Versions Compared

Old Version 2

changes.mady.by.user Vladislav Fomichev

Saved on

compared with

New Version Current

changes.mady.by.user Vladislav Fomichev

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Компонент ADFS Extension реализует провайдер мультифакторной аутентификации для сервера Microsoft ADFS, добавляя в процесс получения доступа второй фактор.

Info
titleИнформация

Файлы для Indeed ADFS Extension расположены: indeed

...

AM 7.0\Indeed ADFS Extension\<Номер версии>\

  • IndeedId.ADFS.Extension-v1.0.2.x64.ru-ru.msi - Пакет для установки Indeed ADFS Extension

Создание сервисной учетной записи.

...

Установка и настройка ADFS Extension.

  1. Выполнить установку Indeed ADFS Extension через запуск инсталлятора IndeedId.ADFS.Extension-v1.0.2.x64.ru-ru.msi.

  2. Создайте конфигурационный файл MFAAdapter.json, содержащий следующие параметры.

    Info
    titleИнформация

    ModeId может иметь разные ID провайдеров:

    {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} - SMS OTP

    {093F612B-727E-44E7-9C95-095F07CBB94B} - EMAIL OTP

    {F696F05D-5466-42b4-BF52-21BEE1CB9529} - Passcode

    {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} - Software TOTP

    {AD3FBA95-AE99-4773-93A3-6530A29C7556} - HOTP Provider


    Code Block
    languagejs
    titleПример
    { 
"ServerType":"eaNet", 
"EANetServerURL":"http://YourDomainName/easerver/", 
"ModeId":"{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}", 
"LSUrl":"http://YourDomainName/ils/api", 
"LSEventCacheDirectory": "C:\\EventCacheEa\\" 
}


    1. Настройка при использовании SMS OTP Provider.

      Info
      titleИнформация

      По умолчанию номер телефона получается из атрибута "telephoneNumber".

      Для смены атрибута по умолчанию необходимо добавить параметры в конфигурационный файл сервера (C:\inetpub\wwwroot\easerver\Web.config). 

      • Добавить тег "userMapRules" в теге "adUserCatalogProvider". 

      • Добавить тег "adObjectMapRule" в теге "userMapRules"с параметрами:
        •  "attribute="Phone"" - Указывает на изменяемый параметр.
        •  "adAttribute="mobile"" - Указывает с какого атрибута AD брать значение.
      • Добавить тег "objectTypeSettings".

      • Добавить тег "objectSetting" с параметрами "category="person" class="user""

        Code Block
        languageyml
        titleПример
        <adUserCatalogProvider id="userId" serverName="ind.loc" containerPath="DC=ind,DC=loc" userName="userAdmin" password="Q1q2E3e4">
				<userMapRules>
						<adObjectMapRule attribute="Phone" adAttribute="mobile"/>
					<objectTypeSettings>
						<objectSetting category="person" class="user"></objectSetting>
					</objectTypeSettings>
				</userMapRules>
		</adUserCatalogProvider>


    2. Настройка при использовании EMAIL OTP Provider.

      Info
      titleИнформация

      По умолчанию адрес электронной почты получается из атрибута "mail".

      Для смены атрибута по умолчанию необходимо добавить параметры в конфигурационный файл сервера (C:\inetpub\wwwroot\easerver\Web.config). 

      • Добавить тег "userMapRules" в теге "adUserCatalogProvider". 

      • Добавить тег "adObjectMapRule" в теге "userMapRules"с параметрами:
        •  "attribute="Email"" - Указывает на изменяемый параметр.
        •  "adAttribute="otherMailbox"" - Указывает с какого атрибута AD брать значение.
      • Добавить тег "objectTypeSettings".

      • Добавить тег "objectSetting" с параметрами "category="person" class="user""

        Code Block
        languageyml
        titleПример
        <adUserCatalogProvider id="userId" serverName="ind.loc" containerPath="DC=ind,DC=loc" userName="userAdmin" password="Q1q2E3e4">
				<userMapRules>
						<adObjectMapRule attribute="Email" adAttribute="otherMailbox"/>
					<objectTypeSettings>
						<objectSetting category="person" class="user"></objectSetting>
					</objectTypeSettings>
				</userMapRules>
		</adUserCatalogProvider>



  3. Запустите PowerShell с правами администратора. Введите следующие данные:

    Info
    titleИнформация

    YourPatch\MFAAdapter.json - укажите свой полный путь к конфигурационному файлу созданному ранее.


    Code Block
    languagepowershell
    titleПример
    $typeName = "IndeedId.ADFS.MFAAdapter.MFAAdapter, IndeedId.ADFS.MFAAdapter, Version=1.0.0.0, Culture=neutral, PublicKeyToken=1ebb0d9282100d91" 
Register-AdfsAuthenticationProvider -TypeName $typeName -Name "Indeed Id MFA Adapter" -ConfigurationFilePath ‘YourPatch\MFAAdapter.json’


  4. Для удаления адаптера необходимо выполнить следующую команду:

    Code Block
    languagepowershell
    titleПример
    Unregister-AdfsAuthenticationProvider -Name "Indeed Id MFA Adapter"


  5. Для обновления конфигурации необходимо выполнить следующую команду:

    Code Block
    languagepowershell
    titleПример
    Import-AdfsAuthenticationProviderConfigurationData -Name "Indeed Id MFA Adapter" -FilePath ‘YourPatch\MFAAdapter.json’


Включение многофакторной аутентификации для ADFS.

  1. Откройте консоль управления AD FS.
  2. Выберите "Политики проверки подлинности", в окне "Действия" выберите "Изменить глобальную многофакторную проверку подлинности..."
    Image Added
  3. Добавьте пользователя/группу и включите следующие параметры:
    1. В пункте "Расположение" выберите "Экстрасеть" и "Интрасеть".
    2. Выберите использование провайдера "Indeed Id MFA Adapter".
    Image Added

Пример работы расширения.

  1. Откройте тестовую страницу ADFS

...

Note
titleПримечание
Вместо YouDnsHostName укажите полное имя своей машины.
Code Block
languagepowershell
titleПример
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
New-ADServiceAccount -Name FSgMSA -DnsHostName YouDnsHostName -ServicePrincipalNames http/YouDnsHostName

Image Removed
Image Removed

Получение SSL сертификат для ADFS.

...

Откройте локальный центр сертификации. (Win+R -> certsrv.msc).

...

Создайте дубликат шаблона сертификата: "Веб-сервер".

  1. Откройте консоль шаблонов сертификатов. (Правая кнопка мыши по "Шаблоны сертификата" -> "Управление").

  2. Создать дубликат шаблона "Веб-сервер". (Правая кнопка мыши по "Веб-сервер" -> "Скопировать шаблон").

  3. Укажите имя для шаблона и установите значение "Заявка" для группы "Прошедшие проверку".

    Image Removed

    Image Removed

  4. На вкладке "Обработка запроса" включите параметр "Разрешить экспортировать закрытый ключ".

    Image Removed

  5. Включите созданный шаблон (Правая кнопка мыши по "Шаблоны сертификата" -> "Создать" -> "Выдаваемый шаблон сертификата").

    Image Removed

...

Экспорт сертификата.

...

Установка и настройка.

  1. Установить роль "Службы федерации AD" на отдельном сервере.
    Image Removed

Настройка роли ADFS.

  1. Откройте мастер настройки службы федерации.
  2. В пункте "Подключение к AD DS" укажите учетную запись с правами Администратора.
  3. В пункте "Настройка свойств службы" необходимо импортировать сертификат созданный ранее в Центре сертификации для шифрования службы AD FS.
    Image Removed
  4. Выберите сервисную учетную запись, созданную ранее.
    Image Removed
  5. Все следующие настройки оставьте по умолчанию и завершите настройку. 

Проверка входа в ADFS.

...

  1. https://YourDomainName/adfs/ls/idpinitiatedsignon.htm

...

  1. Выполните вход.

...

После успешного ввода данных, ADFS сообщит что вход выполнен.

Image Removed

Установка и настройка ADFS Extension.

...

  1. После ввода доменного логин/пароля укажите данные для второго фактора.
    Image Added
  2. После корректного ввода данных будет выполнен вход.
    Image Added


Backtotop