Инструкция по настройке двухфакторной аутентификации в AD FS для интеграции с Exchange Server 2016
Автор Vladislav Fomichev, Last modified by Vladislav Fomichev на 13 ноября 2018 04:11 PM

Предварительные условия.

В данном руководстве подразумевается что у вас уже есть развернутая система Indeed-Id 7.0, настроенный сервер ADFS и установлен MFA адаптер Indeed-Id.

Установка и настройка.

  1. Создание доверия проверяющей стороны в AD FS для OWA и ECP: Необходимо выполнить эти действия два раза: один раз для OWA и один раз для ECP.
    • В окне “Диспетчер серверов” выберите “Средства”, а затем выберите “Управление AD FS”.
    • В консоли управления AD FS разверните узел “Отношения доверия” и выберите “Отношения доверия проверяющей стороны”. В области “Действия” выберите “Добавить отношение доверия проверяющей стороны”.
    • В окне “Мастер добавления отношений доверия проверяющей стороны”. На странице “Добро пожаловать” нажмите кнопку “Запустить”.
    • На странице “Выбор источника данных” выберите “Ввод данных о проверяющей стороне вручную” и нажмите кнопку “Далее”.
    • На странице “Указание отображаемого имени” настройте приведенные ниже параметры и нажмите кнопку “Далее”. 

      Для OWA отображаемое имя: Outlook on the web.

      Для ECP отображаемое имя: Exchange Control Panel.

      Введите описание. Например: Это отношение доверия для https://exchange.ind.loc/owa/ или https://exchange.ind.loc/ecp/

      Пример ввода данных для OWA:

      Пример ввода данных для ECP:
    • На странице “Выберете профиль” выберите параметр “Профиль AD FS” и нажмите кнопку “Далее”.
    • На странице “Настройка сертификата” нажмите кнопку “Далее” (не указывайте необязательный сертификат для шифрования маркера).
    • На странице “Настройка URL-адреса” выберите ”Включить поддержку пассивного протокола WS-Federation” и в поле “URL-адрес пассивного протокола WS-Federation проверяющей стороны” введите следующие данные и нажмите “Далее”:

      В данном примере будет:

      Owa: https://exchange.ind.loc/owa/.

      ECP: https://exchange.ind.loc/ecp/

      Пример ввода данных для OWA:
      Пример ввода данных для ECP:

    • На странице Настройка идентификатора нажмите кнопку "Далее" (URL-адрес, упомянутый при выполнении предыдущего шага, указан в списке Идентификаторы отношений доверия проверяющей стороны).

      Пример отображения данных для OWA:

    • На страницеНастроить многофакторную проверку подлинности? выберите параметрНастроить параметры для этого отношения доверия с проверяющей сторонойи нажмите кнопкуДалее”.
    • На страницеНастройка многофакторной проверки подлинностидобавьте, если необходимо, пользователей/группы, для каких устройств требуется MFA и нажмитеДалее”.
    • На страницеВыбор правил авторизации выдачивыберите параметрРазрешить доступ к этой проверяющей стороне всем пользователями нажмите кнопкуДалее”.
    • На страницеГотовность для добавления отношения доверияпроверьте настройки, а затем нажмите кнопкуДалее”, чтобы сохранить сведения об отношении доверия с проверяющей стороной.
    • На странице “Готово” снимите флажок Открыть диалоговое окно "Изменение правил утверждений" для этого отношения доверия с проверяющей стороной после закрытия мастера и нажмите кнопку “Закрыть”.
  2. Создание правила настраиваемых утверждений в AD FS для OWA и Центр администрирования Exchange(ECP).
    • В консоли управления AD FS разверните узел “Отношения доверия” выберите “Отношение доверия с проверяющей стороной” и выберите “Outlook on the web” или “Exchange Control Panel”. В области действий выберите “Изменить правила утверждений...”.
    • В окне “Изменение правил утверждений для outlook” нажмите кнопку “Добавить правило...”.
    • В окне “Мастер добавления правила преобразования утверждения” на странице “Выберите тип правила” нажмите кнопку “Далее”.
    • На странице “Настройте правило утверждения” настройте:
      • Имя правила утверждения - Введите “OWA или ECP”.
      • Хранилище атрибутов -  Выберите “Active Directory”.
        • Сопоставление атрибутов LDAP…. -  "Атрибут LDAP" выберите: User-Principal-Name. "Тип  исходящего утверждения" выберите: UPN.
      • После настройки правила в окне “Изменение правила утверждений ….” нажмите кнопку “Применить” и “Ок”.
    • Настройка Exchange.

      На сервере Exchange использует виртуальный каталог с именем “owa” и Центр администрирования Exchange использует виртуальный каталог с именем “ecp”.

      Экспорт сертификата подписи маркера с сервера ADFS.

      • На сервере ADFS откройте “Управление ADFS”, разверните узел “Служба” и откройте “Сертификаты”.
      • Нажмите правой кнопкой мыши на сертификат в графе “Для подписи маркера” и нажмите “Просмотр сертификата”.
      • В окне “Сертификат” на вкладке “Состав” нажмите “Копировать в файл”.
      • В окне “Мастер экспорта сертификатов” нажмите “Далее”.
      • На страницеФормат экспортируемого файлавыберитеФайлы X.509 (.CER) в кодировке DERи нажмитеДалее”.
      • На страницеИмя экспортируемого файлаукажите путь и имя для сохранения сертификата и нажмитеДалее”.
      • На странице “Завершение мастера экспорта сертификатов” проверьте параметры экспорта и нажмите “Готово”.

          Импорт сертификата на сервер с Exchange.
    • Откройте оснастку “Сертификатыдля локального компьютера на сервере с Exchange и разверните узел “Доверенные корневые центры сертификации (Trusted Root Certification Authorities)” и нажмите “Сертификаты (Certificates)”.
    • Нажмите правой кнопкой мыши на “Сертификаты” выберите “Все задачи” и “Импорт”.
    • В окне “Мастер импорта сертификатов” нажмите “Далее”.
    • Выберите сертификат подписи маркера, экспортируемый с машины ADFS и нажмите “Далее”.
    • В окне “Хранилище сертификата” нажмите “Далее”.
    • Проверьте параметры импорта и нажмите “Готово”.

         Установка сертификата.

    • На машине с Exchange запустите командную консоль Exchange и выполните следующую команду:

      Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject

    • Скопируйте отпечаток (Thumbprint) сертификата подписи маркера ADFS.
    • Выполните последовательно следующие команды в консоли Exchange используя полученный отпечаток и свои данные.

      $uris=@("https://YourDomainName/owa/","https://YourDomainName/ecp/","https://YourDomainName/owa","https://YourDomainName/ecp")

      Set-OrganizationConfig -AdfsIssuer "https://YourDomainName/adfs/ls/" -AdfsAudienceUris $uris -AdfsSignCertificateThumbprint "YourThumbprint"

      Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false

      Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false -OAuthAuthentication $false

      Пример ввода команд для данной инструкции:

      $uris=@("https://Exchange.ind.loc/owa/","https://Exchange.ind.loc/ecp/","https://Exchange.ind.loc/owa","https://Exchange.ind.loc/ecp")

      Set-OrganizationConfig -AdfsIssuer "https://ADFS.ind.loc/adfs/ls/" -AdfsAudienceUris $uris -AdfsSignCertificateThumbprint "30B88D8F7C7AD0A74EE6A2823308DF2EE8313196"

      Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false

      Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false -OAuthAuthentication $false

      Пример выполнения команд для данной инструкции:

    • Перезапустите сервер IIS командной: iisreset /restart.

    Проверка входа в owa.

    1. Вводим доменный логин и пароль пользователя.
    2. Указываем данные второго фактора.
    3. Входим в свой почтовый ящик.
    (1 голос(а))
    Эта статья полезна
    Эта статья бесполезна

    Комментарии (0)
    Добавить новый комментарий
     
     
    Полное имя:
    Email:
    Комментарии: