Настройка двухфакторной аутентификации Outlook Web Access (OWA)
Общая информация
В статье описывается настройка Outlook Web Access (OWA) для удаленного доступа к почте на сервере Exchange c двухфакторной аутентификацией.
Возможные способы аутентификации:
Мобильное приложение MultiFactor
СМС
Биометрия
Аппаратные OTP токены
Приложения OTP: Google Authenticator или Яндекс.Ключ
Telegram
Видео-презентация
Схема работы
- Пользователь открывает сайт Outlook Web Access;
- OWA запрашивает первый фактор аутентификации: логин и пароль, проверяет корректность указанных данных и создает пользовательскую сессию;
- Компонент MultiFactor.IIS.Adapter проверяет, что сессия авторизована и переадресовывает пользователя на второй фактор аутентификации;
- После успешного прохождения второго фактора, пользователь возвращается на сайт OWA и продолжает работу.
Для настройки второго фактора аутентификации вам потребуется установить и настроить на сервере Exchange компонент MultiFactor.IIS.Adapter. Компонент разработан и поддерживается компанией Мультифактор, распространяется бесплатно вместе с исходным кодом. Актуальная версия находится на GitHub: код и сборка.
Обратите внимание на лицензию. Она не дает вам право вносить изменения в исходный код Компонента и создавать производные продукты на его основе. Исходный код предоставляется в ознакомительных целях.
Требования для установки
- Компоненту необходим доступ к хосту api.multifactor.ru по TCP порту 443 (TLS);
- Outlook Web Access должен работать с валидным SSL сертификатом.
Настройка Мультифактора
- Зайдите в систему управления Мультифактором, далее в раздел "Ресурсы" и создайте новый сайт Outlook Web Access;
Настройка OWA
- Скопируйте файл
Bin\MultiFactor.IIS.Adapter.dll
в директориюC:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\Bin
; - Скопируйте файл
mfa.aspx
в директориюC:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa
; - Отредактируйте файл
C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\web.config
:- сперва сделайте резервную копию
- в раздел
<modules>
добавьте компонент первой строкой
<add type="MultiFactor.IIS.Adapter.Owa.Module, MultiFactor.IIS.Adapter" name="MFA" />
- в раздел
<appSettings>
добавьте параметры компонента
<add key="multifactor:api-url" value="https://api.multifactor.ru" /> <add key="multifactor:api-key" value="API Key из настроек Мультифактора" /> <add key="multifactor:api-secret" value="API Secret из настроек Мультифактора" />
- сохраните и закройте.
- Для работы с API Мультифактора через HTTP Proxy, добавьте в конфигурацию параметр
<add key="multifactor:api-proxy" value="http://proxy:3128" />
Дополнительная информация
- Компонент может работать в кластерной конфигурации, если он установлен на все сервера.
- Компонент одинаково хорошо работает с прямым доступом к серверу IIS и через прокси, например, nginx.
- Компонент не влияет на первый фактор аутентификации, а именно проверку логина и пароля пользователя.
- Двухфакторная проверка подключается к OWA. Работа с ECP, MAPI и ActiveSync остается без изменений.
- Компонент повторно запрашивает второй фактор через настраиваемый промежуток времени и закрывает оставленные пользователями сессии. Интервал времени настраивается в групповой политике системы управления Мультифактором.
Смотрите также: