Компонент ADFS Extension реализует провайдер мультифакторной аутентификации для сервера Microsoft ADFS, добавляя в процесс получения доступа второй фактор.
Файлы для Indeed ADFS Extension расположены: indeed AM 7\Indeed ADFS Extension\<Номер версии>\
|
Установка и настройка ADFS Extension.
Создайте конфигурационный файл MFAAdapter.json, содержащий следующие параметры.
ModeId может иметь разные ID провайдеров: {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} - SMS OTP {093F612B-727E-44E7-9C95-095F07CBB94B} - EMAIL OTP {F696F05D-5466-42b4-BF52-21BEE1CB9529} - Passcode {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} - Software TOTP {AD3FBA95-AE99-4773-93A3-6530A29C7556} - HOTP Provider {CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05} - TOTP Provider {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68} - AirKey Provider |
{ "ServerType":"eaNet", "EANetServerURL":"http://YourDomainName/easerver/", "ModeId":"{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}", "LSEventCacheDirectory": "C:\\EventCacheEa\\" } |
Настройка при использовании SMS OTP Provider.
По умолчанию номер телефона получается из атрибута "telephoneNumber". |
Для смены атрибута по умолчанию необходимо добавить параметры в конфигурационный файл сервера (C:\inetpub\wwwroot\easerver\Web.config).
Добавить тег "userMapRules" в теге "adUserCatalogProvider".
Добавить тег "objectSetting" с параметрами "category="person" class="user""
<adUserCatalogProvider id="userId" serverName="ind.loc" containerPath="DC=ind,DC=loc" userName="userAdmin" password="Q1q2E3e4"> <userMapRules> <adObjectMapRule attribute="Phone" adAttribute="mobile"/> <objectTypeSettings> <objectSetting category="person" class="user"></objectSetting> </objectTypeSettings> </userMapRules> </adUserCatalogProvider> |
Настройка при использовании EMAIL OTP Provider.
По умолчанию адрес электронной почты получается из атрибута "mail". |
Для смены атрибута по умолчанию необходимо добавить параметры в конфигурационный файл сервера (C:\inetpub\wwwroot\easerver\Web.config).
Добавить тег "userMapRules" в теге "adUserCatalogProvider".
Добавить тег "objectSetting" с параметрами "category="person" class="user""
<adUserCatalogProvider id="userId" serverName="ind.loc" containerPath="DC=ind,DC=loc" userName="userAdmin" password="Q1q2E3e4"> <userMapRules> <adObjectMapRule attribute="Email" adAttribute="otherMailbox"/> <objectTypeSettings> <objectSetting category="person" class="user"></objectSetting> </objectTypeSettings> </userMapRules> </adUserCatalogProvider> |
Запустите PowerShell с правами администратора. Для регистрации адаптера введите следующие данные:
YourPatch\MFAAdapter.json - укажите свой полный путь к конфигурационному файлу созданному ранее. |
В переменной $typeName, в параметре Version указывается номер версии используемого Indeed ADFS Extension. |
$typeName = "IndeedId.ADFS.MFAAdapter.MFAAdapter, IndeedId.ADFS.MFAAdapter, Version=1.0.6.0, Culture=neutral, PublicKeyToken=1ebb0d9282100d91" Register-AdfsAuthenticationProvider -TypeName $typeName -Name "Indeed Id MFA Adapter" -ConfigurationFilePath ‘YourPatch\MFAAdapter.json’ |
Для удаления адаптера необходимо выполнить следующую команду:
Unregister-AdfsAuthenticationProvider -Name "Indeed Id MFA Adapter" |
Для обновления конфигурации необходимо выполнить следующую команду:
Import-AdfsAuthenticationProviderConfigurationData -Name "Indeed Id MFA Adapter" -FilePath ‘YourPatch\MFAAdapter.json’ |
На вкладке "Выбор источника данных" укажите URL адрес вашего приложения и нажмите "Далее".
В качестве примера работы расширения используется стандартная страница ADFS idpinitiatedsignon.htm. Адрес метаданных используется для данной страницы. |
По умолчанию страница idpinitiatedsignon.htm отключена в AD FS 2016, для включения запустите PowerShell от имени администратора и выполните команду:
|