Как настроить 2FA для ADFS, SAML и OpenID Connect и защитить корпоративные приложения — Контур.Эгида

В этой статье

Как настроить 2FA для ADFS, SAML и OpenID Connect и защитить корпоративные приложения

20 марта 2026

ADFS часто становится единой точкой входа в корпоративные приложения — от внутренних систем до облачных сервисов. Если доступ к нему защищен только паролем, компрометация одной учетной записи может открыть злоумышленнику сразу несколько систем. В статье разберем, как работает 2FA для ADFS, как ее настроить для SAML и OpenID Connect и какие риски она закрывает при защите корпоративных приложений.

Фотография Дмитрий Мельников Дмитрий Мельников Руководитель группы

Что дает 2FA в ADFS и какие риски она закрывает

Active Directory Federation Services (ADFS) используется для единого входа (SSO) в корпоративные системы. Через него проходят аутентификация и выдача токенов доступа для внутренних сервисов, SaaS-приложений и партнерских систем.

Если вход защищен только паролем, возникает несколько рисков:

  • компрометация учетных данных через фишинг или утечки паролей;
  • повторное использование паролей для разных сервисов;
  • доступ к нескольким приложениям через одну точку входа.

Фактически ADFS становится критическим узлом инфраструктуры. Получив доступ к учетной записи пользователя, злоумышленник может пройти аутентификацию и получить доступ к связанным сервисам — например, к CRM, корпоративному порталу или облачным приложениям.

Как 2FA усиливает защиту корпоративных приложений

Двухфакторная аутентификация (2FA) добавляет второй уровень проверки пользователя. Даже если пароль скомпрометирован, доступ к системе остается защищенным.

На практике 2FA для ADFS позволяет:

  1. Требовать дополнительное подтверждение входа — OTP-код, push-подтверждение или аппаратный токен.
  2. Применять разные политики доступа для различных приложений.
  3. Снижать риск несанкционированного входа в корпоративные сервисы.

В инфраструктурах с SAML и OpenID Connect это особенно важно, потому что аутентификация происходит централизованно. Один успешный вход через ADFS может открыть доступ сразу к нескольким системам.

Как меняется модель доступа после внедрения 2FA

Сценарий Только пароль С включенной 2FA

Фишинг учетных данных

Доступ к системе возможен

Требуется второй фактор

Утечка паролей

Учетная запись легко используется злоумышленником

Пароль сам по себе бесполезен

Доступ к нескольким приложениям через SSO

Один пароль открывает все сервисы

Каждый вход требует подтверждения

Таким образом, двухфакторная аутентификация ADFS защищает не только сам сервер федерации, но и все корпоративные приложения, которые используют его для аутентификации.

Какую роль играют SAML и OpenID Connect

ADFS выдает приложениям подтверждение личности пользователя через протоколы федеративной аутентификации — чаще всего это SAML 2.0 и OpenID Connect.

Коротко различие можно описать так:

Протокол Где используется

SAML

корпоративные веб-приложения, внутренние системы, интеграции с SaaS

OpenID Connect

современные веб-сервисы, API и облачные приложения

В обоих случаях ADFS выполняет роль Identity Provider (IdP) — системы, которая подтверждает личность пользователя и выдает приложению токен доступа.

Если на уровне ADFS включена двухфакторная аутентификация, дополнительная проверка автоматически распространяется на все приложения, которые используют федеративную аутентификацию.

Именно поэтому настройка 2FA в ADFS считается одним из самых эффективных способов повысить безопасность корпоративных сервисов: защита внедряется централизованно и сразу распространяется на весь контур SSO.

С чего начать настройку 2FA для ADFS

Внедрение двухфакторной аутентификации для ADFS обычно не требует перестройки всей инфраструктуры. Второй фактор добавляется на уровне сервера федерации и начинает применяться к приложениям, которые используют ADFS для аутентификации — через SAML или OpenID Connect.

Перед настройкой важно определить три вещи: какой 2FA-провайдер будет использоваться, какие приложения нужно защищать и какие политики доступа будут применяться.

Как работает интеграция 2FA-провайдера с ADFS

ADFS поддерживает подключение внешних систем многофакторной аутентификации через 2FA-адаптеры. Это специальные модули, которые добавляют дополнительную проверку пользователя в процесс входа.

Возможный сценарий выглядит так:

  1. Пользователь вводит логин и пароль в системе, которая использует ADFS.
  2. ADFS проверяет учетные данные в Active Directory.
  3. Если политика требует второй фактор, сервер федерации передает запрос в 2FA-провайдер.
  4. Пользователь подтверждает вход — например, вводит OTP-код из приложения.
  5. После успешной проверки ADFS выдает приложению SAML-assertion или OpenID-токен.

Так второй фактор становится частью процесса федеративной аутентификации.

Установка 2FA-адаптера для ADFS

Чтобы включить 2FA в Active Directory Federation Services, необходимо установить адаптер выбранного провайдера многофакторной аутентификации.

Обычно процесс включает несколько шагов:

  1. Установка компонента 2FA на сервер ADFS.
  2. Подключение адаптера к службе федерации.
  3. Настройка связи с сервером 2FA или облачным сервисом.
  4. Проверка доступных методов второго фактора.

В качестве второго фактора могут использоваться:

  • TOTP-коды из приложений-аутентификаторов;
  • push-подтверждения;
  • аппаратные токены;
  • SMS или одноразовые пароли.

Выбор зависит от политики безопасности компании и требований к удобству пользователей.

Регистрация 2FA-провайдера в ADFS

После установки адаптера его необходимо зарегистрировать в конфигурации ADFS.

На этом этапе:

  • включается 2FA-провайдер в настройках ADFS;
  • определяются методы второго фактора;
  • задаются правила, когда требуется дополнительная аутентификация.

Например, второй фактор можно требовать:

  • только для удаленного доступа;
  • для входа в критичные приложения;
  • для определенных групп пользователей.

Такая гибкость позволяет внедрить 2FA для ADFS без серьезного влияния на рабочие процессы.

Как проверить работу 2FA на тестовом контуре

Перед включением 2FA для всех пользователей важно проверить настройку на тестовом контуре или пилотной группе.

Минимальный набор проверок:

  1. вход пользователя через ADFS с требованием второго фактора;
  2. корректная генерация SAML-assertion или OpenID-токена после 2FA;
  3. обработка ошибок аутентификации;
  4. логирование событий входа.

Это позволяет убедиться, что двухфакторная аутентификация ADFS корректно работает с приложениями и не ломает существующие сценарии доступа.

Как настроить 2FA для приложений на SAML через ADFS

Во многих корпоративных инфраструктурах именно SAML-аутентификация через ADFS используется для доступа к внутренним системам и SaaS-сервисам. В этом сценарии сервер федерации выступает Identity Provider, который подтверждает личность пользователя и передает приложению утверждение (SAML assertion).

Если на уровне ADFS включена 2FA, второй фактор становится частью процесса аутентификации.

Настройка SAML Relying Party Trust

Для интеграции приложения с ADFS создается объект Relying Party Trust — запись, которая описывает доверенное приложение.

В настройке указываются:

  • идентификатор сервиса (Entity ID);
  • URL точки приема SAML-ответа;
  • правила выдачи утверждений (claims).

После этого приложение начинает принимать SAML-токены, выданные сервером ADFS.

Как включить 2FA для SAML-приложений

Следующий шаг — настроить правила аутентификации, которые требуют второй фактор при входе.

В ADFS это делается через Access Control Policies или правила аутентификации. Например, можно задать условия:

  • 2FA требуется для всех пользователей;
  • второй фактор включается только при доступе из внешней сети;
  • 2FA применяется только к определенным приложениям.

После включения политики схема доступа выглядит так:

  1. пользователь обращается к приложению;
  2. приложение перенаправляет его на ADFS;
  3. пользователь вводит логин и пароль;
  4. ADFS запрашивает второй фактор;
  5. после успешной проверки выдается SAML-assertion.

Так реализуется защита корпоративных приложений на SAML с помощью 2FA.

Практические сценарии: 1С, Avanpost, AWS SAML

SAML-аутентификация через ADFS используется для разных типов систем — от внутренних приложений до облачных сервисов.

Примеры:

Система Как используется SAML

1С и внутренние порталы

единый вход сотрудников через корпоративный домен

Различные IAM-решения

федерация доступа между системами

AWS и облачные сервисы

доступ к облачной инфраструктуре через корпоративную учетную запись

Во всех этих сценариях 2FA для ADFS позволяет централизованно защитить доступ к сервисам. Пользователь проходит многофакторную аутентификацию один раз на уровне сервера федерации, после чего приложение получает подтверждение личности через SAML-токен.

Как настроить 2FA для OpenID Connect через ADFS

Помимо SAML, современные корпоративные приложения часто используют OpenID Connect (OIDC) — протокол аутентификации, построенный поверх OAuth 2.0. Он применяется в веб-сервисах, API и облачных приложениях, где требуется централизованная аутентификация через ADFS.

В этом сценарии двухфакторная аутентификация работает так же: пользователь проходит проверку личности на стороне сервера федерации, после чего приложение получает ID-токен OpenID Connect. Если на уровне ADFS включена 2FA, второй фактор автоматически становится частью процесса входа.

Конфигурация OpenID Connect с 2FA

Чтобы приложение использовало OpenID Connect через ADFS, его необходимо зарегистрировать в службе федерации как клиент.

В базовой конфигурации указываются:

  • Client ID приложения;
  • Redirect URI для возврата пользователя после аутентификации;
  • тип токена и используемые потоки аутентификации;
  • политики доступа и требования к 2FA.

После регистрации приложение перенаправляет пользователя на сервер ADFS для аутентификации. Если политика требует второй фактор, ADFS выполняет дополнительную проверку — например, запрашивает OTP-код из приложения-аутентификатора.

Упрощенная схема выглядит так:

  1. Пользователь открывает приложение.
  2. Приложение перенаправляет его на ADFS через OpenID Connect.
  3. Пользователь вводит логин и пароль.
  4. ADFS запрашивает второй фактор.
  5. После успешной проверки приложение получает OIDC-токен.

Так реализуется двухфакторная аутентификация с OpenID через ADFS.

Что важно учесть при защите OpenID Connect-приложений

При внедрении 2FA для OpenID Connect важно учитывать несколько практических моментов.

1. Политики доступа

Не все приложения требуют одинакового уровня защиты. Например, для административных интерфейсов 2FA может быть обязательной, а для внутренних сервисов — применяться только при внешнем доступе.

2. Совместимость клиентов

Некоторые старые приложения поддерживают только базовые сценарии OAuth и могут некорректно работать с дополнительными шагами аутентификации.

3. Срок жизни токенов

Чем дольше действуют токены, тем выше риск их компрометации. Поэтому при использовании 2FA обычно сокращают время жизни токена или используют механизмы обновления.

Какие OTP-приложения и токены можно использовать

Для реализации второго фактора чаще всего применяются TOTP-коды — одноразовые пароли, которые генерируются на основе секретного ключа и текущего времени.

В инфраструктурах ADFS обычно используются:

  • приложения-аутентификаторы (например Коннект);
  • корпоративные OTP-решения;
  • аппаратные токены.

Такие методы удобны тем, что не требуют подключения к мобильной сети и могут использоваться в изолированных корпоративных средах.

Как защитить через ADFS доступ к корпоративным сервисам

2FA для Office 365 через ADFS

Во многих компаниях Office 365 интегрирован с корпоративным доменом через федеративную аутентификацию.

В этом сценарии:

  1. пользователь открывает сервис Microsoft;
  2. система перенаправляет его на ADFS;
  3. пользователь проходит аутентификацию и подтверждает второй фактор;
  4. ADFS возвращает токен доступа.

Так 2FA для ADFS защищает доступ к корпоративной почте, документам и другим облачным сервисам.

Защита Exchange OWA через ADFS и второй фактор

Outlook Web Access (OWA) — один из наиболее уязвимых сервисов с точки зрения атак на учетные записи. Доступ к почте осуществляется из интернета, поэтому компрометация пароля может привести к утечке данных.

Подключение 2FA через ADFS позволяет:

  • запрашивать второй фактор при входе в OWA;
  • ограничивать доступ по сетевым условиям;
  • вести централизованное логирование попыток входа.

Это снижает риск атак на почтовую инфраструктуру.

Что учитывать при защите внутренних корпоративных ИС

Внутренние информационные системы — ERP, порталы, CRM — тоже часто используют федеративную аутентификацию через ADFS.

При внедрении 2FA важно учитывать несколько факторов:

  • критичность системы — для административных интерфейсов 2FA должна быть обязательной;
  • сценарии доступа — удаленный доступ обычно требует более строгих политик;
  • масштаб инфраструктуры — большое количество приложений требует централизованного управления 2FA.

В таких сценариях удобнее использовать решения, которые позволяют централизованно управлять аутентификацией, политиками доступа и журналами безопасности.

Заключение

2FA для ADFS позволяет централизованно защитить доступ к корпоративным приложениям, которые используют федеративную аутентификацию через SAML или OpenID Connect. Включив многофакторную аутентификацию на уровне сервера федерации, компания снижает риск компрометации учетных записей и ограничивает последствия утечки паролей.

Главное — правильно настроить политики 2FA, протестировать интеграцию приложений и выбрать решение, которое подходит для инфраструктуры компании. Тогда двухфакторная аутентификация станет не формальной мерой безопасности, а реальным инструментом защиты корпоративных сервисов.

Фотография Дмитрий Мельников Дмитрий Мельников Руководитель группы
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться