Категории статей: Identity Essentials > Установка

Установка Identity Essentials для аутентификации пользователей сайтов Microsoft IIS

Identity Essentials может быть установлен и настроен в режиме защиты любых веб-сайтов на базе веб-сервера Microsoft IIS. Как и в других интеграциях основные компоненты системы могут устанавливаться на разных серверах в соответствии с требованиями к отказоустойчивости. Чаще всего на рабочий веб-сервер устанавливается лишь один из компонентов - клиент аутентификации (Authentication client), а остальные функциональные блоки - на другие серверы.

Обратите пожалуйста внимание, что Identity Essentials может защитить только те сайты, для которых в настройках IIS включена аутентификация одного из следующих типов:

  • Basic
  • Windows Authentication
  • ASP.NET Forms

Установка системы

В простейшем варианте все компоненты устанавливаются на сервер IIS, который требуется защитить. 

  1. Запустите программу-установщик Entrust Identity Essentials
  2. В ходе установки задайте такие параметры, как папку, в которую следует установить программу и телефонный код страны, куда будут отправляться SMS.
  3. При выборе типов компонентов, которые следует установить, выберите оба варианта:

    Выбор типов компонентов для установки

  4. При выборе устанавливаемых компонентов оставьте предложенные варианты по умолчанию:

    Выбор устанавливаемых компонентов

  5. Выберите интеграцию с IIS сервером в окне выбора клиента аутентификации (интеграции):

    Выбор интеграции с веб-сайтом IIS

  6. Даже, если Вы устанавливаете все компоненты на один сервер, все равно потребуется задать пароль (shared secret), который используется при взаимодействии распределенных служб Identity Essentials:

    Пароль (shared secret) для взаимодействия распределенных компонентов

Настройка Identity Essentials

Сразу после установки в режиме защиты сайтов IIS продукт не защищает ни один из сайтов IIS автоматически за исключением сайтов Outlook Web Access (OWA) и RD Web - эти сайты, в случае соответствующего выбора на этапе установки, будут защищаться двухфакторной аутентификацией сразу.

Для того, чтобы включить аутентификацию Identity Essentials для определенного сайта, проще всего воспользоваться специальным набором команд Powershell (а вообще это можно сделать еще прямым редактированием конфигурационного файта).

Сразу после установки продукта вы можете воспользоваться следующей командой Powershell, чтобы добавить сайт в число защищаемых:

Protect-SmsPcIisWebSite

Пример использования команды для защиты сайта с именем Default Web Site: 

Protect-SmsPcIisWebSite -Name "Default Web Site"

После выполнения данной команды без ошибки в папке сайта должен появиться виртуальный каталог smspasscodelogon, что будет свидетельствовать об успешном завершении настройки:

Дополнительный каталог в папке сайта после включения двухфакторной аутентификации

Полный список Powershell команд и их параметров можно найти в руководстве Identity Essentials (раздел 24.3).

Проверка работоспособности системы

Для начала работы помимо настроек, специфичных для защиты сайтов IIS, необходимо также добавить хотя бы одного пользователя и подключить хотя бы один канал отправки одноразовых кодов. Пройдя по ссылкам ниже вы можете узнать, как выполнить эти дополнительные действия:

Когда все подготовительные этапы завершены, просто откройте защищаемый сайт в веб-браузере. Стандартную аутентификацию (Basic, Windows или ASP.NET Forms) потребуется пройти до того, как Identity Essentials отправит одноразовый код и предложит его ввести для подтверждения. Например, если включена аутентификация Windows (что типично для корпоративных приложений для сотрудников), то аутентифицированный пользователь домена сразу увидит страницу примерно такого содержания:

Запрос на ввод одноразового пароля