Avanpost FAM/MFA+ : Настройка 2FA для Exchange ActiveSync (EAS)

Общие сведения

Avanpost FAM обеспечивает 2FA для пользователей, выполняющих подключение к веб-интерфейсу Exchange ActiveSync (EAS) почтового сервера Microsoft Exchange. Данная инструкция описывает настройку 2FA для Exchange Active Sync с использованием IIS-компонента для EAS Microsoft Exchange из состава системы Avanpost FAM. 

Модуль предназначен для подключения к приложениям, установленным на сервер IIS. Основной принцип заключается в использовании ASP.NET модулей, которые интегрируются через конфигурацию приложения и перехватывают запросы к приложению.

Модули устанавливают как дополнения к существующим приложениям. Сервер Exchange подразумевает установку модуля Avanpost.Sso.Sync.Module. Обработка запроса проходит через подключаемые приложения.

Для Exchange ActiveSync в качестве второго фактора (2FA) используют следующие методы аутентификации:

Настройка 2FA для Exchange ActiveSync (Outlook Mobile)

Модуль Exchange ActiveSync работает только с факторами аутентификации Avanpost Authenticator и Telegram OTP.

Модуль подключается к приложению Exchange ActiveSync на сервере Exchange и перехватывает запросы на авторизацию. При успешном прохождении аутентификации первого фактора модуль запустит аутентификацию второго фактора на стороне сервера. После завершения процесса аутентификации будет открыт доступ к подключаемому приложению.

Для осуществления настройки на стороне Avanpost FAM необходимо осуществить следующие действия:

1.Скопировать из директории .\bin: 

C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync\Bin

 все файлы библиотек (расширение *.dll) и файлы с расширением *.exe. Скопировать файл NLog.config в папку сервера по адресу:

C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync

2. Добавить в секцию <modules> файла:

C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync\web.config

следующую строку:

<add type="Avanpost.Sso.Sync.Module.ActiveSyncAuthModule, Avanpost.Sso.Sync.Module" name="Sync" />

2. Добавить в секцию <appSettings> настройки (следуя Таблице 1):

<add key="server" value="test.test" />
<add key="clientid" value="Name" />
<add key="secret" value="80899-3431-792312" />
<add key="rootcert" value="C:\Program Files\Microsoft\Exchange Server\V15\" />
<add key="ssltargetname" value=" " />
<add key="issuer" value="Lamda" />
<add key="selectedFactor" value="Authenticator" />
<add key="tokenLifetimeDays" value="3" />
<add key="disturbCron" value="* 9-21 * * 1-5" />

Таблица 1. Параметры настройки конфигурационного файла NLog.config

ПараметрОписание
server
Адрес FAM-сервера
clientid
Название приложения в FAM
secret
Значение секрета base64
rootcert
Путь к сертификату
ssltargetname
Здесь следует указать имя хоста сервера, если оно отличается от CN в указанном ранее сертификате
issuer
Наименование выпускающего токен jwt
selectedFactor
Используемый фактор (Telegram или Authenticator)
tokenLifetimeDays
Время жизни сессии, в днях
disturbCron
Ограничения допуска в формате crontab. Например, для установки ограничения с 9 утра до 9 вечера включительно в будние дни будет выглядеть как * 9-21 * * 1-5

Приложение перезагрузится и начнет работу самостоятельно после изменения конфигурации.

3. В административной панели FAM следует создать новое приложение типа Agent.

4. На втором шаге включить факторы Telegram и Avanpost Autentificator. Отключить фактор Password.

5. На последнем шаге установить чекбокс "Сделать приложение активным" и нажать "Сохранить".

Система сохранит логи по пути C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync\avanpost-logs на машину сервера.

Проверка и настройка

Количество времени, отведенного для push-подтверждения, зависит от настроек параметра "Время ожидания push-уведомления (в секундах) перед запросом TOTP в Desktop и Radius-приложениях" во вкладке "Сервис" для выбранного метода аутентификации.

Настройка клиентов Android

Клиент Outlook

  1. Скачать и установить приложение Outlook.
  2. Запустить приложение. На первом шаге запуска следует нажать "Добавление учетной записи", выбрать тип настройки "Вручную" и далее тип записи "Exchange".

3. Ввести данные учетной записи (Приложение А).

4. Пройти аутентификацию при помощи push-подтверждения в отведенный срок в соответствии с настроенным сценарием (Мобильное приложение/Мессенджер Telegram).

5. После ввода всех параметров и сохранения данных должен открыться почтовый интерфейс.

Клиент GMail

  1. Скачать и установить приложение GMail.
  2. Запустить приложение. Выбрать на первом шаге настройки пункт "Exchange и Office 365". Далее ввести данные учетной записи (Приложение А).

3. Пройти аутентификацию при помощи push-подтверждения в отведенный срок в соответствии с настроенным сценарием (Мобильное приложение/Мессенджер Telegram).

4. Дождаться сообщения, подтверждающего успешную настройку приложения.

4. После ввода всех параметров и сохранения данных должен открыться почтовый интерфейс.

Настройка клиента IOS

Настройка учетной записи почты через встроенную функциональность iOS

  1. Перейти в Настройки, далее выбрать пункт Почта и открыть "Учетные записи", нажать "Добавить новую учетную запись". Выбрать на первом шаге запуска тип учетной записи "Microsoft Exchange".

2. Далее ввести адрес электронной почты. Система предложит войти в УЗ, используя Microsoft, нужно нажать "Настроить вручную" и затем ввести данные УЗ (Приложение А).

3. Пройти аутентификацию при помощи push-подтверждения в отведенный срок в соответствии с настроенным сценарием (Мобильное приложение/Мессенджер Telegram).

4. После ввода всех параметров и сохранения данных должен открыться почтовый интерфейс.

Клиент Outlook

  1. Скачать и установить приложение Outlook.
  2. Запустить его. Выбрать на первом шаге запуска "Добавить новую учетную запись", настройку учетной записи вручную (опция будет доступна после ввода эл.адреса в предложенное для ввода поле) и далее выбрать тип записи Exchange.

3. Далее ввести данные учетной записи (Приложение А).

4. Пройти аутентификацию при помощи push-подтверждения в отведенный срок в соответствии с настроенным сценарием (Мобильное приложение/Мессенджер Telegram).

5. Пропустить шаг "Добавить еще один адрес электронной почты" или добавить еще один адрес при желании.

6. После ввода всех параметров и сохранения данных должен открыться почтовый интерфейс.

Приложение А. Параметры учетной записи электронной почты

Доступные параметры учетной записи для настройки почтовых клиентов: 

ПараметрОписание
Адрес электронной почтыИспользуемый адрес электронной почты, для которого происходит настройка
ПарольПароль
СерверАдрес почтового сервера
Домен\Имя пользователяДоменное имя, указывается без учета регистра. Если в параметре требуется Имя пользователя, оно указывается через \
Имя пользователяИмя пользователя, если параметр содержится в отдельном поле, то указывается без имени домена
ОписаниеПроизвольное описание-комментарий к УЗ
ПортПорт, используемый для почтового соединения
Протокол (Тип безопасности)Используемый для соединения протокол

Обсуждение