Инструкция по настройке двухфакторной аутентификации в AD FS для интеграции с Exchange Server 2016

База знаний

6С чего начать? 31Indeed Privileged Access Manager 71Indeed Certificate Manager 175Indeed Access Manager 8 46Indeed Access Manager 7 234Indeed Access Manager 6 85Indeed Enterprise Single Sign-On 1Документация по продуктам

База знаний: Indeed Access Manager 7 > Установка и настройка > Установка и настройка модулей расширений для EA 7.0

Автор Vladislav Fomichev, Last modified by Vladislav Fomichev на 13 ноября 2018 04:11 PM

Предварительные условия.

В данном руководстве подразумевается что у вас уже есть развернутая система Indeed-Id 7.0, настроенный сервер ADFS и установлен MFA адаптер Indeed-Id.

Установка и настройка.

Создание доверия проверяющей стороны в AD FS для OWA и ECP: Необходимо выполнить эти действия два раза: один раз для OWA и один раз для ECP.
- В окне “Диспетчер серверов” выберите “Средства”, а затем выберите “Управление AD FS”.
- В консоли управления AD FS разверните узел “Отношения доверия” и выберите “Отношения доверия проверяющей стороны”. В области “Действия” выберите “Добавить отношение доверия проверяющей стороны”.
- В окне “Мастер добавления отношений доверия проверяющей стороны”. На странице “Добро пожаловать” нажмите кнопку “Запустить”.
- На странице “Выбор источника данных” выберите “Ввод данных о проверяющей стороне вручную” и нажмите кнопку “Далее”.
- На странице “Указание отображаемого имени” настройте приведенные ниже параметры и нажмите кнопку “Далее”.
  Для OWA отображаемое имя: Outlook on the web.
  
  Для ECP отображаемое имя: Exchange Control Panel.
  
  Введите описание. Например: Это отношение доверия для https://exchange.ind.loc/owa/ или https://exchange.ind.loc/ecp/
  Пример ввода данных для OWA:
  
  Пример ввода данных для ECP:
- На странице “Выберете профиль” выберите параметр “Профиль AD FS” и нажмите кнопку “Далее”.
- На странице “Настройка сертификата” нажмите кнопку “Далее” (не указывайте необязательный сертификат для шифрования маркера).
- На странице “Настройка URL-адреса” выберите ”Включить поддержку пассивного протокола WS-Federation” и в поле “URL-адрес пассивного протокола WS-Federation проверяющей стороны” введите следующие данные и нажмите “Далее”:
  В данном примере будет:
  
  Owa: https://exchange.ind.loc/owa/.
  
  ECP: https://exchange.ind.loc/ecp/
  
  Пример ввода данных для OWA:
  Пример ввода данных для ECP:
- На странице Настройка идентификатора нажмите кнопку "Далее" (URL-адрес, упомянутый при выполнении предыдущего шага, указан в списке Идентификаторы отношений доверия проверяющей стороны).
  
  Пример отображения данных для OWA:
- На странице “Настроить многофакторную проверку подлинности?” выберите параметр “Настроить параметры для этого отношения доверия с проверяющей стороной” и нажмите кнопку “Далее”.
- На странице “Настройка многофакторной проверки подлинности” добавьте, если необходимо, пользователей/группы, для каких устройств требуется MFA и нажмите “Далее”.
- На странице “Выбор правил авторизации выдачи” выберите параметр “Разрешить доступ к этой проверяющей стороне всем пользователям” и нажмите кнопку “Далее”.
- На странице “Готовность для добавления отношения доверия” проверьте настройки, а затем нажмите кнопку “Далее”, чтобы сохранить сведения об отношении доверия с проверяющей стороной.
- На странице “Готово” снимите флажок Открыть диалоговое окно "Изменение правил утверждений" для этого отношения доверия с проверяющей стороной после закрытия мастера и нажмите кнопку “Закрыть”.
Создание правила настраиваемых утверждений в AD FS для OWA и Центр администрирования Exchange(ECP).
- В консоли управления AD FS разверните узел “Отношения доверия” выберите “Отношение доверия с проверяющей стороной” и выберите “Outlook on the web” или “Exchange Control Panel”. В области действий выберите “Изменить правила утверждений...”.
- В окне “Изменение правил утверждений для outlook” нажмите кнопку “Добавить правило...”.
- В окне “Мастер добавления правила преобразования утверждения” на странице “Выберите тип правила” нажмите кнопку “Далее”.
- На странице “Настройте правило утверждения” настройте:
  - Имя правила утверждения - Введите “OWA или ECP”.
  - Хранилище атрибутов - Выберите “Active Directory”.
  - Сопоставление атрибутов LDAP…. - "Атрибут LDAP" выберите: User-Principal-Name. "Тип исходящего утверждения" выберите: UPN.
- После настройки правила в окне “Изменение правила утверждений ….” нажмите кнопку “Применить” и “Ок”.
Настройка Exchange.

На сервере Exchange использует виртуальный каталог с именем “owa” и Центр администрирования Exchange использует виртуальный каталог с именем “ecp”.

Экспорт сертификата подписи маркера с сервера ADFS.
- На сервере ADFS откройте “Управление ADFS”, разверните узел “Служба” и откройте “Сертификаты”.
- Нажмите правой кнопкой мыши на сертификат в графе “Для подписи маркера” и нажмите “Просмотр сертификата”.
- В окне “Сертификат” на вкладке “Состав” нажмите “Копировать в файл”.
- В окне “Мастер экспорта сертификатов” нажмите “Далее”.
- На странице “Формат экспортируемого файла” выберите “Файлы X.509 (.CER) в кодировке DER” и нажмите “Далее”.
- На странице “Имя экспортируемого файла” укажите путь и имя для сохранения сертификата и нажмите “Далее”.
- На странице “Завершение мастера экспорта сертификатов” проверьте параметры экспорта и нажмите “Готово”.

Импорт сертификата на сервер с Exchange.

Откройте оснастку “Сертификаты” для локального компьютера на сервере с Exchange и разверните узел “Доверенные корневые центры сертификации (Trusted Root Certification Authorities)” и нажмите “Сертификаты (Certificates)”.
Нажмите правой кнопкой мыши на “Сертификаты” выберите “Все задачи” и “Импорт”.
В окне “Мастер импорта сертификатов” нажмите “Далее”.
Выберите сертификат подписи маркера, экспортируемый с машины ADFS и нажмите “Далее”.
В окне “Хранилище сертификата” нажмите “Далее”.
Проверьте параметры импорта и нажмите “Готово”.

Установка сертификата.

На машине с Exchange запустите командную консоль Exchange и выполните следующую команду:
Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject
Скопируйте отпечаток (Thumbprint) сертификата подписи маркера ADFS.
Выполните последовательно следующие команды в консоли Exchange используя полученный отпечаток и свои данные.
$uris=@("https://YourDomainName/owa/","https://YourDomainName/ecp/","https://YourDomainName/owa","https://YourDomainName/ecp")

Set-OrganizationConfig -AdfsIssuer "https://YourDomainName/adfs/ls/" -AdfsAudienceUris $uris -AdfsSignCertificateThumbprint "YourThumbprint"

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false -OAuthAuthentication $false

Пример ввода команд для данной инструкции:

$uris=@("https://Exchange.ind.loc/owa/","https://Exchange.ind.loc/ecp/","https://Exchange.ind.loc/owa","https://Exchange.ind.loc/ecp")

Set-OrganizationConfig -AdfsIssuer "https://ADFS.ind.loc/adfs/ls/" -AdfsAudienceUris $uris -AdfsSignCertificateThumbprint "30B88D8F7C7AD0A74EE6A2823308DF2EE8313196"

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false -OAuthAuthentication $false

Пример выполнения команд для данной инструкции:
Перезапустите сервер IIS командной: iisreset /restart.

Проверка входа в owa.

Вводим доменный логин и пароль пользователя.
Указываем данные второго фактора.
Входим в свой почтовый ящик.

(4 голос(а))

Эта статья полезна

Эта статья бесполезна

Комментарии (0)

Портал технической поддержки компании Индид

Настройка Exchange.