You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 6 Next »


Продукт Indeed IIS Extension обеспечивает возможность добавления второго фактора аутентификации пользователей в web приложениях, использующих проверку подлинности с помощью форм (Forms Authentication), развернутых на платформе Microsoft Internet Information Services (IIS) с использованием технологии аутентификации Indeed.

Совместимые провайдеры аутентификации Indeed:

  • Indeed-Id Google Authenticator Provider
  • Indeed-Id Passcode Provider
  • Indeed-Id SMS OTP Provider
  • Indeed-Id Email OTP Provider

Информация

Файлы для Indeed IIS Extension расположены: indeed EA 7.0\Indeed IIS Extension\<Номер версии>\

  • Indeed.EA.IIS.Extension-v1.2.7.x64.ru-ru.msi - Пакет для установки Indeed IIS Extension
  • /Misc/Server2008/Indeed.EMC.IIS.Install.MSServer2008.ps1 - Скрипт для установки необходимых компонентов IIS сервера для Windows Server 2008.
  • /Misc/Server2008/NDP452-KB2901907-x86-x64-AllOS-ENU.exe - Пакет с обновлением Microsoft .NET Framework 4.5.2 для Windows Server 2008.
  • /Misc/Server2012/AccessControlInitialConfig/Indeed.EMC.IIS.Install.MSServer2012.ps1 - Скрипт для установки необходимых компонентов IIS сервера для Windows Server 2012.


Установка и настройка Indeed IIS Extension

  1. Выполнить установку Indeed IIS Extension через запуск инсталлятора Indeed.EA.IIS.Extension-v1.2.7.x64.ru-ru.msi.
  2. Создайте в разделе HKEY_LOCAL_MACHINE\SOFTWARE\ ключ Indeed-ID.
  3. Создайте в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID  ключ AuthProxy. В созданном ключе создайте:

    1. Строковый параметр ServerUrlBase. В данном параметре указывается URL Вашего сервера Indeed EA.

      Примечание

      В настройках приложения, в URL не должно быть символов “/” в конце


    2. Параметр DWORD IsIgnoreCertErrors со значением 0. Данный параметр предназначен для проверки сертификата сервера Indeed EA, при значении 1 происходит игнорирование ошибок сертификата.
    3. Строковый параметр AppId со значением IIS Extension. В данном параметре задается название используемого компонента.

  4. Создайте в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID ключ IISHTTPModuleВ созданном ключе создайте:

    1. Cтроковый параметр LSUrl. В данном параметре указывается URL Вашего лог сервера.

      Примечание

      В настройках приложения, в URL не должно быть символов “/” в конце

    2. Создайте строковый параметр LSEventCacheDirectory в значении укажите путь к папке для хранения локального кеша. 

    3. Строковый параметр ProviderId.

      Информация

      Подробнее про настройку ProviderId смотреть ниже.

Настройка IIS.

  1. Откройте в Диспетчере служб IIS (IIS Manager) приложение (для Outlook Web Access – это owa), которое будет использовать Indeed IIS Extension и перейдите в раздел Модули (Modules).
  2. В меню Действия (Actions) нажмите Выполняется настройка собственных модулей. . . (Configure Native Modules. . . ), включите модули Indeed и нажмите ОК.
  3. Для обеспечения аутентификации пользователей в web-приложениях по технологии Indeed должны выполняться следующие условия:
    • Серверы Indeed должны быть запущены и доступны по сети для модуля Indeed IIS Extension, развернутого на сервере с ролью Internet Information Services и целевыми web-приложениями.
    • Пользователи должны иметь разрешение на использование Indeed Enterprise Authentication (соответствующая опция располагается на вкладке Настройки в карточке пользователя в консоли управления Indeed EMC).
    • Пользователи должны иметь обученный аутентификатор в системе Indeed EA.
    • Целевые приложения, в случае необходимости, должны быть настроены на работу с Indeed IIS Extension(см. Примеры настройки приложений для работы с Indeed IIS Extension).

Настройка двухфакторной аутентификации

Информация

Двухфакторная аутентификация поддерживается только для приложений, использующих проверку подлинности с помощью форм (Forms Authentication).

Indeed IIS Extension позволяет настроить двухфакторную аутентификацию для доступа к удаленным рабочим столам и приложениям через web с использованием службы Microsoft Remote Desktop Web Access (RD Web Access).

Двухфакторная аутентификация реализована с помощью аутентификации по доменному паролю и по второму фактору – одноразовому паролю.

Настройка провайдеров

Провайдеры Indeed-Id, поддерживающие двухфакторную аутентификацию:

  • Indeed-Id Passcode Provider
  • Indeed-Id Google Authenticator Provider
  • Indeed-Id SMS OTP Provider
  • Indeed-Id Email OTP Provider


  1. Выполните вход на сервер с установленным компонентом Indeed IIS Extension с учетной записью, обладающей правами локального администратора.
  2. Откройте редактор реестра и в созданном ранее ключе HKEY_LOCAL_MACHINE\SOFTWARE\IndeedID\IISHTTPModule создайте строковый параметр ProviderId и задайте для него значение, соответствующее используемому провайдеру:
    • {F696F05D-5466-42B4-BF52-21BEE1CB9529} – для Passcode Provider
    • {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} – для Google Authenticator Provider
    • {093F612B-727E-44E7-9C95-095F07CBB94B} – для Email OTP Provider
    • {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} – для SMS OTP Provider

    Информация

    В случае необходимости задать атрибут, отличный от mail , следует в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создать строковый параметр EmailAttribute и указать в качестве его значения имя атрибута, в котором хранится адрес электронной почты пользователя. 

    • Настройка для Email OTP, когда адрес почты получается из атрибута mail (по умолчанию):

    • Настройка для Email OTP, когда адрес почты получается из атрибута otherMailbox:

  3. В случае использования в качестве второго фактора SMS OTP Provider возможно задать имя атрибута Active Directory в профиле пользователя, из которого система будет получать номер телефона пользователя для отправки одноразового пароля. 

    Информация

    В случае необходимости задать атрибут, отличный от telephoneNumber , следует в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создать строковый параметр PhoneAttribute и указать в качестве его значения имя атрибута, в котором хранится номер телефона пользователя. 

    • Настройка для SMS OTP, когда номер телефона получается из атрибута telephoneNumber (по умолчанию):
    • Настройка для SMS OTP, когда номер телефона получается из атрибута mobile:



Настройка компонента

Двухфакторная аутентификация настраивается отдельно для каждого целевого приложения. В процессе настройки необходимо создать в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\IISHTTPModule реестра Windows ключ с именем приложения или сайта в IIS (может иметь произвольное значение), создать в этом ключе следующие  параметры и определить их значения:

  1. AuthCookie – Строковый параметр. Название Cookie, которое используется для аутентификации в целевом приложении. Определяется экспериментальным путем для каждого приложения. Значение параметра можно получить из консоли F12 IE Developer Toolbar выполнив следующие действия:
    1. В разделе Сеть (Network) запустите Сбор сетевого трафика (Enable network traffic capturing).
    2. Выполните аутентификацию в приложении.
    3. Перейдите в раздел Подробности (Details) на вкладку Файлы Cookie (Cookies).
    4. Искомое значение указано в столбце Ключ (Key).
  2. IsMFAEnabled – DWORD параметр. Включение двухфакторной аутентификации. 
  3. LoginURL – Строковый параметр. Относительный URL, на который происходит POST-отправка данных формы входа приложения. Должен начинаться с символа /. URL указывается относительно целевого сайта.
  4. OTPURL –  Строковый параметр. Альтернативный URL для отправки данных формы аутентификации Indeed второго фактора. По умолчанию данные формы отправляются на тот же URL, что и данные формы целевого приложения. Их перехватывает IIS модуль и подменяет на оригинальные данные, если аутентификация Indeed прошла успешно или же не подменяет их, если аутентификация Indeed не прошла и целевое приложение отображает собственную ошибку аутентификации. Значение необходимо использовать, если целевое приложение не трактует данные формы Indeed как ошибочные для аутентификации или необходимо явным образом демонстрировать ошибки аутентификации Indeed пользователю. Таким образом, значение можно оставить пустым.
  5. PasswordField – Строковый параметр. Значение атрибута name поля пароля формы входа приложения.
  6. TargetURL – Строковый параметр. URL целевой страницы, на которую пользователь попадает после аутентификации в приложении.
  7. UsernameField – Строковый параметр. Значение атрибута name поля имени пользователя формы входа приложения.

Значения всех параметров: LoginURL, PasswordField, UsernameField  содержатся в форме аутентификации целевого приложения могут быть получены, например, при помощи инструмента Internet Explorer F12 Developer Tools.

Пример работоспособности. 

  1. Открыть приложение OWA и ввести доменный логин/пароль.

  2. После корректного ввода появится окно с запросом 2го фактора.
  3. После успешного ввода откроется приложение.




  • No labels