UserLock Documentation
UserLock Documentation
Vous êtes ici: Cas d'utilisation > Authentification multifacteur > Comment appliquer la MFA pour IIS

Comment appliquer la MFA pour IIS

Si l'authentification multifacteur est requise pour une application IIS spécifique comme 'Outlook Web Access' (voir ce cas d'utilisation avancé en anglais pour les détails), RDWeb, SharePoint, CRM etc. ou un site Intranet, l'agent redirigera l'utilisateur vers une application Web dédiée dans laquelle l'utilisateur peut s'inscrire à la MFA et entrer le code MFA avant d'accéder à l'application IIS protégée.

Video Tutorial

Une visite guidée sur comment ajouter l'Authentification à Deux Facteurs pour Outlook Web Access et RDWeb avec UserLock

Dans ce cas d'utilisation, nous allons protéger une seule application Web (Outlook Web Access) à l'aide de MFA pour IIS.

Procédure

  1. Installer l'agent UserLock IIS sur le serveur IIS
  2. Installer la fonctionnalité UserLock IIS MFA
  3. Ajouter l'application UserLock MFA dans IIS
  4. Effectuer une connexion MFA IIS

1. Installer l'agent UserLock IIS sur le serveur IIS

Pré-requis

  • Assurez-vous que l'agent IIS est installé sur le serveur IIS cible pour lequel vous souhaitez protéger les sessions IIS.
  • La fonctionnalité UserLock "IIS MFA" doit être installée sur le serveur IIS sur lequel vous souhaitez que les applications IIS soient redirigées lorsque la MFA est requise. Voir la section spécifique ci-dessous.
  • En utilisant la technologie DNS split brain, l'adresse IP du serveur IIS hébergeant le module IIS MFA doit être accessible comme suit:
    • En interne, depuis le réseau privé.
    • En externe, depuis Internet
  • Le routeur externe est configuré pour permettre au port désigné d'être redirigé de l'extérieur vers le serveur IIS hébergeant le module IIS MFA.
  • REMARQUE: un serveur d'accès au client Exchange est un exemple de serveur qui répond aux critères ci-dessus.


Les applications IIS doivent être protégées par «l'agent IIS» UserLock à l'aide de la technologie du module HTTP.

  1. Exécutez la console UserLock.
  2. Dans la vue "Distribution de l'agent", sélectionnez la ligne "IIS" du serveur IIS qui hébergera les applications IIS à protéger avec UserLock. Faites un clic droit et sélectionnez "Installer".
  3. Sur ce serveur IIS cible, configurez les applications IIS pour qu'elles se protègent avec l'agent IIS UserLock à l'aide de la technologie du module HTTP. Pour plus de détails, consultez cette page.

2. Installer la fonctionnalité UserLock IIS MFA

La fonctionnalité UserLock «IIS MFA» doit être installée sur le serveur IIS vers lequel vous souhaitez que les applications IIS soient redirigées lorsque la MFA est requise. Notez que cette fonctionnalité n'est pas installée si vous avez choisi «Standard» lorsque vous installez UserLock.

  1. Connectez-vous au serveur IIS vers lequel vous souhaitez que les applications IIS soient redirigées lorsque la MFA est requise.

  2. Si UserLock est déjà installé:

    • Panneau de configuration, Désinstaller un programme, UserLock, Modifier:

    • Comme expliqué ci-dessus: clic gauche sur «Applications Web», clic gauche sur «IIS MFA», «La fonctionnalité sera installée…».

  3. Sur une nouvelle installation UserLock, choisissez «Personnalisé» puis faites un clic gauche sur «Applications Web», faites un clic gauche sur «IIS MFA», «La fonctionnalité sera installée…»:

  4. Remarque: sur Windows Server 2012 R2, cela vous proposera d'installer des dépendances:

    • Choisissez "Oui" :

    • Installation automatique du package redistribuable Microsoft Visual C ++ 2015 (x64) :

    • Installation automatique de Microsoft .NET Core 3.1.8 :

  5. Si aucune application IIS n'est protégée par UserLock sur ce serveur et que vous souhaitez uniquement y configurer la MFA IIS:

    • Exécutez la console UserLock. Dans la vue "Distribution de l'agent", sélectionnez la ligne "IIS" du serveur IIS vers lequel vous souhaitez que les applications IIS soient redirigées lorsque la MFA est requise. Cliquez avec le bouton droit et sélectionnez "Installer", cela déploiera le(s) nom(s) de serveur UserLock dans le registre de ce serveur.

    • Connectez-vous au serveur IIS cible. Exécutez Regedit. Supprimez la valeur de Registre suivante:

      HKEY_LOCAL_MACHINE\SOFTWARE\ISDecisions\UserLock\IIS\Volatile\UlStatus

3. Ajouter l'application UserLock MFA dans IIS

  1. Dans le Gestionnaire des services Internet (IIS Manager), créez un nouveau pool d'applications sans .NET CLR («version .NET CLR» doit être «No Managed Code »)

    • Name: 'UserLockIisMfaAppPool'
    • .NET CLR version: No Managed Code
    • Managed pipeline mode: Integrated

  2. Accédez à Paramètres avancés / Modèle de processus; Définissez la valeur Load User Profile sur "True"

  3. Dans un site Web, créez une nouvelle application qui utilise le pool d'applications précédent:

  4. Configurez cette application avec le dossier «MFA_IIS» sous le dossier d'installation UserLock. Par défaut: "% ProgramFiles (x86)% \ ISDecisions \ UserLock \ MFA_IIS".

  5. Redémarrez IIS (le service «W3SVC»).

  6. Exécutez la console UserLock. Dans la vue «Authentification multifacteur», remplissez «URL de l'application IIS MFA» avec l'URL de l'application IIS MFA (configurée juste au-dessus) puis appliquez:

4. Effectuer une connexion MFA IIS

  1. Parcourez votre application IIS protégée par UserLock.

  2. Lorsque vous y êtes invité, procédez à l'inscription MFA en utilisant le code QR.

  3. Pour les ouvertures de session suivantes, seul le code MFA est demandé.

Limitation

Concernant Microsoft Exchange, cette fonctionnalité fonctionnera uniquement pour les fonctionnalités OWA (Outlook Web Access) et ECP (Exchange Control Panel). Dans les paramètres avancés (via F7 dans la console UserLock), par défaut, toutes les applications Exchange non prises en charge sont répertoriées ici.