Установка и настройка Indeed IIS Extension
Автор Vladislav Fomichev, Last modified by Anton Shlykov на 24 октября 2018 11:33 AM

Продукт Indeed IIS Extension обеспечивает возможность добавления второго фактора аутентификации пользователей в web приложениях, использующих проверку подлинности с помощью форм (Forms Authentication), развернутых на платформе Microsoft Internet Information Services (IIS) с использованием технологии аутентификации Indeed.

Совместимые провайдеры аутентификации Indeed:

  • Indeed-Id Google Authenticator Provider
  • Indeed-Id Passcode Provider
  • Indeed-Id SMS OTP Provider
  • Indeed-Id Email OTP Provider

Установка и настройка Indeed IIS Extension

Для корректной установки и работы Indeed IIS Extension необходимо следующее окружение:

    • Microsoft Internet Information Services (версии 7.5 -8.5)
    • Продукты Indeed, установленные в следующей конфигурации:
    • Indeed-Id Enterprise Server
        • Windows Password провайдер, установленный на сервере.
        • Провайдеры аутентификации Indeed-Id:
      • Indeed-Id Passcode Provider
      • Indeed-Id Google Authenticator Provider
      • Indeed-Id SMS OTP Provider
      • Indeed-Id Email OTP Provider

      Установка компонентов IIS и IIS Extension.    
      1. Установить IIS и необходимые компоненты.

        Рекомендуется использовать скрипт для автоматической установки и настройки IIS:

        Indeed IIS Extension\1.2.7\Misc\Server2008\Indeed.EMC.IIS.Install.MSServer2008.ps1 - Для 2008 сервера.

        Indeed IIS Extension\1.2.7\Misc\Server2012\Indeed.EMC.IIS.Install.MSServer2012.ps1 - Для 2012 сервера.
      2. Запустить мастер установки Indeed.EA.IIS.Extension ( indeed EA 7.0\Indeed IIS Extension\1.2.7\Indeed.EA.IIS.Extension-v1.2.7.x64.ru-ru.msi).

      Настройка реестра.

      1. Создайте в разделе HKEY_LOCAL_MACHINE\SOFTWARE\ ключ Indeed-ID.
      2. Создайте в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID  ключ AuthProxy. В созданном ключе создайте:
        1. Строковый параметр ServerUrlBase. В данном параметре указывается URL Вашего сервера Indeed EA. (В настройках приложения, в URL не должно быть символов “/” в конце
          В данном примере будет: http:/oneserver.indeed-id.local/easerver
        2. Параметр DWORD IsIgnoreCertErrors со значением 0. Данный параметр предназначен для проверки сертификата сервера Indeed EA, при значении 1 происходит игнорирование ошибок сертификата.
        3. Строковый параметр AppId со значением IIS Extension. В данном параметре задается название используемого компонента.
      3. Создайте в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID ключ IISHTTPModule. В созданном ключе создайте:
        1. Cтроковый параметр LSUrl. В данном параметре указывается URL Вашего лог сервера. (В настройках приложения, в URL не должно быть символов “/” в конце). 
          В данном примере используется: http:/oneserver.indeed-id.local/ils/api
        2. Создайте строковый параметр LSEventCacheDirectory в значении укажите путь к папке для хранения локального кеша. 
          В данном примере используется: C:\Users\Admin-Indeed\Documents\Local cache\
        3. Строковый параметр ProviderId. В данном параметре задается id используемого провайдера. Подробнее про настройку ProviderId смотреть ниже.

      Настройка IIS.

      1. Откройте в Диспетчере служб IIS (IIS Manager) приложение (для Outlook Web Access – это owa), которое будет использовать Indeed IIS Extension и перейдите в раздел Модули (Modules).
      2. В меню Действия (Actions) нажмите Выполняется настройка собственных модулей. . . (Configure Native Modules. . . ), включите модули Indeed и нажмите ОК.

      3. Для обеспечения аутентификации пользователей в web-приложениях по технологии Indeed должны выполняться следующие условия:
        • Серверы Indeed должны быть запущены и доступны по сети для модуля Indeed IIS Extension, развернутого на сервере с ролью Internet Information Services и целевыми web-приложениями.
        • Пользователи должны иметь разрешение на использование Indeed Enterprise Authentication (соответствующая опция располагается на вкладке Настройки в карточке пользователя в консоли управления Indeed EMC).
        • Пользователи должны иметь обученный аутентификатор в системе Indeed EA.
        • Целевые приложения, в случае необходимости, должны быть настроены на работу с Indeed IIS Extension(см. Примеры настройки приложений для работы с Indeed IIS Extension).

      Настройка двухфакторной аутентификации

      Двухфакторная аутентификация поддерживается только для приложений, использующих проверку подлинности с помощью форм (Forms Authentication).

      Indeed IIS Extension позволяет настроить двухфакторную аутентификацию для доступа к удаленным рабочим столам и приложениям через web с использованием службы Microsoft Remote Desktop Web Access (RD Web Access). Двухфакторная аутентификация реализована с помощью аутентификации по доменному паролю и по второму фактору – одноразовому паролю.

      Настройка провайдеров

      Провайдеры Indeed-Id, поддерживающие двухфакторную аутентификацию:

      • Indeed-Id Passcode Provider
      • Indeed-Id Google Authenticator Provider
      • Indeed-Id SMS OTP Provider
      • Indeed-Id Email OTP Provider
      1. Выполните вход на сервер с установленным компонентом Indeed IIS Extension с учетной записью, обладающей правами локального администратора.
      2. Откройте редактор реестра и в созданном ранее ключе HKEY_LOCAL_MACHINE\SOFTWARE\IndeedID\IISHTTPModule создайте строковый параметр ProviderId и задайте для него значение, соответствующее используемому провайдеру:
        1. {F696F05D-5466-42B4-BF52-21BEE1CB9529} – для Passcode Provider
        2. {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} – для Google Authenticator Provider
        3. {093F612B-727E-44E7-9C95-095F07CBB94B} – для Email OTP Provider
        4. {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} – для SMS OTP Provider
      3. В случае использования в качестве второго фактора Email OTP Provider возможно задать имя атрибута Active Directory в профиле пользователя, из которого система будет получать адрес электронной почты пользователя для отправки одноразового пароля. По умолчанию используется атрибут mail

        В случае необходимости задать атрибут, отличный от mail , следует в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создать строковый параметр EmailAttribute и указать в качестве его значения имя атрибута, в котором хранится адрес электронной почты пользователя. 

        Настройка для Email OTP, когда адрес почты получается из атрибута mail (по умолчанию):


        Настройка для Email OTP, когда адрес почты получается из атрибута otherMailbox:

      4. В случае использования в качестве второго фактора SMS OTP Provider возможно задать имя атрибута Active Directory в профиле пользователя, из которого система будет получать номер телефона пользователя для отправки одноразового пароля. По умолчанию используется атрибут telephoneNumber

        В случае необходимости задать атрибут, отличный от telephoneNumber , следует в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создать строковый параметр PhoneAttribute и указать в качестве его значения имя атрибута, в котором хранится номер телефона пользователя.

        Настройка для SMS OTP, когда номер телефона получается из атрибута telephoneNumber (по умолчанию):

        Настройка для SMS OTP, когда номер телефона получается из атрибута mobile:


      Настройка компонента

      Двухфакторная аутентификация настраивается отдельно для каждого целевого приложения. В процессе настройки необходимо создать в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\IISHTTPModule реестра Windows ключ с именем приложения или сайта в IIS (может иметь произвольное значение), создать в этом ключе следующие  параметры и определить их значения:
      1. AuthCookie – Строковый параметр. Название Cookie, которое используется для аутентификации в целевом приложении. Определяется экспериментальным путем для каждого приложения. Значение параметра можно получить из консоли F12 IE Developer Toolbar выполнив следующие действия:
        1. В разделе Сеть (Network) запустите Сбор сетевого трафика (Enable network traffic capturing)
        2. Выполните аутентификацию в приложении
        3. Перейдите в раздел Подробности (Details) на вкладку Файлы Cookie (Cookies).
        4. Искомое значение указано в столбце Ключ (Key).
      2. IsMFAEnabled – DWORD параметр. Включение двухфакторной аутентификации. 
      3. LoginURL – Строковый параметр. Относительный URL, на который происходит POST-отправка данных формы входа приложения. Должен начинаться с символа /. URL указывается относительно целевого сайта.
      4. OTPURL –  Строковый параметр. Альтернативный URL для отправки данных формы аутентификации Indeed второго фактора. По умолчанию данные формы отправляются на тот же URL, что и данные формы целевого приложения. Их перехватывает IIS модуль и подменяет на оригинальные данные, если аутентификация Indeed прошла успешно или же не подменяет их, если аутентификация Indeed не прошла и целевое приложение отображает собственную ошибку аутентификации. Значение необходимо использовать, если целевое приложение не трактует данные формы Indeed как ошибочные для аутентификации или необходимо явным образом демонстрировать ошибки аутентификации Indeed пользователю. Таким образом, значение можно оставить пустым.
      5. PasswordField – Строковый параметр. Значение атрибута name поля пароля формы входа приложения.
      6. TargetURL – Строковый параметр. URL целевой страницы, на которую пользователь попадает после аутентификации в приложении.
      7. UsernameField – Строковый параметр. Значение атрибута name поля имени пользователя формы входа приложения.

      Значения всех параметров: LoginURL, PasswordField, UsernameField  содержатся в форме аутентификации целевого приложения могут быть получены, например, при помощи инструмента Internet Explorer F12 Developer Tools.

      Пример работоспособности.

      1. Открываем приложение OWA, вводим доменный логин/пароль.
      2. После корректного ввода появится окно с запросом 2го фактора. В данном примере используется Google OTP.
      3. После успешного ввода откроется приложение.
      (1 голос(а))
      Эта статья полезна
      Эта статья бесполезна

      Комментарии (0)
      Добавить новый комментарий
       
       
      Полное имя:
      Email:
      Комментарии: