Az Azure Multi-Factor Authentication-kiszolgáló konfigurálása IIS-webalkalmazásokhoz

Az Azure MFA-kiszolgáló IIS-hitelesítés szakaszában engedélyezheti és konfigurálhatja az IIS-hitelesítést a Microsoft IIS-webalkalmazásokkal való integrációra. Az Azure Multi-Factor Authentication-kiszolgáló egy beépülő modult telepít, amely szűrheti az IIS-webkiszolgálóra irányuló kéréseket az Azure Multi-Factor Authentication hozzáadásához. Az IIS beépülő modul támogatja az űrlapalapú hitelesítést és az integrált Windows HTTP-hitelesítést. Ezenkívül a megbízható IP-címek konfigurálhatók úgy, hogy a belső IP-címek mentesüljenek kéttényezős hitelesítés alól.

Fontos

2022 szeptemberében a Microsoft bejelentette az Azure Multi-Factor Authentication-kiszolgáló elavulását. 2024. szeptember 30-tól az Azure Multi-Factor Authentication Server üzemelő példányai már nem fognak többtényezős hitelesítési (MFA) kéréseket kiszolgálni, ami a szervezet számára sikertelen hitelesítést okozhat. A zavartalan hitelesítési szolgáltatások biztosítása és a támogatott állapot megőrzése érdekében a szervezeteknek át kell telepíteniük felhasználóik hitelesítési adatait a felhőalapú Azure Multi-Factor Authentication szolgáltatásba az Azure Multi-Factor Authentication legújabb frissítésében szereplő legújabb Migration Segédprogram használatával. További információ: Azure Multi-Factor Authentication Server Migration.

A felhőalapú MFA használatának megkezdéséhez tekintse meg a következő oktatóanyagot: Biztonságos felhasználói bejelentkezési események az Azure Multi-Factor Authentication használatával.

Felhőalapú Azure Multi-Factor Authentication használata esetén nincs alternatíva az Azure Multi-Factor Authentication (MFA) kiszolgáló által biztosított IIS beépülő modul helyett. Ehelyett használjon webes alkalmazásproxy (WAP) Active Directory összevonási szolgáltatások (AD FS) (AD FS) vagy Microsoft Entra alkalmazásproxyval.

Az űrlapalapú IIS-hitelesítés használata az Azure Multi-Factor Authentication-kiszolgálóval

Űrlapalapú hitelesítést használó IIS-webalkalmazás védelméhez telepítse az Azure Multi-Factor Authentication-kiszolgálót az IIS-webkiszolgálón és konfigurálja a kiszolgálót a következő eljárásnak megfelelően:

1. Az Azure Multi-Factor Authentication-kiszolgálón kattintson a bal oldali menüben lévő IIS-hitelesítés ikonra.

2. Kattintson az Űrlapalapú fülre.

3. Kattintson a Hozzáadás gombra.

4. A felhasználónév, a jelszó és a tartomány változóinak automatikus észleléséhez írja be a bejelentkezési URL-címet (példáulhttps://localhost/contoso/auth/login.aspx) az Űrlapalapú webhely automatikus konfigurálása párbeszédpanelen, és kattintson az OK gombra.

5. Jelölje be a Multi-Factor Authentication felhasználói egyeztetés megkövetelése jelölőnégyzetet, ha az összes felhasználót importálta vagy importálni fogja a kiszolgálóra, és többtényezős hitelesítést alkalmaz rajtuk. Ha jelentős számú felhasználó még nem lett importálva a kiszolgálóra, és/vagy mentesül a többtényezős hitelesítés alól, hagyja bejelöletlenül a jelölőnégyzetet.

6. Ha a lapváltozók nem észlelhetők automatikusan, kattintson a Manuális beállítás gombra az Űrlapalapú webhely automatikus konfigurálása párbeszédpanelen.

7. Az Űrlapalapú webhely hozzáadása párbeszédpanelen adja meg a bejelentkezési oldal URL-címét a Küldési URL-cím mezőben, majd adjon meg egy alkalmazásnevet (nem kötelező). Az alkalmazásnév az Azure Multi-Factor Authentication-jelentésekben jelenik meg, illetve megjelenhet az SMS-es vagy mobilalkalmazásos hitelesítési üzenetekben.

8. Válassza ki a megfelelő kérési formátumot. Ez a legtöbb webalkalmazás esetén POST or GET értékre van állítva.

9. Adja meg a Felhasználónév változót, a Jelszó változót és a Tartomány változót (ha megjelenik a bejelentkezési oldalon). A beviteli mezők nevének megtekintéséhez nyissa meg a bejelentkezési lapot egy webböngészőben, majd a lapon a jobb gombbal kattintva válassza a Forrás megtekintése parancsot.

10. Jelölje be a Require Azure Multi-Factor Authentication user match (Azure Multi-Factor Authentication felhasználói egyezés megkövetelése) jelölőnégyzetet, ha az összes felhasználót importálta vagy importálni fogja a kiszolgálóra, és többtényezős hitelesítést alkalmaz rajtuk. Ha jelentős számú felhasználó még nem lett importálva a kiszolgálóra, és/vagy mentesül a többtényezős hitelesítés alól, hagyja bejelöletlenül a jelölőnégyzetet.

11. A Speciális gombra kattintva áttekintheti a következő speciális beállításokat:

    • Egyéni elutasítási oldalfájl kiválasztása
    • Sikeres hitelesítések gyorsítótárazása a webhelyre egy adott időtartamra cookie-k használatával
    • Válassza ki, hogy az elsődleges hitelesítő adatokat Windows-tartományon, LDAP-címtáron vagy RADIUS-kiszolgálón hitelesíti.

12. Az Űrlapalapú webhely hozzáadása párbeszédpanelre való visszatéréshez kattintson az OK gombra.

13. Kattintson az OK gombra.

14. Miután a rendszer észlelte vagy megadta az URL-címet és az oldal változóit, a webhely adatai megjelennek az Űrlapalapú panelen.

Integrált Windows-hitelesítés használata az Azure Multi-Factor Authentication-kiszolgálóval

Az integrált Windows HTTP-hitelesítést használó IIS-webalkalmazás védelméhez telepítse az Azure Multi-Factor Authentication-kiszolgálót az IIS-webkiszolgálóra, majd konfigurálja a kiszolgálót az alábbi lépésekkel:

1. Az Azure Multi-Factor Authentication-kiszolgálón kattintson a bal oldali menüben lévő IIS-hitelesítés ikonra.
2. Kattintson a HTTP fülre.
3. Kattintson a Hozzáadás gombra.
4. Az Alap URL-cím hozzáadása párbeszédpanelen adja meg annak a webhelynek az URL-címét, ahol HTTP-hitelesítést végeznek (például http://localhost/owa), és adjon meg egy alkalmazásnevet (nem kötelező). Az alkalmazásnév az Azure Multi-Factor Authentication-jelentésekben jelenik meg, illetve megjelenhet az SMS-es vagy mobilalkalmazásos hitelesítési üzenetekben.
5. Ha az alapértelmezett érték nem elegendő, módosítsa az üresjárati időtúllépést és a munkamenetek maximális időtartamát.
6. Jelölje be a Multi-Factor Authentication felhasználói egyeztetés megkövetelése jelölőnégyzetet, ha az összes felhasználót importálta vagy importálni fogja a kiszolgálóra, és többtényezős hitelesítést alkalmaz rajtuk. Ha jelentős számú felhasználó még nem lett importálva a kiszolgálóra, és/vagy mentesül a többtényezős hitelesítés alól, hagyja bejelöletlenül a jelölőnégyzetet.
7. Szükség esetén jelölje be a Cookie-gyorsítótár jelölőnégyzetét.
8. Kattintson az OK gombra.

IIS beépülő modulok engedélyezése az Azure Multi-Factor Authentication-kiszolgálón

Miután konfigurálta az űrlapalapú hitelesítés vagy a HTTP-hitelesítés URL-címeit és beállításait, válassza ki a helyeket, ahol az Azure Multi-Factor Authentication IIS beépülő modulokat betölteni és engedélyezni szeretné az IIS-ben. Kövesse az alábbi eljárást:

1. Ha az IIS 6-on fut, kattintson az ISAPI fülre. Válassza ki azt a webhelyet, amelyen a webalkalmazás fut (például alapértelmezett webhely) az Azure Multi-Factor Authentication ISAPI szűrő beépülő modul engedélyezéséhez.
2. Ha az IIS 7 vagy újabb verzióján fut, kattintson a Natív modul fülre. Válassza ki a kiszolgálót, webhelyeket vagy alkalmazásokat az IIS beépülő modul kívánt szinteken való engedélyezéséhez.
3. Kattintson az IIS-hitelesítés engedélyezése jelölőnégyzetre a képernyő tetején. Az Azure Multi-Factor Authentication mostantól biztosítja a kiválasztott IIS-alkalmazás védelmét. Győződjön meg arról, hogy importálta a felhasználókat a kiszolgálóra.

Megbízható IP-címek

A Megbízható IP-címek segítségével a felhasználók adott IP-címekről vagy alhálózatokról származó webhelykérések esetén kihagyhatják az Azure Multi-Factor Authenticationt. Például mentesítheti a felhasználókat az Azure Multi-Factor Authentication alól, ha az irodából jelentkeznek be. Ebben az esetben megadhatja az office-alhálózatot megbízható IP-címként. A Megbízható IP-címek konfigurálásához kövesse az alábbi eljárást:

1. Az IIS-hitelesítés szakaszban kattintson a Megbízható IP-címek fülre.
2. Kattintson a Hozzáadás gombra.
3. A Megbízható IP-címek hozzáadása párbeszédpanel megjelenésekor válassza az Egyetlen IP-cím, az IP-címtartomány vagy az Alhálózat választógombot.
4. Adja meg az engedélyezni kívánt IP-címet, IP-címtartományt vagy alhálózatot. Ha alhálózatot ad meg, válassza ki a megfelelő hálózati maszkot, és kattintson az OK gombra.