Компонент ADFS Extension реализует провайдер мультифакторной аутентификации для сервера Microsoft ADFS, добавляя в процесс получения доступа второй фактор.

Файлы для Indeed AM ADFS Extension расположены: indeed AM\Indeed AM ADFS Extension\<Номер версии>\

  • IndeedAM.ADFS.Extension-x64.ru-ru.msi - Пакет для установки Indeed ADFS Extension

Установка и настройка ADFS Extension.

  1. Выполнить установку ADFS Extension через запуск инсталлятора IndeedAM.ADFS.Extension-x64.ru-ru.msi.
  2. Создайте конфигурационный файл MFAAdapter.json, содержащий следующие параметры.

    ModeId может иметь разные ID провайдеров:

    {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} - SMS OTP

    {093F612B-727E-44E7-9C95-095F07CBB94B} - EMAIL OTP

    {F696F05D-5466-42b4-BF52-21BEE1CB9529} - Passcode

    {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} - Software OTP

    {AD3FBA95-AE99-4773-93A3-6530A29C7556} - HOTP Provider

    {CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05} - TOTP Provider

    {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68} - AirKey Provider


    { 
    "ServerType":"eaNet", 
    "EANetServerURL":"http://YourDomainName/easerver/", 
    "ModeId":"{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0}", 
    "LSEventCacheDirectory": "C:\\EventCacheEa\\" 
    }


  3. Запустите PowerShell с правами администратора. Для регистрации адаптера введите следующие данные:

    YourPath\MFAAdapter.json - укажите свой полный путь к конфигурационному файлу созданному ранее.


    В переменной $typeName, в параметре Version указывается номер версии используемого ADFS Extension.


    $typeName = "IndeedId.ADFS.MFAAdapter.MFAAdapter, IndeedId.ADFS.MFAAdapter, Version=1.0.6.0, Culture=neutral, PublicKeyToken=1ebb0d9282100d91" 
    Register-AdfsAuthenticationProvider -TypeName $typeName -Name "Indeed Id MFA Adapter" -ConfigurationFilePath ‘YourPath\MFAAdapter.json’


  4. Для удаления адаптера необходимо выполнить следующую команду:

    Unregister-AdfsAuthenticationProvider -Name "Indeed Id MFA Adapter"


  5. Для обновления конфигурации необходимо выполнить следующую команду:

    Import-AdfsAuthenticationProviderConfigurationData -Name "Indeed Id MFA Adapter" -FilePath ‘YourPath\MFAAdapter.json’


Включение многофакторной аутентификации для ADFS.

  1. Откройте консоль управления AD FS.
  2. Выберите "Политики проверки подлинности", в окне "Действия" выберите "Изменить глобальную многофакторную проверку подлинности..."
  3. Добавьте пользователя/группу и включите следующие параметры:
    1. В пункте "Расположение" выберите "Экстрасеть" и "Интрасеть".
    2. Выберите использование провайдера "Indeed Id MFA Adapter".
  4. Для применения изменений перезапустите службу AD FS.

Пример работы расширения.

Пример настройки расширения в сценариях

  1. Настройка двухфакторной аутентификации для приложений опубликованных в WAP
  2. Инструкция по настройке двухфакторной аутентификации в AD FS для интеграции с Exchange Server 2016

Пример работы расширения на странице ADFS

Пример работы расширения показан на странице ADFS idpinitiatedsignon.htm. По умолчанию данная страница не настроена (Настройка данной страницы не обязательна). 

  1. Настройка тестовой страницы 

    1. Выберите "Отношение доверия проверяющей стороны" и нажмите "Добавить отношение доверия проверяющей стороны...".
    2. На вкладке "Добро пожаловать!" выберите "Поддерживающие утверждения" и нажмите "Запустить".
    3. На вкладке "Выбор источника данных" укажите URL адрес вашего приложения и нажмите "Далее".

      В качестве примера работы расширения используется стандартная страница ADFS idpinitiatedsignon.htm. Адрес метаданных используется для данной страницы.


    4. На вкладке "Указание отображаемого имени" введите имя и описание для вашего отношения доверия и нажмите "Далее".
    5. На вкладке "Выбрать политику управления доступом" выберите подходящую вам политику с запросом MFA, из предложенных по умолчанию, также вы можете добавить произвольные политики контроля доступа.
    6. Остальные параметры оставьте по умолчанию.
    7. Для применения изменений перезапустите службу AD FS.


    Работа расширения

    1. Откройте тестовую страницу ADFS: https://YourDomainName/adfs/ls/idpinitiatedsignon.htm
    2. Выполните вход.
    3. После ввода доменного логин/пароля укажите данные для второго фактора.
    4. После корректного ввода данных будет выполнен вход.