Skip to main content
Version: Indeed Access Manager 8.2

Indeed IIS Extension

С помощью Indeed IIS Extension (IIS Extension) вы можете настроить двухфакторную аутентификацию в веб-приложениях, использующих проверку подлинности с помощью форм (Forms Authentication) и развернутых на платформе Microsoft Internet Information Services (IIS).

Двухфакторная аутентификация поддерживается только для приложений, использующих проверку подлинности с помощью форм (Forms Authentication).

Двухфакторная аутентификация реализована с помощью аутентификации по доменному паролю и по второму фактору — одноразовому паролю или push-уведомлению в приложении Indeed Key.

В IIS Extension вы можете выполнить аутентификацию по следующим аутентификаторам:

Примеры внедрения IIS Extension:

Предварительная настройка

Чтобы использовать модуль IIS Extension:

  1. Установите Indeed AM Windows Password Provider на компьютер с установленным Core Server.
  2. При использовании соединения по протоколу HTTPS выполните установку клиентского сертификата на каждый Core Server.
  3. Установите и настройте IIS Extension.
  4. Настройте IIS.
  5. Настройте интеграцию IIS Extension с бизнес-приложением.
  6. При необходимости задайте опциональные настройки.

Установить и настроить IIS Extension

Чтобы установить модуль:

  1. Запустите файл для установки Indeed.AM.IIS.Extension-<номер версии>.x64.ru-ru.msi, расположенный по пути Indeed AM <номер версии>/Indeed AM IIS Extension/<номер версии>, и следуйте шагам мастера установки. При необходимости вы можете изменить папку для установки.

  2. Откройте редактор реестра Windows.

  3. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\SrvLocator2 измените следующие параметры:

    • В параметре ServerUrlBase укажите URL вашего Core Server в формате http(s)://полное_dns_имя_сервера/am/core.

      Важно!

      В настройках приложения URL не должен содержать косую черту (/) в конце адреса.

    • В параметре IsIgnoreCertErrors укажите значение 0 или 1. Этот параметр предназначен для проверки сертификата сервера Indeed, при значении 1 ошибки сертификата игнорируются.

  4. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID в разделе IISHTTPModuleсоздайте следующие параметры:

    • Строковый параметр LSUrl. В значении параметра укажите URL вашего Core Server в формате http(s)://полное_dns_имя_сервера/ls/api.

      Важно!

      В настройках приложения URL не должен содержать косую черту (/) в конце адреса.

    • Строковый параметр ProviderId. Это необязательный параметр. В значении укажите идентификатор провайдера, который станет провайдером по умолчанию при первом входе.

    Возможные значения ProviderId
    • SMS OTP {EBB6F3FA-A400-45F4-853A-D517D89AC2A3}
    • Email OTP {093F612B-727E-44E7-9C95-095F07CBB94B}
    • Passcode {F696F05D-5466-42b4-BF52-21BEE1CB9529}
    • Software OTP {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}
    • HOTP Provider {AD3FBA95-AE99-4773-93A3-6530A29C7556}
    • TOTP Provider {CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05}
    • Indeed Key (только в режиме push-уведомлений) {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68}
    • Telegram Provider {CA4645CC-5896-485E-A6CA-011FCC20DF1D}

Настроить IIS

Примечание

В этой инструкции рассмотрен пример настройки для Exchange 2016.

Чтобы настроить IIS:

  1. Откройте в Диспетчере служб IIS (IIS Manager) приложение (для Outlook Web Access — это owa), которое будет использовать IIS Extension, и перейдите в раздел Модули (Modules).

  2. В меню Действия (Actions) нажмите Выполняется настройка собственных модулей (Configure Native Modules), выберите модули Indeed и нажмите ОK.

Интеграция IIS Extension с бизнес-приложением

Двухфакторную аутентификацию необходимо настраивать отдельно для каждого целевого приложения.

Чтобы настроить интеграцию:

  1. Откройте редактор реестра Windows.

  2. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\IISHTTPModule создайте раздел с именем приложения или сайта в IIS. Значение может быть произвольным.

  3. В созданном разделе создайте следующие параметры:

  • AuthCookie — строковый параметр. Название cookie, которое используется для аутентификации в целевом приложении. Определяется экспериментальным путем для каждого приложения. Чтобы получить значение параметра из консоли F12 IE Developer Toolbar:

    1. В разделе Сеть (Network) запустите Сбор сетевого трафика (Enable network traffic capturing).

    2. Выполните аутентификацию в приложении.

    3. Перейдите в раздел Подробности (Details) на вкладку Cookie (Cookies).

    4. Найдите значение в столбце Ключ (Key).

  • isMFAEnabled — параметр типа DWORD. Включение двухфакторной аутентификации. 

  • LoginURL — строковый параметр. Относительный URL, на который происходит POST-отправка данных формы входа приложения. Должен начинаться с косой черты (/). URL указывается относительно целевого сайта.

  • MatchTargetRedirect — параметр типа DWORD. При значении 1 страница для ввода второго фактора отображается до перехода на основную страницу. Целевая страница не сохраняется в буфере, после ввода второго фактора происходит переход на основную страницу (параметр TargetURL).

  • OTPURL —  строковый параметр. Альтернативный URL для отправки данных формы аутентификации Indeed второго фактора. По умолчанию данные формы отправляются на тот же URL, что и данные формы целевого приложения. Их перехватывает модуль IIS и подменяет на оригинальные данные, если аутентификация Indeed прошла успешно, или же не подменяет их, если аутентификация Indeed не прошла и целевое приложение отображает собственную ошибку аутентификации. Значение необходимо использовать, если целевое приложение не трактует данные формы Indeed как ошибочные для аутентификации или необходимо явным образом демонстрировать ошибки аутентификации Indeed пользователю. Таким образом, значение можно оставить пустым.

  • PasswordField — строковый параметр. Значение атрибута name поля пароля формы входа приложения.

  • LoginReferer — строковый параметр. Позволяет разделить запросы от приложений, которые используют одну и ту же страницу входа. Создайте параметр с уникальным значением для каждого приложения.

    Важно!

    Если адрес сервера соответствует имени приложения, источник запроса для страницы входа будет содержать это имя приложения, даже если вы установите разные значения LoginReferer.

    Пример

    Например, адрес сервера ecp.indeed.local. Вы настроили два LoginReferer — %2fowa и %2fecp. Страница входа и для приложения OWA, и для приложения ECP будет содержать часть имени сервера %2fecp.indeed.local.

    Для решения этой проблемы в LoginReferer укажите:

    • для OWA: %2fecp.indeed.local%2fowa
    • для ECP: %2fecp.indeed.local%2fecp

  • RedirectToTarget — параметр типа DWORD. Переход на целевую страницу. 

  • TargetURL — строковый параметр. URL целевой страницы, на которую пользователь попадает после аутентификации в приложении. 

    Важно!

    Для Exchange 2013 и 2016 указывается /owa (без завершающей косой черты /), для Exchange 2010 указывается /owa/ (с завершающей косой чертой /).

  • UsernameField — строковый параметр. Значение атрибута name поля имени пользователя формы входа приложения.

Значения всех параметров — LoginURL, PasswordField, UsernameField — содержатся в форме аутентификации целевого приложения и могут быть получены, например при помощи инструмента Internet Explorer F12 Developer Tools.

Примечание

Если используете приложение OWA, в редакторе реестра отключите обычную проверку подлинности (Basic authentication). Создайте параметр типа DWORD IsBasicDisabled со значением 1 по следующиему пути: HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\IISHTTPModule\IISConfig\owa.

Опциональные настройки

Пример работы модуля

  1. Откройте приложение OWA и введите доменный логин и пароль.

  2. После корректного ввода появится окно с запросом второго фактора.

  3. После успешного ввода одноразового пароля откроется приложение.