- Начало работы
- Интеграция
- HTTP API
- OpenID Connect
- RADIUS протокол
- RADIUS адаптер
- LDAP адаптер
- Портал самообслуживания
- Windows Logon
- MacOS logon
- Регистрация пользователей
- .NET Core
- 1с-Bitrix24
- 1с-плагин двухфакторной аутентификации
- ADFS
- ASP.NET
- Ansible AWX
- Atlassian Cloud
- BearPass
- Check Point VPN
- Cisco ASA VPN
- Citrix Gateway
- FortiGate VPN
- HRBOX
- Huawei Cloud
- Huawei VPN
- Ideco UTM
- Keycloak
- Let's Encrypt Windows Server
- Linux logon (GUI)
- Linux SSH
- Linux SUDO
- MikroTik L2TP VPN
- NGate VPN
- Network Policy Server (NPS)
- Nextcloud
- OpenVPN
- OpenVPN + AD
- OpenVPN Access Server
- OpenVPN pfSense
- Outlook Web Access (OWA)
- Passwork
- RD Gateway (RDGW)
- Redmine
- UserGate VPN
- VMware Horizon Cloud
- VMware Horizon View
- VMware vCloud Director
- VMware vSphere
- Vault
- ViPNET
- Windows VPN
- Yandex.Cloud
- Zabbix
- АйТи-Бастион
- Континент 4 VPN
- МТС Линк (бывш. webinar.ru)
- С-Терра VPN
- Точка доступа Wi-Fi
- ФПСУ-IP/Клиент
Настройка двухфакторной аутентификации ADFS
Общая информация
В статье описывается настройка Active Directory Federation Services (ADFS) для доступа к корпоративным приложениям.
Возможные способы аутентификации:
Мобильное приложение Multifactor
Telegram
СМС
Биометрия
Аппаратные OTP токены
Приложения OTP: Google Authenticator или Яндекс.Ключ
Видео-презентация
Схема работы
- Пользователь открывает корпоративное приложение;
- ADFS запрашивает логин первый фактор аутентификации: логин и пароль, проверяет корректность указанных данных и, если данные верны, переходит ко второму этапу аутентификации;
- На втором этапе открывается окно проверки второго фактора MULTIFACTOR, в котором пользователю предлагается подтвердить доступ;
- Пользователь подтверждает второй фактор доступа и переходит к работе с приложением.
Для настройки второго фактора аутентификации вам потребуется установить и настроить на сервере ADFS компонент MULTIFACTOR.ADFS.Adapter. Компонент разработан и поддерживается компанией МУЛЬТИФАКТОР, распространяется бесплатно вместе с исходным кодом. Актуальная версия находится на GitHub: код и сборка (архив release.zip).
Лицензия
Обратите внимание на лицензию. Она не даёт вам право вносить изменения в исходный код Компонента и создавать производные продукты на его основе. Исходный код предоставляется в ознакомительных целях.
Требования для установки
- Компоненту необходим доступ к хосту api.multifactor.ru по TCP порту 443 (TLS) напрямую или через HTTP прокси;
- На сервере должно быть установлено правильное время.
Настройка MULTIFACTOR
- В системе управления MULTIFACTOR добавьте новый ресурс «Веб-сайт», после чего Вам будут доступны ключи API Key и API Secret. Используйте формат токена доступа JwtHS256.
Настройка ADFS
- Загрузите и распакуйте архив на сервер с ADFS.
- Отредактируйте файл конфигурации MultiFactor.ADFS.Adapter.dll.config: пропишите ключи доступа из личного кабинета MULTIFACTOR
- Запустите PowerShell скрипт install.ps1 с правами администратора.
- Зайдите в консоль управления ADFS, в разделе "Authentication methods" -> "Multi-factor Authentication Methods" включите метод MULTIFACTOR.
- В разделе Relying Party Trusts отредактируйте Access Policy для приложений, где необходимо включить 2FA.
Защита от сбоев
В случае недоступности (по любой причине) API MULTIFACTOR, адаптер может работать в одном из двух вариантов:
- Пропускать без второго фактора (по умолчанию)
- Отказывать в доступе
Для настройки используется следующий параметр:
<!--Enable bypass second factor when api unreachable (default: true)-->
<!--<add key="bypass-second-factor-when-api-unreachable" value="false"/>-->
Обновление
Шаги по переустановке\обновлению плагина:
- Отключите MULTIFACTOR в AD FS в Service -> Authentication Methods -> Edit Multi-Factor Authenntication Methods
- Задайте ключи для подключения к серверу аутентификации в MultiFactor.ADFS.Adapter.dll.config
- Запустите uninstall.ps1
- Запустите install.ps1
- Включите MULTIFACTOR в AD FS
Если что-то не работает
- Если возникают ошибки при установке плагина, проверьте, что установочный скрипт вы выполняете от имени администратора;
- Для работы в кластерной конфигурации компонент необходимо установить на все серверы кластера;
- Ошибки, связанные с работой компонента, можно посмотреть на сервере ADFS в журнале Windows: в разделе Applications с источником MULTIFACTOR, а также в разделе ADFS;
- Если не прогружается iframe с окном второго фактора, а в консоли браузера вы видите ошибку:
Refused to frame 'https://access.multifactor.ru/' because it violates the following
Content Security Policy directive: "default-src 'self'". Note that 'frame-src' was
not explicitly set, so 'default-src' is used as a fallback."
То добавьте домен access.multifactor.ru в исключения политики безопасности содержимого, разрешая ему открываться во фрейме. Это можно сделать следующей PowerShell командой, запущенной от роли администратора:
Set-AdfsResponseHeaders -SetHeaderName "Content-Security-Policy" `
-SetHeaderValue "default-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; frame-src access.multifactor.ru"
Смотрите также
- Регистрация пользователей в Мультифакторе;
- Настройка двухфакторной аутентификации Windows Remote Desktop.