Предварительные условия

• Развернутая система IndeedAM 8.2.4-8.2.x
• Exchange Server
• Аутентификатор SOTP у пользователя Indeed AM.
• Закэшированные пароли из AD для учетных записей пользователей в БД Indeed AM (смена пароля через UC/использование модуля Windows Logon). Если паролей не будет в БД Indeed сценарий не будет работать, в консоли МС будут появляться события с успешной авторизацией, но фактически возникнет ошибка при входе в OWA

Установка и настройка

1. Устанавливаем Indeed AM IIS Extension на сервер Exchange.
2. Включаем зарегистрированный модуль аутентификации Indeed:
   a) Открываем в Диспетчере служб IIS (IIS Manager) приложение Default Web Site\owa и переходим в раздел Модули (Modules). 
   
   
   b) В меню Действия (Actions) нажимаем Выполняется настройка собственных модулей. . . (Configure Native Modules. . .), включаем модули Indeed-Id IIS Authentication Module (x64 и/или x86) и нажимаем ОК.
                                         
   
   c) Перезапускаем сервер IIS.
   

Настройка аутентификации.

1. Выполните вход на сервер с установленным компонентом Indeed IIS Extension с учетной записью, обладающей правами локального администратора.
2. Откройте редактор реестра:
   
   • Win + R → regedit → Enter.
3. В ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\SrvLocator2 ключу ServerUrlBase задаём URL адрес AM сервера.
   
4. Создайте в разделе реестра Windows HKEY_LOCAL_MACHINE\SOFTWARE\  ключ IndeedID с вложенным ключом IISHTTPModule\IISConfig
5. Создайте в ключе IISConfig ключ с точным именем сайта или приложения IIS – Default Web Site/owa.
   
6. Создайте в этом ключе DWORD значение IsBasicDisabled=dword:00000001
   
   • Правая кнопка мыши → New → DWORD value
     
     
7. Создайте строковый параметр ProviderId и задайте для него значение, соответствующее используемому провайдеру для данного приложения:
   
   • Правая кнопка мыши → New → String value.
   
   {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} – для Software OTP Provider.
   
   
   
   В итоге реестр Windows должен содержать следующее:
   
   • [HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\IISHTTPModule\IISConfig\Default Web Site/owa]
   • "IsBasicDisabled"="1"
   • "ProviderId"="{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}"
   

Настройка проверки подлинности.

1. Выполните вход на сервер с установленным компонентом Indeed IIS Extension с учетной записью, обладающей правами локального администратора.
2. Создайте в разделе реестра Windows HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\IISHTTPModule ключ с именем приложения или сайта в IIS (может иметь произвольное значение).
3. Создайте следующие строковые параметры:
   
   • LoginURL – относительный URL, на который происходит POST-отправка данных формы входа приложения. Должен начинаться с символа /. URL указывается относительно целевого сайта.
   • UsernameField – значение атрибута name поля имени пользователя формы входа приложения.
   • PasswordField – значение атрибута name поля пароля формы входа приложения. 
   • LoginReferer -  строковый параметр. Позволяет разделить запросы от приложений, которые используют одну и ту же страницу входа. Если в событиях консоли МС постоянно отображаются неудачные попытки авторизации сервисных учетных записей необходимо добавить значение %2fowa

В итоге реестр Windows должен содержать следующее:

• [HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\IISHTTPModule\OWA]
  "LoginURL"="/owa/auth.owa"
• "UsernameField"="username"
• "PasswordField"="password"
• "LoginReferer"="%2fowa" (опционально)