База знаний FAM/MFA+ : Настройка 2FA для Exchange ActiveSync (Outlook Mobile) через IIS-компонент

Общие сведения

Avanpost FAM позволяет обеспечить 2FA для пользователей, выполняющих подключение к веб-интерфейсу Exchange ActiveSync (EAS) почтового сервера Microsoft Exchange. В инструкции описывается настройка 2FA для Exchange Active Sync с использованием IIS-компонента для EAS Microsoft Exchange из состава системы Avanpost FAM.

Модуль предназначен для подключения к приложениям, установленным на сервер с IIS. Основной принцип заключается в использовании ASP.NET модулей, которые интегрируются через конфигурацию приложения и перехватывают запросы, которые приходят к приложению.

Модули устанавливаются как дополнения к существующим приложениям. Сервер Exchange подразумевает установку модуля Avanpost.Sso.Sync.Module.

Обработка запроса проходит через подключаемые приложения.

Для Exchange ActiveSync (Outlook Mobile) в качестве второго фактора (2FA) возможно использование следующих методов аутентификации:

Настройка 2FA для Exchange ActiveSync (Outlook Mobile)

Этап 1. Установка модуля

Модуль Exchange Active Sync работает только с факторами аутентификации PayControl и Telegram OTP.

Модуль подключается к приложению Exchange Active Sync на сервере Exchange и перехватывает запросы на авторизацию. После успешной аутентификации модуль запускает аутентификацию второго фактора на стороне сервера. После прохождения факторов аутентификации доступ к подключаемому приложению откроется.

  1. Скопировать из директории .\bin в C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync\Bin все файлы библиотек *.dll и файлы *.exe.
  2. Скопировать файл NLog.config в папку сервера C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync.
  3. Внести изменения в файл C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync\web.config.
    1. Добавить в секцию <modules> строку:

    <add 
    type="Avanpost.Sso.Sync.Module.AvtiveSyncAuthModule, 
    Avanpost.Sso.Sync.Module" name="Sync" />

    2. Добавить в секцию <appSettings> строки:

    <add key="server" value="<адрес fam сервера>" />
        <add key="clientid" value="<название приложения owa>" />
        <add key="secret" value="<секрет в base64>" />
        <add key="rootcert" value="" />
        <add key="ssltargetname" value="idp" />
        <add key="issuer" value="<наименование выпускающего токен jwt>" />
        <add key="selectedFactor" value="<Используемый фактор по умолчанию>" />
        <add key="tokenLifetimeMinutes" value="60" />

Приложение самостоятельно после изменения конфигурации перезагрузится и начнёт работать с модулем.

Этап 2. Запись логов

Логи пишутся в

C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync\logs

на машине сервера.

Проверка настройки

Первая синхронизация

  1. Запустить приложение Outlook Mobile на мобильном устройстве.
  2. Ввести логин и пароль.
  3. Пройти аутентификацию при помощи push-подтверждения в соответствии с настроенным сценарием (Мобильное приложение SafeTech PayControl/ Мессенджер Telegram).

Успешный вход в Outlook Mobile.

При последующих запусках приложения push-подтверждение для входа не требуется.