ADFS часто становится единой точкой входа в корпоративные приложения — от внутренних систем до облачных сервисов. Если доступ к нему защищен только паролем, компрометация одной учетной записи может открыть злоумышленнику сразу несколько систем. В статье разберем, как работает 2FA для ADFS, как ее настроить для SAML и OpenID Connect и какие риски она закрывает при защите корпоративных приложений.
Что дает 2FA в ADFS и какие риски она закрывает
Active Directory Federation Services (ADFS) используется для единого входа (SSO) в корпоративные системы. Через него проходят аутентификация и выдача токенов доступа для внутренних сервисов, SaaS-приложений и партнерских систем.
Если вход защищен только паролем, возникает несколько рисков:
- компрометация учетных данных через фишинг или утечки паролей;
- повторное использование паролей для разных сервисов;
- доступ к нескольким приложениям через одну точку входа.
Фактически ADFS становится критическим узлом инфраструктуры. Получив доступ к учетной записи пользователя, злоумышленник может пройти аутентификацию и получить доступ к связанным сервисам — например, к CRM, корпоративному порталу или облачным приложениям.
Как 2FA усиливает защиту корпоративных приложений
Двухфакторная аутентификация (2FA) добавляет второй уровень проверки пользователя. Даже если пароль скомпрометирован, доступ к системе остается защищенным.
На практике 2FA для ADFS позволяет:
- Требовать дополнительное подтверждение входа — OTP-код, push-подтверждение или аппаратный токен.
- Применять разные политики доступа для различных приложений.
- Снижать риск несанкционированного входа в корпоративные сервисы.
В инфраструктурах с SAML и OpenID Connect это особенно важно, потому что аутентификация происходит централизованно. Один успешный вход через ADFS может открыть доступ сразу к нескольким системам.
Двухфакторная аутентификация
ID — защита учетных записей сотрудников: подключений через VPN, RDG, ActiveSync, ADFS (протоколы OpenID Connect, SAML), защита входа в Windows, OWA.
Как меняется модель доступа после внедрения 2FA
| Сценарий | Только пароль | С включенной 2FA |
|---|---|---|
|
Фишинг учетных данных |
Доступ к системе возможен |
Требуется второй фактор |
|
Утечка паролей |
Учетная запись легко используется злоумышленником |
Пароль сам по себе бесполезен |
|
Доступ к нескольким приложениям через SSO |
Один пароль открывает все сервисы |
Каждый вход требует подтверждения |
Таким образом, двухфакторная аутентификация ADFS защищает не только сам сервер федерации, но и все корпоративные приложения, которые используют его для аутентификации.
Один вход вместо десятков паролей
SSO объединяет авторизацию во всех корпоративных сервисах компании.
Какую роль играют SAML и OpenID Connect
ADFS выдает приложениям подтверждение личности пользователя через протоколы федеративной аутентификации — чаще всего это SAML 2.0 и OpenID Connect.
Коротко различие можно описать так:
| Протокол | Где используется |
|---|---|
|
SAML |
корпоративные веб-приложения, внутренние системы, интеграции с SaaS |
|
OpenID Connect |
современные веб-сервисы, API и облачные приложения |
В обоих случаях ADFS выполняет роль Identity Provider (IdP) — системы, которая подтверждает личность пользователя и выдает приложению токен доступа.
Если на уровне ADFS включена двухфакторная аутентификация, дополнительная проверка автоматически распространяется на все приложения, которые используют федеративную аутентификацию.
Именно поэтому настройка 2FA в ADFS считается одним из самых эффективных способов повысить безопасность корпоративных сервисов: защита внедряется централизованно и сразу распространяется на весь контур SSO.
С чего начать настройку 2FA для ADFS
Внедрение двухфакторной аутентификации для ADFS обычно не требует перестройки всей инфраструктуры. Второй фактор добавляется на уровне сервера федерации и начинает применяться к приложениям, которые используют ADFS для аутентификации — через SAML или OpenID Connect.
Перед настройкой важно определить три вещи: какой 2FA-провайдер будет использоваться, какие приложения нужно защищать и какие политики доступа будут применяться.
Как работает интеграция 2FA-провайдера с ADFS
ADFS поддерживает подключение внешних систем многофакторной аутентификации через 2FA-адаптеры. Это специальные модули, которые добавляют дополнительную проверку пользователя в процесс входа.
Возможный сценарий выглядит так:
- Пользователь вводит логин и пароль в системе, которая использует ADFS.
- ADFS проверяет учетные данные в Active Directory.
- Если политика требует второй фактор, сервер федерации передает запрос в 2FA-провайдер.
- Пользователь подтверждает вход — например, вводит OTP-код из приложения.
- После успешной проверки ADFS выдает приложению SAML-assertion или OpenID-токен.
Так второй фактор становится частью процесса федеративной аутентификации.
Установка 2FA-адаптера для ADFS
Чтобы включить 2FA в Active Directory Federation Services, необходимо установить адаптер выбранного провайдера многофакторной аутентификации.
Обычно процесс включает несколько шагов:
- Установка компонента 2FA на сервер ADFS.
- Подключение адаптера к службе федерации.
- Настройка связи с сервером 2FA или облачным сервисом.
- Проверка доступных методов второго фактора.
В качестве второго фактора могут использоваться:
- TOTP-коды из приложений-аутентификаторов;
- push-подтверждения;
- аппаратные токены;
- SMS или одноразовые пароли.
Выбор зависит от политики безопасности компании и требований к удобству пользователей.
Регистрация 2FA-провайдера в ADFS
После установки адаптера его необходимо зарегистрировать в конфигурации ADFS.
На этом этапе:
- включается 2FA-провайдер в настройках ADFS;
- определяются методы второго фактора;
- задаются правила, когда требуется дополнительная аутентификация.
Например, второй фактор можно требовать:
- только для удаленного доступа;
- для входа в критичные приложения;
- для определенных групп пользователей.
Такая гибкость позволяет внедрить 2FA для ADFS без серьезного влияния на рабочие процессы.
Как проверить работу 2FA на тестовом контуре
Перед включением 2FA для всех пользователей важно проверить настройку на тестовом контуре или пилотной группе.
Минимальный набор проверок:
- вход пользователя через ADFS с требованием второго фактора;
- корректная генерация SAML-assertion или OpenID-токена после 2FA;
- обработка ошибок аутентификации;
- логирование событий входа.
Это позволяет убедиться, что двухфакторная аутентификация ADFS корректно работает с приложениями и не ломает существующие сценарии доступа.
Как настроить 2FA для приложений на SAML через ADFS
Во многих корпоративных инфраструктурах именно SAML-аутентификация через ADFS используется для доступа к внутренним системам и SaaS-сервисам. В этом сценарии сервер федерации выступает Identity Provider, который подтверждает личность пользователя и передает приложению утверждение (SAML assertion).
Если на уровне ADFS включена 2FA, второй фактор становится частью процесса аутентификации.
Настройка SAML Relying Party Trust
Для интеграции приложения с ADFS создается объект Relying Party Trust — запись, которая описывает доверенное приложение.
В настройке указываются:
- идентификатор сервиса (Entity ID);
- URL точки приема SAML-ответа;
- правила выдачи утверждений (claims).
После этого приложение начинает принимать SAML-токены, выданные сервером ADFS.
Как включить 2FA для SAML-приложений
Следующий шаг — настроить правила аутентификации, которые требуют второй фактор при входе.
В ADFS это делается через Access Control Policies или правила аутентификации. Например, можно задать условия:
- 2FA требуется для всех пользователей;
- второй фактор включается только при доступе из внешней сети;
- 2FA применяется только к определенным приложениям.
После включения политики схема доступа выглядит так:
- пользователь обращается к приложению;
- приложение перенаправляет его на ADFS;
- пользователь вводит логин и пароль;
- ADFS запрашивает второй фактор;
- после успешной проверки выдается SAML-assertion.
Так реализуется защита корпоративных приложений на SAML с помощью 2FA.
Практические сценарии: 1С, Avanpost, AWS SAML
SAML-аутентификация через ADFS используется для разных типов систем — от внутренних приложений до облачных сервисов.
Примеры:
| Система | Как используется SAML |
|---|---|
|
1С и внутренние порталы |
единый вход сотрудников через корпоративный домен |
|
Различные IAM-решения |
федерация доступа между системами |
|
AWS и облачные сервисы |
доступ к облачной инфраструктуре через корпоративную учетную запись |
Во всех этих сценариях 2FA для ADFS позволяет централизованно защитить доступ к сервисам. Пользователь проходит многофакторную аутентификацию один раз на уровне сервера федерации, после чего приложение получает подтверждение личности через SAML-токен.
Как настроить 2FA для OpenID Connect через ADFS
Помимо SAML, современные корпоративные приложения часто используют OpenID Connect (OIDC) — протокол аутентификации, построенный поверх OAuth 2.0. Он применяется в веб-сервисах, API и облачных приложениях, где требуется централизованная аутентификация через ADFS.
В этом сценарии двухфакторная аутентификация работает так же: пользователь проходит проверку личности на стороне сервера федерации, после чего приложение получает ID-токен OpenID Connect. Если на уровне ADFS включена 2FA, второй фактор автоматически становится частью процесса входа.
Конфигурация OpenID Connect с 2FA
Чтобы приложение использовало OpenID Connect через ADFS, его необходимо зарегистрировать в службе федерации как клиент.
В базовой конфигурации указываются:
- Client ID приложения;
- Redirect URI для возврата пользователя после аутентификации;
- тип токена и используемые потоки аутентификации;
- политики доступа и требования к 2FA.
После регистрации приложение перенаправляет пользователя на сервер ADFS для аутентификации. Если политика требует второй фактор, ADFS выполняет дополнительную проверку — например, запрашивает OTP-код из приложения-аутентификатора.
Упрощенная схема выглядит так:
- Пользователь открывает приложение.
- Приложение перенаправляет его на ADFS через OpenID Connect.
- Пользователь вводит логин и пароль.
- ADFS запрашивает второй фактор.
- После успешной проверки приложение получает OIDC-токен.
Так реализуется двухфакторная аутентификация с OpenID через ADFS.
Что важно учесть при защите OpenID Connect-приложений
При внедрении 2FA для OpenID Connect важно учитывать несколько практических моментов.
1. Политики доступа
Не все приложения требуют одинакового уровня защиты. Например, для административных интерфейсов 2FA может быть обязательной, а для внутренних сервисов — применяться только при внешнем доступе.
2. Совместимость клиентов
Некоторые старые приложения поддерживают только базовые сценарии OAuth и могут некорректно работать с дополнительными шагами аутентификации.
3. Срок жизни токенов
Чем дольше действуют токены, тем выше риск их компрометации. Поэтому при использовании 2FA обычно сокращают время жизни токена или используют механизмы обновления.
Какие OTP-приложения и токены можно использовать
Для реализации второго фактора чаще всего применяются TOTP-коды — одноразовые пароли, которые генерируются на основе секретного ключа и текущего времени.
В инфраструктурах ADFS обычно используются:
- приложения-аутентификаторы (например Коннект);
- корпоративные OTP-решения;
- аппаратные токены.
Такие методы удобны тем, что не требуют подключения к мобильной сети и могут использоваться в изолированных корпоративных средах.
Коннект от Контур.Эгиды
Организуйте безопасный и удобный доступ к рабочим ресурсам компании из любой точки мира.
Как защитить через ADFS доступ к корпоративным сервисам
2FA для Office 365 через ADFS
Во многих компаниях Office 365 интегрирован с корпоративным доменом через федеративную аутентификацию.
В этом сценарии:
- пользователь открывает сервис Microsoft;
- система перенаправляет его на ADFS;
- пользователь проходит аутентификацию и подтверждает второй фактор;
- ADFS возвращает токен доступа.
Так 2FA для ADFS защищает доступ к корпоративной почте, документам и другим облачным сервисам.
Защита Exchange OWA через ADFS и второй фактор
Outlook Web Access (OWA) — один из наиболее уязвимых сервисов с точки зрения атак на учетные записи. Доступ к почте осуществляется из интернета, поэтому компрометация пароля может привести к утечке данных.
Подключение 2FA через ADFS позволяет:
- запрашивать второй фактор при входе в OWA;
- ограничивать доступ по сетевым условиям;
- вести централизованное логирование попыток входа.
Это снижает риск атак на почтовую инфраструктуру.
Что учитывать при защите внутренних корпоративных ИС
Внутренние информационные системы — ERP, порталы, CRM — тоже часто используют федеративную аутентификацию через ADFS.
При внедрении 2FA важно учитывать несколько факторов:
- критичность системы — для административных интерфейсов 2FA должна быть обязательной;
- сценарии доступа — удаленный доступ обычно требует более строгих политик;
- масштаб инфраструктуры — большое количество приложений требует централизованного управления 2FA.
В таких сценариях удобнее использовать решения, которые позволяют централизованно управлять аутентификацией, политиками доступа и журналами безопасности.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.
Заключение
2FA для ADFS позволяет централизованно защитить доступ к корпоративным приложениям, которые используют федеративную аутентификацию через SAML или OpenID Connect. Включив многофакторную аутентификацию на уровне сервера федерации, компания снижает риск компрометации учетных записей и ограничивает последствия утечки паролей.
Главное — правильно настроить политики 2FA, протестировать интеграцию приложений и выбрать решение, которое подходит для инфраструктуры компании. Тогда двухфакторная аутентификация станет не формальной мерой безопасности, а реальным инструментом защиты корпоративных сервисов.