Az Azure Multi-Factor Authentication-kiszolgáló konfigurálása IIS-webalkalmazásokhoz
Az Azure MFA-kiszolgáló IIS-hitelesítés szakaszában engedélyezheti és konfigurálhatja az IIS-hitelesítést a Microsoft IIS-webalkalmazásokkal való integrációra. Az Azure Multi-Factor Authentication-kiszolgáló egy beépülő modult telepít, amely szűrheti az IIS-webkiszolgálóra irányuló kéréseket az Azure Multi-Factor Authentication hozzáadásához. Az IIS beépülő modul támogatja az űrlapalapú hitelesítést és az integrált Windows HTTP-hitelesítést. Ezenkívül a megbízható IP-címek konfigurálhatók úgy, hogy a belső IP-címek mentesüljenek kéttényezős hitelesítés alól.
Fontos
2022 szeptemberében a Microsoft bejelentette az Azure Multi-Factor Authentication-kiszolgáló elavulását. 2024. szeptember 30-tól az Azure Multi-Factor Authentication Server üzemelő példányai már nem fognak többtényezős hitelesítési (MFA) kéréseket kiszolgálni, ami a szervezet számára sikertelen hitelesítést okozhat. A zavartalan hitelesítési szolgáltatások biztosítása és a támogatott állapot megőrzése érdekében a szervezeteknek át kell telepíteniük felhasználóik hitelesítési adatait a felhőalapú Azure Multi-Factor Authentication szolgáltatásba az Azure Multi-Factor Authentication legújabb frissítésében szereplő legújabb Migration Segédprogram használatával. További információ: Azure Multi-Factor Authentication Server Migration.
A felhőalapú MFA használatának megkezdéséhez tekintse meg a következő oktatóanyagot: Biztonságos felhasználói bejelentkezési események az Azure Multi-Factor Authentication használatával.
Felhőalapú Azure Multi-Factor Authentication használata esetén nincs alternatíva az Azure Multi-Factor Authentication (MFA) kiszolgáló által biztosított IIS beépülő modul helyett. Ehelyett használjon webes alkalmazásproxy (WAP) Active Directory összevonási szolgáltatások (AD FS) (AD FS) vagy Microsoft Entra alkalmazásproxyval.
Az űrlapalapú IIS-hitelesítés használata az Azure Multi-Factor Authentication-kiszolgálóval
Űrlapalapú hitelesítést használó IIS-webalkalmazás védelméhez telepítse az Azure Multi-Factor Authentication-kiszolgálót az IIS-webkiszolgálón és konfigurálja a kiszolgálót a következő eljárásnak megfelelően:
Az Azure Multi-Factor Authentication-kiszolgálón kattintson a bal oldali menüben lévő IIS-hitelesítés ikonra.
Kattintson az Űrlapalapú fülre.
Kattintson a Hozzáadás gombra.
A felhasználónév, a jelszó és a tartomány változóinak automatikus észleléséhez írja be a bejelentkezési URL-címet (például
https://localhost/contoso/auth/login.aspx
) az Űrlapalapú webhely automatikus konfigurálása párbeszédpanelen, és kattintson az OK gombra.Jelölje be a Multi-Factor Authentication felhasználói egyeztetés megkövetelése jelölőnégyzetet, ha az összes felhasználót importálta vagy importálni fogja a kiszolgálóra, és többtényezős hitelesítést alkalmaz rajtuk. Ha jelentős számú felhasználó még nem lett importálva a kiszolgálóra, és/vagy mentesül a többtényezős hitelesítés alól, hagyja bejelöletlenül a jelölőnégyzetet.
Ha a lapváltozók nem észlelhetők automatikusan, kattintson a Manuális beállítás gombra az Űrlapalapú webhely automatikus konfigurálása párbeszédpanelen.
Az Űrlapalapú webhely hozzáadása párbeszédpanelen adja meg a bejelentkezési oldal URL-címét a Küldési URL-cím mezőben, majd adjon meg egy alkalmazásnevet (nem kötelező). Az alkalmazásnév az Azure Multi-Factor Authentication-jelentésekben jelenik meg, illetve megjelenhet az SMS-es vagy mobilalkalmazásos hitelesítési üzenetekben.
Válassza ki a megfelelő kérési formátumot. Ez a legtöbb webalkalmazás esetén POST or GET értékre van állítva.
Adja meg a Felhasználónév változót, a Jelszó változót és a Tartomány változót (ha megjelenik a bejelentkezési oldalon). A beviteli mezők nevének megtekintéséhez nyissa meg a bejelentkezési lapot egy webböngészőben, majd a lapon a jobb gombbal kattintva válassza a Forrás megtekintése parancsot.
Jelölje be a Require Azure Multi-Factor Authentication user match (Azure Multi-Factor Authentication felhasználói egyezés megkövetelése) jelölőnégyzetet, ha az összes felhasználót importálta vagy importálni fogja a kiszolgálóra, és többtényezős hitelesítést alkalmaz rajtuk. Ha jelentős számú felhasználó még nem lett importálva a kiszolgálóra, és/vagy mentesül a többtényezős hitelesítés alól, hagyja bejelöletlenül a jelölőnégyzetet.
A Speciális gombra kattintva áttekintheti a következő speciális beállításokat:
- Egyéni elutasítási oldalfájl kiválasztása
- Sikeres hitelesítések gyorsítótárazása a webhelyre egy adott időtartamra cookie-k használatával
- Válassza ki, hogy az elsődleges hitelesítő adatokat Windows-tartományon, LDAP-címtáron vagy RADIUS-kiszolgálón hitelesíti.
Az Űrlapalapú webhely hozzáadása párbeszédpanelre való visszatéréshez kattintson az OK gombra.
Kattintson az OK gombra.
Miután a rendszer észlelte vagy megadta az URL-címet és az oldal változóit, a webhely adatai megjelennek az Űrlapalapú panelen.
Integrált Windows-hitelesítés használata az Azure Multi-Factor Authentication-kiszolgálóval
Az integrált Windows HTTP-hitelesítést használó IIS-webalkalmazás védelméhez telepítse az Azure Multi-Factor Authentication-kiszolgálót az IIS-webkiszolgálóra, majd konfigurálja a kiszolgálót az alábbi lépésekkel:
- Az Azure Multi-Factor Authentication-kiszolgálón kattintson a bal oldali menüben lévő IIS-hitelesítés ikonra.
- Kattintson a HTTP fülre.
- Kattintson a Hozzáadás gombra.
- Az Alap URL-cím hozzáadása párbeszédpanelen adja meg annak a webhelynek az URL-címét, ahol HTTP-hitelesítést végeznek (például
http://localhost/owa
), és adjon meg egy alkalmazásnevet (nem kötelező). Az alkalmazásnév az Azure Multi-Factor Authentication-jelentésekben jelenik meg, illetve megjelenhet az SMS-es vagy mobilalkalmazásos hitelesítési üzenetekben. - Ha az alapértelmezett érték nem elegendő, módosítsa az üresjárati időtúllépést és a munkamenetek maximális időtartamát.
- Jelölje be a Multi-Factor Authentication felhasználói egyeztetés megkövetelése jelölőnégyzetet, ha az összes felhasználót importálta vagy importálni fogja a kiszolgálóra, és többtényezős hitelesítést alkalmaz rajtuk. Ha jelentős számú felhasználó még nem lett importálva a kiszolgálóra, és/vagy mentesül a többtényezős hitelesítés alól, hagyja bejelöletlenül a jelölőnégyzetet.
- Szükség esetén jelölje be a Cookie-gyorsítótár jelölőnégyzetét.
- Kattintson az OK gombra.
IIS beépülő modulok engedélyezése az Azure Multi-Factor Authentication-kiszolgálón
Miután konfigurálta az űrlapalapú hitelesítés vagy a HTTP-hitelesítés URL-címeit és beállításait, válassza ki a helyeket, ahol az Azure Multi-Factor Authentication IIS beépülő modulokat betölteni és engedélyezni szeretné az IIS-ben. Kövesse az alábbi eljárást:
- Ha az IIS 6-on fut, kattintson az ISAPI fülre. Válassza ki azt a webhelyet, amelyen a webalkalmazás fut (például alapértelmezett webhely) az Azure Multi-Factor Authentication ISAPI szűrő beépülő modul engedélyezéséhez.
- Ha az IIS 7 vagy újabb verzióján fut, kattintson a Natív modul fülre. Válassza ki a kiszolgálót, webhelyeket vagy alkalmazásokat az IIS beépülő modul kívánt szinteken való engedélyezéséhez.
- Kattintson az IIS-hitelesítés engedélyezése jelölőnégyzetre a képernyő tetején. Az Azure Multi-Factor Authentication mostantól biztosítja a kiválasztott IIS-alkalmazás védelmét. Győződjön meg arról, hogy importálta a felhasználókat a kiszolgálóra.
Megbízható IP-címek
A Megbízható IP-címek segítségével a felhasználók adott IP-címekről vagy alhálózatokról származó webhelykérések esetén kihagyhatják az Azure Multi-Factor Authenticationt. Például mentesítheti a felhasználókat az Azure Multi-Factor Authentication alól, ha az irodából jelentkeznek be. Ebben az esetben megadhatja az office-alhálózatot megbízható IP-címként. A Megbízható IP-címek konfigurálásához kövesse az alábbi eljárást:
- Az IIS-hitelesítés szakaszban kattintson a Megbízható IP-címek fülre.
- Kattintson a Hozzáadás gombra.
- A Megbízható IP-címek hozzáadása párbeszédpanel megjelenésekor válassza az Egyetlen IP-cím, az IP-címtartomány vagy az Alhálózat választógombot.
- Adja meg az engedélyezni kívánt IP-címet, IP-címtartományt vagy alhálózatot. Ha alhálózatot ad meg, válassza ki a megfelelő hálózati maszkot, és kattintson az OK gombra.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: