Общие сведения
Avanpost FAM обеспечивает 2FA для пользователей, выполняющих подключение к веб-интерфейсу Exchange ActiveSync (EAS) почтового сервера Microsoft Exchange. Данная инструкция описывает настройку 2FA для Exchange Active Sync с использованием IIS-компонента для EAS Microsoft Exchange из состава системы Avanpost FAM.
Модуль предназначен для подключения к приложениям, установленным на сервер IIS. Основной принцип заключается в использовании ASP.NET модулей, которые интегрируются через конфигурацию приложения и перехватывают запросы к приложению.
Модули устанавливают как дополнения к существующим приложениям. Сервер Exchange подразумевает установку модуля Avanpost.Sso.Sync.Module. Обработка запроса проходит через подключаемые приложения.
Для Exchange ActiveSync в качестве второго фактора (2FA) используют следующие методы аутентификации:
Настройка 2FA для Exchange ActiveSync (Outlook Mobile)
Модуль Exchange ActiveSync работает только с факторами аутентификации Avanpost Authenticator и Telegram OTP.
Модуль подключается к приложению Exchange ActiveSync на сервере Exchange и перехватывает запросы на авторизацию. При успешном прохождении аутентификации первого фактора модуль запустит аутентификацию второго фактора на стороне сервера. После завершения процесса аутентификации будет открыт доступ к подключаемому приложению.
Для осуществления настройки на стороне Avanpost FAM необходимо осуществить следующие действия:
1.Скопировать из директории .\bin:
C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync\Bin
все файлы библиотек (расширение *.dll) и файлы с расширением *.exe. Скопировать файл NLog.config в папку сервера по адресу:
C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync
2. Добавить в секцию <modules> файла:
C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync\web.config
следующую строку:
<add type="Avanpost.Sso.Sync.Module.ActiveSyncAuthModule, Avanpost.Sso.Sync.Module" name="Sync" />
2. Добавить в секцию <appSettings> настройки (следуя Таблице 1):
<add key="server" value="test.test" /> <add key="clientid" value="Name" /> <add key="secret" value="80899-3431-792312" /> <add key="rootcert" value="C:\Program Files\Microsoft\Exchange Server\V15\" /> <add key="ssltargetname" value=" " /> <add key="issuer" value="Lamda" /> <add key="selectedFactor" value="Authenticator" /> <add key="tokenLifetimeDays" value="3" /> <add key="disturbCron" value="* 9-21 * * 1-5" />
Таблица 1. Параметры настройки конфигурационного файла NLog.config
Параметр | Описание |
---|---|
server | Адрес FAM-сервера |
clientid | Название приложения в FAM |
secret | Значение секрета base64 |
rootcert | Путь к сертификату |
ssltargetname | Здесь следует указать имя хоста сервера, если оно отличается от CN в указанном ранее сертификате |
issuer | Наименование выпускающего токен jwt |
selectedFactor | Используемый фактор (Telegram или Authenticator) |
tokenLifetimeDays | Время жизни сессии, в днях |
disturbCron | Ограничения допуска в формате crontab. Например, для установки ограничения с 9 утра до 9 вечера включительно в будние дни будет выглядеть как * 9-21 * * 1-5 |
Приложение перезагрузится и начнет работу самостоятельно после изменения конфигурации.
3. В административной панели FAM следует создать новое приложение типа Agent.
4. На втором шаге включить факторы Telegram и Avanpost Autentificator. Отключить фактор Password.
5. На последнем шаге установить чекбокс "Сделать приложение активным" и нажать "Сохранить".
Система сохранит логи по пути C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync\avanpost-logs на машину сервера.
Проверка и настройка
Количество времени, отведенного для push-подтверждения, зависит от настроек параметра "Время ожидания push-уведомления (в секундах) перед запросом TOTP в Desktop и Radius-приложениях" во вкладке "Сервис" для выбранного метода аутентификации.
Настройка клиентов Android
Клиент Outlook
- Скачать и установить приложение Outlook.
- Запустить приложение. На первом шаге запуска следует нажать "Добавление учетной записи", выбрать тип настройки "Вручную" и далее тип записи "Exchange".
3. Ввести данные учетной записи (Приложение А).
4. Пройти аутентификацию при помощи push-подтверждения в отведенный срок в соответствии с настроенным сценарием (Мобильное приложение/Мессенджер Telegram).
5. После ввода всех параметров и сохранения данных должен открыться почтовый интерфейс.
Клиент GMail
- Скачать и установить приложение GMail.
- Запустить приложение. Выбрать на первом шаге настройки пункт "Exchange и Office 365". Далее ввести данные учетной записи (Приложение А).
3. Пройти аутентификацию при помощи push-подтверждения в отведенный срок в соответствии с настроенным сценарием (Мобильное приложение/Мессенджер Telegram).
4. Дождаться сообщения, подтверждающего успешную настройку приложения.
4. После ввода всех параметров и сохранения данных должен открыться почтовый интерфейс.
Настройка клиента IOS
Настройка учетной записи почты через встроенную функциональность iOS
- Перейти в Настройки, далее выбрать пункт Почта и открыть "Учетные записи", нажать "Добавить новую учетную запись". Выбрать на первом шаге запуска тип учетной записи "Microsoft Exchange".
2. Далее ввести адрес электронной почты. Система предложит войти в УЗ, используя Microsoft, нужно нажать "Настроить вручную" и затем ввести данные УЗ (Приложение А).
3. Пройти аутентификацию при помощи push-подтверждения в отведенный срок в соответствии с настроенным сценарием (Мобильное приложение/Мессенджер Telegram).
4. После ввода всех параметров и сохранения данных должен открыться почтовый интерфейс.
Клиент Outlook
- Скачать и установить приложение Outlook.
- Запустить его. Выбрать на первом шаге запуска "Добавить новую учетную запись", настройку учетной записи вручную (опция будет доступна после ввода эл.адреса в предложенное для ввода поле) и далее выбрать тип записи Exchange.
3. Далее ввести данные учетной записи (Приложение А).
4. Пройти аутентификацию при помощи push-подтверждения в отведенный срок в соответствии с настроенным сценарием (Мобильное приложение/Мессенджер Telegram).
5. Пропустить шаг "Добавить еще один адрес электронной почты" или добавить еще один адрес при желании.
6. После ввода всех параметров и сохранения данных должен открыться почтовый интерфейс.
Приложение А. Параметры учетной записи электронной почты
Доступные параметры учетной записи для настройки почтовых клиентов:
Параметр | Описание |
---|---|
Адрес электронной почты | Используемый адрес электронной почты, для которого происходит настройка |
Пароль | Пароль |
Сервер | Адрес почтового сервера |
Домен\Имя пользователя | Доменное имя, указывается без учета регистра. Если в параметре требуется Имя пользователя, оно указывается через \ |
Имя пользователя | Имя пользователя, если параметр содержится в отдельном поле, то указывается без имени домена |
Описание | Произвольное описание-комментарий к УЗ |
Порт | Порт, используемый для почтового соединения |
Протокол (Тип безопасности) | Используемый для соединения протокол |