Sdílet prostřednictvím

Ověřování LDAP a Azure Multi-Factor Authentication Server

  • Článek

Ve výchozím nastavení je Azure Multi-Factor Authentication Server nakonfigurovaný pro import nebo synchronizaci uživatelů ze služby Active Directory. Můžete ho však navázat na různé adresáře LDAP, například adresář ADAM nebo konkrétní řadič domény služby Active Directory. Při připojení k adresáři přes LDAP může Server Azure Multi-Factor Authentication fungovat jako proxy ldap k provádění ověřování. Azure Multi-Factor Authentication Server může také použít vazbu PROTOKOLU LDAP jako cíl protokolu RADIUS k předběžnému ověření uživatelů služby IIS nebo k primárnímu ověřování na portálu Azure Multi-Factor Authentication.

Pokud chcete azure Multi-Factor Authentication použít jako proxy server LDAP, vložte Azure Multi-Factor Authentication Server mezi klienta LDAP (například zařízení VPN, aplikace) a adresářový server LDAP. Azure Multi-Factor Authentication Server musí být nakonfigurován tak, aby komunikoval s klientskými servery i s adresářem LDAP. V této konfiguraci server Azure Multi-Factor Authentication přijímá požadavky LDAP od klientských serverů a aplikací a předává je cílovému adresářovému serveru LDAP pro ověření primárních pověření. Pokud adresář LDAP ověří primární přihlašovací údaje, Azure Multi-Factor Authentication provede druhé ověření identity a odešle odpověď zpět klientovi LDAP. Celkové ověření proběhne úspěšně pouze pokud je úspěšné ověření pomocí serveru LDAP i druhý krok ověření.

Důležité

V září 2022 oznámil Microsoft vyřazení Azure Multi-Factor Authentication Serveru. Od 30. září 2024 už nasazení serveru Azure Multi-Factor Authentication nebudou obsluhovat požadavky vícefaktorového ověřování (MFA), což může způsobit selhání ověřování pro vaši organizaci. Aby se zajistilo nepřerušované ověřování a aby zůstaly v podporovaném stavu, organizace by měly migrovat ověřovací data uživatelů do cloudové služby Azure Multi-Factor Authentication pomocí nejnovějšího nástroje pro migraci, který je součástí nejnovější aktualizace serveru Azure Multi-Factor Authentication. Další informace najdete v tématu Migrace serveru Azure Multi-Factor Authentication.

Pokud chcete začít s cloudovým vícefaktorovým ověřováním, přečtěte si kurz : Zabezpečení událostí přihlašování uživatelů pomocí služby Azure Multi-Factor Authentication.

Konfigurace ověřování LDAP

Pro konfiguraci ověřování pomocí protokolu LDAP nainstalujte server Azure Multi-Factor Authentication na server Windows. Použijte následující postup:

Přidání klienta protokolu LDAP

  1. V Azure Multi-Factor Authentication Serveru vyberte v levé nabídce ikonu Ověřování LDAP.

  2. Zaškrtněte políčko Povolit ověřování pomocí protokolu LDAP.

    LDAP Authentication in MFA Server

  3. Na kartě Klienti změňte port TCP a port SSL (TLS), pokud by služba Azure Multi-Factor Authentication LDAP měla vytvořit vazbu na nestandardní porty pro naslouchání požadavků LDAP.

  4. Pokud plánujete používat LDAPS z klienta na Azure Multi-Factor Authentication Server, musí být certifikát TLS/SSL nainstalovaný na stejném serveru jako MFA Server. Klikněte na Procházet vedle pole certifikátu SSL (TLS) a vyberte certifikát, který se má použít pro zabezpečené připojení.

  5. Klikněte na Přidat.

  6. V dialogovém okně Přidat klienta LDAP zadejte IP adresu zařízení, serveru nebo aplikace, která se ověřuje na serveru a název aplikace (volitelné). Název aplikace se zobrazí v sestavách Azure Multi-Factor Authentication a může se zobrazit v rámci SMS zpráv nebo mobilních aplikací ověřování.

  7. Zaškrtněte políčko Vyžadovat porovnání uživatele Azure Multi-Factor Authentication, pokud byli nebo budou všichni uživatelé importováni na server a podstoupí dvoustupňové ověření. Pokud se na server ještě nenaimportoval velký počet uživatelů nebo je z dvoustupňového ověření vyloučený, ponechte toto políčko nezaškrtnuté. Další informace o této funkci najdete v souboru nápovědy k MFA Serveru.

Pokud chcete přidat další klienty LDAP, opakujte tento postup.

Konfigurace připojení k adresáři LDAP

Pokud je Azure Multi-Factor Authentication nakonfigurováno pro příjem ověřování LDAP, musí směrovat proxy těchto ověřování do adresáře protokolu LDAP. Proto karta Cíl pouze zobrazí jednu zašedlou možnost použití cíle LDAP.

Poznámka:

Integrace adresáře není zaručena pro práci s adresáři jinými než se službami Doména služby Active Directory Services.

  1. Pro konfiguraci připojení k adresáři LDAP klikněte na ikonu Integrace adresáře.

  2. Na kartě Nastavení vyberte přepínač Použít specifickou konfiguraci LDAP.

  3. Vyberte Upravit.

  4. V dialogovém okně Upravit konfiguraci LDAP vyplňte pole pomocí informací požadovaných pro připojení k adresáři protokolu LDAP. Popisy těchto polí jsou uvedeny v souboru nápovědy Azure Multi-Factor Authentication Serveru.

    Directory Integration LDAP config

  5. Otestujte připojení LDAP kliknutím na tlačítko Test.

  6. Pokud byl test připojení LDAP úspěšný, klikněte na tlačítko OK.

  7. Klikněte na kartu Filtry . Server je předem nakonfigurovaný tak, aby načítá kontejnery, skupiny zabezpečení a uživatele ze služby Active Directory. Pokud provádíte navázání na jiný adresář LDAP, budete pravděpodobně muset upravit zobrazené filtry. Kliknutím na odkaz Nápověda zobrazíte další informace o filtrech.

  8. Klikněte na kartu Atributy . Server je předem nakonfigurovaný tak, aby mapoval atributy ze služby Active Directory.

  9. Pokud provádíte navázání na jiný adresář LDAP nebo chcete změnit předem nakonfigurované mapování atributů, klikněte na Upravit...

  10. V dialogovém okně Upravit atributy upravte mapování atributů protokolu LDAP pro váš adresář. Názvy atributů lze zadat nebo vybrat kliknutím na tlačítko ... vedle každého pole. Kliknutím na odkaz Nápověda zobrazíte další informace o atributech.

  11. Klikněte na tlačítko OK.

  12. Klikněte na ikonu Nastavení společnosti a vyberte kartu Překlad uživatelského jména.

  13. Pokud se připojujete ke službě Active Directory ze serveru připojeného k doméně, ponechejte vybraný přepínač Pro porovnání uživatelských jmen použít identifikátory zabezpečení systému Windows (SID). Jinak vyberte přepínač Pro porovnávání uživatelských jmen použít atribut jedinečného identifikátoru LDAP.

Když je vybraný přepínač Pro porovnávání uživatelských jmen použít atribut jedinečného identifikátoru LDAP, Azure Multi-Factor Authentication Server se pokusí každé uživatelské jméno přeložit na jedinečný identifikátor v adresáři LDAP. Vyhledávání LDAP se provádí na atributech uživatelského jména definovaných na kartě Atributy integrace > adresáře. Když se uživatel ověří, uživatelské jméno se přeloží na jedinečný identifikátor v adresáři LDAP. Jedinečný identifikátor se používá pro porovnávání uživatele v datovém souboru Azure Multi-Factor Authentication. To umožňuje porovnávání bez rozlišování velkých a malých písmen a dlouhých a krátkých formátů uživatelského jména.

Po dokončení těchto kroků server MFA naslouchá na nakonfigurovaných portech pro žádosti o přístup LDAP z nakonfigurovaných klientů a funguje jako proxy server pro tyto požadavky do adresáře LDAP pro ověřování.

Konfigurace klienta LDAP

Chcete-li nakonfigurovat klienta LDAP, postupujte podle pokynů:

  • Nakonfigurujte zařízení, server nebo aplikaci k ověřování prostřednictvím protokolu LDAP na Azure Multi-Factor Authentication Serveru, jako by šlo o váš adresář LDAP. Použijte stejná nastavení, která obvykle používáte pro připojení přímo k adresáři LDAP, ale jako název serveru nebo IP adresu použijte Azure Multi-Factor Authentication Server.
  • Nakonfigurujte časový limit protokolu LDAP na 30 až 60 sekund, abyste zajistili dostatek času k ověření přihlašovacích údajů uživatele v adresáři LDAP, provedení druhého kroku ověření, přijetí odpovědi a odpovědi na žádost o přístup ldap.
  • Pokud používáte LDAPS, zařízení nebo server provádějící dotazy LDAP musí důvěřovat certifikátu TLS/SSL nainstalovanému na serveru Azure Multi-Factor Authentication.