- Начало работы
- Интеграция
- HTTP API
- Single Sign-On
- OpenID Connect
- RADIUS адаптер
- LDAP адаптер
- Портал самообслуживания
- MULTIFACTOR Directory Sync
- Windows Logon
- Регистрация пользователей
- .NET Core
- 1с-Bitrix24
- 1с-плагин двухфакторной аутентификации
- 1С:Предприятие с системой единого входа на базе OIDC
- ADFS
- ASP.NET
- Ansible AWX
- Atlassian Cloud
- BearPass
- BI.ZONE ZTNA
- Check Point VPN
- Cisco ASA VPN
- Citrix Gateway
- Deckhouse Stronghold
- Exchange ActiveSync
- FortiGate VPN
- HRBOX
- Huawei Cloud
- Huawei VPN
- Ideco
- Infrascope
- Grafana
- Keycloak
- Let's Encrypt Windows Server
- Linux logon (GUI/SSH)
- Linux SSH
- Linux SUDO
- Microsoft Entra ID
- MikroTik L2TP VPN
- NGate VPN
- Network Policy Server (NPS)
- Nextcloud
- OpenVPN
- OpenVPN + AD
- OpenVPN Access Server
- OpenVPN pfSense
- Outlook Web Access (OWA)
- Palo Alto GlobalProtect
- Passwork
- RD Gateway (RDGW)
- RdWeb
- Redmine
- Starvault
- Solar SafeInspect
- UserGate VPN
- VMware Horizon Cloud
- VMware Horizon View
- VMware vCloud Director
- VMware vSphere
- Vault
- ViPNET
- Windows VPN
- WordPress
- Yandex.Cloud
- Yandex 360
- Zabbix
- АйТи-Бастион
- Континент 4 VPN
- МТС Линк (бывш. webinar.ru)
- С-Терра VPN
- Точка доступа Wi-Fi
- ФПСУ-IP/Клиент
- Пользовательское соглашение об использовании программного обеспечения «МУЛЬТИФАКТОР»
- Политика в отношении обработки персональных данных при использовании сайта https://multifactor.ru/
- Пользовательское соглашение об использовании мобильного приложения «MULTIFACTOR»
- Политика в отношении обработки персональных данных
- Согласие на обработку персональных данных пользователей сайта https://multifactor.ru/
- Лицензионное соглашение
- Политика оплаты
- Результаты проведения специальной оценки условий труда (СОУТ)
Настройка двухфакторной аутентификации RdWeb
Общая информация
В статье описывается настройка RdWeb для включения двухфакторной аутентификации при подключении удаленного рабочего стола.
Возможные способы аутентификации:
Мобильное приложение MultifactorTelegramБиометрияАппаратные OTP токеныПриложения OTP: Google Authenticator или Яндекс.КлючСМС
Схема работы
- Пользователь открывает RdWeb;
- RdWeb запрашивает первый фактор аутентификации: логин и пароль, проверяет корректность указанных данных и создает пользовательскую сессию;
- Компонент Multifactor.IIS.Adapter проверяет, что сессия авторизована и переадресовывает пользователя на второй фактор аутентификации;
- После успешного прохождения второго фактора, пользователь возвращается на RdWeb и продолжает работу.
Для настройки второго фактора аутентификации вам потребуется установить и настроить на сервере Exchange компонент Multifactor.IIS.Adapter. Компонент разработан и поддерживается компанией MULTIFACTOR, распространяется бесплатно вместе с исходным кодом. Актуальная версия находится на GitHub: код и сборка (архив Multifactor.IIS.Adapter.zip).
Лицензия
Обратите внимание на лицензию. Она не дает вам право вносить изменения в исходный код Компонента и создавать производные продукты на его основе. Исходный код предоставляется в ознакомительных целях.
Требования для установки
- Компоненту необходим доступ к хосту api.multifactor.ru по TCP порту 443 (TLS) напрямую или через HTTP прокси;
- На сервере должно быть установлено правильное время.
Важно
html5 закрыть нет возможности.
Настройка MULTIFACTOR
В системе управления MULTIFACTOR добавьте новый ресурс Веб-сайт, после чего Вам будут доступны ключи API Key и API Secret. Используйте формат токена доступа JwtHS256.
Настройка RdWeb
- Скопируйте файл
Bin\MultiFactor.IIS.Adapter.dllв директорию:C:\Windows\Web\RDWeb\Pages\Bin - Скопируйте файл
mfa.aspxв директорию:C:\Windows\Web\RDWeb\Pages\ - Сделав, резервную копию, отредактируйте файл
C:\Windows\Web\RDWeb\Pages\web.config:
В раздел <modules> первой строкой добавьте компонент:
<add type="MultiFactor.IIS.Adapter.Owa.Module, MultiFactor.IIS.Adapter" name="MFA" />
В раздел <appSettings> добавьте параметры компонента:
<add key="multifactor:api-url" value="https://api.multifactor.ru" /> <add key="multifactor:api-key" value="API Key из настроек Мультифактора" /> <add key="multifactor:api-secret" value="API Secret из настроек Мультифактора" />
Сохраните и закройте.
Для избирательного запроса второго фактора на основе принадлежности к группе Active Directory, добавьте в конфигурацию параметры:
<add key="multifactor:active-directory-2fa-group" value="RDweb-2fa" /> <add key="multifactor:active-directory-2fa-group-membership-cache-timeout" value="15"/>
Где:
- active-directory-2fa-group — название группы в AD, у которой требуется запрашивать второй фактор. Группа может быть вложенной, то есть содержать в себе другие группы;
- directory-2fa-group-membership-cache-timeout — промежуток времени (в минутах), через который обновляется информация о вхождении пользователя в группу. Для оптимизации производительности, значение по-умолчанию составляет 15 минут (но можно поставить 0)
Для работы с API MULTIFACTOR через HTTP Proxy, добавьте в конфигурацию параметр:
<add key="multifactor:api-proxy" value="http://proxy:3128" />
Разрешить ввод логина пользователем в любом формате, но необходимо включить преобразование логина в UserPrincipalName (UPN) при отправке запроса доступа в MULTIFACTOR с помощью следующей настройки:
<add key="multifactor:use-attribute-as-identity" value="userprincipalname" />
Мультидоменность
С версии 1.0.74 адаптер поддерживает работу с несколькими доменами. Их можно перечислить через ;:
<add key="multifactor:active-directory-domain" value="domain1.local;domain2.local" />
Защита от сбоев
В случае недоступности (по любой причине) API MULTIFACTOR, адаптер может работать в одном из двух вариантов:
- Пропускать без второго фактора (по умолчанию)
- Отказывать в доступе
Для настройки используются следующие параметры:
<!-- true: пропускать, false: запрещать --> <add key="multifactor:bypass-second-factor-when-api-unreachable" value="true" /> <!--Адаптер запоминает bypass сессию на 15 минут для одного пользователя. Значения 0 или меньше нуля считаются значением по умолчанию --> <add key="multifactor:api-life-check-interval" value="15" />
Дополнительная информация
- Компонент необходимо установить на все сервера кластера.
- Компонент одинаково хорошо работает с прямым доступом к серверу IIS и через прокси, например, nginx.
- Компонент не влияет на первый фактор аутентификации, а именно проверку логина и пароля пользователя.
- Компонент повторно запрашивает второй фактор через настраиваемый промежуток времени и закрывает оставленные пользователями сессии. Интервал времени настраивается в групповой политике системы управления MULTIFACTOR.
- Для передачи атрибута из Active Directory в качестве логина пользователя используйте данный параметр:
<!-- Использовать указанный атрибут в качестве логина пользователя при проверке второго фактора --> <add key="multifactor:use-attribute-as-identity" value="mail"/>
Вопросы и ответы
В: Как в качестве логина пользователя передавать UPN в MULTIFACTOR?
О: По умолчанию, логин пользователя передается в MULTIFACTOR в формате samaccountname.
Можно разрешить ввод логина пользователем в любом формате, но включить преобразование логина в UserPrincipalName (UPN) при отправке запроса доступа в MULTIFACTOR с помощью следующей настройки:
<add key="multifactor:use-attribute-as-identity" value="userprincipalname" />
Смотрите также:
- Настройка двухфакторной аутентификации Windows VPN с Routing and Remote Access Service (RRAS)
- Настройка двухфакторной аутентификации Windows Remote Desktop
- Настройка двухфакторной аутентификации Outlook Web Access (OWA)
