Konfigurace serveru Azure Multi-Factor Authentication pro webové aplikace IIS

Část Ověření služby IIS Azure Multi-Factor Authentication (MFA) Serveru použijte k povolení a konfiguraci ověřování služby IIS pro integraci s webovými aplikacemi IIS Microsoftu. Azure Multi-Factor Authentication Server nainstaluje modul plug-in, který může filtrovat požadavky provedené na webovém serveru IIS a přidat Službu Azure Multi-Factor Authentication. Modul plug-in služby IIS poskytuje podporu pro ověřování na základě formuláře a integrované HTTP ověřování systému Windows. Důvěryhodné IP adresy mohou být také nakonfigurovány k vyloučení interních IP adres z dvoufaktorového ověřování.

Důležité

V září 2022 oznámil Microsoft vyřazení Azure Multi-Factor Authentication Serveru. Od 30. září 2024 už nasazení serveru Azure Multi-Factor Authentication nebudou obsluhovat požadavky vícefaktorového ověřování (MFA), což může způsobit selhání ověřování pro vaši organizaci. Aby se zajistilo nepřerušované ověřování a aby zůstaly v podporovaném stavu, organizace by měly migrovat ověřovací data uživatelů do cloudové služby Azure Multi-Factor Authentication pomocí nejnovějšího nástroje pro migraci, který je součástí nejnovější aktualizace serveru Azure Multi-Factor Authentication. Další informace najdete v tématu Migrace serveru Azure Multi-Factor Authentication.

Pokud chcete začít s cloudovým vícefaktorovým ověřováním, přečtěte si kurz : Zabezpečení událostí přihlašování uživatelů pomocí služby Azure Multi-Factor Authentication.

Pokud používáte cloudovou službu Azure Multi-Factor Authentication, neexistuje žádná alternativa k modulu plug-in IIS poskytovanému Serverem Azure Multi-Factor Authentication (MFA). Místo toho použijte webovou proxy aplikací (WAP) s Active Directory Federation Services (AD FS) (AD FS) nebo proxy aplikací Microsoft Entra.

Ověřování založené na formulářích služby IIS pomocí serveru Azure Multi-Factor Authentication

Pro zabezpečení webové aplikace služby IIS, která používá ověřování založené na formulářích, nainstalujte Azure Multi-Factor Authentication Server na webový server služby IIS a nakonfigurujte server podle následujícího postupu:

1. V rámci Azure Multi-Factor Authentication Serveru klikněte na ikonu Ověřování IIS v levé nabídce.

2. Klikněte na kartu Založené na formulářích.

3. Klikněte na Přidat.

4. Pokud chcete automaticky rozpoznat uživatelské jméno, heslo a proměnné domény, zadejte přihlašovací adresu URL (například https://localhost/contoso/auth/login.aspx) v dialogovém okně Automaticky konfigurovat web založený na formuláři a klikněte na tlačítko OK.

5. Zaškrtněte políčko Vyžadovat porovnání uživatele u služby Multi-Factor Authentication, pokud se všichni uživatelé importovali nebo budou importovat na server a budou podléhat vícefaktorovému ověřování. Pokud ještě nebyl naimportován velký počet uživatelů na server nebo bude vyloučen z vícefaktorového ověřování, ponechte políčko nezaškrtnuté.

6. Pokud proměnné stránky nelze rozpoznat automaticky, klepněte na tlačítko Zadat ručně v dialogovém okně Automaticky konfigurovat web založený na formuláři.

7. V dialogovém okně Přidat web na základě formuláře zadejte adresu URL do přihlašovací stránky v poli Adresa URL pro odeslání a zadejte název aplikace (volitelný). Název aplikace se zobrazí v sestavách Azure Multi-Factor Authentication a může se zobrazit v rámci SMS zpráv nebo mobilních aplikací ověřování.

8. Vyberte správný formát požadavku. Tato hodnota je u většiny webových aplikací nastavena na POST nebo GET.

9. Zadejte proměnné pro uživatelské jméno, heslo a doménu (pokud se zobrazí na stránce přihlášení). Pokud chcete vyhledat názvy vstupních polí, přejděte ve webovém prohlížeči na přihlašovací stránku, klikněte na ni pravým tlačítkem a vyberte Zobrazit zdrojový kód.

10. Zaškrtněte políčko Vyžadovat porovnání uživatele u služby Multi-Factor Authentication, pokud se všichni uživatelé importovali nebo budou importovat na server a budou podléhat vícefaktorovému ověřování. Pokud ještě nebyl naimportován velký počet uživatelů na server nebo bude vyloučen z vícefaktorového ověřování, ponechte políčko nezaškrtnuté.

11. Po kliknutí na Upřesnit můžete zkontrolovat upřesňující nastavení:

    • Výběr vlastního souboru odmítnutí stránky
    • Ukládání úspěšných ověření na webu na určitou dobu do mezipaměti s využitím souborů cookie
    • Vyberte, jestli chcete primární přihlašovací údaje ověřit pomocí domény Windows, adresáře LDAP nebo serveru RADIUS.

12. Kliknutím na OK se vraťte do dialogového okna Přidat webovou stránku s formuláři.

13. Klikněte na OK.

14. Po zjištění nebo zadání adresy URL a proměnných hodnot stránek se data webové stránky zobrazí v panelu založeném na formulářích.

Použití integrovaného ověřování Systému Windows se serverem Azure Multi-Factor Authentication

Chcete-li zabezpečit webovou aplikaci služby IIS, která používá integrované ověřování WINDOWS HTTP, nainstalujte na webový server služby IIS server Azure Multi-Factor Authentication a nakonfigurujte server následujícím postupem:

1. V rámci Azure Multi-Factor Authentication Serveru klikněte na ikonu Ověřování IIS v levé nabídce.
2. Klikněte na kartu HTTP.
3. Klikněte na Přidat.
4. V dialogovém okně Přidat základní adresu URL zadejte adresu URL webu, kde se provádí ověřování HTTP (například http://localhost/owa) a zadejte název aplikace (volitelné). Název aplikace se zobrazí v sestavách Azure Multi-Factor Authentication a může se zobrazit v rámci SMS zpráv nebo mobilních aplikací ověřování.
5. Pokud výchozí hodnota nestačí, upravte časový limit nečinnosti a maximální dobu relace.
6. Zaškrtněte políčko Vyžadovat porovnání uživatele u služby Multi-Factor Authentication, pokud se všichni uživatelé importovali nebo budou importovat na server a budou podléhat vícefaktorovému ověřování. Pokud ještě nebyl naimportován velký počet uživatelů na server nebo bude vyloučen z vícefaktorového ověřování, ponechte políčko nezaškrtnuté.
7. V případě potřeby zaškrtněte políčko pro mezipaměť souborů cookie.
8. Klikněte na OK.

Povolit moduly plug-in služby IIS a server Azure Multi-Factor Authentication

Po konfiguraci nastavení a adres URL založených na formulářích nebo adres URL ověřování HTTP musíte vybrat umístění, kde by se měly moduly plug-in Azure Multi-Factor Authentication IIS nahrát a povolit ve službě IIS. Použijte následující postup:

1. Pokud je služba IIS 6 spuštěná, klikněte na kartu ISAPI . Vyberte web, pod kterým je webová aplikace spuštěná (například výchozí web), aby se pro daný web povolil modul plug-in filtru ISAPI služby Azure Multi-Factor Authentication.
2. Pokud běží na iis 7 nebo vyšší, klikněte na kartu Nativní modul . Vyberte server, weby nebo aplikace a povolte modul plug-in iis na požadovaných úrovních.
3. Zaškrtněte políčko Povolit ověřování IIS v horní části obrazovky. Azure Multi-Factor Authentication nyní zabezpečuje vybrané aplikace služby IIS. Ověřte, zda byli uživatelé naimportováni do serveru.

Důvěryhodné IP adresy

Důvěryhodné IP adresy umožňují uživatelům obejít ověřování Azure Multi-Factor Authentication u požadavků webů pocházejících z konkrétní IP adresy nebo podsítě. Například můžete chtít vyloučit uživatele z ověřování Azure Multi-Factor Authentication při přihlašování z kanceláře. V takovém případě můžete zadat podsíť office jako položku Důvěryhodné IP adresy. Ke konfiguraci důvěryhodných IP adres použijte následující postup:

1. V části ověření služby IIS klikněte na kartu Důvěryhodné IP adresy.
2. Klikněte na Přidat.
3. Jakmile se zobrazí dialogové okno Přidat důvěryhodné IP adresy, vyberte přepínač Samostatná IP adresa, Rozsah IP adres nebo Podsíť.
4. Zadejte IP adresu, rozsah IP adres nebo podsíť, které by měly být povolené. Pokud zadáváte podsíť, vyberte příslušnou síťovou masku a klikněte na OK.