Общие сведения
Avanpost FAM обеспечивает 2FA для пользователей, выполняющих подключение к веб-интерфейсу Exchange ActiveSync (EAS) почтового сервера Microsoft Exchange. Данная инструкция описывает настройку 2FA для Exchange Active Sync с использованием IIS-компонента для EAS Microsoft Exchange из состава системы Avanpost FAM.
Модуль предназначен для подключения к приложениям, установленным на сервер IIS. Основной принцип заключается в использовании ASP.NET модулей, которые интегрируются через конфигурацию приложения и перехватывают запросы к приложению.
Модули устанавливают как дополнения к существующим приложениям. Сервер Exchange подразумевает установку модуля Avanpost.Sso.Sync.Module. Обработка запроса проходит через подключаемые приложения.
Для Exchange ActiveSync в качестве второго фактора (2FA) используют следующие методы аутентификации:
Модуль Exchange ActiveSync работает только с факторами аутентификации Avanpost Authenticator и Telegram OTP.
Модуль подключается к приложению Exchange ActiveSync на сервере Exchange и перехватывает запросы на авторизацию. При успешном прохождении аутентификации первого фактора модуль запустит аутентификацию второго фактора на стороне FAM Server. После завершения процесса аутентификации пользователь получит доступ к подключаемому приложению.
Настройка на стороне Exchange ActiveSync (Outlook Mobile)
Перед выполнением настройки на стороне Avanpost FAM необходимо осуществить следующие действия:
- Войти в директорию .\bin, расположенную по адресу:
C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync\Bin
- Содержимое папки bin-архива перенести по следующему пути:
C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync\Bin
- Скопировать файл NLog.config в папку сервера, расположенную по пути:
C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync
- Перейти в файл web.config, расположенный по пути:
C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync\web.config
- Добавить в секцию <modules> файла web.config строку:
<add type="Avanpost.Sso.Sync.Module.ActiveSyncAuthModule, Avanpost.Sso.Sync.Module" name="Sync" />
- Добавить в секцию <appSettings> файла web.config следующие настройки:
<add key="server" value="test.test:9007" /> <add key="clientid" value="Name" /> <add key="secret" value="80899-3431-792312" /> <add key="rootcert" value="C:\Program Files\Microsoft\Exchange Server\V15\cert.pem" /> <add key="ssltargetname" value=" " /> <add key="issuer" value="Lamda" /> <add key="selectedFactor" value="Authenticator" /> <add key="tokenLifetimeDays" value="3" /> <add key="disturbCron" value="* 9-21 * * 1-5" />
Параметр Значение server
Адрес FAM Server
clientid
Название приложения на стороне Avanpost FAM
secret
Значение секрета в формате base64
rootcert
Путь к сертификату в формате *.pem
ssltargetname
Имя хоста сервера (в случаях, когда оно отличается от CN в указанном сертификате в формате *.pem)
issuer
Наименование выпускающего токен jwt
selectedFactor
Используемый фактор аутентификации (Telegram или Authenticator)
tokenLifetimeDays
Время жизни сессии (в днях)
disturbCron
Ограничения допуска в формате crontab. Например, для установки ограничения с 9 утра до 9 вечера включительно в будние дни будет выглядеть как * 9-21 * * 1-5
- Убедиться, что после изменения настроек приложение перезагрузилось и начало самостоятельную работу.
Логи приложения хранятся по пути C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Sync\avanpost-logs на машине сервера Microsoft Exchange.
Настройка на стороне Avanpost FAM Server
На стороне Avanpost FAM требуется выполнить следующие действия:
- Открыть административную консоль Avanpost FAM Server и перейти в форму создания приложения, нажав кнопку "Добавить приложение" режима "Приложения".
- На этапе "Основные настройки" требуется задать следующие параметры (более подробно настройки описана в статьях Управление Exchange ActiveSync-приложениями и Управление приложениями):
Параметр Значение Наименование Ввести наименование. Тип Exchange ActiveSyncПоказывать приложение пользователям Выключить чекбокс (рекомендуется) - На этапе "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов:
- Выключить использование пароля (Password) в качестве аутентификации.
- Включить факторы Telegram и/или Avanpost Autentificator.
- Установить флаг в чекбокс "Сделать приложение активным" и нажать "Сохранить"
Проверка и настройка
Количество времени, отведенного для push-подтверждения, зависит от настроек параметра "Время ожидания push-уведомления (в секундах) перед запросом TOTP в Desktop и Radius-приложениях" во вкладке "Сервис" для выбранного метода аутентификации.
Настройка клиента Android
Клиент Outlook
- Скачать, установить и запустить приложение Outlook Mobile.
- Нажать "Добавление учетной записи", выбрать тип настройки "Вручную", тип записи "Exchange".
- Ввести данные учетной записи (подробнее о параметрах учетной записи указано в Приложение А).
- Пройти аутентификацию при помощи push-подтверждения в отведенный срок в соответствии с настроенным сценарием (мобильное приложение Avanpost Authenticator/мессенджер Telegram).
- Убедиться, что почтовый интерфейс открывается корректно.
Настройка клиента GMail
- Скачать, установить и запустить приложение GMail.
- Выбрать на первом шаге настройки пункт "Exchange и Office 365".
- Ввести данные учетной записи (подробнее о параметрах учетной записи указано в Приложение А).
- Пройти аутентификацию при помощи push-подтверждения в отведенный срок в соответствии с настроенным сценарием (мобильное приложение Avanpost Authenticator/мессенджер Telegram).
- Дождаться сообщения, подтверждающего успешную настройку приложения.
- Убедиться, что почтовый интерфейс открывается корректно.
Настройка клиента IOS
Настройка учетной записи почты через встроенную функциональность iOS
- Перейти в Настройки, далее выбрать пункт Почта и открыть "Учетные записи", нажать "Добавить новую учетную запись".
- Выбрать на первом шаге запуска тип учетной записи "Microsoft Exchange".
- Ввести адрес электронной почты. Когда будет предложено войти в учетную запись, используя Microsoft, требуется нажать "Настроить вручную" и ввести данные УЗ (подробнее в Приложении А).
- Пройти аутентификацию при помощи push-подтверждения в отведенный срок в соответствии с настроенным сценарием (мобильное приложение Avanpost Authenticator/мессенджер Telegram).
- Убедиться, что почтовый интерфейс открывается корректно.
Настройка через клиент Outlook
- Скачать, установить и запустить приложение Outlook.
- Нажать на шаге "Добавить новую учетную запись" кнопку "Настроить учетную запись вручную" (опция будет доступна после ввода Email в текстовое поле) и выбрать тип записи "Exchange".
- Ввести данные учетной записи (подробнее о параметрах учетной записи указано в Приложение А).
- Пройти аутентификацию при помощи push-подтверждения в отведенный срок в соответствии с настроенным сценарием (мобильное приложение Avanpost Authenticator/мессенджер Telegram).
- При необходимости добавить еще одну учетную запись на шаге "Добавить еще один адрес электронной почты".
- Убедиться, что почтовый интерфейс открывается корректно.
Приложение А. Параметры учетной записи электронной почты
Доступные параметры учетной записи для настройки почтовых клиентов:
| Параметр | Описание |
|---|---|
| Адрес электронной почты | Используемый адрес электронной почты, для которого происходит настройка |
| Пароль | Пароль |
| Сервер | Адрес почтового сервера |
| Домен\Имя пользователя | Доменное имя, указывается без учета регистра. Если в параметре требуется Имя пользователя, оно указывается через \ |
| Имя пользователя | Имя пользователя, если параметр содержится в отдельном поле, то указывается без имени домена |
| Описание | Произвольное описание-комментарий к УЗ |
| Порт | Порт, используемый для почтового соединения |
| Протокол (Тип безопасности) | Используемый для соединения протокол |