MULTIFACTOR Directory Sync

Общая информация

В статье описывается настройка MULTIFACTOR DirectorySync – сервиса для синхронизации пользователей из ActiveDirectory в личном кабинете МУЛЬТИФАКТОР.

Компонент устанавливается на ОС Windows.

Компонент доступен вместе с исходным кодом, распространяется бесплатно. Актуальная версия находится на GitHub: код и сборка (DirectorySync Installer.msi).

Требования для установки компонента

• Компонент устанавливается на любой Windows сервер начиная с версии 2008 R2;
• Минимальные требования для сервера: 2 CPU, 4 GB RAM, 40 GB HDD (обеспечивают работу ОС и адаптера для 100 одновременных подключений — примерно 1500 пользователей);

Схема работы

• MULTIFACTOR Directory Sync обращается к ActiveDirectory используя учетные данные из настроек сервиса - они задаются при установке.
• Подключившись, сервис выгружает всех пользователей из указанной группы (также вложенных в неё групп) - настройка указывается в личном кабинете МУЛЬТИФАКТОР.
• Сервис ищет изменения атрибутов (логин, отображаемое имя,e-mail, телефон) пользователей в ActiveDirectory и передаёт изменения в личный кабинет МУЛЬТИФАКТОР.

Перед началом работы

• Убедитесь, что на сервере с MULTIFACTOR DirectorySync открыты порт 389 TCP (LDAP) и 636 TCP (LDAPS) для отправки запросов на сервер ActiveDirectory;
• Серверу с установленным компонентом необходим доступ к хосту api.multifactor.ru по TCP порту 443 (TLS).

Настройка MULTIFACTOR Directory Sync

I. Личный кабинет

1. Зайдите в Личный кабинет, перейдите в раздел “Настройки” и на вкладке “Синхронизация УЗ” включите сервис.

2. На этой же вкладке настройте работу сервиса и сохраните изменения.

• Настройки во вкладке Синхронизация учётных записей:
• Управление сервисом DirectorySync – Включение/выключение сервиса синхронизации.
• API Key – Ключ для синхронизации с облаком МУЛЬТИФАКТОР.
• API Secret – Секрет для синхронизации с облаком МУЛЬТИФАКТОР.
• Периодичность запроса конфигурации из Облака, мин – Интервал запроса актуальной конфигурации из облака, в службу DirectorySync.
• Группы, в которые будут помещены новые пользователи – Необходимо указать группу из личного кабинета МУЛЬТИФАКТОР, в которую будут помещены пользователи из AD.
  

Важно

1) Перед установкой службы, внесите настройки в Личном Кабинете Мультифактор, иначе служба не установится.

2) Если планируете использовать группу "AllUsers", оставьте данное поле пустым, поскольку это группа по умолчанию.

• Периодичность поиска новых пользователей, мин – Интервал запроса актуального списка пользователей из AD.
• Периодичность обновления пользователей, мин – Интервал запроса актуального списка атрибутов пользователей из AD.
• GUID группы ActiveDirectory – Необходимо указать GUID группы, пользователи которой будут синхронизироваться с личным кабинетом МУЛЬТИФАКТОР. (можно указать только 1 группу)

Для поиска GIUD группы в ActiveDirectory, можете воспользоваться следующей командой в PowerShell:
Get-ADGroup "Domain Admins" | ft ObjectGUID

• Атрибут логина – Указать какой атрибут ActiveDirectory, будет использован в поле «логин» в личном кабинете МУЛЬТИФАКТОР.
• Атрибут имени – Указать какой атрибут ActiveDirectory, будет использован в поле «имя» в личном кабинете МУЛЬТИФАКТОР.
• Атрибуты почты, разделенные точкой с запятой – Указать какой атрибут ActiveDirectory, будет использован в поле «почта» в личном кабинете МУЛЬТИФАКТОР.
• Отправлять новым пользователям на почту ссылку для настройки 2FA (первый по счету email) – Включение/выключение автоматической отправки ссылки на почту пользователей, если заполнено поле e-mail.
• Атрибуты телефона, разделенные точкой с запятой – Указать какой атрибут ActiveDirectory, будет использован в поле «телефон» в личном кабинете МУЛЬТИФАКТОР.

3. Скопируйте ключ и секрет.

II. Сервер (PC) с компонентом MULTIFACTOR Directory Sync

Установите .NET 8 Runtime, вариант Hosting Bundle. Необходим именно Runtime.
SDK не подойдёт.

• Установите .NET 8 Runtime.
• Скачайте установщик и запустите его.
• Следуйте инструкциям установщика. API Key и API Secret вы найдете в Личном Кабинете МУЛЬТИФАКТОР в разделе Настройки/ Синхронизация учетных записей

• Настройки LDAP connection – необходимо взять из вашего AD.
  1. LDAP path
  Строку подключения к каталогу, можно указать в любом формате.
  Примеры: 10.0.0.2, domain.local, ldaps://10.0.0.4/DC=domain,DC=local.
  2. Username – необходимо указать сервисную учётную запись для чтения пользователей из AD, указывается только в формате DN.  
  Пример: “CN=user,OU=users,DC=domain,DC=local”.
  3. Password – Пароль от сервисной учётной записи
  

Чтобы узнать имя пользователя в формате DN, можно воспользоваться следующей командой в PowerShell:

Get-ADUser -identity youuser| Select DistinguishedName

5. Далее продолжите установку до её успешного завершения.

6. Если установка завершится с ошибкой, информация о проблеме запишется в C:\Program Files\Multifactor\Directory Sync\logs\startup.log.

Сервис, устанавливается и работает в качестве службы Windows.
Сервис можно останавливать и перезапускать.

Сравнение данных и кэширование

Чтобы понять, изменилось ли содержимое группы, используется хэш идентификаторов (GUID) всех пользователей группы.
Если хэши групп не совпадают, значит, есть изменения.

Сравнение атрибутов пользователей устроено аналогично. С той лишь разницей, что хэшируются типы атрибутов и их значения с учетом порядка (атрибуты сортируются).

Для кэширования используется LiteDb, а файлы базы данных лежат в директории профиля учетной записи, от имени которой запущен сервис: %localappdata%\Multifactor\Directory Sync
Кэширование нужно для того, чтобы не перегружать Облако МФ и ускорить работу сервиса.

Значение переменной %localappdata% зависит от того, от имени какой учетной записи запущен сервис:
- от имени системной учетной записи: C:\Windows\System32\config\systemprofile\AppData\Local
- от имени учетной записи локального пользователя: C:\Users\{имя пользователя}\AppData\Local
Запуск сервиса от имени определенной учетной записи настраивается во вкладке “Вход в систему” свойств сервиса:

Добавление пользователей

При добавлении пользователей при помощи сервиса MULTIFACTOR Directory Sync, к пользователям, добавленным через синхронизацию, будет добавлена «планка» LDAP.

Сервис поддерживает вложенные группы, необходимо выбрать одну группу для синхронизации, далее помещать в неё пользователей или группы.

Удаление/отключение пользователей

Для удаления пользователей из личного кабинета МУЛЬТИФАКТОР, необходимо заблокировать или удалить необходимых вам пользователей или группу пользователей в ActiveDirectory. В случае включения, пользователь вновь появится в личном кабинете МУЛЬТИФАКТОР, но без настроенных методов аутентификации.

Отправка ссылки для настройки второго фактора

MULTIFACTOR Directory Sync поддерживает автоматическую отправку писем на почту, если они указаны в карточке ActiveDirectory. В настройках синхронизации, со стороны личного кабинета МУЛЬТИФАКТОР, необходимо выставить бегунок: «Отправлять новым пользователям на почту ссылку для настройки 2FA (первый по счету email)»  

Изменение настроек сервиса MULTIFACTOR Directory Sync

Вы можете изменить настройки в файле: C:\Program Files\Multifactor\Directory Sync\appsettings.json

Секция, отвечающая за логирование:

"Logging": {
"File": {
"RollingInterval": "Day",
"FileSizeLimitBytes": 500000,
"RetainedFileCountLimit": 20,
"MinimalLevel": "Debug",
"Template": ""

"RollingInterval": "Day" //применим из: https://github.com/serilog/serilog-sinks-file/blob/dev/src/Serilog.Sinks.File/RollingInterval.cs

"FileSizeLimitBytes": 500000, -Размер 1 файла логов
"RetainedFileCountLimit": 5, //лимит кол-ва сохраняемых файлов
"MinimalLevel": "Debug" //уровень логирования может быть Info, Error, Warning, Debug

Логирование сервиса MULTIFACTOR Directory Sync

Текстовые логи лежат в папке C:\Program Files\Multifactor\Directory Sync\logs.
Файл startup.log содержит логи, связанные с запуском сервиса.

Файл cloud-interaction.log содержит логи, связанные с получением настроек от личного кабинета МУЛЬТИФАКТОР.

Файлы вида: «log-20250204.log» содержат в себе информацию по выгрузке, изменению, удалению пользователей из личного кабинета МУЛЬТИФАКТОР.

Удаление сервиса MULTIFACTOR Directory Sync

Способ 1

Еще раз запустите установочный файл той же самой версии что устанавливали и выберите вариант “Remove”:

Способ 2

1. Откройте оснастку “Программы и компоненты”. Например, найдя “appwiz.cpl“ в меню Пуск или выполнив “appwiz.cpl” с помощью утилиты Run.
2. Найдите в списке установленных программ сервис Directory Sync, выделите его, нажмите “Удалить” и подтвердите выбор.
3. Следуйте инструкциям инсталлера, который запустится автоматически.

Обновление сервиса MULTIFACTOR Directory Sync

Для обновления сервиса MULTIFACTOR Directory Sync, его необходимо удалить, далее поставить новую версию сервиса.

Вопросы и ответы

В:Что будет с уже существующими пользователями, добавленными не через MULTIFACTOR Directory Sync?
О: Если поле логин в личном кабинете Мультифактор совпадает с выгруженным полем логин из Active Directory, то они обновятся, рядом с ними появится плашка ldap. Привязанный метод аутентификации не изменится.
В: Удаление пользователей происходит только по изменению статуса пользователя на disabled или исключения из группы?
О: Исключением из группы, отключением или удалением пользователя из Active Directory.
В: Лицензии расходуются на всех внесенных или тех, кто выполнит настройку?
О: На всех добавленных пользователей, вне зависимости настроили ли они метод аутентификации.