Skip to content

README.ru.md

Latest commit

 

History

History
118 lines (83 loc) · 9.32 KB

README.ru.md

File metadata and controls

118 lines (83 loc) · 9.32 KB

Лицензия

MultiFactor.IIS.Adapter

Also available in other languages: English

MultiFactor.IIS.Adapter — программный компонент, расширение для Microsoft Exchange Server. Позволяет быстро подключить мультифакторную аутентификацию пользователей к Outlook Web Access (OWA).

Компонент является частью гибридного 2FA решения сервиса MultiFactor.

Дополнительные инструкции по интеграции 2FA в Outlook Web Access (OWA) см. в документации по адресу https://multifactor.ru/docs/outlook-web-access-2fa/.

Содержание

Общие сведения

Microsoft Exchange Server — программный продукт для обработки и пересылки почтовых сообщений, совместной работы (календари, задачи).

Outlook Web Access (OWA) — веб-клиент Exchange, использующий возможности IIS.

Функции компонента

  1. Защита доступа вторым фактором проверки подлинности при каждом входе и через настраиваемый промежуток времени;
  2. Самостоятельная настройка второго фактора пользователем при первом входе;
  3. Избирательное включение второго фактора на основе принадлежности к группе в Active Directory;
  4. Журнал доступа.

Схема работы

  1. Пользователь открывает сайт Outlook Web Access;
  2. OWA запрашивает первый фактор аутентификации: логин и пароль, проверяет корректность указанных данных и создает пользовательскую сессию;
  3. Компонент MultiFactor.IIS.Adapter проверяет, что сессия авторизована и переадресовывает пользователя на второй фактор аутентификации;
  4. После успешного прохождения второго фактора, пользователь возвращается на сайт OWA и продолжает работу.

Требования для установки компонента

  1. Компоненту необходим доступ к хосту api.multifactor.ru по TCP порту 443 (TLS) напрямую или через HTTP прокси;
  2. Outlook Web Access должен работать с валидным SSL сертификатом;
  3. На сервере должно быть установлено правильное время;
  4. На сервере должен быть установлен Net Framework версии 4.8.

Конфигурация

Настройка Multifactor

  1. Создайте аккаунт и войдите в административную панель Мультифактор;
  2. В разделе ресурсы кликните Добавить ресурс. В появившемся списке выберите Outlook Web Access в разделе Сайт. Заполните необходимые поля для того, чтобы получить параметры NAS Identifier и Shared Secret. Эти параметры потребуются для завершения настройки.

Настройка OWA

  1. Скопируйте файл Bin\MultiFactor.IIS.Adapter.dll в директорию
    C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\Bin;

  2. Скопируйте файл mfa.aspx в директорию
    C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa;

  3. Отредактируйте файл
    C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\web.config:

    • сделайте резервную копию файла
    • в раздел <modules> добавьте компонент первой строкой:

      <add type="MultiFactor.IIS.Adapter.Owa.Module, MultiFactor.IIS.Adapter" name="MFA" />
    • в раздел <appSettings> добавьте параметры компонента:

      <add key="multifactor:api-url" value="https://api.multifactor.ru" />
<add key="multifactor:api-key" value="API Key из настроек Мультифактора" />
<add key="multifactor:api-secret" value="API Secret из настроек Мультифактора" />
    • сохраните изменения и закройте файл.

  4. Для избирательного включения доступа на основне принадлежности к группе Active Directory, добавьте в конфигурацию параметры:

    <add key="multifactor:active-directory-2fa-group" value="owa-2fa" />
<add key="multifactor:active-directory-2fa-group-membership-cache-timeout" value="15"/>
    • Первый параметр multifactor:active-directory-2fa-group — название группы в AD. Группа может быть вложенной, то есть содержать в себе другие группы;
    • Второй параметр multifactor:active-directory-2fa-group-membership-cache-timeout — промежуток времени (в минутах) через который обновляется информация о вхождении пользователя в группу. Для оптимизации производительности, значение по-умолчанию составляет 15 минут (но можно поставить 0).

  5. Для работы с API Мультифактора через HTTP Proxy, добавьте в конфигурацию параметр:

    <add key="multifactor:api-proxy" value="http://proxy:3128" />

Требования к доменам загрузки OWA

Домен загрузки должен быть поддоменом основного домена OWA. (Источник)

Пример:

--- ---
Домен OWA owa.example.com
Домен загрузки attachments.owa.example.com

Дополнительная информация

Компонент:

  • Может работать в кластерной конфигурации, если он установлен на все сервера;
  • Одинаково хорошо работает с прямым доступом к серверу IIS и через прокси, например, nginx;
  • Не влияет на первый фактор аутентификации, а именно проверку логина и пароля пользователя;
  • Подключается к OWA. Работа с ECP, MAPI и ActiveSync остается без изменений;
  • Повторно запрашивает второй фактор через настраиваемый промежуток времени и закрывает оставленные пользователями сессии. Интервал времени настраивается в групповой политике сервиса Мультифактор.

Лицензия

Обратите внимание на лицензию. Она не дает вам право вносить изменения в исходный код Компонента и создавать производные продукты на его основе. Исходный код предоставляется в ознакомительных целях.