Портал для пользователей Active Directory
Общие сведения
MultiFactor SelfService Portal — веб-сайт, разработанный и поддерживаемый компанией Мультифактор для самостоятельной регистрации второго фактора аутентификации пользователями внутри корпоративной сети Active Directory.
Портал доступен вместе с исходным кодом, распространяется бесплатно по лицензии MIT. Актуальная версия находится на GitHub: код и сборка.
Функции портала
- проверка логина и пароля пользователя в домене Active Directory, в том числе в нескольких доменах, если между ними настроены доверительные отношения;
- настройка второго фактора аутентификации;
- смена пароля пользователя после подтверждения второго фактора;
- единая точка входа (Single Sign On) для корпоративных приложений.
Портал предназначен для установки и работы внутри корпоративной сети.
Перед началом работы
- Зайдите в личный кабинет Мультифактора, в разделе "Ресурсы" создайте новый веб-сайт:
- название и адрес: произвольные;
- формат токена: JwtRS256.
- После создания вам будут доступны параметры ApiKey и ApiSecret, они потребуются для настройки портала.
Требования для установки портала
- Портал устанавливается на любой Windows сервер начиная с версии 2012 R2;
- Серверу с установленным порталом необходим доступ к хосту api.multifactor.ru по TCP порту 443 (TLS).
- На сервере должна быть установлена роль Web Server (IIS) с компонентом Application Development -> ASP.NET 4.6;
Параметры портала
Параметры работы портала хранятся в файле web.config
в формате XML.
<portalSettings>
<!--Название вашей организации-->
<add key="company-name" value="ACME" />
<!--Название домена Active Directory для проверки логина и пароля пользователей -->
<add key="company-domain" value="domain.local" />
<!--URL адрес логотипа организации -->
<add key="company-logo-url" value="/mfa/content/images/logo.svg" />
<!--Запрашивать второй фактор только у пользователей из указанной группы для Single Sign On (второй фактор требуется всем, если удалить настройку)-->
<!--add key="active-directory-2fa-group" value="2FA Users"/-->
<!--Использовать номер телефона из Active Directory для отправки одноразового кода в СМС (не используется, если удалить настройку)-->
<!--add key="use-active-directory-user-phone" value="true"/-->
<!--add key="use-active-directory-mobile-user-phone" value="true"/-->
<!--Адрес API Мультифактора -->
<add key="multifactor-api-url" value="https://api.multifactor.ru" />
<!-- Параметр API KEY из личного кабинета Мультифактора -->
<add key="multifactor-api-key" value="" />
<!-- Параметр API Secret из личного кабинета Мультифактора -->
<add key="multifactor-api-secret" value="" />
<!--Доступ к API Мультифактора через HTTP прокси (опционально)-->
<!--add key="multifactor-api-proxy" value="http://proxy:3128"/-->
<!-- Уровень логирования: 'Debug', 'Info', 'Warn', 'Error' -->
<add key="logging-level" value="Info" />
</portalSettings>
При включении параметра use-active-directory-user-phone
компонент будет использовать телефон, записанный на вкладке General. Формат телефона может быть любым.
При включении параметра use-active-directory-mobile-user-phone
компонент будет использовать телефон, записанный на вкладке Telephones в поле Mobile. Формат телефона также может быть любым.
Установка портала
- Запустите Server Manager -> Tools -> Internet Information Services (IIS) Manager.
- Нажмите правой кнопкой на Default Web Site и выберите Add Application
- Создайте новое приложение:
- Alias: mfa
- Physical path: путь к папке с порталом
- Сохраните и закройте
Журналы
Журналы работы портала находятся в папке Logs
. Если их нет, удостоверьтесь, что папка доступна для записи локальному пользователю IIS AppPool\DefaultAppPool
.
Использование
Портал доступен по адресу https://ваш_домен.ru/mfa
Сценарии использования
Портал используется для самостоятельной регистрации второго фактора аутентификации пользователями внутри корпоративной сети, а также выполняет роль единой точки входа для приложений, работающих по технологии Single Sign On.
После настройки второго фактора, пользователи могут использвовать его для безопасного подключения удаленного доступа через VPN, VDI или Remote Desktop.
Смотрите также: