Indeed ADFS Extension (2016)

С помощью модуля ADFS Extension вы можете реализовать мультифакторную аутентификацию для сервера Microsoft ADFS, добавляя в процесс получения доступа второй фактор.

В ADFS Extension вы можете выполнить аутентификацию по следующим аутентификаторам:

• мобильное приложение Indeed Key (в режиме отправки одноразовых паролей и push-уведомлений с подтверждением входа),
• Email OTP,
• SMS OTP,
• Storage SMS OTP,
• Secured TOTP,
• Software OTP,
• Passcode,
• Hardware TOTP,
• Hardware HOTP.

Примеры внедрения расширения

• Настройка двухфакторной аутентификации для приложений опубликованных в WAP
• Настройка двухфакторной аутентификации в AD FS для интеграции с Exchange Server 2016
• Настройка двухфакторной аутентификации в Microsoft Office 365 при помощи Indeed AM ADFS Extension

Файлы для установки

Файлы для ADFS Extension расположены в папке indeed AM <Номер версии>\Indeed AM ADFS Extension\<Номер версии>\:

• IndeedId.ADFS.Extension-<номер версии>.x64.ru-ru.msi — пакет для установки Indeed ADFS Extension.

Настройка собственного клиентского сертификата

Если вы планируете использовать встроенный клиентский сертификат, пропустите этот шаг и перейдите к установке и настройке ADFS Extension.

Важно

Для повышения безопасности рекомендуется использовать собственный клиентский сертификат.

Чтобы использовать собственный клиентский сертификат, выполните следующее:

1. Выполните все шаги из раздела Настройка собственного клиентского сертификата.

2. С помощью мастера импорта сертификатов расположите сертификат на локальном компьютере:

   • <сертификат>.pfx — Личное
   • <сертификат>.cer — Доверенные корневые центры

3. Настройте права на чтение сертификата сервисной учетной записи:

   1. Перейдите в Личное→Сертификаты и для <сертификат>.pfx выберите Все задачи→Управление закрытыми ключами.
   2. Нажмите Добавить, затем нажмите Дополнительно.
   3. Нажмите Типы объектов и выберите Учетные записи служб.
   4. Добавьте сервисную учетную запись и выдайте права на чтение.

Установка и настройка ADFS Extension

Информация

Перед запуском пакета для установки Indeed ADFS Extension необходимо добавить роль службы федерации Active Directory (AD FS).

1. Выполните установку ADFS Extension через запуск пакета из дистрибутива.

2. Создайте конфигурационный файл MFAAdapter.json, содержащий следующие параметры:

   • EANetServerURL — адрес сервера Indeed;

   • ModeId — идентификатор используемого метода аутентификации;

   • ClientCertificateThumbprint — отпечаток собственного клиентского сертификата. Если параметр не задан, используется встроенный клиентский сертификат.

     Пример

     { 
     "ServerType":"eaNet", 
     "EANetServerURL":"https://YourDomainName/am/core/", 
     "ModeId":"{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}",
     "ClientCertificateThumbprint": "D3F29C665C6E420DC42AEB4D3618CF1FB93E0485"
     }
     ModeId может иметь следующие значения:

     • SMS OTP {EBB6F3FA-A400-45F4-853A-D517D89AC2A3}
     • Storage SMS OTP {3F2C1156-B5AF-4643-BFCB-9816012F3F34}
     • Secured TOTP {F15FD7EC-19EA-4384-846E-A2D0BE149FA2}
     • Email OTP {093F612B-727E-44E7-9C95-095F07CBB94B}
     • Passcode {F696F05D-5466-42b4-BF52-21BEE1CB9529} 
     • Software OTP {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}
     • HOTP Provider {AD3FBA95-AE99-4773-93A3-6530A29C7556}
     • TOTP Provider {CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05}
     • Indeed Key Provider {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68}
     Примечание

     При использовании соединения по протоколу HTTPS требуется выполнить установку клиентского сертификата на каждый сервер Indeed AM.

3. Запустите PowerShell с правами администратора. Для регистрации адаптера введите следующие данные:

   • YourPath\MFAAdapter.json — укажите свой полный путь к конфигурационному файлу MFAAdapter.json, созданному в шаге 2.

   • В переменной $typeName в параметре Version указывается номер версии используемого ADFS Extension.

     Важно!

     При регистрации, изменении или удалении адаптера перезапустите службы ADFS на каждом сервере ADFS. 

     Пример

     $typeName = "IndeedId.ADFS.MFAAdapter.MFAAdapter, IndeedId.ADFS.MFAAdapter, Version=2.0.0.0, Culture=neutral, PublicKeyToken=1ebb0d9282100d91" 
     Register-AdfsAuthenticationProvider -TypeName $typeName -Name "Indeed Id MFA Adapter" -ConfigurationFilePath 'YourPath\MFAAdapter.json'

   • Для регистрации нескольких провайдеров измените имя провайдера в параметре Name.

     Пример

     Register-AdfsAuthenticationProvider -TypeName $typeName -Name "Indeed Id MFA Passcode" -ConfigurationFilePath 'YourPath\MFAAdapter.json'

   • Измените отображаемое имя провайдера. Для параметра Name укажите значение из предыдущего шага, для параметра DisplayName задайте имя, которое будет отображаться при выполнении аутентификации через ADFS.

     Пример

     Set-AdfsAuthenticationProviderWebContent -Name "Indeed Id MFA Adapter Passcode" -DisplayName "Passcode"

4. Чтобы удалить адаптер, выполните следующую команду:

   Unregister-AdfsAuthenticationProvider -Name "Indeed Id MFA Adapter"

5. Чтобы обновить конфигурацию, выполните следующую команду:

   Import-AdfsAuthenticationProviderConfigurationData -Name "Indeed Id MFA Adapter" -FilePath 'YourPath\MFAAdapter.json'

Включение многофакторной аутентификации для ADFS

1. Откройте консоль управления ADFS.

2. Выберите Служба→Методы проверки подлинности.

3. В окне Действия выберите Изменить методы многофакторной проверки....

   

4. На вкладке Многофакторная выберите созданный ранее провайдер и нажмите Применить.

5. Для применения изменений перезапустите службу AD FS.

   

Регистрация аутентификатора при первом входе в ADFS

При первом входе в ADFS пользователь получит запрос на указание телефонного номера, если:

• у пользователя не указан номер телефона в Active Directory;
• номер телефона указан, но при этом отключена политика Использовать номер телефона из Active Directory, если аутентификатор не обучен.

После указания номера телефона пользователь получит одноразовый пароль на указанный номер телефона, который необходимо ввести в форме ADFS, чтобы завершить вход в целевое приложение.

Пример работы модуля на странице ADFS idpinitiatedsignon

Пример работы расширения показан на странице idpinitiatedsignon.htm. 

По умолчанию данная страница не настроена. Настройка данной страницы не обязательна. 

Настройка тестовой страницы 

1. Выберите Отношение доверия проверяющей стороны и нажмите Добавить отношение доверия проверяющей стороны....

   

2. На вкладке Добро пожаловать! выберите Поддерживающие утверждения и нажмите Запустить.

3. На вкладке Выбор источника данных укажите URL вашего приложения и нажмите Далее.

   Информация

   В качестве примера работы расширения используется стандартная страница ADFS idpinitiatedsignon.htm. Используется адрес метаданных для данной страницы, например, https://<полное_dns_имя_сервера>/federationmetadata/2007-06/federationmetadata.xml.

   

4. На вкладке Указание отображаемого имени введите имя и описание для вашего отношения доверия и нажмите Далее.

5. На вкладке Выбрать политику управления доступом выберите подходящую вам политику с запросом MFA из предложенных по умолчанию, также вы можете добавить произвольные политики контроля доступа.

   

6. Остальные параметры оставьте по умолчанию.

7. Для применения изменений перезапустите службу ADFS.

Работа модуля

По умолчанию страница idpinitiatedsignon.htm отключена в ADFS 2016, для включения запустите PowerShell от имени администратора и выполните команду:

Set-AdfsProperties -EnableIdpInitiatedSignonPage $True

1. Откройте тестовую страницу ADFS: https://YourDomainName/adfs/ls/idpinitiatedsignon.htm.

2. Выполните вход.

3. После ввода доменного логина и пароля укажите данные для второго фактора аутентификации.

4. После корректного ввода данных будет выполнен вход.