Autenticazione RADIUS con Microsoft Entra ID
RADIUS (Remote Authentication Dial-In User Service) è un protocollo di rete che protegge una rete abilitando l'autenticazione centralizzata e l'autorizzazione degli utenti con accesso esterno. Molte applicazioni si basano ancora sul protocollo RADIUS per autenticare gli utenti.
Microsoft Windows Server ha un ruolo denominato Server dei criteri di rete (NPS), che può fungere da server RADIUS e supportare l'autenticazione RADIUS.
Microsoft Entra ID consente l'autenticazione a più fattori con sistemi basati su RADIUS. Se un cliente vuole applicare l'autenticazione a più fattori di Microsoft Entra a uno dei carichi di lavoro RADIUS indicati in precedenza, può installare l'estensione Server dei criteri di rete per l'autenticazione a più fattori di Microsoft Entra nel Server dei criteri di rete di Windows.
Il Server dei criteri di rete di Windows autentica le credenziali di un utente in Active Directory e quindi invia la richiesta di autenticazione a più fattori ad Azure. L'utente riceve quindi una richiesta di verifica sull'autenticatore per dispositivi mobili. Al termine dell'operazione, l'applicazione client può connettersi al servizio.
È necessario aggiungere l'autenticazione a più fattori ad applicazioni come
- Una rete privata virtuale (VPN)
- Accesso Wi-Fi
- Gateway Desktop remoto
- Virtual Desktop Infrastructure (VDI)
- Qualsiasi altra applicazione che dipende dal protocollo RADIUS per autenticare gli utenti nel servizio.
Nota
Invece di basarsi su RADIUS e sull'estensione Server dei criteri di rete per l'autenticazione a più fattori di Microsoft Entra per applicare l'autenticazione a più fattori di Microsoft Entra ai carichi di lavoro VPN, è consigliabile aggiornare la VPN a SAML (Security Assertion Markup Language) ed eseguire direttamente la federazione della VPN con Microsoft Entra ID. In questo modo la VPN ottiene tutti i vantaggi di Microsoft Entra ID Protection, tra cui l'accesso condizionale, l'autenticazione a più fattori, la conformità dei dispositivi e Microsoft Entra ID Protection.
Applicazione client (client VPN): Invia la richiesta di autenticazione al client RADIUS.
Client RADIUS: converte le richieste dall'applicazione client e le invia al server RADIUS in cui è installata l'estensione Server dei criteri di rete.
Server RADIUS: si connette con Active Directory per eseguire l'autenticazione primaria per la richiesta RADIUS. In caso di esito positivo, passa la richiesta all'estensione Server dei criteri di rete per l'autenticazione a più fattori di Microsoft Entra.
Estensione Server dei criteri di rete: attiva una richiesta all'autenticazione a più fattori di Microsoft Entra per un'autenticazione secondaria. In caso di esito positivo, l'estensione Server dei criteri di rete completa la richiesta di autenticazione fornendo al server RADIUS i token di sicurezza che includono l'attestazione di autenticazione a più fattori, rilasciata dal servizio token di sicurezza di Azure.
Autenticazione a più fattori di Microsoft Entra: comunica con Microsoft Entra ID per recuperare i dettagli dell'utente ed esegue un'autenticazione secondaria usando un metodo di verifica configurato dall'utente.