База знаний FAM/MFA+ : Настройка 2FA для Exchange Outlook Web Access (OWA) через IIS-компонент

Общие сведения

Avanpost FAM позволяет обеспечить 2FA для пользователей, выполняющих подключение к веб-приложению Outlook Web Access (OWA) из состава Microsoft Exchange. В инструкции описывается настройка 2FA для OWA с использованием IIS-компонента для OWA из состава системы Avanpost FAM.

Для Microsoft Exchange Outlook Web Access при использовании Avanpost FAM могут использоваться следующие факторы аутентификации:

Системные требования для интеграции Microsoft Exchange Outlook Web Access:

  • Сервер Avanpost FAM 1.2.0 или выше;
  • Сервер Microsoft Exchange 2016+ с развёрнутым Microsoft IIS и настроенным веб-приложением Outlook Web Access.

Для выполнения настройки 2FA/MFA/SSO в соответствии с инструкцией необходимо выполнить следующие предварительные условия:

  1. Установить в сети сервер Microsoft Exchange с Microsoft IIS и опубликовать веб-приложение Outlook Web Access;
  2. Установить в сети компонент Avanpost FAM Server , обеспечить сетевую доступность с сервера Microsoft Exchange интерфейса аутентификации OpenID Connect и gRPC-интерфейса.

Дополнительно может потребоваться при необходимости аутентификации:

  • через мобильное приложение SafeTech PayControl – установить сервер SafeTech PayControl;
  • через SMS – настроить подключение к внешнему SMS-шлюзу, который предоставляет услугу доставки SMS-сообщений;
  • через E-mail – настроить подключение к SMTP-шлюзу, который обеспечивает доставку почтовых сообщений;
  • через Telegram – настроить подключение к Telegram Bot API.

Настройка

На стороне Avanpost FAM в административной консоли:

  1. Создать приложение с типом gRPC.
  2. Указать в приложении сценарий аутентификации.

На стороне сервера Microsoft Exchange:

  1. Скопировать из .\bin в C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\Bin все *.dll и *.exe.
  2. Скопировать файлы и папки перечисленные ниже в папку сервера C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa:
    • .\css
    • .\images
    • NLog.config
    • SsoFactorSelect.aspx
    • SsoPasscodeEnter.aspx
  3. Внести указанные ниже изменения в файл C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\web.config :
    • Добавить в секцию <modules> строку:

      <add type="Avanpost.Sso.Owa.Module.OwaModule, Avanpost.Sso.Owa.Module" name="Sso" />
    • Добавить в секцию <appSettings> строки:

      <add key="server" value="<адрес интерфейса аутентификации компонента Avanpost FAM Server>" />
      <add key="clientid" value="<название приложения в карточке приложения либо UUID из URL карточки приложения>" />
      <add key="issuer" value="<наименование Issuer для выпуска локального JWT-токена>" />
      <add key="secret" value="<секрет для шифрования локального JWT-токена, выпускаемого компонентом OWA>" />
      <add key="rootcert" value="<путь к файлу TLS-сертификата сервера Avanpost FAM>" />
      <add key="ssltargetname" value="idp" />
      <add key="selectedFactor" value="<Используемый фактор по умолчанию>" />
      <add key="tokenLifetimeMinutes" value="60" />

      указав:

      • server – адрес интерфейса аутентификации компонента Avanpost FAM Server;
      • clientid – название приложения в карточке приложения либо UUID из URL карточки приложения, скопированный из административной консоли Avanpost FAM Server;
      • secret – секрет для шифрования локального JWT-токена, выпускаемого компонентом OWA;
      • rootcert – путь к файлу TLS-сертификата сервера Avanpost FAM на сервере Microsoft Exchange;
      • ssltargetname – имя, для которого выпущен сертификат сервера Avanpost FAM;
      • issuer – имя issuer, содержащееся в локальном JWT-токене, выпускаемом компонентом OWA;
      • selectedFactor – фактор по умолчанию;
      • tokenLifetimeMinutes – таймаут в минутах; значение по умолчанию – 60.

Приложение Outlook Web Access самостоятельно после изменения конфигурации перезагрузится и начнет взаимодействовать с IIS-модулем.

Проверка настройки

Предварительные условия:

  1. Пользователь имеет доступ к приложению owa в Avanpost FAM через группы.
  2. У пользователя выполнена настройка необходимого аутентификатора (фактора аутентификации).

Выполнение проверки:

  1. Выполнить процесс аутентификации в OWA по логину и паролю через интерфейс OWA.
  2. Должен открыться интерфейс запроса второго фактора средствами Avanpost FAM. Выбрать желаемый фактор из списка.
  3. Пройти аутентификацию с использованием указанного фактора.

Установка выполнена успешно.

Диагностика ошибок

Диагностика ошибок взаимодействия компонента Avanpost FAM OWA Module и компонента Avanpost FAM осуществляется путём анализа логов.

Логи пишутся в C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\logs на сервере Microsoft Exchange.