OWA: Налаштування двофакторної автентифікації у Outlook Web App

У цьому посібнику показано, як налаштувати двофакторну автентифікацію в Outlook Web App (OWA 2FA) за допомогою Хмарного сервісу MFA Protectimus або Локальної платформи MFA Protectimus.

Інтеграція багатофакторної автентифікації в Outlook Web App захищає облікові записи користувачів від несанкціонованого доступу та атак, таких як брутфорс, фішинг, соціальна інженерія, підробка даних, кейлогери тощо.

УВАГА! Потрібен .NET Framework 4.7.x.

1. Зареєструйтеся та налаштуйте основні параметри

ЗВЕРНІТЬ УВАГУ! Для інтеграції OWA з On-Premise платформою потрібно використовувати SSL-сертифікат, якому довіряє ваша мережа. Автоматично згенерований сертифікат, створений під час установки, не буде підтримуватись Exchange Server. Рекомендуємо використовувати сертифікат, виданий через AD CS за допомогою certsrv.

1. Зареєструйтеся в хмарному сервісі Protectimus і активуйте API або встановіть локальну платформу Protectimus.
2. Додайте ресурс.
3. Додайте користувачів.

УВАГА! Користувачі в системі Protectimus повинні мати логіни у форматі user@domain або DOMAIN\user. Більш детальна інформація про формат логіну користувача, доступна у розділі 5. Налаштування формату імені користувача.

4. Додайте Токени або активуйте Портал самообслуговування користувачів.
5. Призначте токени користувачам.
6. Призначте токени з користувачами на ресурс.

2. Встановіть компонент Protectimus OWA 2FA

1. Завантажте інсталятор Protectimus OWA 2FA.
2. Запустіть інсталятор від імені адміністратора.

3. Ви побачите вікно привітання, натисніть Next, щоб продовжити.

4. Прочитайте та прийміть умови ліцензійної угоди і натисніть Next, щоб продовжити встановлення.

5. Введіть URL-адресу API, Логін та Ключ API і натисніть LogIn.
   
   Ці параметри означають:
   • URL API – адреса кінцевої точки API. Якщо ви використовуєте SAAS-сервіс, URL-адреса API – це https://api.protectimus.com/. У випадку локальної Платформи URL-адреса API – це адреса сервера, на якому працює Платформа (наприклад, https://localhost:8443).
   • Логін – логін вашого облікового запису, такий самий, як і для входу в систему.
   • Ключ API – ви знайдете його у своєму профілі. Щоб отримати доступ до профілю, натисніть на логін користувача у верхньому правому куті інтерфейсу і виберіть пункт “Profile” у випадаючому списку.

6. Resource ID. Виберіть Ресурс, який ви створили перед початком встановлення Protectimus OWQA 2FA. Після цього натисніть Next, щоб продовжити.

Якщо ви ще не додали ресурс, додайте його зараз. Натисніть Add Resource і введіть будь-яку назву ресурсу.

7. Встановіть додаткові налаштування:
   • Invalid OTP Message – вкажіть текст повідомлення про недійсний OTP.
   • General API Error Message – вкажіть текст повідомлення про помилку API.
   • AD Group – якщо ви хочете додати двофакторну автентифікацію лише для певної групи AD, виберіть цю групу AD. За замовчуванням двофакторна автентифікація буде ввімкнена для всіх користувачів.
   • Protocol – вкажіть інформацію про протокол з’єднання. Підтримуються SSL3, TLS1, TLS1.2 і TLS1.3.
   • Cache Timeout – вкажіть, як часто Protectimus зв’язуватиметься з Active Directory, щоб перевірити, чи користувач, який запитує доступ до OWA, доданий до AD. Час має бути вказано в хвилинах. За замовчуванням встановлено значення 15 хвилин, що означає, що Protectimus буде синхронізуватися з Active Directory кожні 15 хвилин. Якщо ви вкажете значення 0, система зв’язуватиметься з Active Directory щоразу, коли користувач входитиме в систему.
   • OTP Cookie Lifetime – вкажіть, як часто кінцевим користувачам необхідно буде проходити повторну автентифікацію. Час потрібно вказувати в хвилинах. За замовчуванням встановлено значення 720 хвилин (12 годин), що означає, що кожні 12 годин вашим користувачам потрібно буде вводити свої одноразові паролі для продовження роботи з OWA.

ЗВЕРНІТЬ УВАГУ! Ці налаштування також можна змінити пізніше у файлі конфігурації.

8. Натисніть Next, щоб продовжити.

9. Усе готово до встановлення. Виберіть модулі, які хочете захистити – OWA, Exchange Admin Center або обидва. Потім натисніть Install.

3. Увійдіть у Outlook Web App або EAC за допомогою Protectimus 2FA

1. Відкрийте Outlook Web App або Центр адміністрування Exchange (Exchange Admin Center).
2. Введіть свій логін та пароль, а потім натисніть Login.

3. Введіть одноразовий пароль з токена двофакторної автентифікації.

ЗВЕРНІТЬ УВАГУ! Якщо ви використовуєте токен OCRA, скористайтеся челенджем, який з’явиться на сторінці автентифікації, щоб згенерувати одноразовий пароль.

4. Як змінити налаштування

Ви можете змінити будь-які налаштування, включаючи API URL, API key, Resource ID, налаштування груп та інші додаткові налаштування, у файлі конфігурації.

Файл конфігурації зазвичай знаходиться за наступним шляхом:

C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa

5. Конфігурація формату логіну користувача

Логін користувача в сервісі Protectimus має бути у форматі user@domain або DOMAIN\user, де user – це ім’я користувача в AD, а domain – ваш корпоративний домен.

Щоб передати логін користувача в потрібному форматі до API, ви можете використовувати наступний параметр в конфігураційному файлі:

<add key="protectimus:is-owa-old-format" value="true" />

Параметр protectimus:is-owa-old-format може мати два значення: true або false.

true

false

If the parameter is not set

Крім того, користувач може ввести логін у форматі user@domain, якщо встановлено значення true, або DOMAIN\user, якщо встановлено значення false. У цьому випадку ніякого перетворення не буде виконано, оскільки логін вже введено у “правильному” форматі.

Якщо у вас є запитання, зверніться до служби підтримки клієнтів Protectimus.