Настройка двухфакторной аутентификации Outlook Web Access (OWA)

Общая информация

В статье описывается настройка Outlook Web Access (OWA) для удаленного доступа к почте на сервере Exchange c двухфакторной аутентификацией.

Возможные способы аутентификации:

• СМС
• Биометрия
• Аппаратные OTP токены
• Приложения OTP: Google Authenticator или Яндекс.Ключ
• Telegram
• Мобильное приложение (скоро)

Видео-презентация

Схема работы

1. Пользователь открывает сайт Outlook Web Access;
2. OWA запрашивает первый фактор аутентификации: логин и пароль, проверяет корректность указанных данных и создает пользовательскую сессию;
3. Компонент MultiFactor.IIS.Adapter проверяет, что сессия авторизована и переадресовывает пользователя на второй фактор аутентификации;
4. После успешного прохождения второго фактора, пользователь возвращается на сайт OWA и продолжает работу.

Для настройки второго фактора аутентификации вам потребуется установить и настроить на сервере Exchange компонент MultiFactor.IIS.Adapter. Компонент разработан и поддерживается компанией Мультифактор, распространяется бесплатно вместе с исходным кодом. Актуальная версия находится на GitHub: код и сборка.

Обратите внимание на лицензию. Она не дает вам право вносить изменения в исходный код Компонента и создавать производные продукты на его основе. Исходный код предоставляется в ознакомительных целях.

Требования для установки

1. Компоненту необходим доступ к хосту api.multifactor.ru по TCP порту 443 (TLS);
2. Outlook Web Access должен работать с валидным SSL сертификатом.

Настройка Мультифактора

1. Зайдите в систему управления Мультифактором, далее в раздел "Ресурсы" и создайте новый сайт Outlook Web Access;

Настройка OWA

1. Скопируйте файл Bin\MultiFactor.IIS.Adapter.dll в директорию
   C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\Bin;
2. Скопируйте файл mfa.aspx в директорию
   C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa;
3. Отредактируйте файл
   C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\web.config:
   • сперва сделайте резервную копию
   • в раздел <modules> добавьте компонент первой строкой

   <add type="MultiFactor.IIS.Adapter.Owa.Module, MultiFactor.IIS.Adapter" name="MFA" />
   

   • в раздел <appSettings> добавьте параметры компонента

   <add key="multifactor:api-url" value="https://api.multifactor.ru" />
   <add key="multifactor:api-key" value="API Key из настроек Мультифактора" />
   <add key="multifactor:api-secret" value="API Secret из настроек Мультифактора" />
   

   • сохраните и закройте.
4. Для работы с API Мультифактора через HTTP Proxy, добавьте в конфигурацию параметр

       <add key="multifactor:api-proxy" value="http://proxy:3128" />
   

Дополнительная информация

• Компонент может работать в кластерной конфигурации, если он установлен на все сервера.
• Компонент одинаково хорошо работает с прямым доступом к серверу IIS и через прокси, например, nginx.
• Компонент не влияет на первый фактор аутентификации, а именно проверку логина и пароля пользователя.
• Двухфакторная проверка подключается к OWA. Работа с ECP, MAPI и ActiveSync остается без изменений.
• Компонент повторно запрашивает второй фактор через настраиваемый промежуток времени и закрывает оставленные пользователями сессии. Интервал времени настраивается в групповой политике системы управления Мультифактором.

Смотрите также:

• Настройка двухфакторной аутентификации Windows VPN с Routing and Remote Access Service (RRAS).
• Настройка двухфакторной аутентификации Windows Remote Desktop.