ADFS 4.0: Як налаштувати двофакторну автентифікацію

УВАГА! При інтеграції системи багатофакторної автентифікації Protectimus з ADFS користувачі в сервісі або платформі Protectimus повинні мати логіни виду login@domain.com

1. Зареєструйтеся та налаштуйте основні параметри

1. Зареєструйтеся в хмарному сервісі Protectimus і активуйте API або встановіть локальну платформу Protectimus.
2. Додайте ресурс.
3. Додати користувачів. УВАГА! Користувачі в системі Protectimus повинні мати логіни виду login@domain.com.
4. Додайте Токени або активуйте Портал самообслуговування користувачів.
5. Призначте токени користувачам.
6. Призначте токени з користувачами на ресурс.

2. Встановіть компонент Protectimus ADFS

1. Завантажте інсталятор Protectimus ADFS для Windows Server.
2. Запустіть інсталятор від імені адміністратора.

3. Ви побачите вікно привітання, натисніть Next, щоб продовжити.

4. На цій сторінці оберіть Protectimus MFA ADFS і натисніть Next.

5. На цьому екрані вам потрібно буде ввести API URL, Login, API Key та Resource ID. Ці параметри означають:

• API URL — це адреса кінцевої точки API. Якщо ви використовуєте SAAS-сервіс, API URL виглядає як https://api.protectimus.com. У разі використання локальної платформи, API URL — це адреса сервера, на якому працює платформа.
• API Login – логін вашого облікового запису, такий самий, як і для входу в систему.
• Ключ API – ви знайдете його у своєму профілі. Щоб отримати доступ до профілю, натисніть на логін користувача у верхньому правому куті інтерфейсу і виберіть пункт “Profile” у випадаючому списку.
• Resource ID – після створення ресурсу ви потрапите на сторінку зі списком доступних ресурсів, де ви зможете побачити ресурс, який ви щойно створили. ID ресурсу буде відображено в таблиці.

6. Все готово до встановлення, натисніть Install. Під час інсталяції служба ADFS буде перезапущена.

7. Після завершення інсталяції натисніть Finish.

3. Налаштуйте багатофакторну автентифікацію в ADFS

1. Запустіть консоль налаштування ADFS: Server Manager -> Tools -> AD FS Management

2. Перейдіть до налаштувань багатофакторної автентифікації: Service -> Authentication methods -> Multi-Factor Authentication methods -> Edit

3. Оберіть Protectimus MFA.

4. Перейдіть до Access Control Policies.

5. Додайте Access Control Policy.

6. Поставте галочку “require MFA” і налаштуйте необхідні мережі, групи користувачів тощо.

7. Перейдіть до розділу Relying Party Trust і виберіть Relying Party Trust, куди ви хочете додати Protectimus MFA.

8. Виберіть ту Access Control Policy, яка була додана на 5-му кроці.

9. Налаштування Protectimus MFA для ADFS завершено. Детальніше про політики управління доступом можна прочитати в статті Політики управління доступом в Windows Server 2016 AD FS.

4. Перевірте правильність встановлення та налаштувань

1. Для перевірки перейдіть за посиланням: https://adfs.yourdomain.com/adfs/ls/idpinitiatedsignon.aspx

2. На другому етапі автентифікації введіть свій одноразовий пароль.

3. Якщо користувач ADFS не входить до групи “Адміністратори”, ви можете отримати таке повідомлення про помилку:
   
   
   
   Щоб виправити цю помилку, виконайте наступну команду в PowerShell з правами адміністратора:
   
   

   eventcreate /ID 1 /L APPLICATION /T INFORMATION  /SO "Protectimus MFA ADFS" /D "Init"