exchange作为微软公司推出的邮件系统,在企业界有着广泛的应用,通常情况下,exchange为邮箱用户提供的认证方式是基于AD的静态密码认证,虽然微软在AD认证上已经做了大量的安全性优化,但是由于是静态密码方式认证,就难易避免的存在静态密码的缺点,比如简单的密码安全性低,复杂的密码难以使用以及容易遗忘,密码泄露不容易发现等缺点。
1. 背景
在没有使用adfs进行保护的时候,用户访问邮件的流程如下图所示,即使用浏览器直接访问exchange服务器。
2. 技术方案
使用adfs双因素认证技术方案,首先需要安装adfs服务,开发并部署adfs多因素认证适配器,另外还需要在exchange邮件服务器配置adfs认证。
相关的配置和adfs多因素认证适配器的开发,可以参考微软官网相关文档。配置过程相对繁琐一点,好在相关资料还算比较全面。
3. 相关配置
安装插件以后,从adfs可以看到安装的多因素认证插件,选中前面的复选框,就表示启用多因素认证。
从联合身份验证服务器属性 框中,可以看到相关的配置信息。
4. 登录认证流程
开启adfs以后,访问owa以后,会自动跳转到adfs认证,如下图所示。
输入用户名和静态密码进行认证,认证失败会要求重新认证,认证成功后,会跳转到定制的双因素认证页面。
在双因素认证信息输入页面,输入认证信息,认证信息会发送到认证服务器进行认证,认证成功,则会直接进入邮箱,如果认证失败,则会提示重新输入认证信息。
5. 优势与不足
优势:
1. 使用方式便捷,不会增加复杂的操作步骤;
2. 微软官方支持方案;
3. 部署简单;
不足:
1. 不支持标准邮件协议(pop3/imap/smtp);
2. 不支持exchange以外的邮件系统;
3. 依赖于特定的部署模式;
4. 只支持owa方式访问;