Konfigurace serveru Azure Multi-Factor Authentication pro práci se službou AD FS 2.0

Tento článek je určený pro organizace, které jsou federované s Microsoft Entra ID a chtějí zabezpečit prostředky, které jsou místní nebo v cloudu. Chraňte své prostředky pomocí Azure Multi-Factor Authentication Serveru a jeho nakonfigurováním tak, aby fungoval s AD FS a bylo možné spouštět dvoustupňové ověření pro koncové body vysoké hodnoty.

Tato dokumentace popisuje používání Azure Multi-Factor Authentication Serveru s AD FS 2.0 Informace o službě AD FS najdete v tématu Zabezpečení cloudových a místních prostředků pomocí Azure Multi-Factor Authentication Serveru s Windows Serverem.

Důležité

V září 2022 oznámil Microsoft vyřazení Azure Multi-Factor Authentication Serveru. Od 30. září 2024 už nasazení Azure Multi-Factor Authentication Serveru nebudou obsluhovat žádosti o vícefaktorové ověřování, což může způsobit selhání ověřování pro vaši organizaci. Aby se zajistily nepřerušované ověřovací služby a aby zůstaly v podporovaném stavu, měly by organizace migrovat ověřovací data uživatelů do cloudové služby ověřování Microsoft Entra multifactor pomocí nejnovějšího nástroje migration, který je součástí nejnovější aktualizace serveru Azure Multi-Factor Authentication. Další informace najdete v tématu Migrace serveru Azure Multi-Factor Authentication.

Pokud chcete začít s cloudovým vícefaktorovým ověřováním, přečtěte si kurz : Zabezpečení událostí přihlašování uživatelů pomocí vícefaktorového ověřování Azure.

Pokud používáte cloudové vícefaktorové ověřování, přečtěte si téma Zabezpečení cloudových prostředků pomocí vícefaktorového ověřování Azure a služby AD FS.

Stávající zákazníci, kteří aktivovali MFA Server před 1. červencem 2019, si můžou stáhnout nejnovější verzi, budoucí aktualizace a generovat přihlašovací údaje pro aktivaci obvyklým způsobem.

Zabezpečení AD FS 2.0 pomocí serveru proxy

Pro zabezpečení AD FS 2.0 pomocí proxy serveru nainstalujte Azure Multi-Factor Authentication Server na proxy server služby AD FS.

Konfigurace ověřování IIS

1. V rámci Azure Multi-Factor Authentication Serveru klikněte na ikonu Ověřování IIS v levé nabídce.

2. Klikněte na kartu Založené na formulářích.

3. Klikněte na Přidat.

   

4. Pokud chcete automaticky rozpoznat uživatelské jméno, heslo a proměnné domény, zadejte přihlašovací adresu URL (například https://sso.contoso.com/adfs/ls) v dialogovém okně Automaticky konfigurovat web založený na formuláři a klikněte na tlačítko OK.

5. Zaškrtněte políčko Vyžadovat shodu uživatele s vícefaktorovým ověřováním Azure, pokud byli nebo budou všichni uživatelé importovaní na server a podléhají dvoustupňovému ověření. Pokud ještě nebyl naimportován velký počet uživatelů na server nebo bude vyloučen z dvoustupňového ověření, ponechte políčko nezaškrtnuté.

6. Pokud proměnné stránky nelze rozpoznat automaticky, klikněte v dialogovém okně Automaticky konfigurovat web založený na formuláři na tlačítko Zadat ručně.

7. V dialogovém okně Přidat web založený na formuláři zadejte adresu URL přihlašovací stránky služby AD FS do pole Odeslat adresu URL (například https://sso.contoso.com/adfs/ls) a zadejte název aplikace (volitelné). Název aplikace se zobrazí v sestavách vícefaktorového ověřování Azure a může se zobrazit v ověřovacích zprávách SMS nebo mobilní aplikace.

8. Formát požadavku nastavte na POST nebo GET.

9. Zadejte Proměnnou uživatelského jména (ctl00$ContentPlaceHolder1$UsernameTextBox) a Proměnnou hesla (ctl00$ContentPlaceHolder1$PasswordTextBox). Pokud vaše formulářová přihlašovací stránka zobrazí pole pro doménu, zadejte taky Proměnnou domény. Pokud chcete vyhledat názvy vstupních polí na přihlašovací stránce, přejděte ve webovém prohlížeči na přihlašovací stránku, klikněte na stránku pravým tlačítkem myši a vyberte Zobrazit zdrojový kód.

10. Zaškrtněte políčko Vyžadovat shodu uživatele s vícefaktorovým ověřováním Azure, pokud byli nebo budou všichni uživatelé importovaní na server a podléhají dvoustupňovému ověření. Pokud ještě nebyl naimportován velký počet uživatelů na server nebo bude vyloučen z dvoustupňového ověření, ponechte políčko nezaškrtnuté.

    

11. Chcete-li zkontrolovat upřesňující nastavení, klikněte na tlačítko Upřesnit... Mezi nastavení, která můžete konfigurovat, patří:

    • Výběr vlastního souboru odmítnutí stránky
    • Ukládání úspěšných ověření na webu do mezipaměti
    • Výběr způsobu ověření primárních přihlašovacích údajů

12. Vzhledem k tomu, že proxy server služby AD FS pravděpodobně není připojený k doméně, můžete se pomocí protokolu LDAP připojit k řadiči domény pro import a předběžné ověření uživatele. V dialogovém okně Rozšířená webová stránka s formuláři klikněte na kartu Primární ověření a pro typ ověření předběžného ověření vyberte Vázání protokolu LDAP.

13. Po dokončení se kliknutím na OK vraťte do dialogového okna Přidat webovou stránku s formuláři.

14. Kliknutím na OK zavřete dialogové okno.

15. Po zjištění nebo zadání adresy URL a proměnných hodnot stránek se data webové stránky zobrazí v panelu založeném na formulářích.

16. Klikněte na kartu Nativní modul a vyberte server, web, pod kterým běží proxy server služby AD FS (například Výchozí web), nebo proxy aplikaci služby AD FS (například "ls" v části "adfs") a povolte modul plug-in IIS na požadované úrovni.

17. Zaškrtněte políčko Povolit ověřování IIS v horní části obrazovky.

Teď je povolené IIS ověřování

Konfigurace integrace adresáře

Povolili jste ověřování IIS, ale abyste mohli provádět předběžné ověřování Active Directory (AD) přes LDAP, musíte připojení LDAP nakonfigurovat na řadič domény.

1. Klikněte na ikonu Integrace adresáře.

2. Na kartě Nastavení vyberte přepínač Použít specifickou konfiguraci LDAP.

   

3. Klikněte na možnost Upravit.

4. V dialogovém okně Upravit konfiguraci LDAP vyplňte pole pomocí informací požadovaných pro připojení k řadiči domény AD.

5. Otestujte připojení LDAP kliknutím na tlačítko Test.

   

6. Pokud byl test připojení LDAP úspěšný, klikněte na OK.

Konfigurace nastavení společnosti

1. Dále klikněte na ikonu Nastavení společnosti a vyberte kartu Překlad uživatelského jména.
2. Označte přepínač Pro porovnávání uživatelských jmen použít atribut jedinečného identifikátoru LDAP.
3. Pokud uživatelé zadají své uživatelské jméno ve formátu "doména\uživatelské_jméno", musí být server schopný při vytváření dotazu LDAP odstranit doménu mimo uživatelské jméno, což se dá provést nastavením registru.
4. Na 64bitovém serveru otevřete editor registrů a přejděte na HKEY_LOCAL_MACHINE/SOFTWARE/Wow6432Node/Positive Networks/PhoneFactor. Pokud používáte 32bitový server, odeberte z cesty uzel /Wow6432Node . Vytvořte klíč registru DWORD s názvem "UsernameCxz_stripPrefixDomain" a nastavte hodnotu 1. Vícefaktorové ověřování Azure teď zabezpečuje proxy server služby AD FS.

Ujistěte se, že se uživatelé importují ze služby Active Directory na server. Pokud chcete uživatelům umožnit přeskočit dvoustupňové ověření z interních IP adres, přečtěte si důvěryhodné IP adresy.

AD FS 2.0 Direct bez serveru proxy

Službu AD FS můžete zabezpečit, když se nepoužívá proxy server služby AD FS. Nainstalujte Azure Multi-Factor Authentication Server na server služby ADFS a nakonfigurujte ho podle následujícího postupu:

1. V Azure Multi-Factor Authentication Serveru klikněte v levé nabídce na ikonu ověřování IIS.

2. Klikněte na kartu HTTP.

3. Klikněte na Přidat.

4. V dialogovém okně Přidat základní adresu URL zadejte adresu URL webu služby AD FS, kde se provádí ověřování HTTP (například https://sso.domain.com/adfs/ls/auth/integrated) do pole Základní adresa URL. Potom zadejte název aplikace (volitelné). Název aplikace se zobrazí v sestavách vícefaktorového ověřování Azure a může se zobrazit v ověřovacích zprávách SMS nebo mobilní aplikace.

5. Podle potřeby upravte časový limit nečinnosti a maximální dobu trvání relace.

6. Zaškrtněte políčko Vyžadovat shodu uživatele s vícefaktorovým ověřováním Azure, pokud byli nebo budou všichni uživatelé importovaní na server a podléhají dvoustupňovému ověření. Pokud ještě nebyl naimportován velký počet uživatelů na server nebo bude vyloučen z dvoustupňového ověření, ponechte políčko nezaškrtnuté.

7. V případě potřeby zaškrtněte políčko mezipaměti souborů cookie.

   

8. Klikněte na OK.

9. Klikněte na kartu Nativní modul a vyberte server, web (například Výchozí web) nebo aplikaci SLUŽBY AD FS (například "ls" v části "adfs") a povolte modul plug-in IIS na požadované úrovni.

10. Zaškrtněte políčko Povolit ověřování IIS v horní části obrazovky.

Vícefaktorové ověřování Azure teď zabezpečuje službu AD FS.

Ověřte, že se uživatelé naimportovali z Active Directory do Serveru. Pokud chcete povolit interní IP adresy, přečtěte si následující část, aby při přihlašování k webu z těchto umístění nebylo potřeba dvoustupňové ověření.

Důvěryhodné IP adresy

Důvěryhodné IP adresy umožňují uživatelům obejít vícefaktorové ověřování Azure pro požadavky webu pocházející z konkrétních IP adres nebo podsítí. Můžete třeba chtít vyloučit uživatele z dvoustupňového ověření, když se přihlásí z kanceláře. V takovém případě zadáte podsíť kanceláře jako položku důvěryhodných IP adres.

Konfigurace důvěryhodných adres IP

1. V části ověření služby IIS klikněte na kartu Důvěryhodné IP adresy.
2. Klikněte na tlačítko Přidat.
3. Jakmile se zobrazí dialogové okno Přidat důvěryhodné IP adresy, vyberte přepínač Jedna IP adresa, Rozsah IP adres nebo Podsíť.
4. Zadejte IP adresu, rozsah IP adres nebo podsíť, která by měla být povolená. Pokud zadáváte podsíť, vyberte příslušnou síťovou masku a klikněte na tlačítko OK.