Настройка двухфакторной аутентификации ADFS

Общая информация

В статье описывается настройка Active Directory Federation Services (ADFS) для доступа к корпоративным приложениям.

Возможные способы аутентификации:

• Мобильное приложение MultiFactor
• Telegram
• СМС
• Биометрия
• Аппаратные OTP токены
• Приложения OTP: Google Authenticator или Яндекс.Ключ

Видео-презентация

Схема работы

1. Пользователь открывает корпоративное приложение;
2. ADFS запрашивает логин первый фактор аутентификации: логин и пароль, проверяет корректность указанных данных и, если данные верны, переходит ко второму этапу аутентификации;
3. На втором этапе открывается окно проверки второго фактора Мультифактор, в котором пользователю предлагается подтвердить доступ;
4. Пользователь подтверждает второй фактор доступа и переходит к работе с приложением.

Для настройки второго фактора аутентификации вам потребуется установить и настроить на сервере ADFS компонент MultiFactor.ADFS.Adapter. Компонент разработан и поддерживается компанией Мультифактор, распространяется бесплатно вместе с исходным кодом. Актуальная версия находится на GitHub: код и сборка.

Обратите внимание на лицензию. Она не дает вам право вносить изменения в исходный код Компонента и создавать производные продукты на его основе. Исходный код предоставляется в ознакомительных целях.

Требования для установки

1. Компоненту необходим доступ к хосту api.multifactor.ru по TCP порту 443 (TLS) напрямую или через HTTP прокси;
2. На сервере должно быть установлено правильное время.

Настройка Мультифактора

1. Зайдите в систему управления Мультифактором, далее в раздел "Ресурсы" и создайте новый сайт с настройками по умолчанию;

Настройка ADFS

1. Загрузите и распакуйте архив на сервер с ADFS.
2. Отредактируйте файл конфигурации MultiFactor.ADFS.Adapter.dll.config: пропишите ключи доступа из личного кабинета Мультифактора
3. Запустите PowerShell скрипт install.ps1 с правами администратора.
4. Зайдите в консоль управления ADFS, в разделе "Authentication methods" -> "Multi-factor Authentication Methods" включите метод MultiFactor.
5. В разделе Relying Party Trusts отредактируйте Access Policy для приложений, где необходимо включить 2FA.

Дополнительная информация

• Для работы в кластерной конфигурации компонент необходимо установить на все серверы кластера.
• Ошибки, связанные с работой компонента, можно посмотреть на сервере ADFS в журнале Windows: в разделе Applications с источником MultiFactor, а также в разделе ADFS. Смотрите также:
• Регистрация пользователей в Мультифакторе.
• Настройка двухфакторной аутентификации Windows Remote Desktop.