Bagikan melalui

Autentikasi LDAP dan Azure MFA Server

  • Artikel

Secara default, Azure MFA Server dikonfigurasi untuk mengimpor atau menyinkronkan pengguna dari Direktori Aktif. Namun, dapat dikonfigurasi untuk mengikat ke direktori LDAP yang berbeda, seperti direktori ADAM, atau pengontrol domain Active Directory tertentu. Ketika terhubung ke direktori melalui LDAP, Azure MFA Server dapat bertindak sebagai proksi LDAP untuk melakukan autentikasi. Azure Multi-Factor Authentication Server juga dapat menggunakan Ikatan LDAP sebagai target RADIUS untuk melakukan pra-autentikasi pengguna IIS, atau untuk autentikasi utama di portal pengguna Azure Multi-Factor Authentication.

Untuk menggunakan Azure MFA sebagai proksi LDAP, sisipkan Azure MFA Server antara klien LDAP (misalnya, peralatan VPN, aplikasi) dan server direktori LDAP. Azure MFA Server harus dikonfigurasi untuk berkomunikasi dengan server klien dan direktori LDAP. Dalam konfigurasi ini, Azure MFA Server menerima permintaan LDAP dari server dan aplikasi klien dan meneruskannya ke server direktori LDAP target untuk memvalidasi info masuk utama. Jika direktori LDAP memvalidasi info masuk utama, Azure MFA melakukan verifikasi identitas kedua dan mengirim respons kembali ke klien LDAP. Seluruh autentikasi hanya berhasil jika autentikasi server LDAP dan verifikasi langkah kedua berhasil.

Penting

Pada bulan September 2022, Microsoft mengumumkan penghentian Azure Multi-Factor Authentication Server. Mulai 30 September 2024, penyebaran Azure Multi-Factor Authentication Server tidak akan lagi melayani permintaan autentikasi multifaktor (MFA), yang dapat menyebabkan autentikasi gagal untuk organisasi Anda. Untuk memastikan layanan autentikasi yang tidak terganggu dan tetap dalam status yang didukung, organisasi harus memigrasikan data autentikasi pengguna mereka ke layanan Azure Multi-Factor Authentication berbasis cloud dengan menggunakan Utilitas Migrasi terbaru yang disertakan dalam pembaruan Azure Multi-Factor Authentication Server terbaru. Untuk informasi selengkapnya, lihat Migrasi Server Autentikasi Multifaktor Azure.

Untuk mulai menggunakan MFA berbasis cloud, lihat Tutorial: Mengamankan kejadian masuk pengguna dengan Azure Multi-Factor Authentication.

Mengonfigurasi autentikasi LDAP

Untuk mengonfigurasi autentikasi LDAP, pasang Azure MFA Server di server Windows. Gunakan prosedur berikut:

Menambahkan klien LDAP

  1. Di Server Azure MFA, pilih ikon Autentikasi LDAP di menu kiri.

  2. Centang kotak centang Aktifkan Autentikasi LDAP.

    LDAP Authentication in MFA Server

  3. Pada tab Klien, ubah port TCP dan port SSL (TLS) jika layanan LDAP Azure MFA harus mengikat port non-standar untuk mendengarkan permintaan LDAP.

  4. Jika Anda berencana menggunakan LDAPS dari klien ke Azure MFA Server, sertifikat TLS/SSL harus dipasang pada server yang sama dengan MFA Server. Klik Telusuri di samping kotak sertifikat SSL (TLS), dan pilih sertifikat yang akan digunakan untuk koneksi aman.

  5. Klik Tambahkan.

  6. Dalam kotak dialog Tambahkan Klien LDAP, masukkan alamat IP alat, server, atau aplikasi yang mengautentikasi ke Server dan nama Aplikasi (opsional). Nama Aplikasi muncul di laporan Azure Multi-Factor Authentication dan dapat ditampilkan dalam pesan autentikasi SMS atau Aplikasi Seluler.

  7. Centang kotak Wajibkan pencocokan pengguna Autentikasi Multifaktor Azure jika semua pengguna telah atau akan diimpor ke dalam Server dan tunduk pada verifikasi dua langkah. Jika sejumlah besar pengguna belum diimpor ke Server dan/atau dikecualikan dari verifikasi dua langkah, biarkan kotak tidak dicentang. Lihat file bantuan MFA Server untuk informasi tambahan tentang fitur ini.

Ulangi langkah-langkah ini untuk menambahkan lebih banyak klien LDAP.

Mengonfigurasi sambungan direktori LDAP

Ketika Azure MFA dikonfigurasi untuk menerima autentikasi LDAP, autentikasi tersebut harus memproksi autentikasi tersebut ke direktori LDAP. Oleh karena itu, tab Target hanya menampilkan opsi tunggal berwarna abu-abu untuk menggunakan target LDAP.

Catatan

Integrasi direktori tidak dijamin untuk berfungsi dengan direktori selain Active Directory Domain Services.

  1. Untuk mengonfigurasi koneksi direktori LDAP, klik ikon Integrasi Direktori.

  2. Pada tab Pengaturan, pilih tombol Gunakan radio konfigurasi LDAP tertentu.

  3. Pilih Edit

  4. Dalam kotak dialog Edit Konfigurasi LDAP, isi bidang dengan informasi yang diperlukan untuk menyambungkan ke direktori LDAP. Deskripsi bidang disertakan dalam file bantuan Azure MFA Azure Multi-Factor Authentication Server.

    Directory Integration LDAP config

  5. Uji koneksi LDAP dengan mengklik tombol Uji.

  6. Jika tes koneksi LDAP berhasil, klik tombol OK.

  7. Klik tab Filter. Server telah dikonfigurasi sebelumnya untuk memuat kontainer, kelompok keamanan, dan pengguna dari Direktori Aktif. Jika mengikat ke direktori LDAP yang berbeda, Anda mungkin perlu mengedit filter yang ditampilkan. Klik link Bantuan untuk informasi selengkapnya tentang filter.

  8. Klik tab Atribut. Server telah dikonfigurasi sebelumnya untuk memetakan atribut dari Direktori Aktif.

  9. Jika Anda mengikat ke direktori LDAP yang berbeda atau untuk mengubah pemetaan atribut yang telah dikonfigurasi sebelumnya, klik Edit

  10. Dalam kotak dialog Edit Atribut, ubah pemetaan atribut LDAP untuk direktori Anda. Nama atribut dapat diketik atau dipilih dengan mengklik tombol di samping setiap bidang. Klik link Bantuan untuk informasi selengkapnya tentang atribut.

  11. Klik tombol OK.

  12. Klik ikon Pengaturan Perusahaan dan pilih tab Resolusi Nama Pengguna.

  13. Jika Anda menyambungkan ke Direktori Aktif dari server yang bergabung dengan domain, biarkan tombol radio Gunakan pengidentifikasi keamanan (SID) Windows untuk mencocokkan nama pengguna dipilih. Jika tidak, pilih tombol radio Gunakan atribut pengenal unik LDAP untuk nama pengguna yang cocok.

Saat tombol radio Gunakan atribut pengenal unik LDAP untuk nama pengguna yang cocok dipilih, Azure MFA Server mencoba untuk menyelesaikan setiap nama pengguna ke pengidentifikasi unik di direktori LDAP. Pencarian LDAP dilakukan pada atribut Nama Pengguna yang ditentukan di tab Atribut Integrasi > Direktori. Saat pengguna mengautentikasi, nama pengguna diselesaikan ke pengidentifikasi unik di direktori LDAP. Pengidentifikasi unik digunakan untuk mencocokkan pengguna dalam file data Azure MFA. Ini memungkinkan perbandingan yang tidak sensitif terhadap kasus, dan format nama pengguna yang panjang dan pendek.

Setelah Anda menyelesaikan langkah-langkah ini, MFA Server mendengarkan port yang dikonfigurasi untuk permintaan akses LDAP dari klien yang dikonfigurasi, dan bertindak sebagai proxy untuk permintaan tersebut ke direktori LDAP untuk autentikasi.

Mengonfigurasi klien LDAP

Untuk mengonfigurasi klien LDAP, gunakan panduan:

  • Konfigurasikan peralatan, server, atau aplikasi Anda untuk mengautentikasi melalui LDAP ke Azure MFA Server seolah-olah adalah direktori LDAP Anda. Gunakan pengaturan yang sama yang biasanya Anda gunakan untuk menyambungkan langsung ke direktori LDAP Anda, tetapi gunakan Azure Multi-Factor Authentication Server untuk nama server atau alamat IP.
  • Konfigurasikan batas waktu LDAP hingga 30-60 detik untuk memberikan cukup waktu untuk memvalidasi kredensial pengguna dengan direktori LDAP, melakukan verifikasi langkah kedua, menerima respons mereka, dan menanggapi permintaan akses LDAP.
  • Jika menggunakan LDAPS, alat atau server yang membuat kueri LDAP harus mempercayai sertifikat TLS/SSL yang dipasang pada Azure MFA Server.