Настройка двухфакторной аутентификации ADFS — Контур.Эгида

В этой статье

Настройка двухфакторной аутентификации ADFS

25 февраля 2026

ADFS — важный компонент корпоративной инфраструктуры аутентификации на базе Microsoft Active Directory. Через него пользователи получают доступ к внутренним и внешним приложениям, корпоративным порталам и системам, включая критичные рабочие сервисы с чувствительной информацией. При этом компрометация учетной записи в домене напрямую влияет на безопасность всей IT-среды. В этой статье разберем, что такое ADFS, как выполняется настройка двухфакторной аутентификации в ADFS и какие аспекты особенно важны с точки зрения информационной безопасности.

Александр Котов

Что такое ADFS и зачем он используется в корпоративной инфраструктуре

ADFS (Active Directory Federation Services) — это служба федерации Active Directory, инструмент Microsoft, который используется для централизованной аутентификации пользователей и управления доступом к приложениям и системам. Простыми словами, ADFS — это сервер, который подтверждает личность пользователя и сообщает приложениям, можно ли давать ему доступ.

В отличие от классической AD-авторизации, где проверка логина и пароля происходит непосредственно внутри домена, ADFS выносит процесс аутентификации в отдельную службу. Это позволяет:

  • реализовать single sign-on для нескольких applications;
  • подключать внешние и облачные systems;
  • централизованно управлять доступом пользователей;
  • применять дополнительные меры безопасности поверх Active Directory.

На практике ADFS используется для:

  • корпоративных порталов;
  • web-приложений;
  • сервисов самообслуживания пользователей, включая порталы смены пароля.

ADFS как критическая точка с точки зрения информационной безопасности

С точки зрения информационной безопасности ADFS является одной из самых чувствительных точек инфраструктуры. Причина в том, что через него проходят запросы на доступ сразу к нескольким системам, а иногда — ко всем корпоративным приложениям.

Основные ИБ-риски, связанные с ADFS:

Риск Почему это критично

Компрометация пароля

Дает доступ сразу ко всем связанным приложениям

Централизация

Одна ошибка может повлиять на всю инфраструктуру

Доверие приложений

Приложения полностью доверяют ADFS

Если злоумышленник получает доступ к учетной записи пользователя, ADFS фактически открывает ему доступ ко всем системам, к которым у этого пользователя есть права.

Именно поэтому настройка ADFS должна рассматриваться не как формальная установка компонента Windows Server, а как элемент построения системы защиты доступа.

Базовые этапы настройки ADFS

Процесс настройки ADFS включает несколько ключевых шагов, каждый из которых важен с точки зрения информационной безопасности:

  1. Развертывание ADFS на Windows Server.
  2. Настройка службы федерации и сертификатов.
  3. Интеграция с Active Directory.
  4. Подключение приложений и систем.
  5. Настройка политик доступа и журналирования.

Ошибки на любом из этих этапов могут привести к:

  • обходу аутентификации;
  • неконтролируемому доступу пользователей;
  • отсутствию аудита событий входа.

Почему стандартной настройки ADFS может быть недостаточно

По умолчанию ADFS как служба Microsoft использует классическую схему: логин и пароль домена. С точки зрения информационной безопасности этого уже недостаточно, потому что:

  • пароли могут быть украдены через фишинг;
  • пользователи повторно используют пароли;
  • утечки из сторонних сервисов затрагивают доменные учетные записи.

В результате один скомпрометированный пароль может дать злоумышленнику доступ к нескольким критичным системам. Именно на этом этапе становится очевидной необходимость двухфакторной аутентификации в ADFS.

Установка адаптера 2ФА для ADFS

Чтобы реализовать двухфакторную аутентификацию в ADFS, используется специальный адаптер аутентификации. Он встраивается в стандартный процесс проверки подлинности и добавляет дополнительный уровень защиты поверх AD-авторизации.

ID может использоваться как адаптер второго фактора для Microsoft ADFS. Он интегрируется в существующую инфраструктуру и не требует изменения логики доменной авторизации.

Чтобы настроить ID как адаптер, выполните следующие шаги:

  1. Перейдите на Windows Server с настроенным AD FS.
  2. Скачайте адаптер ID из кабинета администратора на Windows Server.
  3. Запустите файл «installScript.ps1».

После установки в AD FS станет доступен новый способ проверки двухфакторной аутентификации.

Выбор способа проверки 2ФА в ADFS

  1. Перейдите в «Server Manager» и нажмите «Tools» → «AD FS Management».
  2. В меню выберите «Service» → «Authentication Methods» и нажмите «Edit Multi-factor Authentication Methods...».
  3. На вкладке «Addditional» выберите «Kontur.ID ADFS adapter».
  4. Нажмите «Apply» → «OK»

Выбор приложения

  1. В левом меню выберите «Service» → «Relying Party Trusts». 
  2. Выберите  приложение для настройки двухфакторной аутентификации в открывшемся окне.
  3. В правом окне нажмите «Edit Access Control Policy» или правой кнопкой мыши по приложению.
  4. Выберите вариант, предполагающий запрос «MFA».Как правило, достаточно выбрать «Permit everyone and require MFA». Нажмите «Apply» → «OK».

Настройка двухфакторной аутентификации завершена.

Обновление ADFS

ADFS является компонентом Windows Server и напрямую зависит от обновлений Microsoft. При этом обновление ADFS часто воспринимается как второстепенная задача, к которой может применяться подход: «если работает — не трогать». С точки зрения информационной безопасности такой подход опасен.

ADFS обрабатывает аутентификацию пользователей и выдает токены доступа для приложений и систем. Любая уязвимость в этой цепочке может привести к компрометации доменных учетных записей или обходу механизмов защиты.

Регулярное обновление ADFS необходимо, потому что с помощью обновлений:

  • закрываются уязвимости в службе;
  • устраняются ошибки, влияющие на корректность аутентификации;
  • повышается устойчивость к атакам;
  • обеспечивается совместимость с современными механизмами защиты.

При обновлении ADFS важно обновить и адаптер: 

  1. Перед началом обновления сделайте резервную копию текущих настроек. Это обеспечит возможность быстро вернуться к исходным параметрам при необходимости.
  2. В кабинете администратора скачайте актуальный адаптер. Это может быть новая конфигурация или существующая, которую вы хотите обновить.
  3. Проверьте технические требования. Перед обновлением адаптера убедитесь, что установлены следующие компоненты:
    • Версия Exchange Server 2013 и выше.
    • Microsoft.NET Framework 4.8 и выше.
  4. Остановите службу адаптера, чтобы избежать конфликтов при обновлении.
  5. Замените файлы. Для этого распакуйте скачанный архив и замените все файлы в директории адаптера новыми, кроме файла appsettings.json, который содержит ваши текущие настройки.
  6. После замены файлов запустите службу адаптера.

Таким образом, вы обновите ADFS и при этом сохраните текущие настройки.

Заключение

ADFS играет центральную роль в доменной авторизации и управлении доступом пользователей к корпоративным приложениям. Использование только логина и пароля больше не соответствует современным требованиям информационной безопасности. Двухфакторная аутентификация ADFS позволяет снизить риски компрометации учетных записей и усилить защиту домена. Контур.ID дает возможность реализовать этот подход на практике — централизованно, удобно и с учетом реальных ИБ-сценариев.

Александр Котов
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться