Versions Compared
Key
- This line was added.
- This line was removed.
- Formatting was changed.
Компонент ADFS Extension реализует провайдер мультифакторной аутентификации для сервера Microsoft ADFS, добавляя в процесс получения доступа второй фактор.
Info | ||
---|---|---|
| ||
Файлы для Indeed ADFS Extension расположены: indeed EA 7.0\Indeed ADFS Extension\<Номер версии>\
|
Создание сервисной учетной записи.
- На контроллере домена необходимо создать сервисную учетную запись (gMSA).
Открыть PowerShell с правами администратора и ввести команды:
Note title Примечание Вместо YouDnsHostName укажите полное имя своей машины.
Code Block language powershell title Пример Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10) New-ADServiceAccount -Name FSgMSA -DnsHostName YouDnsHostName -ServicePrincipalNames http/YouDnsHostName
Image Modified
Image Modified
Получение SSL сертификат для ADFS.
Откройте локальный центр сертификации. (Win+R -> certsrv.msc).
Создайте дубликат шаблона сертификата: "Веб-сервер".
Откройте консоль шаблонов сертификатов. (Правая кнопка мыши по "Шаблоны сертификата" -> "Управление").
Создать дубликат шаблона "Веб-сервер". (Правая кнопка мыши по "Веб-сервер" -> "Скопировать шаблон").
Укажите имя для шаблона и установите значение "Заявка" для группы "Прошедшие проверку".
Image Modified
Image Modified
На вкладке "Обработка запроса" включите параметр "Разрешить экспортировать закрытый ключ".
Image Modified
Включите созданный шаблон (Правая кнопка мыши по "Шаблоны сертификата" -> "Создать" -> "Выдаваемый шаблон сертификата").
Image Modified
- Создайте запрос сертификата на сервере ADFS.
- Откройте оснастку "Сертификаты".
- Запросите сертификат.
Image Modified - Выберите созданный сертификат.
Image Modified - На вкладке "Субъект" в поле "Имя субъекта" укажите тип "Общее имя" в значение укажите имя вашего сервера ADFS.
Image Modified - Выполнить заявку сертификата.
Image Modified
Image Modified
Экспорт сертификата.
- Экспортируйте сертификат. (Правая кнопка мыши по необходимому сертификату -> Все задачи -> Экспорт).
Image Modified - Выберите "Экспортировать закрытый ключ".
Image Modified - Выберите "Экспортировать все расширенные свойства".
Image Modified - Укажите пароль с которым будет выгружен сертификат.
Image Modified - Укажите путь и имя сертификата.
Image Modified - Выполните экспорт.
Установка и настройка.
- Установить роль "Службы федерации AD" на отдельном сервере.
Image Modified
Настройка роли ADFS.
- Откройте мастер настройки службы федерации.
- В пункте "Подключение к AD DS" укажите учетную запись с правами Администратора.
- В пункте "Настройка свойств службы" необходимо импортировать сертификат созданный ранее в Центре сертификации для шифрования службы AD FS.
Image Modified - Выберите сервисную учетную запись, созданную ранее.
Image Modified - Все следующие настройки оставьте по умолчанию и завершите настройку.
Проверка входа в ADFS.
- Проверить настройку можно через стандартную страницу ADFS: IdpInitiatedSignon. Для этого используйте URL: https://YourDomainName/adfs/ls/idpinitiatedsignon.htm
- Нажмите "Вход".
- Укажите доменный логин и пароль.
После успешного ввода данных, ADFS сообщит что вход выполнен.
Image Modified
Установка и настройка ADFS Extension.
- Выполнить установку Indeed ADFS Extension через запуск инсталлятора IndeedId.ADFS.Extension-v1.0.2.x64.ru-ru.msi.
Создайте конфигурационный файл MFAAdapter.json, содержащий следующие параметры.
Info title Информация ModeId может иметь разные ID провайдеров:
{EBB6F3FA-A400-45F4-853A-D517D89AC2A3} - SMS OTP
{093F612B-727E-44E7-9C95-095F07CBB94B} - EMAIL OTP
{F696F05D-5466-42b4-BF52-21BEE1CB9529} - Passcode
{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} - Software ТOTP
Code Block language js title Пример { "ServerType":"eaNet", "EANetServerURL":"http://YourDomainName/easerver/", "ModeId":"{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}", "LSUrl":"http://YourDomainName/ils/api", "LSEventCacheDirectory": "C:\\EventCacheEa\\" }
Настройка при использовании SMS OTP Provider.
Info title Информация По умолчанию номер телефона получается из атрибута "telephoneNumber".
Для смены атрибута по умолчанию необходимо добавить параметры в конфигурационный файл сервера.
Добавить тег "userMapRules" в теге "adUserCatalogProvider".
- Добавить тег "adObjectMapRule" в теге "userMapRules"с параметрами:
- "attribute="Phone"" - Указывает на изменяемый параметр.
- "adAttribute="mobile"" - Указывает с какого атрибута AD брать значение.
- Добавить тег "objectTypeSettings".
Добавить тег "objectSetting" с параметрами "category="person" class="user""
Code Block language yml title Пример <adUserCatalogProvider id="userId" serverName="ind.loc" containerPath="DC=ind,DC=loc" userName="userAdmin" password="Q1q2E3e4"> <userMapRules> <userMapRules> <adObjectMapRule attribute="Phone" adAttribute="mobile"/> <objectTypeSettings> <objectTypeSettings> <objectSetting category="person" class="user"></objectSetting> </objectTypeSettings> </userMapRules> </adUserCatalogProvider>
Настройка при использовании EMAIL OTP Provider.
Запустите PowerShell с правами администратора. Введите следующие данные:
Info title Информация YourPatch\MFAAdapter.json - укажите свой полный путь к конфигурационному файлу созданному ранее.
Code Block language powershell title Пример $typeName = "IndeedId.ADFS.MFAAdapter.MFAAdapter, IndeedId.ADFS.MFAAdapter, Version=1.0.0.0, Culture=neutral, PublicKeyToken=1ebb0d9282100d91" Register-AdfsAuthenticationProvider -TypeName $typeName -Name "Indeed Id MFA Adapter" -ConfigurationFilePath ‘YourPatch\MFAAdapter.json’
Для удаления адаптера необходимо выполнить следующую команду:
Code Block language powershell title Пример Unregister-AdfsAuthenticationProvider -Name "Indeed Id MFA Adapter"
Для обновления конфигурации необходимо конфигурации необходимо выполнить следующую команду:
Code Block language powershell title Пример Import-AdfsAuthenticationProviderConfigurationData -Name "Indeed Id MFA Adapter" -FilePath ‘YourPatch\MFAAdapter.json’
Включение многофакторной аутентификации для ADFS.
- Откройте консоль управления AD FS.
- Выберите "Политики проверки подлинности", в окне "Действия" выберите "Изменить глобальную многофакторную проверку подлинности..."
Image Modified - Добавьте пользователя/группу и включите следующие параметры:
- В пункте "Расположение" выберите "Экстрасеть" и "Интрасеть".
- Выберите использование провайдера "Indeed Id MFA Adapter".
Проверка многофакторной аутентификации ADFS.
- Откройте тестовую страницу ADFS: https://YourDomainName/adfs/ls/idpinitiatedsignon.htm
- Выполните вход.
- После ввода доменного логин/пароля укажите данные для данные для второго фактора.
Image Modified - После корректного ввода данных будет выполнен вход.
Image Modified