Comment appliquer la MFA pour les applications IIS telles que OWA, RDWeb et Sharepoint
Si l'authentification multifacteur est requise pour une application IIS spécifique comme 'Outlook Web Access' (voir ce cas d'utilisation avancé en anglais pour les détails), RDWeb, SharePoint, CRM etc. ou un site Intranet, l'agent redirigera l'utilisateur vers une application Web dédiée dans laquelle l'utilisateur peut s'inscrire à la MFA et entrer le code MFA avant d'accéder à l'application IIS protégée.
Video Tutorial
Une visite guidée sur comment ajouter l'Authentification à Deux Facteurs pour Outlook Web Access et RDWeb avec UserLock
Dans ce cas d'utilisation, nous allons protéger une seule application Web (Outlook Web Access) à l'aide de MFA pour IIS.
Procédure
- Installer l'agent UserLock IIS sur le serveur IIS
- Installer la fonctionnalité UserLock IIS MFA
- Ajouter l'application UserLock MFA dans IIS
- Appliquer les paramètres serveur à un compte protégé
- Effectuer une connexion MFA IIS
1. Installer l'agent UserLock IIS sur le serveur IIS
Pré-requis
- Assurez-vous que l'agent IIS est installé sur le serveur IIS cible pour lequel vous souhaitez protéger les sessions IIS.
- La fonctionnalité UserLock "IIS MFA" doit être installée sur le serveur IIS sur lequel vous souhaitez que les applications IIS soient redirigées lorsque la MFA est requise. Voir la section spécifique ci-dessous.
-
En utilisant la technologie DNS split brain, l'adresse IP du serveur IIS hébergeant le module IIS MFA doit être accessible comme suit:
- En interne, depuis le réseau privé.
- En externe, depuis Internet
- Le routeur externe est configuré pour permettre au port désigné d'être redirigé de l'extérieur vers le serveur IIS hébergeant le module IIS MFA.
- REMARQUE: un serveur d'accès au client Exchange est un exemple de serveur qui répond aux critères ci-dessus.
Les applications IIS doivent être protégées par «l'agent IIS» UserLock à l'aide de la technologie du module HTTP.
- Exécutez la console UserLock.
- Dans la vue "Distribution de l'agent", sélectionnez la ligne "IIS" du serveur IIS qui hébergera les applications IIS à protéger avec UserLock. Faites un clic droit et sélectionnez "Installer".
- Sur ce serveur IIS cible, configurez les applications IIS pour qu'elles se protègent avec l'agent IIS UserLock à l'aide de la technologie du module HTTP. Pour plus de détails, consultez cette page.
2. Installer la fonctionnalité UserLock IIS MFA
La fonctionnalité UserLock «IIS MFA» doit être installée sur le serveur IIS vers lequel vous souhaitez que les applications IIS soient redirigées lorsque la MFA est requise. Notez que cette fonctionnalité n'est pas installée si vous avez choisi «Standard» lorsque vous installez UserLock.
- Connectez-vous au serveur IIS vers lequel vous souhaitez que les applications IIS soient redirigées lorsque la MFA est requise.
-
Si UserLock est déjà installé:
-
Panneau de configuration, Désinstaller un programme, UserLock, Modifier:
- Comme expliqué ci-dessus: clic gauche sur «Applications Web», clic gauche sur «IIS MFA», «La fonctionnalité sera installée…».
-
-
Sur une nouvelle installation UserLock, choisissez «Personnalisé» puis faites un clic gauche sur «Applications Web», faites un clic gauche sur «IIS MFA», «La fonctionnalité sera installée…»:
-
Remarque: sur Windows Server 2012 R2, cela vous proposera d'installer des dépendances:
-
Choisissez "Oui" :
-
Installation automatique du package redistribuable Microsoft Visual C ++ 2015 (x64) :
-
Installation automatique de Microsoft .NET Core 3.1.8 :
-
-
Si aucune application IIS n'est protégée par UserLock sur ce serveur et que vous souhaitez uniquement y configurer la MFA IIS:
- Exécutez la console UserLock. Dans la vue "Distribution de l'agent", sélectionnez la ligne "IIS" du serveur IIS vers lequel vous souhaitez que les applications IIS soient redirigées lorsque la MFA est requise. Cliquez avec le bouton droit et sélectionnez "Installer", cela déploiera le(s) nom(s) de serveur UserLock dans le registre de ce serveur.
-
Connectez-vous au serveur IIS cible. Exécutez Regedit. Supprimez la valeur de Registre suivante:
HKEY_LOCAL_MACHINE\SOFTWARE\ISDecisions\UserLock\IIS\Volatile\UlStatus
3. Ajouter l'application UserLock MFA dans IIS
Pour ajouter UserLock MFA dans IIS il existe deux possibilités. Vous pouvez l'installer avec l'outil de ligne de commande ou via l'interface.
Pour l'installer avec l'outil de ligne de commande (UserLockInstaller.exe):
Executer le programme (%ProgramFiles(x86)%\ISDecisions\UserLock\UserLockInstaller)
Choisissez "Install MFA for IIS" (Ici n°6) puis aller directement à l'étape 6 du chapitre 3 (Ajouter l'application UserLock MFA dans IIS).
Pour l’installer via l’interface :
-
Dans le Gestionnaire des services Internet (IIS Manager), créez un nouveau pool d'applications sans .NET CLR («version .NET CLR» doit être «No Managed Code »)
- Name: 'UserLockIisMfaAppPool'
- .NET CLR version: No Managed Code
- Managed pipeline mode: Integrated
-
Sur les anciens serveurs Windows tels que Windows Server 2008 R2 et Windows Server 2012, il est nécessaire d'accéder à Paramètres avancés/Modèle de processus et de définir la valeur "Load User Profile" sur True.
Sur les versions plus récentes du serveur Windows, cette opération est facultative. -
Dans un site Web, créez une nouvelle application qui utilise le pool d'applications précédent:
-
Configurez cette application avec le dossier «MFA_IIS» sous le dossier d'installation UserLock. Par défaut: "% ProgramFiles (x86)% \ ISDecisions \ UserLock \ MFA_IIS".
- Redémarrez IIS (le service «W3SVC»).
-
Exécutez la console UserLock. Dans la vue «Authentification multifacteur», remplissez «URL de l'application IIS MFA» avec l'URL de l'application IIS MFA (configurée juste au-dessus). Vous pouvez cliquez sur le bouton de Test afin de verifier votre connexion puis cliquez sur Appliquer pour sauvegarder les paramètres.
- Pour le RDWeb, étant basé sur l'authentification par formulaire, il est nécessaire de configurer une entrée de registre comme c'est expliqué dans https://www.youtube.com/watch?v=SL_1b1AJrek de 1:59 à 2:50.
4. Appliquer les paramètres serveur à un compte protégé
Une connexion à une session IIS est considerée comme une session serveur dans les paramètres MFA. Pour que la MFA soit demandée aux utilisateurs pour les applications IIS que vous avez configurées, ils doivent avoir activé la MFA pour les connexions de serveur dans leur compte protégé:
Si un utilisateur s'est déjà authentifié avec la MFA sur une autre session (sur son poste de travail par exemple) depuis la même adresse IP, il ne sera plus sollicité si les paramètres "Lors de la connexion depuis une nouvelle adresse IP" ou "A la première connexion de la journée " sont sélectionnés.
5. Effectuer une connexion MFA IIS
-
Parcourez votre application IIS protégée par UserLock.
-
Lorsque vous y êtes invité, procédez à l'inscription MFA en utilisant le code QR.
-
Pour les ouvertures de session suivantes, seul le code MFA est demandé.
Limitation
Concernant Microsoft Exchange, cette fonctionnalité fonctionnera uniquement pour les fonctionnalités OWA (Outlook Web Access) et ECP (Exchange Control Panel). Dans les paramètres avancés (via F7 dans la console UserLock), par défaut, toutes les applications Exchange non prises en charge sont répertoriées ici.