Перейти к основному содержимому

Indeed ADFS Extension (2016)

С помощью модуля ADFS Extension вы можете реализовать мультифакторную аутентификацию для сервера Microsoft ADFS, добавляя в процесс получения доступа второй фактор.

В ADFS Extension вы можете выполнить аутентификацию по следующим аутентификаторам:

Примеры внедрения расширения

Файлы для установки

Файлы для ADFS Extension расположены в папке indeed AM <Номер версии>\Indeed AM ADFS Extension\<Номер версии>\:

  • IndeedId.ADFS.Extension-<номер версии>.x64.ru-ru.msi — пакет для установки Indeed ADFS Extension.

Установка и настройка ADFS Extension

Информация

Перед запуском пакета для установки Indeed ADFS Extension необходимо добавить роль службы федерации Active Directory (AD FS).

  1. Выполните установку ADFS Extension через запуск пакета из дистрибутива.

  2. Создайте конфигурационный файл MFAAdapter.json, содержащий следующие параметры:

    • EANetServerURL — адрес сервера Indeed;

    • ModeId — идентификатор используемого метода аутентификации.

      ModeId может иметь следующие значения:
      • SMS OTP {EBB6F3FA-A400-45F4-853A-D517D89AC2A3}
      • Storage SMS OTP {3F2C1156-B5AF-4643-BFCB-9816012F3F34}
      • Secured TOTP {F15FD7EC-19EA-4384-846E-A2D0BE149FA2}
      • Email OTP {093F612B-727E-44E7-9C95-095F07CBB94B}
      • Passcode {F696F05D-5466-42b4-BF52-21BEE1CB9529} 
      • Software OTP {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}
      • HOTP Provider {AD3FBA95-AE99-4773-93A3-6530A29C7556}
      • TOTP Provider {CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05}
      • Indeed Key Provider {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68}
      • Telegram Provider {CA4645CC-5896-485E-A6CA-011FCC20DF1D}
      Пример
      { 
      "ServerType":"eaNet",
      "EANetServerURL":"https://YourDomainName/am/core/",
      "ModeId":"{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}"
      }
      Примечание

      При использовании соединения по протоколу HTTPS требуется выполнить установку клиентского сертификата на каждый сервер Indeed AM.

  3. Запустите PowerShell с правами администратора. Для регистрации адаптера введите следующие данные:

    • YourPath\MFAAdapter.json — укажите свой полный путь к конфигурационному файлу MFAAdapter.json, созданному в шаге 2.
    • В переменной $typeName в параметре Version указывается номер версии используемого ADFS Extension.
    Важно!

    При регистрации, изменении или удалении адаптера перезапустите службы ADFS на каждом сервере ADFS. 

    Пример
    $typeName = "IndeedId.ADFS.MFAAdapter.MFAAdapter, IndeedId.ADFS.MFAAdapter, Version=1.0.12.0, Culture=neutral, PublicKeyToken=1ebb0d9282100d91" 
    Register-AdfsAuthenticationProvider -TypeName $typeName -Name "Indeed Id MFA Adapter" -ConfigurationFilePath 'YourPath\MFAAdapter.json'
    • Для регистрации нескольких провайдеров измените имя провайдера в параметре Name.

      Пример
      Register-AdfsAuthenticationProvider -TypeName $typeName -Name "Indeed Id MFA Passcode" -ConfigurationFilePath 'YourPath\MFAAdapter.json'
    • Измените отображаемое имя провайдера. Для параметра Name укажите значение из предыдущего шага, для параметра DisplayName задайте имя, которое будет отображаться при выполнении аутентификации через ADFS.

      Пример
      Set-AdfsAuthenticationProviderWebContent -Name "Indeed Id MFA Adapter Passcode" -DisplayName "Passcode"
  4. Чтобы удалить адаптер, выполните следующую команду:

    Unregister-AdfsAuthenticationProvider -Name "Indeed Id MFA Adapter"
  5. Чтобы обновить конфигурацию, выполните следующую команду:

    Import-AdfsAuthenticationProviderConfigurationData -Name "Indeed Id MFA Adapter" -FilePath 'YourPath\MFAAdapter.json'

Включение многофакторной аутентификации для ADFS

  1. Откройте консоль управления ADFS.

  2. Выберите Служба→Методы проверки подлинности.

  3. В окне Действия выберите Изменить методы многофакторной проверки....

  4. На вкладке Многофакторная выберите созданный ранее провайдер и нажмите Применить.

  5. Для применения изменений перезапустите службу AD FS.

Регистрация аутентификатора при первом входе в ADFS

При первом входе в ADFS пользователь получит запрос на указание телефонного номера, если:

  • у пользователя не указан номер телефона в Active Directory;
  • номер телефона указан, но при этом отключена политика Использовать номер телефона из Active Directory, если аутентификатор не обучен.

После указания номера телефона пользователь получит одноразовый пароль на указанный номер телефона, который необходимо ввести в форме ADFS, чтобы завершить вход в целевое приложение.

Переключение режима работы Telegram Provider

Выполнить вход в ADFS с помощью Telegram Provider можно через одноразовый пароль или через push-уведомление с запросом подтвердить или отклонить вход.

Чтобы выбрать способ подтверждения входа, выполните следующее:

  1. В Management Console в меню слева выберите Политики.
  2. Из списка политик выберите политику с добавленным приложением ADFS.
  3. В меню политики слева выберите пункт Приложения и перейдите в приложение ADFS.
  4. В пункте Режим работы Telegram выберите способ аутентификации – одноразовый пароль или push-уведомление.

Пример работы модуля на странице ADFS idpinitiatedsignon

Пример работы расширения показан на странице idpinitiatedsignon.htm

По умолчанию данная страница не настроена. Настройка данной страницы не обязательна. 

Настройка тестовой страницы 

  1. Выберите Отношение доверия проверяющей стороны и нажмите Добавить отношение доверия проверяющей стороны....

  2. На вкладке Добро пожаловать! выберите Поддерживающие утверждения и нажмите Запустить.

  3. На вкладке Выбор источника данных укажите URL вашего приложения и нажмите Далее.

    Информация

    В качестве примера работы расширения используется стандартная страница ADFS idpinitiatedsignon.htm. Используется адрес метаданных для данной страницы, например, https://<полное_dns_имя_сервера>/federationmetadata/2007-06/federationmetadata.xml.

  4. На вкладке Указание отображаемого имени введите имя и описание для вашего отношения доверия и нажмите Далее.

  5. На вкладке Выбрать политику управления доступом выберите подходящую вам политику с запросом MFA из предложенных по умолчанию, также вы можете добавить произвольные политики контроля доступа.

  6. Остальные параметры оставьте по умолчанию.

  7. Для применения изменений перезапустите службу ADFS.

Работа модуля

По умолчанию страница idpinitiatedsignon.htm отключена в ADFS 2016, для включения запустите PowerShell от имени администратора и выполните команду:

Set-AdfsProperties -EnableIdpInitiatedSignonPage $True
  1. Откройте тестовую страницу ADFS: https://YourDomainName/adfs/ls/idpinitiatedsignon.htm.

  2. Выполните вход.

  3. После ввода доменного логина и пароля укажите данные для второго фактора аутентификации.

  4. После корректного ввода данных будет выполнен вход.