Share via

Mengonfigurasi Azure Multi-Factor Authentication Server untuk bekerja dengan AD FS 2.0

  • Artikel

Artikel ini ditujukan untuk organisasi yang digabungkan dengan MICROSOFT Entra ID, dan ingin mengamankan sumber daya yang lokal atau di cloud. Lindungi sumber daya dengan menggunakan Azure MFA Server dan mengonfigurasikannya untuk berfungsi dengan AD FS sehingga verifikasi dua langkah dipicu untuk titik akhir bernilai tinggi.

Dokumentasi ini mencakup penggunaan Azure MFA Server dengan AD FS 2.0. Untuk informasi tentang Layanan Federasi Direktori Aktif, lihat Mengamankan cloud dan sumber daya lokal menggunakan Server Multi-Factor Authentication Azure dengan Windows Server.

Penting

Pada bulan September 2022, Microsoft mengumumkan penghentian Azure Multi-Factor Authentication Server. Mulai 30 September 2024, penyebaran Azure Multi-Factor Authentication Server tidak akan lagi melayani permintaan autentikasi multifaktor, yang dapat menyebabkan autentikasi gagal untuk organisasi Anda. Untuk memastikan layanan autentikasi yang tidak terganggu dan tetap dalam status yang didukung, organisasi harus memigrasikan data autentikasi pengguna mereka ke layanan autentikasi multifaktor Microsoft Entra berbasis cloud dengan menggunakan Utilitas Migrasi terbaru yang disertakan dalam pembaruan Azure Multi-Factor Authentication Server terbaru. Untuk informasi selengkapnya, lihat Migrasi Server Autentikasi Multifaktor Azure.

Untuk mulai menggunakan MFA berbasis cloud, lihat Tutorial: Mengamankan peristiwa masuk pengguna dengan autentikasi multifaktor Azure.

Jika Anda menggunakan MFA berbasis cloud, lihat Mengamankan sumber daya cloud dengan autentikasi multifaktor Azure dan AD FS.

Pelanggan yang ada dan telah mengaktifkan Server MFA sebelum 1 Juli 2019 dapat mengunduh versi terbaru, pembaruan yang akan datang, dan membuat info masuk aktivasi seperti biasa.

Mengamankan Layanan Federasi Direktori Aktif 2.0 dengan proksi

Untuk mengamankan AD FS 2.0 dengan proksi, instal Azure MFA Server di server proksi AD FS.

Mengonfigurasi autentikasi IIS

  1. Di Azure MFA Server, klik ikon Autentikasi IIS di menu sebelah kiri.

  2. Klik tab Berbasis Formulir.

  3. Klik Tambahkan.

    MFA Server IIS Authentication window

  4. Untuk mendeteksi nama pengguna, kata sandi, dan variabel domain secara otomatis, masukkan URL login (seperti https://sso.contoso.com/adfs/ls) dalam kotak dialog Konfigurasikan Otomatis Situs Web Berbasis Formulir dan klik OK.

  5. Centang kotak Wajibkan pengguna autentikasi multifaktor Azure cocok jika semua pengguna telah atau akan diimpor ke Server dan tunduk pada verifikasi dua langkah. Jika sejumlah besar pengguna belum diimpor ke Server dan/atau akan dikecualikan dari verifikasi dua langkah, biarkan kotak tidak dicentang.

  6. Jika variabel halaman tidak dapat dideteksi secara otomatis, klik tombol Tentukan Secara Manual... dalam kotak dialog Konfigurasi Otomatis Situs Web Berbasis Formulir.

  7. Dalam kotak dialog Tambahkan Situs Web Berbasis Formulir, masukkan URL ke halaman masuk Layanan Federasi Direktori Aktif di bidang Kirim URL (seperti https://sso.contoso.com/adfs/ls) dan masukkan Nama aplikasi (opsional). Nama Aplikasi muncul di laporan autentikasi multifaktor Azure dan dapat ditampilkan dalam pesan autentikasi SMS atau Aplikasi Seluler.

  8. Atur format Permintaan ke POST atau GET.

  9. Masukkan variabel Nama pengguna (ctl00$ContentPlaceHolder1$UsernameTextBox) dan variabel Kata sandi (ctl00$ContentPlaceHolder1$PasswordTextBox). Jika halaman masuk berbasis formulir menampilkan kotak teks domain, masukkan variabel Domain juga. Untuk menemukan nama kotak input di halaman masuk, buka halaman masuk di browser web, klik kanan pada halaman dan pilih Tampilkan Sumber.

  10. Centang kotak Wajibkan pengguna autentikasi multifaktor Azure cocok jika semua pengguna telah atau akan diimpor ke Server dan tunduk pada verifikasi dua langkah. Jika sejumlah besar pengguna belum diimpor ke Server dan/atau akan dikecualikan dari verifikasi dua langkah, biarkan kotak tidak dicentang.

    Add form-based website to MFA Server

  11. Klik Tingkat Lanjut... untuk mengulas pengaturan tingkat lanjut. Pengaturan yang dapat Anda konfigurasi meliputi:

    • Memilih file halaman penolakan kustom
    • Simpan cache autentikasi yang berhasil ke situs web menggunakan cookie
    • Pilih cara untuk mengautentikasi kredensial utama

  12. Karena server proksi Layanan Federasi Direktori Aktif tidak mungkin digabungkan ke domain, Anda dapat menggunakan LDAP untuk menyambungkan ke pengontrol domain Anda untuk impor dan pra-autentikasi pengguna. Dalam kotak dialog Situs Web Berbasis Formulir Lanjutan, klik tab Autentikasi Utama dan pilih Ikatan LDAP untuk jenis Autentikasi Pra-autentikasi.

  13. Setelah selesai, klik OK untuk kembali ke kotak dialog Tambahkan Situs Web Berbasis Formulir Anda.

  14. Klik OK untuk menutup kotak dialog.

  15. Setelah URL dan variabel halaman terdeteksi atau dimasukkan, data situs web menampilkan panel Berbasis Volume.

  16. Klik tab Modul Native dan pilih server, situs web tempat proksi web dijalankan (seperti "Situs Web Default"), atau aplikasi proksi Layanan Federasi Direktori Aktif (seperti "Is" di bagian "adfs") untuk mengaktifkan plug-in IIS pada tingkat yang dikehendaki.

  17. Klik kotak Aktifkan autentikasi IIS di bagian atas layar.

Autentikasi IIS kini diaktifkan.

Mengonfigurasi integrasi direktori

Anda telah mengaktifkan autentikasi IIS, tetapi untuk melakukan pra-autentikasi ke Direktori Aktif (AD) Anda melalui LDAP, Anda harus mengonfigurasi koneksi LDAP ke pengontrol domain.

  1. Klik ikon Integrasi Direktori.

  2. Pada tab Pengaturan, pilih tombol Gunakan radio konfigurasi LDAP tertentu.

    Configure LDAP settings for specific LDAP settings

  3. Klik Edit.

  4. Dalam kotak dialog Edit Konfigurasi LDAP, isi bidang dengan informasi yang diperlukan untuk terhubung ke pengendali domain AD.

  5. Uji koneksi LDAP dengan mengklik tombol Uji.

    Test LDAP Configuration in MFA Server

  6. Jika pengujian koneksi LDAP berhasil, klik OK.

Mengonfigurasi pengaturan perusahaan

  1. Selanjutnya, klik ikon Pengaturan Perusahaan dan pilih tab Resolusi Nama Pengguna.
  2. Pilih tombol radio Gunakan atribut pengidentifikasi unik untuk nama pengguna yang cocok.
  3. Jika pengguna memasukkan nama pengguna mereka dalam format "domain\username", Server harus dapat menghapus domain dari nama pengguna saat membuat kueri LDAP, yang dapat dilakukan melalui pengaturan registri.
  4. Buka editor registri dan buka HKEY_LOCAL_MACHINE/SOFTWARE/Wow6432Node/Positive Networks/PhoneFactor di server 64-bit. Jika Anda menggunakan server 32-bit, hapus /Wow6432Node dari jalur. Buat kunci registri DWORD bernama "UsernameCxz_stripPrefixDomain" dan atur nilainya ke 1. Autentikasi multifaktor Azure sekarang mengamankan proksi AD FS.

Pastikan pengguna diimpor dari Direktori Aktif ke Server. Untuk mengizinkan pengguna melewati verifikasi dua langkah dari alamat IP internal, lihat IP Tepercaya.

Registry editor to configure company settings

Layanan Federasi Direktori Aktif 2.0 Direct tanpa proksi

Anda dapat mengamankan Layanan Federasi Direktori Aktif saat proksi LAYANAN Federasi Direktori Aktif tidak digunakan. Instal Azure MFA Server di server Layanan Federasi Direktori Aktif dan konfigurasikan Server sesuai langkah-langkah berikut:

  1. Di dalam Azure MFA Server, klik ikon Autentikasi IIS di menu kiri.

  2. Klik tab HTTP.

  3. Klik Tambahkan.

  4. Dalam kotak dialog Tambahkan URL Dasar, masukkan URL untuk situs web Layanan Federasi Direktori Aktif tempat autentikasi HTTP dilakukan (seperti https://sso.domain.com/adfs/ls/auth/integrated) ke dalam bidang URL Dasar. Kemudian, masukkan nama Aplikasi (opsional). Nama Aplikasi muncul di laporan autentikasi multifaktor Azure dan dapat ditampilkan dalam pesan autentikasi SMS atau Aplikasi Seluler.

  5. Jika diinginkan, sesuaikan batas waktu menganggur dan Waktu sesi maksimum.

  6. Centang kotak Wajibkan pengguna autentikasi multifaktor Azure cocok jika semua pengguna telah atau akan diimpor ke Server dan tunduk pada verifikasi dua langkah. Jika sejumlah besar pengguna belum diimpor ke Server dan/atau akan dikecualikan dari verifikasi dua langkah, biarkan kotak tidak dicentang.

  7. Centang cache cookie jika diinginkan.

    AD FS 2.0 Direct without a proxy

  8. Klik OK.

  9. Klik tab Modul Native dan pilih server, situs web (seperti "Situs Web Default"), atau aplikasi Layanan Federasi Direktori Aktif (seperti "ls" di bagian "adfs") untuk mengaktifkan plug-in IIS pada tingkat yang diinginkan.

  10. Klik kotak Aktifkan autentikasi IIS di bagian atas layar.

Autentikasi multifaktor Azure sekarang mengamankan LAYANAN Federasi Direktori Aktif.

Pastikan pengguna telah diimpor dari Direktori Aktif ke dalam Server. Lihat bagian berikutnya jika Anda ingin mengizinkan alamat IP internal sehingga verifikasi dua langkah tidak diperlukan saat masuk ke situs web dari lokasi tersebut.

IP tepercaya

IP tepercaya memungkinkan pengguna melewati autentikasi multifaktor Azure untuk permintaan situs web yang berasal dari alamat IP atau subnet tertentu. Misalnya, sebaiknya Anda mengecualikan pengguna dari verifikasi dua langkah saat mereka masuk dari kantor. Untuk ini, Anda akan menentukan subnet kantor sebagai entri IP Tepercaya.

Untuk mengonfigurasi IP tepercaya

  1. Di bagian Autentikasi IIS, klik tab IP Tepercaya.
  2. Klik tombol Tambahkan.
  3. Saat kotak dialog Tambahkan IP Tepercaya muncul, pilih salah satu tombol radio IP Tunggal, Rentang IP, atau Subnet.
  4. Masukkan alamat IP, rentang alamat IP, atau subnet yang akan diizinkan. Jika memasukkan subnet, pilih Netmask yang sesuai dan klik tombol OK.

Configure trusted IPs to MFA Server