Портал для пользователей Active Directory
Общие сведения
MultiFactor SelfService Portal — веб-сайт, разработанный и поддерживаемый компанией Мультифактор для самостоятельной регистрации второго фактора аутентификации пользователями внутри корпоративной сети Active Directory.
Портал доступен вместе с исходным кодом, распространяется бесплатно по лицензии MIT. Актуальная версия находится на GitHub: код и сборка.
Функции портала
- проверка логина и пароля пользователя в домене Active Directory, в том числе в нескольких доменах, если между ними настроены доверительные отношения;
- настройка второго фактора аутентификации;
- смена пароля пользователя после подтверждения второго фактора;
- смена просроченного или требующего замены пароля;
- единая точка входа (Single Sign-On) для корпоративных приложений.
Портал предназначен для установки и работы внутри корпоративной сети.
Перед началом работы
- Зайдите в личный кабинет Мультифактора, в разделе "Ресурсы" создайте новый веб-сайт:
- название и адрес: произвольные;
- формат токена: JwtRS256.
- После создания вам будут доступны параметры ApiKey и ApiSecret, они потребуются для настройки портала.
Требования для установки портала
- Портал устанавливается на любой Windows сервер начиная с версии 2012 R2;
- Серверу с установленным порталом необходим доступ к хосту api.multifactor.ru по TCP порту 443 (TLS).
- На сервере должна быть установлена роль Web Server (IIS) с компонентом Application Development -> ASP.NET 4.6;
Параметры портала
Параметры работы портала хранятся в файле web.config в формате XML.
<portalSettings>
<!--Название вашей организации-->
<add key="company-name" value="ACME" />
<!--Название домена Active Directory для проверки логина и пароля пользователей -->
<add key="company-domain" value="domain.local" />
<!--URL адрес логотипа организации -->
<add key="company-logo-url" value="/mfa/content/images/logo.svg" />
<!--Запрашивать второй фактор только у пользователей из указанной группы для Single Sign On (второй фактор требуется всем, если удалить настройку)-->
<!--add key="active-directory-2fa-group" value="2FA Users"/-->
<!--Использовать номер телефона из Active Directory для отправки одноразового кода в СМС (не используется, если удалить настройку)-->
<!--add key="use-active-directory-user-phone" value="true"/-->
<!--add key="use-active-directory-mobile-user-phone" value="true"/-->
<!--Адрес API Мультифактора -->
<add key="multifactor-api-url" value="https://api.multifactor.ru" />
<!-- Параметр API KEY из личного кабинета Мультифактора -->
<add key="multifactor-api-key" value="" />
<!-- Параметр API Secret из личного кабинета Мультифактора -->
<add key="multifactor-api-secret" value="" />
<!--Доступ к API Мультифактора через HTTP прокси (опционально)-->
<!--add key="multifactor-api-proxy" value="http://proxy:3128"/-->
<!-- Уровень логирования: 'Debug', 'Info', 'Warn', 'Error' -->
<add key="logging-level" value="Info" />
</portalSettings>
При включении параметра use-active-directory-user-phone компонент будет использовать телефон, записанный на вкладке General. Формат телефона может быть любым.
При включении параметра use-active-directory-mobile-user-phone компонент будет использовать телефон, записанный на вкладке Telephones в поле Mobile. Формат телефона также может быть любым.
Установка портала
- Запустите Server Manager -> Tools -> Internet Information Services (IIS) Manager.
- Нажмите правой кнопкой на Default Web Site и выберите Add Application
- Создайте новое приложение:
- Alias: mfa
- Physical path: путь к папке с порталом
- Сохраните и закройте
Журналы
Журналы работы портала находятся в папке Logs. Если их нет, удостоверьтесь, что папка доступна для записи локальному пользователю IIS AppPool\DefaultAppPool.
Использование
Портал доступен по адресу https://ваш_домен.ru/mfa
Сценарии использования
Портал используется для самостоятельной регистрации второго фактора аутентификации пользователями внутри корпоративной сети, а также выполняет роль единой точки входа для приложений, работающих по технологии Single Sign-On.
После настройки второго фактора, пользователи могут использовать его для безопасного подключения удаленного доступа через VPN, VDI или Remote Desktop.
Смотрите также: