Инструкция по настройке двухфакторной аутентификации в AD FS для интеграции с Exchange Server 2016
Автор Vladislav Fomichev, Last modified by Vladislav Fomichev на 13 ноября 2018 04:11 PM
|
Предварительные условия.
В данном руководстве подразумевается что у вас уже есть развернутая система Indeed-Id 7.0, настроенный сервер ADFS и установлен MFA адаптер Indeed-Id.
Установка и настройка.
- Создание доверия проверяющей стороны в AD FS для OWA и ECP: Необходимо выполнить эти действия два раза: один раз для OWA и один раз для ECP.
- Создание правила настраиваемых утверждений в AD FS для OWA и Центр администрирования Exchange(ECP).
- В консоли управления AD FS разверните узел “Отношения доверия” выберите “Отношение доверия с проверяющей стороной” и выберите “Outlook on the web” или “Exchange Control Panel”. В области действий выберите “Изменить правила утверждений...”.

- В окне “Изменение правил утверждений для outlook” нажмите кнопку “Добавить правило...”.

- В окне “Мастер добавления правила преобразования утверждения” на странице “Выберите тип правила” нажмите кнопку “Далее”.

- На странице “Настройте правило утверждения” настройте:
- Имя правила утверждения - Введите “OWA или ECP”.
- Хранилище атрибутов - Выберите “Active Directory”.
- Сопоставление атрибутов LDAP…. - "Атрибут LDAP" выберите: User-Principal-Name. "Тип исходящего утверждения" выберите: UPN.

- После настройки правила в окне “Изменение правила утверждений ….” нажмите кнопку “Применить” и “Ок”.

-
Настройка Exchange.
На сервере Exchange использует виртуальный каталог с именем “owa” и Центр администрирования Exchange использует виртуальный каталог с именем “ecp”.
Экспорт сертификата подписи маркера с сервера ADFS.
- На сервере ADFS откройте “Управление ADFS”, разверните узел “Служба” и откройте “Сертификаты”.

- Нажмите правой кнопкой мыши на сертификат в графе “Для подписи маркера” и нажмите “Просмотр сертификата”.

- В окне “Сертификат” на вкладке “Состав” нажмите “Копировать в файл”.

- В окне “Мастер экспорта сертификатов” нажмите “Далее”.

- На странице “Формат экспортируемого файла” выберите “Файлы X.509 (.CER) в кодировке DER” и нажмите “Далее”.

- На странице “Имя экспортируемого файла” укажите путь и имя для сохранения сертификата и нажмите “Далее”.

- На странице “Завершение мастера экспорта сертификатов” проверьте параметры экспорта и нажмите “Готово”.

Импорт сертификата на сервер с Exchange.
- Откройте оснастку “Сертификаты” для локального компьютера на сервере с Exchange и разверните узел “Доверенные корневые центры сертификации (Trusted Root Certification Authorities)” и нажмите “Сертификаты (Certificates)”.

- Нажмите правой кнопкой мыши на “Сертификаты” выберите “Все задачи” и “Импорт”.

- В окне “Мастер импорта сертификатов” нажмите “Далее”.

- Выберите сертификат подписи маркера, экспортируемый с машины ADFS и нажмите “Далее”.
 
- В окне “Хранилище сертификата” нажмите “Далее”.

- Проверьте параметры импорта и нажмите “Готово”.

Установка сертификата.
- На машине с Exchange запустите командную консоль Exchange и выполните следующую команду:
Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject 
- Скопируйте отпечаток (Thumbprint) сертификата подписи маркера ADFS.

- Выполните последовательно следующие команды в консоли Exchange используя полученный отпечаток и свои данные.
$uris=@("https://YourDomainName/owa/","https://YourDomainName/ecp/","https://YourDomainName/owa","https://YourDomainName/ecp")
Set-OrganizationConfig -AdfsIssuer "https://YourDomainName/adfs/ls/" -AdfsAudienceUris $uris -AdfsSignCertificateThumbprint "YourThumbprint"
Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false
Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false -OAuthAuthentication $false
Пример ввода команд для данной инструкции:
$uris=@("https://Exchange.ind.loc/owa/","https://Exchange.ind.loc/ecp/","https://Exchange.ind.loc/owa","https://Exchange.ind.loc/ecp")
Set-OrganizationConfig -AdfsIssuer "https://ADFS.ind.loc/adfs/ls/" -AdfsAudienceUris $uris -AdfsSignCertificateThumbprint "30B88D8F7C7AD0A74EE6A2823308DF2EE8313196"
Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false
Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false -OAuthAuthentication $false
Пример выполнения команд для данной инструкции:
- Перезапустите сервер IIS командной: iisreset /restart.
Проверка входа в owa.
- Вводим доменный логин и пароль пользователя.

- Указываем данные второго фактора.

- Входим в свой почтовый ящик.

|
(4 голос(а))
Эта статья полезна Эта статья бесполезна
|