- Начало работы
- Интеграция
- HTTP API
- OpenID Connect
- RADIUS протокол
- RADIUS адаптер
- LDAP адаптер
- Портал самообслуживания
- MULTIFACTOR Directory Sync
- Windows Logon
- Регистрация пользователей
- .NET Core
- 1с-Bitrix24
- 1с-плагин двухфакторной аутентификации
- ADFS
- ASP.NET
- Ansible AWX
- Atlassian Cloud
- BearPass
- Check Point VPN
- Cisco ASA VPN
- Citrix Gateway
- Deckhouse Stronghold
- Exchange ActiveSync
- FortiGate VPN
- HRBOX
- Huawei Cloud
- Huawei VPN
- Ideco
- Infrascope
- Grafana
- Keycloak
- Let's Encrypt Windows Server
- Linux logon (GUI/SSH)
- Linux SSH
- Linux SUDO
- Microsoft Entra ID
- MikroTik L2TP VPN
- NGate VPN
- Network Policy Server (NPS)
- Nextcloud
- OpenVPN
- OpenVPN + AD
- OpenVPN Access Server
- OpenVPN pfSense
- Outlook Web Access (OWA)
- Palo Alto GlobalProtect
- Passwork
- RD Gateway (RDGW)
- Redmine
- Solar SafeInspect
- UserGate VPN
- VMware Horizon Cloud
- VMware Horizon View
- VMware vCloud Director
- VMware vSphere
- Vault
- ViPNET
- Windows VPN
- WordPress
- Yandex.Cloud
- Yandex 360
- Zabbix
- АйТи-Бастион
- Континент 4 VPN
- МТС Линк (бывш. webinar.ru)
- С-Терра VPN
- Точка доступа Wi-Fi
- ФПСУ-IP/Клиент
Настройка 2FA Exchange ActiveSync через MultiFactor.IIS.Adapter
Компонент обеспечивает двухфакторную аутентификацию для пользователей, подключающихся к веб-интерфейсу Exchange ActiveSync (EAS) почтового сервера Microsoft Exchange.
Схема работы
- Модуль перехватывает запросы на авторизацию к
Exchange ActiveSync. - После успешной аутентификации по первому фактору (логина/пароля) запускается проверка второго фактора с помощью компонента Multifactor.IIS.Adapter.
- Доступ к почтовому ящику предоставляется только после успешного подтверждения обоих факторов.
Лицензия
Обратите внимание на лицензию. Она не дает вам право вносить изменения в исходный код Компонента и создавать производные продукты на его основе. Исходный код предоставляется в ознакомительных целях.
Установка и настройка компонентов
На каждом сервере Exchange (всех нодах) необходимо установить:
MultiFactor.IIS.Adapter.dllMultiFactor.IIS.Adapter.pdb
Настройка конфигурационного файла
- Отредактируйте файл
C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync\web.configследующим образом:
Обязательные параметры:
<add key="multifactor:api-url" value="https://api.multifactor.ru"/> <add key="multifactor:api-key" value="API Key из настроек Мультифактора"/> <add key="multifactor:api-secret" value="API Secret из настроек Мультифактора"/>
Дополнительные параметры:
<add key="multifactor:session-life-time" value="8"/> <add key="multifactor:second-factor-re-request-delay" value="5"/>
Описание параметров:
session-life-time— срок действия сессии 2FA (в часах). По истечении требуется повторная аутентификация.second-factor-re-request-delay— задержка перед повторным запросом 2FA после неудачной попытки (в минутах).
Особенности работы с мобильными клиентами
Полностью поддерживаемые клиенты:
- Gmail (Android/iOS)
- Blue Mail
- Aqua Mail
- Встроенный почтовый клиент iOS
- Большинство сторонних клиентов, поддерживающих EAS
Внимание
Каждое новое подключение аккаунта пользователя требует подтверждения 2FA.
Клиенты с ограниченной поддержкой:
- Outlook для iOS
- Outlook для Android
Причина:
При подключении первого устройства создается «виртуальное устройство», которое становится единой логической сущностью для всех подключений пользователя. Это приводит к тому, что:
- Первое подключение проходит с подтверждением 2FA.
- Последующие подключения могут осуществляться без второго фактора.
- Время жизни сессии не решает проблему принципиально.
Рекомендации по безопасности
Блокировка проблемных клиентов
Для обеспечения корректной работы двухфакторной аутентификации рекомендуется:
1. Заблокировать использование:
- Outlook для iOS
- Outlook для Android
2. Разрешить использование альтернативных почтовых клиентов.
Информирование пользователей
Необходимо уведомить пользователей о необходимости:
- Требовании использовать альтернативные клиенты (Gmail, Blue Mail, Aqua Mail, встроенный клиент iOS).
- Запрете на использование Outlook для iOS/Android для доступа к корпоративной почте.
- При проблемах с подключением обращаться в техническую поддержку.
Проверка работоспособности
Этап проверки |
Ожидаемый результат |
|---|---|
Установка компонентов |
Файлы размещены на всех нодах Exchange |
Конфигурация web.config |
Параметры корректно заданы, синтаксис XML валиден |
Подключение нового устройства |
Запрос 2FA происходит для каждого нового устройства |
Блокировка Outlook |
Клиенты Outlook для iOS/Android не могут подключиться |
Смотрите также:
Настройка двухфакторной аутентификации Exchange ActiveSync через портал самообслуживания
