Outlook客户端宁盾双因素认证技术实现

　　一、Outlook客户端账号安全挑战

　　Outlook邮箱作为Office365办公软件套装的应用之一，被用于收发邮件、管理联系人、安排日程、分配任务等企业级邮件工作。员工可以登录Outlook客户端传递任何企业数据，包括客户关系、客户联系方式、技术方案、经营状况、财务信息等等大量企业商业机密。图谋不轨者为了获取企业商业机密或是搅乱企业正常经营活动，往往首先会选择攻击企业邮箱。保护Outlook邮箱的安全，其重要性和必要性不言而喻。

　　在单一的静态密码验证机制下，Outlook客户端的账号密码是唯一一道安全防线。而在企业中，弱密码往往普遍存在，这一直是企业数据泄露的一大主要因素。一旦密码被攻破或泄露，图谋不轨者就能查看到相关所有的邮件、联系人、企业资料等重要信息，可能带来巨大的安全威胁。

　　为了弥补弱密码缺陷，企业通常会强制要求员工设置强口令。但随之而来的是，账号记忆/管理成本以及员工忘记密码造成的生产力损害/IT运维管理负担。必须采取某种技术手段来加强各种企业应用和业务系统的账号密码安全，包括Outlook，从而有效保证即便账号密码被盗也无需担心数据入侵。

　　为帮助企业解决以上数据安全威胁及账号管理成本问题，宁盾通过双因素认证在Outlook客户端登录环节增加一层动态密码验证，双重保护用户账号和身份信息，防止密码共享、密码泄露，实现Outlook邮箱账号信息安全加固，一旦发生安全事件，也可追责到个人，有效控制信息安全威胁。

　　二、宁盾Outlook客户端双因素认证解决方案

　　（1）方案概述

　　静态密码只能对Outlook邮箱用户的身份真实性进行低级认证。宁盾双因素认证结合ADFS联合认证，为Outlook在原有静态密码认证基础上增加第二重保护，通过提供多种形式的一次性动态令牌，实现双因素认证。

　　在宁盾双因素身份验证模式下，用户在登录Outlook客户端时，不仅需要输入静态的账号密码，而且还要提供第二种身份信息（也就是宁盾动态令牌），这就意味着其它人没有获得全部身份信息的话，是无法登录进用户的账户中的，这样就能避免因密码共享/泄露或破解造成的账号被盗用，实现邮箱账号安全保护。

　　（2）方案原理

　　企业通常会将Azure AD与本地AD目录集成和数据同步，从而允许员工通过AD账号来访问基于Azure AD的应用，如Outlook、office365等，并实现基于云的管理。在此方案中，宁盾结合ADFS，来实现Outlook的二次身份验证登录和访问控制。

　　方案需要先设置本地的AD和Azure AD之间数据同步（用户、组、OU等），然后在企业内部部署ADFS服务器，并通过创建ADFS与Azure AD之间的信任关系实现将Azure AD身份验证过程移交给ADFS，最后配置ADFS联合身份验证服务指向宁盾认证服务器。

　　ADFS服务器作为身份验证的中转站，通过接口将Outlook用户的动态密码身份信息传递给宁盾双因素认证服务器。宁盾认证服务器负责一次性动态令牌的校验和登录审计。这样企业既能借助AD域控更好地控制Outlook用户访问，同时解决了用户二次身份验证的需求。

　　员工访问Outlook客户端时，首先跳转到ADFS登录窗口进行域身份验证。验证成功后进入动态密码验证。ADFS服务器将动态密码身份信息传递给宁盾认证服务器进行验证。验证通过，用户进入Outlook邮箱。至此Outlook客户端的双因素认证登录过程完成。

　　（3）结合ADFS的Outlook客户端双因素认证流程

　　1、用户登录Outlook客户端，系统会检查用户账户的后缀名，如认定为域用户，系统将会自动跳转到ADFS服务器，要求用户提交域账号密码信息做第一次身份验证。

　　2、域账号密码认证通过，进入动态密码认证弹框。用户输入宁盾动态密码并提交认证。动态密码认证通过，用户成功登陆Outlook客户端。

　　（4）方案收益

　　宁盾双因素认证方案联合ADFS加固了Outlook邮箱客户端账号密码，防止企业邮箱被盗，提升Outlook登录安全；简化Outlook账号管理工作，有效降低企业账号密码管理和运维成本；增强登录审计，用户认证实名可追溯，实现责任到人；并帮助企业通过AD域控更好地控制Outlook用户访问权限。此方案已被应用到某些高科技+互联网企业项目中，实施效果达到预期目标，宁盾双因素认证产品的也价值得到了客户的肯定。

　　宁盾双因素认证为全场景的企业身份安全认证解决方案，除Outlook客户端外，还覆盖VPN、VMware/Citix虚拟桌面、网络设备、KVM、堡垒机、数据库、服务器、有线无线网络认证、本地/云应用及业务系统、单点登录等场景，支持标准AD、LDAP、POP3、第三方Radius、外部数据库（MySQL、Oracle、SQL Server等）等账号源，为企业提供统一的身份认证安全保护。

　　除支持硬件令牌、手机令牌、短信令牌等传统动态密码形式，还支持与企业微信/钉钉和企业自有APP融合的H5令牌，且可兼容RSA Securid、Google身份验证器等第三方令牌，为各类双因素认证场景提供多元的动态密码认证体验，企业可根据实际需求选择最适合的方案。