UserLock Documentation
UserLock Documentation
Vous êtes ici: Cas d'utilisation > Authentification multifacteur > Comment appliquer la MFA pour les applications IIS telles que OWA, RDWeb et Sharepoint

Comment appliquer la MFA pour les applications IIS telles que OWA, RDWeb et Sharepoint

Si l'authentification multifacteur est requise pour une application IIS spécifique comme 'Outlook Web Access' (voir ce cas d'utilisation avancé en anglais pour les détails), RDWeb, SharePoint, CRM etc. ou un site Intranet, l'agent redirigera l'utilisateur vers une application Web dédiée dans laquelle l'utilisateur peut s'inscrire à la MFA et entrer le code MFA avant d'accéder à l'application IIS protégée.

Video Tutorial

Une visite guidée sur comment ajouter l'Authentification à Deux Facteurs pour Outlook Web Access et RDWeb avec UserLock

Dans ce cas d'utilisation, nous allons protéger une seule application Web (Outlook Web Access) à l'aide de MFA pour IIS.

Procédure

  1. Installer l'agent UserLock IIS sur le serveur IIS
  2. Installer la fonctionnalité UserLock IIS MFA
  3. Ajouter l'application UserLock MFA dans IIS
  4. Ajouter l'URL de cette application dans la section MFA des propriétés du serveur UserLock
  5. Appliquer la MFA pour les sessions IIS des comptes protégés
  6. Effectuer une connexion MFA IIS

1. Installer l'agent UserLock IIS sur le serveur IIS

Pré-requis

  • Assurez-vous que l'agent IIS est installé sur le serveur IIS cible pour lequel vous souhaitez protéger les sessions IIS.
  • La fonctionnalité UserLock "IIS MFA" doit être installée sur le serveur IIS sur lequel vous souhaitez que les applications IIS soient redirigées lorsque la MFA est requise. Voir la section spécifique ci-dessous.
  • En utilisant la technologie DNS split brain, l'adresse IP du serveur IIS hébergeant le module IIS MFA doit être accessible comme suit:
    • En interne, depuis le réseau privé.
    • En externe, depuis Internet
  • Le routeur externe est configuré pour permettre au port désigné d'être redirigé de l'extérieur vers le serveur IIS hébergeant le module IIS MFA.
  • REMARQUE: un serveur d'accès au client Exchange est un exemple de serveur qui répond aux critères ci-dessus.


Les applications IIS doivent être protégées par «l'agent IIS» UserLock à l'aide de la technologie du module HTTP.

  1. Exécutez la console UserLock.
  2. Dans la vue "Distribution de l'agent", sélectionnez la ligne "IIS" du serveur IIS qui hébergera les applications IIS à protéger avec UserLock. Faites un clic droit et sélectionnez "Installer".
  3. Sur ce serveur IIS cible, configurez les applications IIS pour qu'elles se protègent avec l'agent IIS UserLock à l'aide de la technologie du module HTTP. Pour plus de détails, consultez cette page.

2. Installer la fonctionnalité UserLock IIS MFA

La fonctionnalité UserLock «IIS MFA» doit être installée sur le serveur IIS vers lequel vous souhaitez que les applications IIS soient redirigées lorsque la MFA est requise. Notez que cette fonctionnalité n'est pas installée si vous avez choisi «Standard» lorsque vous installez UserLock.

  1. Connectez-vous au serveur IIS vers lequel vous souhaitez que les applications IIS soient redirigées lorsque la MFA est requise.
  2. Si UserLock est déjà installé:

    • Panneau de configuration, Désinstaller un programme, UserLock, Modifier:

    • Comme expliqué ci-dessus: clic gauche sur «Applications Web», clic gauche sur «IIS MFA», «La fonctionnalité sera installée…».
  3. Sur une nouvelle installation UserLock, choisissez «Personnalisé» puis faites un clic gauche sur «Applications Web», faites un clic gauche sur «IIS MFA», «La fonctionnalité sera installée…»:

  4. Remarque: sur Windows Server 2012 R2, cela vous proposera d'installer des dépendances:

    • Choisissez "Oui" :

    • Installation automatique du package redistribuable Microsoft Visual C ++ 2015 (x64) :

    • Installation automatique de Microsoft .NET Core 3.1.8 :

  5. Si aucune application IIS n'est protégée par UserLock sur ce serveur et que vous souhaitez uniquement y configurer la MFA IIS:

    • Exécutez la console UserLock. Dans la vue "Distribution de l'agent", sélectionnez la ligne "IIS" du serveur IIS vers lequel vous souhaitez que les applications IIS soient redirigées lorsque la MFA est requise. Cliquez avec le bouton droit et sélectionnez "Installer", cela déploiera le(s) nom(s) de serveur UserLock dans le registre de ce serveur.
    • Connectez-vous au serveur IIS cible. Exécutez Regedit. Supprimez la valeur de Registre suivante:

      HKEY_LOCAL_MACHINE\SOFTWARE\ISDecisions\UserLock\IIS\Volatile\UlStatus

3. Ajouter l'application UserLock MFA dans IIS

Pour ajouter UserLock MFA dans IIS il existe trois possibilités. Vous pouvez l'installer avec l’assistant de configuration (12.1 minimum) ou l'outil de ligne de commande ou via la console IIS Manager.

3.1: Avec l’assistant de configuration (12.1 minimum)

  1. Lancer l'assistant de configuration en le recherchant dans le menu Démarrer. Dans la section MFA pour IIS cliquez sur « Configurer ».

  2. L'assistant vérifie si tous les composants Windows sont installés. Si certains sont manquants, vous serez invité à les installer.

  3. Choisissez le site web dans lequel vous voulez que l’application web soit ajoutée.

  4. Une fois l'application installée avec succès, vous pouvez continuer l'étape suivante.

3.2 L'outil de ligne de commande

Pour l'installer avec l'outil de ligne de commande (UserLockInstaller.exe):
Executer le programme (%ProgramFiles(x86)%\ISDecisions\UserLock\UserLockInstaller)

Une fois l'application installée avec succès, vous pouvez continuer l'étape suivante.

3.3 Manuellement via la console IIS Manager

  1. Dans le Gestionnaire des services Internet (IIS Manager), créez un nouveau pool d'applications sans .NET CLR («version .NET CLR» doit être «No Managed Code »)

    • Name: 'UserLockIisMfaAppPool'
    • .NET CLR version: No Managed Code
    • Managed pipeline mode: Integrated
  2. Sur les anciens serveurs Windows tels que Windows Server 2008 R2 et Windows Server 2012, il est nécessaire d'accéder à Paramètres avancés/Modèle de processus et de définir la valeur "Load User Profile" sur True.
    Sur les versions plus récentes du serveur Windows, cette opération est facultative.

  3. Dans un site Web, créez une nouvelle application qui utilise le pool d'applications précédent:

  4. Configurez cette application avec le dossier «MFA_IIS» sous le dossier d'installation UserLock. Par défaut: "% ProgramFiles (x86)% \ ISDecisions \ UserLock \ MFA_IIS".

  5. Redémarrez IIS (le service «W3SVC»).

Note: Pour le RDWeb, étant basé sur l'authentification par formulaire, il est nécessaire de configurer une entrée de registre comme c'est expliqué dans https://www.youtube.com/watch?v=SL_1b1AJrek de 1:59 à 2:50.

4. Ajouter l'URL de cette application dans la section MFA des propriétés du serveur UserLock

Exécutez la console UserLock. Dans la vue «Authentification multifacteur», remplissez «URL de l'application IIS MFA» avec l'URL de l'application IIS MFA (configurée juste au-dessus). Vous pouvez cliquez sur le bouton de Test afin de verifier votre connexion puis cliquez sur Appliquer pour sauvegarder les paramètres.

5. Appliquer la MFA pour les sessions IIS des comptes protégés

Dans la section MFA du compte protégé, sélectionnez le type de connexion et la fréquence à laquelle vous souhaitez que l'utilisateur soit invité à utiliser la MFA.

5. Effectuer une connexion MFA IIS

  1. Parcourez votre application IIS protégée par UserLock.

  2. Lorsque vous y êtes invité, procédez à l'enregistrement MFA en utilisant le code QR.

  3. Pour les ouvertures de session suivantes, seul le code MFA est demandé.

Limitation

Concernant Microsoft Exchange, cette fonctionnalité fonctionnera uniquement pour les fonctionnalités OWA (Outlook Web Access) et ECP (Exchange Control Panel). Dans les paramètres avancés (via F7 dans la console UserLock), par défaut, toutes les applications Exchange non prises en charge sont répertoriées ici.