed IIS Extension

  1. Выполнить установку Indeed IIS Extension через запуск инсталлятора Indeed.EA.IIS.Extension-v1.2.7.x64.ru-ru.msi.
  2. Создайте в разделе HKEY_LOCAL_MACHINE\SOFTWARE\ ключ Indeed-ID.
  3. Создайте в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID ключ AuthProxy. В созданном ключе создайте:

    1. Строковый параметр ServerUrlBase. В данном параметре указывается URL Вашего сервера Indeed AM.

      Примечание

      В настройках приложения, в URL не должно быть символов “/” в конце


    2. Параметр DWORD IsIgnoreCertErrors со значением 0. Данный параметр предназначен для проверки сертификата сервера Indeed AM, при значении 1 происходит игнорирование ошибок сертификата.
    3. Строковый параметр AppId со значением IIS Extension. В данном параметре задается название используемого компонента.

  4. Создайте в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID ключ IISHTTPModuleВ созданном ключе создайте:

    1. Строковый параметр LSUrl. В данном параметре указывается URL Вашего лог сервера.

      Примечание

      В настройках приложения, в URL не должно быть символов “/” в конце

    2. Создайте строковый параметр LSEventCacheDirectory в значении укажите путь к папке для хранения локального кеша. 

    3. Строковый параметр ProviderId.

      Информация

      Подробнее про настройку ProviderId смотреть ниже.

Настройка IIS.

  1. Откройте в Диспетчере служб IIS (IIS Manager) приложение (для Outlook Web Access – это owa), которое будет использовать Indeed IIS Extension и перейдите в раздел Модули (Modules).
  2. В меню Действия (Actions) нажмите Выполняется настройка собственных модулей. . . (Configure Native Modules. . . ), включите модули Indeed и нажмите ОК.

Настройка двухфакторной аутентификации

Информация

Двухфакторная аутентификация поддерживается только для приложений, использующих проверку подлинности с помощью форм (Forms Authentication).

Indeed IIS Extension позволяет настроить двухфакторную аутентификацию для доступа к удаленным рабочим столам и приложениям через web с использованием службы Microsoft Remote Desktop Web Access (RD Web Access).

Двухфакторная аутентификация реализована с помощью аутентификации по доменному паролю и по второму фактору – одноразовому паролю.

Настройка провайдеров

  1. Выполните вход на сервер с установленным компонентом Indeed IIS Extension с учетной записью, обладающей правами локального администратора.

  2. Откройте редактор реестра и в созданном ранее ключе HKEY_LOCAL_MACHINE\SOFTWARE\IndeedID\IISHTTPModule создайте строковый параметр ProviderId и задайте для него значение, соответствующее используемому провайдеру.

    ProviderId может иметь разные ID провайдеров:

    {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} - SMS OTP

    {093F612B-727E-44E7-9C95-095F07CBB94B} - EMAIL OTP

    {F696F05D-5466-42b4-BF52-21BEE1CB9529} - Passcode

    {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} - Software TOTP

    {AD3FBA95-AE99-4773-93A3-6530A29C7556}HOTP Provider

    Информация

    В случае необходимости задать атрибут, отличный от mail , следует в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создать строковый параметр EmailAttribute и указать в качестве его значения имя атрибута, в котором хранится адрес электронной почты пользователя. 

    • Настройка для Email OTP, когда адрес почты получается из атрибута mail (по умолчанию):

    • Настройка для Email OTP, когда адрес почты получается из атрибута otherMailbox:

  3. В случае использования в качестве второго фактора SMS OTP Provider возможно задать имя атрибута Active Directory в профиле пользователя, из которого система будет получать номер телефона пользователя для отправки одноразового пароля. 

    Информация

    В случае необходимости задать атрибут, отличный от telephoneNumber , следует в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создать строковый параметр PhoneAttribute и указать в качестве его значения имя атрибута, в котором хранится номер телефона пользователя. 

    • Настройка для SMS OTP, когда номер телефона получается из атрибута telephoneNumber (по умолчанию):
    • Настройка для SMS OTP, когда номер телефона получается из атрибута mobile:



Настройка компонента

Двухфакторная аутентификация настраивается отдельно для каждого целевого приложения. В процессе настройки необходимо создать в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\IISHTTPModule реестра Windows ключ с именем приложения или сайта в IIS (может иметь произвольное значение), создать в этом ключе следующие  параметры и определить их значения:

  1. AuthCookie – Строковый параметр. Название Cookie, которое используется для аутентификации в целевом приложении. Определяется экспериментальным путем для каждого приложения. Значение параметра можно получить из консоли F12 IE Developer Toolbar выполнив следующие действия:
    1. В разделе Сеть (Network) запустите Сбор сетевого трафика (Enable network traffic capturing).
    2. Выполните аутентификацию в приложении.
    3. Перейдите в раздел Подробности (Details) на вкладку Файлы Cookie (Cookies).
    4. Искомое значение указано в столбце Ключ (Key).
  2. IsMFAEnabled – DWORD параметр. Включение двухфакторной аутентификации. 
  3. LoginURL – Строковый параметр. Относительный URL, на который происходит POST-отправка данных формы входа приложения. Должен начинаться с символа /. URL указывается относительно целевого сайта.
  4. OTPURL –  Строковый параметр. Альтернативный URL для отправки данных формы аутентификации Indeed второго фактора. По умолчанию данные формы отправляются на тот же URL, что и данные формы целевого приложения. Их перехватывает IIS модуль и подменяет на оригинальные данные, если аутентификация Indeed прошла успешно или же не подменяет их, если аутентификация Indeed не прошла и целевое приложение отображает собственную ошибку аутентификации. Значение необходимо использовать, если целевое приложение не трактует данные формы Indeed как ошибочные для аутентификации или необходимо явным образом демонстрировать ошибки аутентификации Indeed пользователю. Таким образом, значение можно оставить пустым.
  5. PasswordField – Строковый параметр. Значение атрибута name поля пароля формы входа приложения.
  6. TargetURL – Строковый параметр. URL целевой страницы, на которую пользователь попадает после аутентификации в приложении.
  7. UsernameField – Строковый параметр. Значение атрибута name поля имени пользователя формы входа приложения.

Значения всех параметров: LoginURL, PasswordField, UsernameField  содержатся в форме аутентификации целевого приложения могут быть получены, например, при помощи инструмента Internet Explorer F12 Developer Tools.

Пример работы расширения. 

  1. Открыть приложение OWA и ввести доменный логин/пароль.

  2. После корректного ввода появится окно с запросом второго фактора.
  3. После успешного ввода откроется приложение.






  • No labels