Продукт Indeed IIS Extension обеспечивает возможность добавления второго фактора аутентификации пользователей в web приложениях, использующих проверку подлинности с помощью форм (Forms Authentication), развернутых на платформе Microsoft Internet Information Services (IIS) с использованием технологии аутентификации Indeed.
Совместимые провайдеры аутентификации Indeed:
- Indeed-Id Google Authenticator Provider
- Indeed-Id Passcode Provider
- Indeed-Id SMS OTP Provider
- Indeed-Id Email OTP Provider
Информация
Файлы для Indeed IIS Extension расположены: indeed EA 7.0\Indeed IIS Extension\<Номер версии>\
- Indeed.EA.IIS.Extension-v1.2.7.x64.ru-ru.msi - Пакет для установки Indeed IIS Extension
- /Misc/Server2008/Indeed.EMC.IIS.Install.MSServer2008.ps1 - Скрипт для установки необходимых компонентов IIS сервера для Windows Server 2008.
- /Misc/Server2008/NDP452-KB2901907-x86-x64-AllOS-ENU.exe - Пакет с обновлением Microsoft .NET Framework 4.5.2 для Windows Server 2008.
- /Misc/Server2012/AccessControlInitialConfig/Indeed.EMC.IIS.Install.MSServer2012.ps1 - Скрипт для установки необходимых компонентов IIS сервера для Windows Server 2012.
Установка и настройка Indeed IIS Extension
- Выполнить установку Indeed IIS Extension через запуск инсталлятора Indeed.EA.IIS.Extension-v1.2.7.x64.ru-ru.msi.
- Создайте в разделе HKEY_LOCAL_MACHINE\SOFTWARE\ ключ Indeed-ID.
- Создайте в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID ключ AuthProxy. В созданном ключе создайте:
- Строковый параметр ServerUrlBase. В данном параметре указывается URL Вашего сервера Indeed EA.
Примечание
В настройках приложения, в URL не должно быть символов “/” в конце
- Параметр DWORD IsIgnoreCertErrors со значением 0. Данный параметр предназначен для проверки сертификата сервера Indeed EA, при значении 1 происходит игнорирование ошибок сертификата.
- Строковый параметр AppId со значением IIS Extension. В данном параметре задается название используемого компонента.
- Строковый параметр ServerUrlBase. В данном параметре указывается URL Вашего сервера Indeed EA.
- Создайте в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID ключ IISHTTPModule. В созданном ключе создайте:
Cтроковый параметр LSUrl. В данном параметре указывается URL Вашего лог сервера.
Примечание
В настройках приложения, в URL не должно быть символов “/” в конце
- Создайте строковый параметр LSEventCacheDirectory в значении укажите путь к папке для хранения локального кеша.
Строковый параметр ProviderId.
Информация
Подробнее про настройку ProviderId смотреть ниже.
Настройка IIS.
- Откройте в Диспетчере служб IIS (IIS Manager) приложение (для Outlook Web Access – это owa), которое будет использовать Indeed IIS Extension и перейдите в раздел Модули (Modules).
- В меню Действия (Actions) нажмите Выполняется настройка собственных модулей. . . (Configure Native Modules. . . ), включите модули Indeed и нажмите ОК.
- Для обеспечения аутентификации пользователей в web-приложениях по технологии Indeed должны выполняться следующие условия:
- Серверы Indeed должны быть запущены и доступны по сети для модуля Indeed IIS Extension, развернутого на сервере с ролью Internet Information Services и целевыми web-приложениями.
- Пользователи должны иметь разрешение на использование Indeed Enterprise Authentication (соответствующая опция располагается на вкладке Настройки в карточке пользователя в консоли управления Indeed EMC).
- Пользователи должны иметь обученный аутентификатор в системе Indeed EA.
- Целевые приложения, в случае необходимости, должны быть настроены на работу с Indeed IIS Extension(см. Примеры настройки приложений для работы с Indeed IIS Extension).
- Серверы Indeed должны быть запущены и доступны по сети для модуля Indeed IIS Extension, развернутого на сервере с ролью Internet Information Services и целевыми web-приложениями.
Настройка двухфакторной аутентификации
Информация
Двухфакторная аутентификация поддерживается только для приложений, использующих проверку подлинности с помощью форм (Forms Authentication).
Indeed IIS Extension позволяет настроить двухфакторную аутентификацию для доступа к удаленным рабочим столам и приложениям через web с использованием службы Microsoft Remote Desktop Web Access (RD Web Access).
Двухфакторная аутентификация реализована с помощью аутентификации по доменному паролю и по второму фактору – одноразовому паролю.
Настройка провайдеров
Провайдеры Indeed-Id, поддерживающие двухфакторную аутентификацию:
- Indeed-Id Passcode Provider
- Indeed-Id Google Authenticator Provider
- Indeed-Id SMS OTP Provider
- Indeed-Id Email OTP Provider
- Выполните вход на сервер с установленным компонентом Indeed IIS Extension с учетной записью, обладающей правами локального администратора.
- Откройте редактор реестра и в созданном ранее ключе HKEY_LOCAL_MACHINE\SOFTWARE\IndeedID\IISHTTPModule создайте строковый параметр ProviderId и задайте для него значение, соответствующее используемому провайдеру:
- {F696F05D-5466-42B4-BF52-21BEE1CB9529} – для Passcode Provider
- {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} – для Google Authenticator Provider
- {093F612B-727E-44E7-9C95-095F07CBB94B} – для Email OTP Provider
- {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} – для SMS OTP Provider
Информация
В случае необходимости задать атрибут, отличный от mail , следует в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создать строковый параметр EmailAttribute и указать в качестве его значения имя атрибута, в котором хранится адрес электронной почты пользователя.
- Настройка для Email OTP, когда адрес почты получается из атрибута mail (по умолчанию):
- Настройка для Email OTP, когда адрес почты получается из атрибута mail (по умолчанию):
В случае использования в качестве второго фактора SMS OTP Provider возможно задать имя атрибута Active Directory в профиле пользователя, из которого система будет получать номер телефона пользователя для отправки одноразового пароля.
Информация
В случае необходимости задать атрибут, отличный от telephoneNumber , следует в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создать строковый параметр PhoneAttribute и указать в качестве его значения имя атрибута, в котором хранится номер телефона пользователя.
- Настройка для SMS OTP, когда номер телефона получается из атрибута telephoneNumber (по умолчанию):
- Настройка для SMS OTP, когда номер телефона получается из атрибута mobile:
- Настройка для SMS OTP, когда номер телефона получается из атрибута telephoneNumber (по умолчанию):
Настройка компонента
Двухфакторная аутентификация настраивается отдельно для каждого целевого приложения. В процессе настройки необходимо создать в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\IISHTTPModule реестра Windows ключ с именем приложения или сайта в IIS (может иметь произвольное значение), создать в этом ключе следующие параметры и определить их значения:
- В разделе Сеть (Network) запустите Сбор сетевого трафика (Enable network traffic capturing).
- Выполните аутентификацию в приложении.
- Перейдите в раздел Подробности (Details) на вкладку Файлы Cookie (Cookies).