Настройка двухфакторной аутентификации Outlook Web Access (OWA)

Общая информация

В статье описывается настройка Outlook Web Access (OWA) для удаленного доступа к почте на сервере Exchange c двухфакторной аутентификацией.

Возможные способы аутентификации:

• Мобильное приложение MultiFactor
• СМС
• Биометрия
• Аппаратные OTP токены
• Приложения OTP: Google Authenticator или Яндекс.Ключ
• Telegram

Обратите внимание

Если вы используете ADFS для доступа к OWA, переходите к инструкции по настройке ADFS.

Видео-презентация

Возможности

• Защита доступа вторым фактором проверки подлинности при каждом входе и через настраиваемый промежуток времени.
• Самостоятельная настройка второго фактора пользователем при первом входе.
• Избирательное включение второго фактора на основе принадлежности к группе в Active Directory.
• Журнал доступа.

Схема работы

1. Пользователь открывает сайт Outlook Web Access;
2. OWA запрашивает первый фактор аутентификации: логин и пароль, проверяет корректность указанных данных и создает пользовательскую сессию;
3. Компонент MultiFactor.IIS.Adapter проверяет, что сессия авторизована и переадресовывает пользователя на второй фактор аутентификации;
4. После успешного прохождения второго фактора, пользователь возвращается на сайт OWA и продолжает работу.

Для настройки второго фактора аутентификации вам потребуется установить и настроить на сервере Exchange компонент MultiFactor.IIS.Adapter. Компонент разработан и поддерживается компанией Мультифактор, распространяется бесплатно вместе с исходным кодом. Актуальная версия находится на GitHub: код и сборка.

Обратите внимание на лицензию. Она не дает вам право вносить изменения в исходный код Компонента и создавать производные продукты на его основе. Исходный код предоставляется в ознакомительных целях.

Требования для установки

1. Компоненту необходим доступ к хосту api.multifactor.ru по TCP порту 443 (TLS) напрямую или через HTTP прокси;
2. Outlook Web Access должен работать с валидным SSL сертификатом.
3. На сервере должно быть установлено правильное время.

Настройка Мультифактора

1. Зайдите в систему управления Мультифактором, далее в раздел "Ресурсы" и создайте новый сайт Outlook Web Access;

Настройка OWA

1. Скопируйте файл Bin\MultiFactor.IIS.Adapter.dll в директорию
   C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\Bin;

2. Скопируйте файл mfa.aspx в директорию
   C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa;

3. Отредактируйте файл
   C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\web.config:

   • сперва сделайте резервную копию
   • в раздел <modules> первой строкой добавьте компонент

   <add type="MultiFactor.IIS.Adapter.Owa.Module, MultiFactor.IIS.Adapter" name="MFA" />
   

   • в раздел <appSettings> добавьте параметры компонента

   <add key="multifactor:api-url" value="https://api.multifactor.ru" />
   <add key="multifactor:api-key" value="API Key из настроек Мультифактора" />
   <add key="multifactor:api-secret" value="API Secret из настроек Мультифактора" />
   

   • сохраните и закройте.

4. Для избирательного включения доступа на основне принадлежности к группе Active Directory, добавьте в конфигурацию параметры

   <add key="multifactor:active-directory-2fa-group" value="owa-2fa" />
   <add key="multifactor:active-directory-2fa-group-membership-cache-timeout" value="15"/>
   

   • первый параметр — название группы в AD. Группа может быть вложенной, то есть содержать в себе другие группы.
   • второй параметр — промежуток времени (в минутах) через который обновляется информация о вхождении пользователя в группу. Для оптимизации производительности, значение по-умолчанию составляет 15 минут (но можно поставить 0).

5. Для работы с API Мультифактора через HTTP Proxy, добавьте в конфигурацию параметр

       <add key="multifactor:api-proxy" value="http://proxy:3128" />
   

Если не работает

Если вы проверяете работу второго фактора OWA на тестовом сервере, ящик пользователя должен быть в базе, смонтированной на том же сервере, где применяются настройки MFA.

Дополнительная информация

• Компонент необходимо установить на все сервера кластера.
• Компонент одинаково хорошо работает с прямым доступом к серверу IIS и через прокси, например, nginx.
• Компонент не влияет на первый фактор аутентификации, а именно проверку логина и пароля пользователя.
• Двухфакторная проверка подключается к OWA. Работа с ECP, MAPI и ActiveSync остается без изменений.
• Компонент повторно запрашивает второй фактор через настраиваемый промежуток времени и закрывает оставленные пользователями сессии. Интервал времени настраивается в групповой политике системы управления Мультифактором.

Дополнительные рекомендации по защите Exchange

1. Своевременно устанавливайте все обновления безопасности.
2. Закройте внешний доступ к ECP, EWS, MAPI, IMAP — все эти протоколы должны работать только из внутренней сети / VPN. Оставьте только OWA и ActiveSync.
3. Защитите доступ к OWA вторым фактором.
4. Настройте управление ActiveSync устройствами с помощью портала самообслуживания.

Смотрите также:

• Настройка двухфакторной аутентификации Windows VPN с Routing and Remote Access Service (RRAS).
• Настройка двухфакторной аутентификации Windows Remote Desktop.