Azure Multi-Factor Authentication-kiszolgáló konfigurálása az AD FS-sel való használathoz Windows Serveren
Ha Active Directory összevonási szolgáltatásokat (AD FS-t) használ, és szeretne védelmet biztosítani a felhőnek vagy a helyszíni erőforrásoknak, konfigurálhat egy Azure Multi-Factor Authentication-kiszolgálót, és beállíthatja, hogy az együttműködjön az AD FS-sel. Ezzel aktiválja a kétlépéses ellenőrzést a nagy értékű végpontokon.
Ebben a cikkben az Azure Multi-Factor Authentication Server és az AD FS használatát tárgyaljuk a Windows Server 2016-tól kezdődően. További információkért olvassa el a cikket, amely leírja, hogy hogyan biztosítson védelmet a felhőnek és helyszíni erőforrásainak az Azure Multi-Factor Authentication-kiszolgáló és az AD FS 2.0 segítségével.
Fontos
2022 szeptemberében a Microsoft bejelentette az Azure Multi-Factor Authentication-kiszolgáló elavulását. 2024. szeptember 30-tól az Azure Multi-Factor Authentication Server üzemelő példányai már nem fognak többtényezős hitelesítési kéréseket kiszolgálni, ami a szervezet hitelesítéseinek meghiúsulását okozhatja. A zavartalan hitelesítési szolgáltatások biztosítása és a támogatott állapot megőrzése érdekében a szervezeteknek át kell telepíteniük felhasználóik hitelesítési adatait a felhőalapú Azure MFA szolgáltatásba az Azure MFA-kiszolgáló legújabb frissítésében szereplő legújabb Migration Utility használatával. További információ: Azure MFA Server Migration.
A felhőalapú MFA használatának megkezdéséhez tekintse meg a következő oktatóanyagot: A felhasználók bejelentkezési eseményeinek biztonságossá tételét azure-beli többtényezős hitelesítéssel.
Ha felhőalapú MFA-t használ, tekintse meg a felhőalapú erőforrások biztonságossá tételét a Microsoft Entra többtényezős hitelesítéssel és az AD FS használatával.
Az MFA-kiszolgálót 2019. július 1-je előtt aktiváló meglévő ügyfelek a szokásos módon letölthetik a legújabb verziót, a jövőbeli frissítéseket, és aktiválhatják az aktiválási hitelesítő adatokat.
A Windows Server AD FS védelme az Azure Multi-Factor Authentication-kiszolgálóval
Az Azure Multi-Factor Authentication-kiszolgáló telepítéséhez a következő lehetőségek állnak rendelkezésre:
- Az Azure Multi-Factor Authentication-kiszolgáló helyi telepítése az AD FS-sel azonos kiszolgálóra
- Telepítse az Azure többtényezős hitelesítési adaptert helyileg az AD FS-kiszolgálón, majd telepítse a Multi-Factor Authentication-kiszolgálót egy másik számítógépre
Mielőtt megkezdi a műveletet, vegye figyelembe az alábbi információkat:
- Nem szükséges telepítenie az Azure Multi-Factor Authentication-kiszolgálót az AD FS-kiszolgálóra. Az AD FS többtényezős hitelesítési adapterét azonban telepítenie kell az AD FS-t futtató Windows Server 2012 R2-re vagy Windows Server 2016-ra. A kiszolgálót másik számítógépre is telepítheti, ha az AD FS-adaptert külön telepíti az AD FS összevonási kiszolgálóra. Az adapter külön történő telepítésével kapcsolatos információkért olvassa el az alábbi eljárást.
- Ha a szervezet szöveges üzenet- vagy mobilalkalmazás-ellenőrzési módszereket használ, a Céges Gépház definiált sztringek egy $application_name$> helyőrzőt <tartalmaznak. Az MFA-kiszolgáló 7.1-es verziójában megadhat egy alkalmazásnevet, amely felváltja a helyőrzőt. A 7.0-ás vagy régebbi verziókban a rendszer nem cseréli le automatikusan a helyőrzőt az AD FS-adapter használatakor. Ezekben a régebbi verziókban távolítsa el a helyőrzőt a megfelelő sztringekból az AD FS védelmének kialakításakor.
- A bejelentkezéshez használt fióknak felhasználói jogosultsággal kell rendelkeznie a biztonsági csoportok létrehozásához az Active Directory szolgáltatásban.
- A többtényezős hitelesítési AD FS-adapter telepítővarázslója létrehoz egy Telefon Factor Rendszergazda s nevű biztonsági csoportot az Active Directory-példányban. majd hozzáadja az összevonási szolgáltatáshoz tartozó AD FS-szolgáltatásfiókot a csoporthoz. Ellenőrizze, hogy létrejött-e a PhoneFactor-adminisztrátorok csoport a tartományvezérlőn, illetve hogy az AD FS-szolgáltatásfiók valóban tagja-e a csoportnak. Ha szükséges, adja hozzá manuálisan az AD FS-szolgáltatásfiókot a tartományvezérlőn a PhoneFactor-adminisztrátorok csoporthoz.
- További információ a Web Service SDK felhasználói portállal végzett telepítéséről: A felhasználói portál üzembe helyezése Azure Multi-Factor Authentication-kiszolgálón.
Az Azure Multi-Factor Authentication-kiszolgáló helyi telepítése az AD FS kiszolgálóján
Töltse le és telepítse az Azure Multi-Factor Authentication-kiszolgálót az AD FS-kiszolgálóra. A telepítéssel kapcsolatos információkért olvassa el az Azure Multi-Factor Authentication-kiszolgáló használatának első lépéseit bemutató cikket.
Az Azure Multi-Factor Authentication-kiszolgáló felügyeleti konzolján kattintson az AD FS ikonra. Válassza a Felhasználó beléptetésének engedélyezése és Módszer kiválasztásának engedélyezése a felhasználóknak beállításokat.
Kapcsolja be a további funkciókat, amelyekre vállalatának szüksége van.
Kattintson az AD FS-adapter telepítése gombra.
Ha az Active Directory ablak jelenik meg, ez két dolgot jelent. A számítógép csatlakozik egy tartományhoz, és az Active Directory konfigurációja, amely biztosítja az AD FS-adapter és a többtényezős hitelesítési szolgáltatás közötti kommunikációt, nem teljes. Kattintson a Tovább gombra a konfiguráció automatikus elvégzéséhez, vagy jelölje be Az Active Directory automatikus konfigurálásának kihagyása és a beállítások manuális megadása jelölőnégyzetet. Kattintson a Tovább gombra.
Ha megjelenik a Helyi csoport ablak, az két dolgot jelent. A számítógép nincs tartományhoz csatlakoztatva, és az AD FS-adapter és a többtényezős hitelesítési szolgáltatás közötti kommunikációt biztosító helyi csoportkonfiguráció hiányos. Kattintson a Tovább gombra a konfiguráció automatikus elvégzéséhez, vagy jelölje be A helyi csoport automatikus konfigurálásának kihagyása és a beállítások manuális megadása jelölőnégyzetet. Kattintson a Tovább gombra.
A telepítővarázslóban kattintson a Tovább gombra. Az Azure Multi-Factor Authentication-kiszolgáló létrehozza a PhoneFactor-adminisztrátorok csoportot, és hozzáadja az AD FS-szolgáltatásfiókot a PhoneFactor-adminisztrátorok csoporthoz.
A Telepítő indítása lapon kattintson a Tovább gombra.
A többtényezős hitelesítésŰ AD FS-adapter telepítőjében kattintson a Tovább gombra.
Amikor a telepítés befejeződött, kattintson a Bezárás gombra.
Ha befejeződött az adapter telepítése, regisztrálnia kell azt az AD FS-sel. Indítsa el a Windows PowerShellt, és futtassa az alábbi parancsot:
C:\Program Files\Multi-Factor Authentication Server\Register-MultiFactorAuthenticationAdfsAdapter.ps1
Az újonnan regisztrált adapter használatához módosítsa a globális hitelesítési szabályzatot az AD FS-ben. Az AD FS felügyeleti konzoljában nyissa meg a Hitelesítési házirendek csomópontot. A Többtényezős hitelesítés szakaszban kattintson a Globális Gépház szakasz melletti Szerkesztés hivatkozásra. A Globális hitelesítési házirend szerkesztése ablakban válassza a Többtényezős hitelesítés lehetőséget további hitelesítési módszerként, majd kattintson az OK gombra. Lezajlik az adapter regisztrálása WindowsAzureMultiFactorAuthentication néven. A regisztráció érvénybe léptetéséhez indítsa újra az AD FS szolgáltatást.
Ezen a ponton elértük, hogy a Multi-Factor Authentication-kiszolgáló úgy van beállítva, hogy további hitelesítésszolgáltatóként működjön az AD FS szolgáltatásokhoz.
Az AD FS-adapter önálló példányának telepítése a Web Service SDK segítségével
- Telepítse a Web Service SDK-t a Multi-Factor Authentication-kiszolgálót futtató kiszolgálón.
- Másolja a következő fájlokat a \Program Files\Multi-Factor Authentication Server könyvtárból arra a kiszolgálóra, amelyre telepíteni szeretné az AD FS-adaptert:
- MultiFactorAuthenticationAdfsAdapterSetup64.msi
- Register-MultiFactorAuthenticationAdfsAdapter.ps1
- Unregister-MultiFactorAuthenticationAdfsAdapter.ps1
- MultiFactorAuthenticationAdfsAdapter.config
- Futtassa a MultiFactorAuthenticationAdfsAdapterSetup64.msi telepítőfájlt.
- A többtényezős hitelesítésŰ AD FS-adapter telepítőjében kattintson a Tovább gombra a telepítés elindításához.
- Amikor a telepítés befejeződött, kattintson a Bezárás gombra.
Szerkessze a MultiFactorAuthenticationAdfsAdapter.config fájlt
A MultiFactorAuthenticationAdfsAdapter.config fájl szerkesztéséhez kövesse az alábbi lépéseket:
- Állítsa a UseWebServiceSdk csomópontot true értékre.
- Állítsa a WebServiceSdkUrl értékét a többtényezős hitelesítésű Web Service SDK URL-címére. Például: https://contoso.com/</certificatename>/MultiFactorAuthWebServiceSdk/PfWsSdk.asmx. A <certificatename> a tanúsítvány nevét jelöli.
- Szerkessze a Register-MultiFactorAuthenticationAdfsAdapter.ps1 szkriptet: adja hozzá a
-ConfigurationFilePath <path>
értéket aRegister-AdfsAuthenticationProvider
parancs végéhez. A <path> helyére írja be a MultiFactorAuthenticationAdfsAdapter.config fájl teljes elérési útját.
A Web Service SDK konfigurálása felhasználónévvel és jelszóval
Két lehetőség érhető el a Web Service SDK konfigurálására. A felhasználónévvel és jelszóval, illetve az ügyféltanúsítvánnyal történő konfigurálás. Kövesse az alábbi lépéseket, ha az első lehetőséget választja, vagy ugorjon előre, ha a másodikat.
- Állítsa a WebServiceSdkUsername értékét olyan fiókra, amely a PhoneFactor-adminisztrátorok biztonsági csoport tagja. Használja a <tartomány>\<felhasználónév> formátumot.
- Állítsa a WebServiceSdkPassword értékét a megfelelő fiókjelszóra. A "&" speciális karakter nem használható a WebServiceSdkPasswordben.
A Web Service SDK konfigurálása ügyféltanúsítvánnyal
Ha nem szeretne felhasználónevet és jelszót használni, az alábbi lépések követésével végezze el a Web Service SDK konfigurálását ügyféltanúsítvánnyal.
- Szerezzen be ügyféltanúsítványt a Web Service SDK-t futtató kiszolgáló hitelesítésszolgáltatójától. Ismerje meg, hogyan szerezheti be az ügyféltanúsítványt.
- Importálja az ügyféltanúsítványt a helyi számítógép személyes tanúsítványtárolójába a Web Service SDK-t futtató kiszolgálón. Győződjön meg róla, hogy a hitelesítésszolgáltató nyilvános tanúsítványa szerepel-e a megbízható legfelső szintű tanúsítványok tanúsítványtárolójában.
- Exportálja az ügyféltanúsítvány nyilvános és titkos kulcsát egy .pfx fájlba.
- Exportálja a nyilvános kulcsot Base64 formátumban egy .cer-fájlba.
- A Kiszolgálókezelőben ellenőrizze, hogy a Webkiszolgáló (IIS)\Webkiszolgáló\Biztonság\IIS ügyféltanúsítvány-hozzárendelés hitelesítése szolgáltatás telepítve van-e. Ha nincs telepítve, válassza a Szerepkörök és szolgáltatások hozzáadása lehetőséget a szolgáltatás hozzáadásához.
- Az IIS-kezelőben kattintson duplán a Konfigurációszerkesztő lehetőségre a Web Service SDK virtuális könyvtárat tartalmazó webhelyen. Fontos, hogy a webhelyet válassza ki, ne a virtuális könyvtárat.
- Lépjen a system.webServer/security/authentication/iisClientCertificateMappingAuthentication szakaszra.
- Az enabled elemet állítsa true értékre.
- Állítsa a oneToOneCertificateMappingsEnabled elemet true értékre.
- Kattintson a oneToOneMappings melletti ... gombra, majd kattintson a Hozzáadás hivatkozásra.
- Nyissa meg a korábban exportált Base64 .cer-fájlt. Távolítsa el a -----BEGIN CERTIFICATE----- és az -----END CERTIFICATE----- elemet, továbbá minden sortörést. Másolja az eredményül kapott sztringet.
- Állítsa a tanúsítvány értékét az előző lépésben másolt sztringre.
- Az enabled elemet állítsa true értékre.
- Állítsa a userName értékét egy olyan fiókra, amely a PhoneFactor-adminisztrátorok biztonsági csoport tagja. Használja a <tartomány>\<felhasználónév> formátumot.
- Állítsa be a jelszót és a megfelelő fiókjelszót, majd zárja be a Konfigurációszerkesztőt.
- Kattintson az Alkalmaz hivatkozásra.
- A Web Service SDK virtuális könyvtárában kattintson duplán a Hitelesítés lehetőségre.
- Győződjön meg arról, hogy az ASP.NET megszemélyesítés és az Alapszintű hitelesítés Engedélyezve, a többi elem pedig Letiltva értékre van állítva.
- A Web Service SDK virtuális könyvtárában kattintson duplán az SSL-beállítások lehetőségre.
- Adja meg az ügyféltanúsítványok számára az Elfogadás értéket, és kattintson az Alkalmaz gombra.
- Másolja a korábban exportált .pfx-fájlt az AD FS-adaptert futtató kiszolgálóra.
- Importálja a .pfx-fájlt a helyi számítógép személyes tanúsítványtárolójába.
- Kattintson jobb gombbal, majd válassza a Titkos kulcsok kezelése lehetőséget, és adjon olvasási hozzáférést az AD FS szolgáltatásba való bejelentkezéshez használt fióknak.
- Nyissa meg az ügyféltanúsítványt, és másolja az ujjlenyomatot a Részletek lapról.
- A MultiFactorAuthenticationAdfsAdapter.config fájlban állítsa a WebServiceSdkCertificateThumbprint értékét az előző lépésben másolt sztringre.
Végezetül futtassa a \Program Files\Multi-Factor Authentication Server\Register-MultiFactorAuthenticationAdfsAdapter.ps1 szkriptet a PowerShellben az adapter regisztrálásához. Lezajlik az adapter regisztrálása WindowsAzureMultiFactorAuthentication néven. A regisztráció érvénybe léptetéséhez indítsa újra az AD FS szolgáltatást.
Microsoft Entra-erőforrások védelme az AD FS használatával
A felhőszolgáltatás biztosításához állítson be egy jogcímszabályt, hogy az Active Directory összevonási szolgáltatások a multipleauthn jogcímet adja ki, amikor egy felhasználó sikeresen végez kétlépéses ellenőrzést. Ezt a jogcímet a rendszer a Microsoft Entra-azonosítónak továbbítja. Az alábbi eljárás bemutatja ennek lépéseit:
Nyissa meg az AD FS felügyeleti konzolt.
A bal oldalon válassza a Függő entitás megbízhatóságai elemet.
Kattintson a jobb gombbal a Microsoft Office 365 Identity Platform elemre, és válassza a Jogcímszabályok szerkesztése… lehetőséget.
A Kiadás átalakítási szabályai részben kattintson a Szabály hozzáadása elemre.
Az Átalakítási jogcímszabály hozzáadása varázslóban válassza a Bejövő jogcím továbbítása vagy szűrése elemet a legördülő menüből, majd kattintson a Tovább gombra.
Adjon nevet a szabálynak.
Válassza a Hitelesítési módszerek hivatkozásai lehetőséget a Bejövő jogcím típusaként.
Válassza Az összes jogcímérték továbbítása lehetőséget.
Kattintson a Befejezés gombra. Zárja be az AD FS felügyeleti konzolt.
Hibaelhárítási naplók
Az MFA-kiszolgáló AD FS-adapterének hibaelhárításához kapcsolódó további naplózási beállítások engedélyezéséhez kövesse az alábbi lépéseket.
- Nyissa meg az AD FS szakaszt az MFA-kiszolgáló felületén, és jelölje be a Naplózás engedélyezése jelölőnégyzetet.
- Az AD FS-kiszolgálókon a regedit.exe fájl futtatásával hozhat létre sztring értékű
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Positive Networks\PhoneFactor\InstallPath
beállításjegyzék-kulcsotC:\Program Files\Multi-Factor Authentication Server\
értékkel (vagy egy tetszőleges egyéb könyvtárral). Vegye figyelembe, hogy a záró fordított perjel fontos. - Hozza létre a
C:\Program Files\Multi-Factor Authentication Server\Logs
könyvtárat (vagy egy másik könyvtárat a 2. lépésben leírtak szerint). - Adjon módosítási hozzáférést az AD FS-szolgáltatásfióknak a Naplók könyvtárban.
- Indítsa újra az AD FS szolgáltatást.
- Ellenőrizze, hogy a
MultiFactorAuthAdfsAdapter.log
fájl létrejött-e a Logs könyvtárban.
Kapcsolódó témakörök
Hibaelhárítási segítségért tekintse meg az Azure többtényezős hitelesítésével kapcsolatos gyakori kérdéseket
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: