Portal pengguna untuk Azure Multi-Factor Authentication Server
Portal pengguna adalah situs web IIS yang memungkinkan pengguna untuk mendaftar di autentikasi multifaktor Microsoft Entra dan memelihara akun mereka. Pengguna dapat mengubah nomor telepon, mengubah PIN, atau memilih untuk melewati verifikasi dua langkah selama masuk berikutnya.
Pengguna masuk ke portal pengguna dengan nama pengguna dan kata sandi normal mereka, lalu menyelesaikan panggilan verifikasi dua langkah atau menjawab pertanyaan keamanan untuk menyelesaikan autentikasi mereka. Jika pendaftaran pengguna diizinkan, pengguna mengonfigurasi nomor telepon dan PIN mereka saat pertama kali masuk ke portal pengguna.
Administrator portal pengguna dapat disiapkan dan diberi izin untuk menambahkan pengguna baru dan memperbarui pengguna yang sudah ada.
Bergantung pada lingkungan Anda, Anda mungkin ingin menyebarkan portal pengguna di server yang sama dengan Server Microsoft Azure Multi-Factor Authentication atau di server lain yang terhubung ke internet.
Penting
Pada bulan September 2022, Microsoft mengumumkan penghentian Azure Multi-Factor Authentication Server. Mulai 30 September 2024, penyebaran Azure Multi-Factor Authentication Server tidak akan lagi melayani permintaan autentikasi multifaktor, yang dapat menyebabkan autentikasi gagal untuk organisasi Anda. Untuk memastikan layanan autentikasi yang tidak terganggu dan tetap dalam status yang didukung, organisasi harus memigrasikan data autentikasi pengguna mereka ke layanan Azure MFA berbasis cloud dengan menggunakan Utilitas Migrasi terbaru yang disertakan dalam pembaruan Azure MFA Server terbaru. Untuk informasi selengkapnya, lihat Migrasi Server Azure MFA.
Untuk mulai menggunakan MFA berbasis cloud, lihat Tutorial: Mengamankan peristiwa masuk pengguna dengan autentikasi multifaktor Microsoft Entra.
Catatan
Portal pengguna hanya tersedia dengan Server Multi-Factor Authentication. Jika Anda menggunakan autentikasi multifaktor di cloud, lihat pengguna Anda ke Menyiapkan akun Anda untuk verifikasi dua langkah atau Mengelola pengaturan Anda untuk verifikasi dua langkah.
Menginstal SDK layanan web
Dalam kedua skenario, jika SDK Layanan Web autentikasi multifaktor Microsoft Entra belum diinstal di Azure Multi-Factor Authentication Server, selesaikan langkah-langkah berikut.
- Buka konsol Server Multi-Factor Authentication.
- Masuk ke SDK Layanan Web lalu pilih Instal SDK Layanan Web.
- Selesaikan penginstalan menggunakan default kecuali Anda perlu mengubahnya karena alasan tertentu.
- Ikat Sertifikat TLS/SSL ke situs di IIS.
Jika Anda memiliki pertanyaan tentang mengonfigurasi Sertifikat TLS/SSL di server IIS, lihat artikel Cara Menyiapkan SSL di IIS.
SDK Layanan Web harus diamankan dengan sertifikat TLS/SSL. Sertifikat yang ditandatangani sendiri tidak masalah untuk tujuan ini. Impor sertifikat ke penyimpanan "Otoritas Sertifikasi Akar Tepercaya" dari akun Komputer Lokal di server web Portal Pengguna sehingga mempercayai sertifikat tersebut saat memulai koneksi TLS.
Menyebarkan portal pengguna di server yang sama dengan Azure Multi-Factor Authentication Server
Prasyarat berikut ini diperlukan untuk menginstal portal pengguna di server yang sama dengan Azure Multi-Factor Authentication Server:
- IIS, termasuk ASP.NET, dan kompatibilitas basis meta IIS 6 (untuk IIS 7 atau lebih tinggi)
- Akun dengan hak admin untuk komputer dan Domain jika berlaku. Akun memerlukan izin untuk membuat grup keamanan Direktori Aktif.
- Amankan portal pengguna dengan sertifikat TLS/SSL.
- Amankan SDK Layanan Web autentikasi multifaktor Microsoft Entra dengan sertifikat TLS/SSL.
Untuk menyebarkan portal pengguna, ikuti langkah berikut:
Buka konsol Azure Multi-Factor Authentication Server, klik ikon Portal Pengguna di menu sebelah kiri, lalu klik Instal Portal Pengguna.
Selesaikan penginstalan menggunakan default kecuali Anda perlu mengubahnya karena alasan tertentu.
Mengikat Sertifikat TLS/SSL ke situs di IIS
Catatan
Sertifikat TLS/SSL ini biasanya merupakan Sertifikat TLS/SSL yang ditandatangani secara publik.
Buka browser web dari komputer mana pun dan navigasi ke URL tempat portal pengguna diinstal (Contoh:
https://mfa.contoso.com/MultiFactorAuth). Pastikan tidak ada peringatan atau kesalahan sertifikat yang ditampilkan.
Jika Anda memiliki pertanyaan tentang mengonfigurasi Sertifikat TLS/SSL di server IIS, lihat artikel Cara Menyiapkan SSL di IIS.
Menyebarkan portal pengguna di server terpisah
Jika server tempat Azure Multi-Factor Authentication Server berjalan tidak menghadap internet, Anda harus menginstal portal pengguna di server terpisah yang terhubung ke internet.
Jika organisasi Anda menggunakan aplikasi Microsoft Authenticator sebagai salah satu metode verifikasi, dan ingin menyebarkan portal pengguna di servernya sendiri, selesaikan persyaratan berikut:
- Gunakan Azure Multi-Factor Authentication Server versi 6.0 atau yang lebih tinggi.
- Instal portal pengguna di server web yang terhubung ke internet yang menjalankan Microsoft internet Information Services (IIS) 6.x atau yang lebih tinggi.
- Saat menggunakan IIS 6.x, pastikan ASP.NET v2.0.50727 diinstal, terdaftar, dan diatur ke Diizinkan.
- Saat menggunakan IIS 7.x atau yang lebih tinggi, IIS, termasuk Autentikasi Dasar, ASP.NET, dan kompatibilitas basis meta IIS 6.
- Amankan portal pengguna dengan sertifikat TLS/SSL.
- Amankan SDK Layanan Web autentikasi multifaktor Microsoft Entra dengan sertifikat TLS/SSL.
- Pastikan bahwa portal pengguna dapat tersambung ke SDK Layanan Web autentikasi multifaktor Microsoft Entra melalui TLS/SSL.
- Pastikan bahwa portal pengguna dapat mengautentikasi ke SDK Layanan Web autentikasi multifaktor Microsoft Entra menggunakan kredensial akun layanan di grup keamanan "admin Telepon Factor". Akun layanan dan grup ini harus ada di Direktori Aktif jika Azure Multi-Factor Authentication Server berjalan di server yang bergabung dengan domain. Akun layanan dan grup ini ada secara lokal di Azure Multi-Factor Authentication Server jika tidak bergabung ke domain.
Menginstal portal pengguna di server selain Azure Multi-Factor Authentication Server memerlukan langkah berikut:
Di MFA Server, telusuri ke jalur penginstalan (Contoh: C:\Program Files\Multi-Factor Authentication Server), dan salin file MultiFactorAuthenticationUserPortalSetup64 ke lokasi yang dapat diakses oleh server yang terhubung ke internet tempat Anda akan menginstalnya.
Di server web yang terhubung ke internet, jalankan file penginstalan MultiFactorAuthenticationUserPortalSetup64 sebagai administrator, ubah Situs jika diinginkan dan ubah direktori Virtual menjadi nama pendek jika Anda mau.
Ikat Sertifikat TLS/SSL ke situs di IIS.
Catatan
Sertifikat TLS/SSL ini biasanya merupakan Sertifikat TLS/SSL yang ditandatangani secara publik.
Telusuri C:\inetpub\wwwroot\MultiFactorAuth
Mengedit file Web.Config di Notepad
- Temukan kunci "USE_WEB_SERVICE_SDK" dan ubah value="false" menjadi value="true"
- Temukan kunci "WEB_SERVICE_SDK_AUTHENTICATION_USERNAME" dan ubah value="" menjadi value="DOMAIN\User" tempat DOMAIN\User adalah Akun Layanan yang merupakan bagian dari Grup "Admin PhoneFactor".
- Temukan kunci "WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD" dan ubah value="" menjadi value="Password" tempat Password adalah kata sandi untuk Akun Layanan yang dimasukkan di baris sebelumnya.
- Temukan nilai
https://www.contoso.com/MultiFactorAuthWebServiceSdk/PfWsSdk.asmxdan ubah URL placeholder ini menjadi URL SDK Layanan Web yang kami instal di langkah 2. - Simpan file Web.Config dan tutup Notepad.
Buka browser web dari komputer mana pun dan navigasi ke URL tempat portal pengguna diinstal (Contoh:
https://mfa.contoso.com/MultiFactorAuth). Pastikan tidak ada peringatan atau kesalahan sertifikat yang ditampilkan.
Jika Anda memiliki pertanyaan tentang mengonfigurasi Sertifikat TLS/SSL di server IIS, lihat artikel Cara Menyiapkan SSL di IIS.
Mengonfigurasi pengaturan portal pengguna di Azure Multi-Factor Authentication Server
Setelah portal pengguna diinstal, Anda perlu mengonfigurasi Azure Multi-Factor Authentication Server untuk bekerja dengan portal.
- Di konsol Azure Multi-Factor Authentication Server, klik ikon Portal Pengguna. Di tab Pengaturan, masukkan URL ke portal pengguna di kotak teks URL Portal Pengguna. Jika fungsionalitas email telah diaktifkan, URL ini disertakan dalam email yang dikirim ke pengguna saat diimpor ke Azure Multi-Factor Authentication Server.
- Pilih pengaturan yang ingin Anda gunakan di Portal Pengguna. Misalnya, jika pengguna diizinkan untuk memilih metode autentikasi mereka, pastikan bahwa Izinkan pengguna untuk memilih metode dicentang, bersama dengan metode yang dapat mereka pilih.
- Tentukan siapa yang akan menjadi Administrator di tab Administrator. Anda dapat membuat izin administratif terperinci menggunakan kotak centang dan drop-down dalam kotak Tambahkan/Edit.
Konfigurasi opsional:
- Pertanyaan Keamanan - Tentukan pertanyaan keamanan yang disetujui untuk lingkungan Anda dan bahasa yang digunakan.
- Sesi Lulus - Konfigurasikan integrasi portal pengguna dengan situs web berbasis formulir menggunakan MFA.
- IP Tepercaya - Izinkan pengguna untuk melewati MFA saat mengautentikasi dari daftar IP atau rentang tepercaya.
Azure Multi-Factor Authentication Server menyediakan beberapa opsi untuk portal pengguna. Tabel berikut ini menyediakan daftar opsi ini dan penjelasan tentang apa yang digunakan.
| Pengaturan Portal Pengguna | Deskripsi |
|---|---|
| URL Portal Pengguna | Masukkan URL tempat portal dihosting. |
| Autentikasi utama | Tentukan jenis autentikasi yang akan digunakan saat masuk ke portal. Autentikasi Windows, Radius, atau LDAP. |
| Mengizinkan pengguna masuk | Izinkan pengguna memasukkan nama pengguna dan kata sandi di halaman masuk untuk portal Pengguna. Jika opsi ini tidak dipilih, kotak berwarna abu-abu. |
| Mengizinkan pendaftaran pengguna | Izinkan pengguna untuk mendaftar dalam autentikasi multifaktor dengan membawa mereka ke layar penyiapan yang meminta informasi tambahan seperti nomor telepon. Permintaan untuk telepon cadangan memungkinkan pengguna menentukan nomor telepon sekunder. Permintaan untuk token OATH pihak ketiga memungkinkan pengguna menentukan token OATH pihak ketiga. |
| Mengizinkan pengguna memulai Lewatan Satu Kali | Izinkan pengguna memulai lewatan satu kali Jika pengguna menyiapkan opsi ini, opsi ini akan berlaku saat pengguna masuk berikutnya. Permintaan untuk detik bypass menyediakan kotak kepada pengguna sehingga mereka dapat mengubah default 300 detik. Jika tidak, lewatan satu kali hanya baik selama 300 detik. |
| Mengizinkan pengguna memilih metode | Izinkan pengguna menentukan metode kontak utama mereka. Metode ini dapat melalui panggilan telepon, pesan teks, aplikasi seluler, atau token OATH. |
| Mengizinkan pengguna memilih bahasa | Izinkan pengguna mengubah bahasa yang digunakan untuk panggilan telepon, pesan teks, aplikasi seluler, atau token OATH. |
| Mengizinkan pengguna mengaktifkan aplikasi seluler | Izinkan pengguna membuat kode aktivasi untuk menyelesaikan proses aktivasi aplikasi seluler yang digunakan dengan server. Anda juga dapat mengatur jumlah perangkat tempat aplikasi dapat diaktifkan, antara 1 dan 10. |
| Menggunakan pertanyaan keamanan untuk fallback | Izinkan pertanyaan keamanan jika verifikasi dua langkah gagal. Anda dapat menentukan jumlah pertanyaan keamanan yang harus berhasil dijawab. |
| Mengizinkan pengguna mengaitkan token OATH pihak ketiga | Izinkan pengguna menentukan token OATH pihak ketiga. |
| Menggunakan token OATH untuk fallback | Izinkan penggunaan token OATH jika verifikasi dua langkah tidak berhasil. Anda juga dapat menentukan batas waktu sesi dalam menit. |
| Aktifkan pencatatan log | Aktifkan pembuatan log di portal pengguna. File log terletak di: C:\Program Files\Multi-Factor Authentication Server\Logs. |
Penting
Mulai bulan Maret 2019, opsi panggilan telepon tidak akan tersedia untuk pengguna MFA Server di penyewa Microsoft Entra gratis/uji coba. Pesan SMS tidak terpengaruh oleh perubahan ini. Telepon panggilan akan terus tersedia untuk pengguna di penyewa Microsoft Entra berbayar. Perubahan ini hanya berdampak pada penyewa Microsoft Entra gratis/uji coba.
Pengguna dapat melihat pengaturan ini setelah mereka masuk ke portal pengguna.
Pendaftaran pengguna mandiri
Jika Anda ingin pengguna masuk dan mendaftar, Anda harus memilih opsi Izinkan pengguna masuk dan Izinkan pendaftaran pengguna di bawah tab Pengaturan. Ingat bahwa pengaturan yang Anda pilih memengaruhi pengalaman masuk pengguna.
Misalnya, saat pengguna masuk ke portal pengguna untuk pertama kalinya, mereka kemudian dibawa ke halaman Penyiapan Pengguna autentikasi multifaktor Microsoft Entra. Bergantung pada bagaimana Anda telah mengonfigurasi autentikasi multifaktor Microsoft Entra, pengguna mungkin dapat memilih metode autentikasi mereka.
Jika mereka memilih metode verifikasi Panggilan Suara atau telah dikonfigurasi sebelumnya untuk menggunakan metode tersebut, halaman akan meminta pengguna untuk memasukkan nomor telepon utama dan ekstensi jika berlaku. Mereka mungkin juga diizinkan memasukkan nomor telepon cadangan.
Jika pengguna diharuskan menggunakan PIN saat mengautentikasi, halaman akan meminta mereka untuk membuat PIN. Setelah memasukkan nomor telepon dan PIN mereka (jika ada), pengguna mengklik tombol Panggil Saya Sekarang untuk Mengautentikasi. Autentikasi multifaktor Microsoft Entra melakukan verifikasi panggilan telepon ke nomor telepon utama pengguna. Pengguna harus menjawab panggilan telepon dan memasukkan PIN mereka (jika berlaku) dan menekan # untuk melanjutkan ke langkah berikutnya dari proses pendaftaran mandiri.
Jika pengguna memilih metode verifikasi Pesan Teks atau telah dikonfigurasi sebelumnya untuk menggunakan metode tersebut, halaman akan meminta pengguna untuk memasukkan nomor ponsel mereka. Jika pengguna diharuskan menggunakan PIN saat mengautentikasi, halaman akan meminta mereka untuk membuat PIN. Setelah memasukkan nomor telepon dan PIN mereka (jika ada), pengguna mengklik tombol Kirimi Saya Pesan Sekarang untuk Mengautentikasi. Autentikasi multifaktor Microsoft Entra melakukan verifikasi SMS ke ponsel pengguna. Pengguna menerima pesan teks dengan kode akses satu kali (OTP), lalu membalas pesan dengan OTP tersebut ditambah PIN mereka (jika berlaku).
Jika pengguna memilih metode verifikasi Aplikasi Seluler, halaman akan meminta pengguna untuk menginstal aplikasi Microsoft Authenticator di perangkat mereka dan membuat kode aktivasi. Setelah menginstal aplikasi, pengguna mengklik tombol Buat Kode Aktivasi.
Catatan
Untuk menggunakan aplikasi Microsoft Authenticator, pengguna harus mengaktifkan pemberitahuan push untuk perangkat mereka.
Halaman kemudian menampilkan kode aktivasi dan URL bersama dengan gambar kode batang. Jika pengguna diharuskan menggunakan PIN saat mengautentikasi, halaman juga meminta mereka memasukkan PIN. Pengguna memasukkan kode aktivasi dan URL ke dalam aplikasi Microsoft Authenticator atau menggunakan pemindai kode batang untuk memindai gambar kode batang dan mengklik tombol Aktifkan.
Setelah aktivasi selesai, pengguna mengklik tombol Autentikasi Saya Sekarang. Autentikasi multifaktor Microsoft Entra melakukan verifikasi ke aplikasi seluler pengguna. Pengguna harus memasukkan PIN mereka (jika ada) dan menekan tombol Autentikasi di aplikasi seluler mereka untuk melanjutkan ke langkah berikutnya proses pendaftaran mandiri.
Jika administrator telah mengonfigurasi Azure Multi-Factor Authentication Server untuk mengumpulkan pertanyaan dan jawaban keamanan, pengguna kemudian dibawa ke halaman Pertanyaan Keamanan. Pengguna harus memilih empat pertanyaan keamanan dan memberikan jawaban atas pertanyaan yang dipilih.
Pendaftaran mandiri pengguna sekarang selesai dan pengguna masuk ke portal pengguna. Pengguna dapat masuk kembali ke portal pengguna kapan saja di masa mendatang untuk mengubah nomor telepon, PIN, metode autentikasi, dan pertanyaan keamanan jika perubahan metode mereka diizinkan oleh administrator mereka.