На одном из проектов стояла следующая задача:

• Выполнить интеграцию с AD
• Настроить NTLM авторизацию
• Добавить двухфакторную авторизацию для пользователей, находящихся во внешней сети, а для внутренних её исключить.

Из приятных новостей было то, что у заказчика уже была развёрнута система двухфакторной авторизации Multifactor, а именно LDAP-адаптер, который при авторизации запрашивал подтверждение в приложении и, после подтверждения, выполнял авторизацию пользователя.

Если с интеграцией с AD и настройкой NTLM всё достаточно прозрачно (про это написано много статей), то с разделением логики авторизации для внешних и корпоративных пользователей информации заметно меньше.

Решение оказалось довольно простым:

В админке, в качестве основного LDAP сервера, мы задаем подключение к LDAP Adapter

При этом при настройке NTLM мы указываем прямой адрес до сервера AD.

В результате всех описанных действий выше, на данном этапе мы имеем следующее:

• При NTLM-авторизации пользователи будут авторизовываться напрямую через AD.
• При авторизации через сайт будет использоваться LDAP-адаптер.

Теперь остаётся за малым — реализовать принудительный редирект для пользователей корпоративной сети. Для этого необходимо в настройках модуля AD включить NTLM-авторизацию, переадресацию на нее, а также задать диапазон IP-адресов корпоративной сети.

После этих действий задача по разделению двухфакторной авторизации для внутренних и внешних пользователей будет решена.

Важно!

При тестировании двухфакторной авторизации, у вас вероятно возникнет проблема с тем, что пользователю дается очень мало времени на то, чтобы подтвердить свой вход. Чтобы это исправить, вам нужно будет увеличить значение поля Сетевой таймаут в настройках сервера AD в Битрикс