Настройка двухфакторной аутентификации для приложений опубликованных в WAP
Автор Vladislav Fomichev, Last modified by Vladislav Fomichev на 06 апреля 2020 11:26 AM

Настройка двухфакторной аутентификации для приложений опубликованных в WAP

Оглавление:

  1. Предварительные требования
  2. Подготовка инфрастуктуры
  3. Экспорт и импорт сертификатов
    1. Экспорт сертификата для настройки WAP
    2. Экспорт корневого сертификата УЦ
    3. Экспорт сертификата для публикуемого приложения
  4. Настройка
    1. Настройка AD FS
    2. Установка роли WAP
    3. Настройка WAP
    4. Публикация приложения
  5. Пример

Предварительные требования

В данной инструкции подразумевается, что у вас имеется развернутая инфраструктура со следующим содержимым:

  1. Контроллер домена с установленными компонентами DNS и Удостоверяющий центр.
  2. Сервер с установленной и настроенной ролью ADFS. 
  3. Установленная и работоспособная инфраструктура Indeed AM. 
    1. Indeed AM сервер.
    2. Indeed AM Admin Console
    3. Indeed AM Log сервер.
    4. Провайдер Indeed AM, который будет использоваться для Indeed AM MFA адаптера.
    5. Indeed AM ADFS Extension.
    6. Свободные лицензии Indeed AM ADFS.
  4. Приложение на базе IIS, для которого требуется организовать доступ через прокси. Приложение должно работать через SSL.
  5. Подготовленный сервер для последующей установки и настройки WAP. Данный сервер должен иметь несколько сетевых интерфейсов для внутренней и внешней сети. 

Подготовка

Экспорт\Импорт сертификатов

Сертификат для WAP

Для сервера WAP потребуются доверенный сертификат для использования прокси-сервером ADFS. 

В данном примере рассмотрен способ получения сертификата из доменного УЦ, чтобы сертификат считался валидным, дополнительно потребуется выполнить экспорт корневого сертификата домена. 

  1. Откройте оснастку сертификаты на доменной машине для локального компьютера и запустите мастер запроса сертификата. Для этого нажмите: Сертификаты -> Личное -> Правая кнопка мыши -> Все задачи -> Запросить новый сертификат.
  2. На шаге “Запрос сертификата” выберете доступный сертификат проверки подлинности веб-сервера и укажите дополнительные параметры.
    1. В поле “Имя субъекта” выберете тип “Общие имя” и укажите имя машины с установленной ролью WAP и машины с ADFS. 
    2. В поле “Дополнительное имя” выберете тип “Служба DNS” и укажите DNS имя машины с установленной ролью WAP и машины с ADFS.
  3. Нажмите “Применить” и “Ок” и выполните заявку сертификата.
  4. Выполните экспорт полученного сертификата.
  5. На шаге “Экспортирование закрытого ключа” выберете “Да, экспортировать закрытый ключ” и нажмите “Далее”.
  6. На шаге “Формат экспортируемого файла” оставьте значения по умолчанию и нажмите “Далее”.
  7. На шаге “Безопасность” задайте пароль для защиты закрытого ключа и нажмите “Далее”.
  8. На шаге “Имя экспортируемого файла” укажите имя и путь, где будет сохранен экспортируемый сертификат и нажмите “Далее”.
  9. Выполните экспорт сертификата. 
  10. Скопируйте полученный сертификат на машину с WAP и импортируйте в Личное хранилище сертификатов.

Корневой сертификат домена

Для валидности сертификата WAP необходимо импортировать корневой сертификат домена. 

Данное действие необходимо только при использовании доменного сертификата проверки подлинностим сервера WAP. При получении доверенного сертификата от стороннего УЦ выполнять не требуется. 

  1. Аналогичным образом как в пункте “Сертификат для WAP” откройте оснастку сертификаты на доменной машине для локального компьютера.
  2. Разверните: Доверенные корневые центры сертификации -> Сертификаты
  3. Выберете корневый сертификат и нажмите: Правая кнопка мыши -> Все задачи -> Экспорт
  4. На шаге “Формат экспортируемого файла” выберете “Файлы X.509 в кодировке DER” и нажмите “Далее”.
  5. На шаге “Имя экспортируемого файла” укажите имя и путь, где будет сохранен экспортируемый сертификат и нажмите “Далее”.
  6. Выполните экспорт сертификата. 
  7. Скопируйте полученный сертификат на машину с WAP и импортируйте в Доверенные корневые центры сертификации.

Внешний сертификат для публикуемого приложения

Сертификат требуется для проверки подлинности публикуемого приложения.

  1. Аналогичным образом, как в разделе “Сертификат для WAP”, откройте оснастку и выполните запрос сертификата.
  2. На шаге “Запрос сертификата” выберете доступный сертификат проверки подлинности веб-сервера и укажите дополнительные параметры.
    1. В поле “Имя субъекта” выберете тип “Общие имя” и укажите полное имя машины с установленным приложением. 
    2. В поле “Дополнительное имя” выберете тип “Служба DNS” и укажите DNS внутреннего и внешнего URL приложения. В данном примере внутренний и внешнию URL совпадают - это app.ind.loc 
  3. Выполните заявку, экспорт и импорт сертификата аналогично действиям из раздела “Сертификат для WAP”. 

Настройка

В данной инструкции в качестве провайдера аутентификации будет использоваться - Indeed AM Software TOTP

В качестве приложения, которое необходимо настроить для внешнего доступа - RdWeb Access.

Настройка ADFS (Создание проверяющей стороны)

  1. Откройте оснастку “Управление AD FS” и создайте отношение доверия проверяющей стороны.
  2. В окне мастера, на шаге “Добро пожаловать”, нажмите “Запустить”.
  3. На шаге “Выбор источника данных” выберете “Ввод данных о проверяющей стороне вручную” и нажмите “Далее”.
  4. На шаге “Указание отображаемого имени” введите имя, которое будет отображаться в оснастке ADFS.
  5. На шаге “Выберете профиль” выберете “Профиль AD FS”.
  6. На шаге “Настройка сертификата” можно добавить необязательный сертификат для шифрования маркера. В данной инструкции сертификат для шифрования маркера не используется. 
  7. На шаге “Настройка URL-адреса” нажмите “Далее”.
  8. На шаге “Настройка идентификатора” в качестве идентификатора укажите полный URL адрес приложения, для которого будет настроен внешний доступ, и нажмите “Добавить”. В данном примере используется приложение RdWeb. После добавления нажмите “Далее”.
  9. На следующих шагах нажмите “Далее”.
  10. На шаге “Готово” отключите опцию “Открыть диалоговое окно...” и нажмите закрыть.
  11. После успешного добавления, отношение доверия будет отображаться в интерфейсе ADFS.

 


Установка WAP

  1. Запустите мастер добавления Ролей и Компонентов.
  2. На шаге “Роли сервера” выберете “Удаленный доступ” и нажмите “Далее”.
  3. На шаге “Службы ролей” выберете “Прокси-сервер веб-приложений” и нажмите “Далее”.
  4. На шаге “Подтверждение” нажмите “Установить” и дождитесь завершения установки компонента. 

Настройка WAP

  1. Откройте мастер настройки после установки компонента.
  2. На шаге “Сервер федерации” укажите следующие данные. 
    1. Имя службы федерации - DNS имя машины, где установлен и настроен компонент  ADFS.
    2. Имя пользователя и Пароль - Имя и Пароль локального администратора целевого сервера с ADFS.
  3. На шаге “Сертификат прокси-сервера” выберете сертификат, импортируемый в разделе “Сертификат для WAP” и нажмите “Далее”.
  4. На шаге “Подтверждение” нажмите настроить. 

Публикация приложения

В качестве примера рассмотрим публикацию приложения RDWeb Access.

В данном примере на машине app.ind.loc развернуто приложение rdweb. Для данного приложения установлен доверенный сертификат проверки подлинности веб-сервера.

  1. Откройте оснастку “Управление удаленным доступом” и нажмите “Опубликовать”.
  2. На шаге “Добро пожаловать” нажмите “Далее”.
  3. На шаге “Предварительная проверка...” выберете “Службы федерации Active Directory” .
  4. На шаге “Проверяющая сторона” выберете созданную в разделе “Настройка ADFS (Создание проверяющей стороны)” проверяющую сторону и нажмите “Далее”. В данном примере это “RdWeb”.
  5. На шаге “Параметры публикации” укажите следующие данные и нажмите “Далее”:
    1. Имя - Задайте произвольное имя для публикуемого приложения. Заданное имя будет отображаться в оснастке.
    2. Внешний URL-адрес - URL-адрес по которому будет осуществляться доступ к приложению из внешней сети. 
    3. Внешний сертификат - Выберете сертификат проверки подлинности для публикоемого приложения, импортируемый в разделе “Внешний сертификат для публикуемого приложения”
    4. URL-адрес внутреннего сервера - URL-адрес по которому приложение доступно во внутренней сети.
  6. На шаге “Подтверждение” нажмите “Опубликовать”.

Пример работы

Данная настройка осуществлялась в рамках демонстрации возможности внедрения Indeed AM ADFS в данный сценарий. Демонстрационный вариант развернут в локальной инфраструктуре без общедоступного URL для приложения и внешнего DNS сервера, поэтому для доступа из внешней сети требуется указать внешний ip-адрес сервера WAP и внешний DNS публикуемого приложения и ADFS сервера в файл hosts. Данные действия не требуется выполнять, если имеется внешний url приложения и настроенный внешний DNS сервер.

  1. Откройте файл C:\Windows\System32\drivers\etc\hosts и укажите данные в формате:

    <внешний ip-адрес сервера WAP>  <DNS имя сервера с приложением>

    <внешний ip-адрес сервера WAP>  <DNS имя с ролью ADFS>

    Пример:

    192.168.0.120 app.ind.loc

    192.168.0.120 adfs.ind.loc 

  2. Откройте в браузере приложение по внешнему url. В данном примере это: https://app.ind.loc/rdweb . Произойдет редирект на страницу ADFS, где требуется указать доменные данные пользователя и нажать “Вход”.
  3. После успешного ввода доменных данных потребуется указать 2й фактор - OTP или Push, в зависимости от настройки ADFS MFA, для доступа к приложению. 
  4. После успешного ввода 2го фактора отобразится страница целевого приложения. В данном примере это RdWeb.







(0 голос(а))
Эта статья полезна
Эта статья бесполезна

Комментарии (0)
Добавить новый комментарий
 
 
Полное имя:
Email:
Комментарии: