Общие сведения
Avanpost FAM позволяет обеспечить 2FA для пользователей, выполняющих подключение к веб-интерфейсу Exchange ActiveSync (EAS) почтового сервера Microsoft Exchange. В инструкции описывается настройка 2FA для Exchange Active Sync с использованием IIS-компонента для EAS Microsoft Exchange из состава системы Avanpost FAM.
Модуль предназначен для подключения к приложениям, установленным на сервер с IIS. Основной принцип заключается в использовании ASP.NET модулей, которые интегрируются через конфигурацию приложения и перехватывают запросы, которые приходят к приложению.
Модули устанавливаются как дополнения к существующим приложениям. Сервер Exchange подразумевает установку модуля Avanpost.Sso.Sync.Module.
Обработка запроса проходит через подключаемые приложения.
Для Exchange ActiveSync (Outlook Mobile) в качестве второго фактора (2FA) возможно использование следующих методов аутентификации:
Настройка 2FA для Exchange ActiveSync (Outlook Mobile)
Этап 1. Установка модуля
Модуль Exchange Active Sync работает только с факторами аутентификации Avanpost Authenticator и Telegram OTP.
Модуль подключается к приложению Exchange Active Sync на сервере Exchange и перехватывает запросы на авторизацию. После успешной аутентификации модуль запускает аутентификацию второго фактора на стороне сервера. После прохождения факторов аутентификации доступ к подключаемому приложению откроется.
- Скопировать из директории .\bin в C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync\Bin все файлы библиотек *.dll и файлы *.exe.
- Скопировать файл NLog.config в папку сервера C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync.
Внести изменения в файл C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync\web.config.
1. Добавить в секцию <modules> строку:<add type="Avanpost.Sso.Sync.Module.AvtiveSyncAuthModule, Avanpost.Sso.Sync.Module" name="Sync" />
2. Добавить в секцию <appSettings> строки:
<add key="server" value="<адрес fam сервера>" /> <add key="clientid" value="<название приложения owa>" /> <add key="secret" value="<секрет в base64>" /> <add key="rootcert" value="" /> <add key="ssltargetname" value="idp" /> <add key="issuer" value="<наименование выпускающего токен jwt>" /> <add key="selectedFactor" value="<Используемый фактор по умолчанию>" /> <add key="tokenLifetimeMinutes" value="60" />
Приложение самостоятельно после изменения конфигурации перезагрузится и начнёт работать с модулем.
Этап 2. Запись логов
Логи пишутся в
C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync\logs
на машине сервера.
Проверка настройки
Первая синхронизация
- Запустить приложение Outlook Mobile на мобильном устройстве.
- Ввести логин и пароль.
- Пройти аутентификацию при помощи push-подтверждения в соответствии с настроенным сценарием (Мобильное приложение SafeTech PayControl/ Мессенджер Telegram).
Успешный вход в Outlook Mobile.
При последующих запусках приложения push-подтверждение для входа не требуется.