Компонент ADFS Extension реализует провайдер мультифакторной аутентификации для сервера Microsoft ADFS, добавляя в процесс получения доступа второй фактор.
Информация
Файлы для Indeed ADFS Extension расположены: indeed EA 7.0\Indeed ADFS Extension\<Номер версии>\
- IndeedId.ADFS.Extension-v1.0.2.x64.ru-ru.msi - Пакет для установки Indeed ADFS Extension
Создание сервисной учетной записи.
- На контроллере домена необходимо создать сервисную учетную запись (gMSA).
- Открыть PowerShell с правами администратора и ввести команды:
Примечание
Вместо YouDnsHostName укажите полное имя своей машины.
ПримерAdd-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10) New-ADServiceAccount -Name FSgMSA -DnsHostName YouDnsHostName -ServicePrincipalNames http/YouDnsHostName
Получение SSL сертификат для ADFS.
Откройте локальный центр сертификации. (Win+R -> certsrv.msc).
Создайте дубликат шаблона сертификата: "Веб-сервер".
Откройте консоль шаблонов сертификатов. (Правая кнопка мыши по "Шаблоны сертификата" -> "Управление").
Создать дубликат шаблона "Веб-сервер". (Правая кнопка мыши по "Веб-сервер" -> "Скопировать шаблон").
Укажите имя для шаблона и установите значение "Заявка" для группы "Прошедшие проверку".
На вкладке "Обработка запроса" включите параметр "Разрешить экспортировать закрытый ключ".
Включите созданный шаблон (Правая кнопка мыши по "Шаблоны сертификата" -> "Создать" -> "Выдаваемый шаблон сертификата").
- Создайте запрос сертификата на сервере ADFS.
- Откройте оснастку "Сертификаты".
- Запросите сертификат.
- Выберите созданный сертификат.
- На вкладке "Субъект" в поле "Имя субъекта" укажите тип "Общее имя" в значение укажите имя вашего сервера ADFS.
- Выполнить заявку сертификата.
Экспорт сертификата.
- Экспортируйте сертификат. (Правая кнопка мыши по необходимому сертификату -> Все задачи -> Экспорт).
- Выберите "Экспортировать закрытый ключ".
- Выберите "Экспортировать все расширенные свойства".
- Укажите пароль с которым будет выгружен сертификат.
- Укажите путь и имя сертификата.
- Выполните экспорт.
Установка и настройка.
- Установить роль "Службы федерации AD" на отдельном сервере.
Настройка роли ADFS.
- Откройте мастер настройки службы федерации.
- В пункте "Подключение к AD DS" укажите учетную запись с правами Администратора.
- В пункте "Настройка свойств службы" необходимо импортировать сертификат созданный ранее в Центре сертификации для шифрования службы AD FS.
- Выберите сервисную учетную запись, созданную ранее.
- Все следующие настройки оставьте по умолчанию и завершите настройку.
Проверка входа в ADFS.
- Проверить настройку можно через стандартную страницу ADFS: IdpInitiatedSignon. Для этого используйте URL: https://YourDomainName/adfs/ls/idpinitiatedsignon.htm
- Нажмите "Вход".
- Укажите доменный логин и пароль.
После успешного ввода данных, ADFS сообщит что вход выполнен.
Установка и настройка ADFS Extension.
- Запустите мастер установки ADFS Extension. IndeedId.ADFS.Extension-v1.0.2.x64.ru-ru.msi (indeed EA 7.0\Indeed ADFS Extension\1.0.2).