Портал для пользователей Active Directory

Общие сведения

MultiFactor SelfService Portal — веб-сайт, разработанный и поддерживаемый компанией Мультифактор для самостоятельной регистрации второго фактора аутентификации пользователями внутри корпоративной сети Active Directory.

Портал доступен вместе с исходным кодом, распространяется бесплатно по лицензии MIT. Актуальная версия находится на GitHub: код и сборка.

Функции портала

• проверка логина и пароля пользователя в домене Active Directory, в том числе в нескольких доменах, если между ними настроены доверительные отношения;
• настройка второго фактора аутентификации;
• смена пароля пользователя после подтверждения второго фактора;
• смена просроченного или требующего замены пароля;
• единая точка входа (Single Sign-On) для корпоративных приложений.
• управление ActiveSync устройствами для доступа к почте Exchange.

Портал предназначен для установки и работы внутри корпоративной сети.

Перед началом работы

1. Зайдите в личный кабинет Мультифактора, далее в разделе "Ресурсы" создайте новый ресурс типа "Сайт" - "Self-Service портал":
   • название и адрес: произвольные;
   • регистрировать новых пользователей: да;
   • при подключении без настроенного второго фактора: включить настройку;
2. После создания вам будут доступны параметры ApiKey и ApiSecret, они потребуются для настройки портала.

Требования для установки портала

• Портал устанавливается на любой Windows сервер начиная с версии 2012 R2;
• Сервер должен быть присоединен к домену;
• Серверу с установленным порталом необходим доступ к хосту api.multifactor.ru по TCP порту 443 (TLS).
• На сервере должна быть установлена роль Web Server (IIS) с компонентом Application Development -> ASP.NET 4.6;

Параметры портала

Параметры работы портала хранятся в файле web.config в формате XML.

<portalSettings>
    <!--Название вашей организации-->
    <add key="company-name" value="ACME" />
    <!--URL адрес логотипа организации -->
    <add key="company-logo-url" value="/mfa/content/images/logo.svg" />

    <!--Название домена Active Directory для проверки логина и пароля пользователей -->
    <add key="company-domain" value="domain.local" />

    <!--Запрашивать второй фактор только у пользователей из указанной группы для Single Sign On (второй фактор требуется всем, если удалить настройку)-->
    <!--add key="active-directory-2fa-group" value="2FA Users"/-->

    <!--Использовать номер телефона из Active Directory для отправки одноразового кода в СМС (не используется, если удалить настройку)-->
    <!--add key="use-active-directory-user-phone" value="true"/-->
    <!--add key="use-active-directory-mobile-user-phone" value="true"/-->

    <!--Адрес API Мультифактора -->
    <add key="multifactor-api-url" value="https://api.multifactor.ru" />
    <!-- Параметр API KEY из личного кабинета Мультифактора -->
    <add key="multifactor-api-key" value="" />
    <!-- Параметр API Secret из личного кабинета Мультифактора -->
    <add key="multifactor-api-secret" value="" />

    <!--Доступ к API Мультифактора через HTTP прокси (опционально)-->
    <!--add key="multifactor-api-proxy" value="http://proxy:3128"/-->

    <!-- Уровень логирования: 'Debug', 'Info', 'Warn', 'Error' -->
    <add key="logging-level" value="Info" />
    <!-- Запись журнала в формате json -->
    <!--add key="logging-format" value="json"/-->
</portalSettings>

При включении параметра use-active-directory-user-phone компонент будет использовать телефон, записанный на вкладке General. Формат телефона может быть любым.

При включении параметра use-active-directory-mobile-user-phone компонент будет использовать телефон, записанный на вкладке Telephones в поле Mobile. Формат телефона также может быть любым.

Установка портала

1. Запустите Server Manager -> Tools -> Internet Information Services (IIS) Manager.
2. Нажмите правой кнопкой на Default Web Site и выберите Add Application
3. Создайте новое приложение:
   • Alias: mfa
   • Physical path: путь к папке с порталом
4. Сохраните и закройте

Журналы

Журналы работы портала находятся в папке Logs. Если их нет, удостоверьтесь, что папка доступна для записи локальному пользователю IIS AppPool\DefaultAppPool.

Syslog

Для записи журналов в Syslog сервер или SIEM систему, добавьте в конфигурацию следующие параметры:

<!--адрес и порт сервера, протокол может быть udp или tcp-->
<add key="syslog-server" value="udp://syslog-server:514"/>
<!--формат журнала: RFC3164 или RFC5424-->
<add key="syslog-format" value="RFC5424"/>
<!--категория: User, Auth, Auth2, Local0 .. Local7-->
<add key="syslog-facility" value="Auth"/>
<!--название приложения (tag)-->
<add key="syslog-app-name" value="multifactor-portal"/>

Работа с несколькими доменами

Портал при запуске находит все доверенные домены и может проводить аутентификацию пользователя в любом из них. Вы можете отдельно настроить список разрешенных или список запрещенных доменов.

<ActiveDirectory requiresUserPrincipalName="true">
    <!-- Ограничить домены списком ниже /-->
    <IncludedDomains>
        <add name="dom1.loc"/>
        <add name="dom2.loc"/>
    </IncludedDomains>
    <!-- Или все домены, кроме перечисленных ниже /-->
    <ExcludedDomains>
        <add name="dom3.loc"/>
        <add name="dom4.loc"/>
    </ExcludedDomains>
</ActiveDirectory>

Использование

Портал доступен по адресу https://ваш_домен.ru/mfa

Управление устройствами Exchange ActiveSync

В Exchange сервере предусмотрен механизм карантина ActiveSync устройств. Сразу же после подключения мобильной почты, устройств попадает в карантин и может быть одобрено или отклонено для использования администратором Exchange сервера. До одобрения мобильная почта не работает, а единственное письмо, которое придет на устройство в карантине — это информация, что устройство ожидает подтверждения администратором.

Портал самообслуживания предлагает возможность пользователю после прохождения второго фактора самостоятельно управлять устройствами для своего почтового ящика: включать и выключать доступ.

Управление ActiveSync на портале по умолчанию выключено. Для включения, выполните настройки ниже.

Настройка Exchange

1. Зайдите в центр администрирования Exchange, раздел "Мобильные устройства", нажмите "Изменить".
2. Включите карантин
3. В шаблон письма для пользователя вставьте сообщение и ссылку на портал.

Настройка портала

1. Добавьте в конфигурацию ключ

<add key="enable-exchange-active-sync-devices-management" value="true"/>

2. Разрешите порталу работать с Exchange:

• Создайте в AD служебную учетную запись, поместите ее в группу Exchange Trusted Subsystem.
• Настройте разрешения для учетной записи на чтение папки с сайтом и записи в папку Logs.
• Настройте работу сайта от имени этой учетной записи:
  • Откройте IIS
  • В разделе Application Pools выберите DefaultAppPool и откройте Advanced Settings
  • В разделе Identity укажите созданную учетную запись
  • Перезагрузите IIS (iisreset)

Смотрите также:

• Двухфакторная аутентификация Windows VPN со службой Routing and Remote Access Service (RRAS)
• Двухфакторная аутентификация Microsoft Remote Desktop Gateway