Azure Multi-Factor Authentication-server configureren voor IIS-webtoepassingen

  • Artikel

Gebruik de IIS-verificatiesectie van de Azure Multi-Factor Authentication-server (MFA) om IIS-verificatie in te schakelen en te configureren voor integratie met Microsoft IIS-webtoepassingen. De Azure Multi-Factor Authentication-server installeert een invoegtoepassing waarmee aanvragen die worden gedaan op de IIS-webserver kunnen worden gefilterd om Azure Multi-Factor Authentication toe te voegen. De IIS-invoegtoepassing biedt ondersteuning voor verificatie op basis van formulier en geïntegreerde Windows-verificatie voor HTTP. Goedgekeurde IP-adressen kunnen ook zo worden geconfigureerd dat interne IP-adressen worden vrijgesteld van verificatie met twee factoren.

Belangrijk

In september 2022 kondigde Microsoft de afschaffing van de Azure Multi-Factor Authentication-server aan. Vanaf 30 september 2024 worden implementaties van De Azure Multi-Factor Authentication-server geen MFA-aanvragen (MultiFactor Authentication) meer gebruikt, waardoor verificaties voor uw organisatie mislukken. Om ononderbroken verificatieservices te garanderen en in een ondersteunde status te blijven, moeten organisaties de verificatiegegevens van hun gebruikers migreren naar de Azure Multi-Factor Authentication-service in de cloud met behulp van het meest recente migratiehulpprogramma dat is opgenomen in de meest recente update van de Azure Multi-Factor Authentication-server. Zie Azure Multi-Factor Authentication-servermigratie voor meer informatie.

Zie Zelfstudie: Aanmeldingsgebeurtenissen van gebruikers beveiligen met Azure Multi-Factor Authentication om aan de slag te gaan met MFA in de cloud.

Wanneer u op de cloud gebaseerde Azure Multi-Factor Authentication gebruikt, is er geen alternatief voor de IIS-invoegtoepassing die wordt geleverd door de Azure Multi-Factor Authentication-server (MFA). Gebruik in plaats daarvan Web toepassingsproxy (WAP) met Active Directory Federation Services (AD FS) of Microsoft Entra-toepassingsproxy.

IIS Authentication in MFA Server

IIS-verificatie samen gebruiken met Azure Multi-Factor Authentication-server

Als u een IIS-webtoepassing wilt beveiligen die gebruikmaakt van verificatie op basis van een formulier, moet u de Azure Multi-Factor Authentication-server op de IIS-webserver installeren en de server volgens de onderstaande procedure configureren:

  1. Klik op de Azure Multi-Factor Authentication-server in het menu links op het pictogram IIS-verificatie.

  2. Klik op het tabblad Op formulier gebaseerd.

  3. Klik op Toevoegen.

  4. Als u de gebruikersnaam, het wachtwoord en de domeinvariabelen automatisch wilt detecteren, voert u de URL voor aanmelding in (zoals https://localhost/contoso/auth/login.aspx) in het dialoogvenster Formulier-gebaseerde website automatisch configureren en klikt u op OK.

  5. Schakel het selectievakje Overeenkomende Multi-Factor Authentication-gebruiker vereisen in als alle gebruikers zijn of moeten worden geïmporteerd in de server en aan Multi-Factor Authentication moeten worden onderworpen. Als een aanzienlijk aantal gebruikers nog niet is geïmporteerd in de server en/of wordt uitgesloten van meervoudige verificatie, laat u het selectievakje uitgeschakeld.

  6. Als de paginavariabelen niet automatisch kunnen worden gedetecteerd, klikt u op Handmatig opgeven in het dialoogvenster Formuliergebaseerde website automatisch configureren.

  7. Voer in het dialoogvenster Formulier-gebaseerde website toevoegen in het veld Indienings-URL de URL naar de aanmeldingspagina in en voer een toepassingsnaam in (optioneel). De naam van de toepassing wordt vermeld in Azure Multi-Factor Authentication-rapporten en kan worden weergegeven in verificatieberichten via sms of mobiele apps.

  8. Selecteer de juiste aanvraagindeling. Deze is voor de meeste webtoepassingen ingesteld op POST of GET.

  9. Voer de gebruikersnaamvariabele, de wachtwoordvariabele en de domeinvariabele in (als deze op de aanmeldingspagina worden weergegeven). Ga in een webbrowser naar de aanmeldingspagina, klik met de rechtermuisknop op de pagina en selecteer Bron weergeven om de namen van de invoervakken te vinden.

  10. Schakel het selectievakje Overeenkomende Azure Multi-Factor Authentication-gebruiker vereisen in als alle gebruikers zijn of moeten worden geïmporteerd in de Azure Multi-Factor Authentication-server en aan Multi-Factor Authentication onderworpen zijn. Als een aanzienlijk aantal gebruikers nog niet is geïmporteerd in de server en/of wordt uitgesloten van meervoudige verificatie, laat u het selectievakje uitgeschakeld.

  11. Klik op Geavanceerd om de geavanceerde instellingen te bekijken, zoals:

    • Een aangepast bestand voor de weigeringspagina selecteren
    • Succesvolle verificaties voor de website voor een bepaalde periode in de cache opslaan met behulp van cookies
    • Selecteer of u de primaire referenties wilt verifiëren aan de hand van een Windows-domein, LDAP-adreslijst. of RADIUS-server.

  12. Klik op OK om terug te gaan naar het dialoogvenster Formulier-gebaseerde website toevoegen.

  13. Klik op OK.

  14. Zodra de URL- en paginavariabelen zijn gedetecteerd of ingevoerd, worden de websitegegevens weergegeven in het paneel Op formulier gebaseerd.

Geïntegreerde Windows-verificatie met Azure Multi-Factor Authentication-server gebruiken

Als u een IIS-webtoepassing wilt beveiligen die gebruikmaakt van geïntegreerde Windows HTTP-verificatie, installeert u de Azure Multi-Factor Authentication-server op de IIS-webserver en configureert u de server met de volgende stappen:

  1. Klik op de Azure Multi-Factor Authentication-server in het menu links op het pictogram IIS-verificatie.
  2. Klik op het tabblad HTTP.
  3. Klik op Toevoegen.
  4. Voer in het dialoogvenster Basis-URL toevoegen de URL in voor de website waar de HTTP-authenticatie wordt uitgevoerd (bijv. http://localhost/owa) en geef een Toepassingsnaam op (optioneel). De naam van de toepassing wordt vermeld in Azure Multi-Factor Authentication-rapporten en kan worden weergegeven in verificatieberichten via sms of mobiele apps.
  5. Pas de time-out voor inactiviteit en maximale sessietijden aan als de standaardwaarde niet voldoende is.
  6. Schakel het selectievakje Overeenkomende Multi-Factor Authentication-gebruiker vereisen in als alle gebruikers zijn of moeten worden geïmporteerd in de server en aan Multi-Factor Authentication moeten worden onderworpen. Als een aanzienlijk aantal gebruikers nog niet is geïmporteerd in de server en/of wordt uitgesloten van meervoudige verificatie, laat u het selectievakje uitgeschakeld.
  7. Schakel, indien gewenst, het selectievakje Cookie gebruiken om voltooide authenticaties in de cache op te slaan in.
  8. Klik op OK.

IIS-invoegtoepassingen inschakelen voor Azure Multi-Factor Authentication-server

Nadat u de URL's en instellingen voor op formulier gebaseerde of HTTP-verificaties hebt ingesteld, selecteert u de locaties waar de IIS-invoegtoepassingen van Azure Multi-Factor Authentication moeten worden geladen en ingeschakeld in IIS. Gebruik de volgende procedure:

  1. Als deze wordt uitgevoerd op IIS 6, klikt u op het tabblad ISAPI . Selecteer de website waarop de webtoepassing wordt uitgevoerd (bijvoorbeeld standaardwebsite) om de ISAPI-filterinvoegtoepassing van Azure Multi-Factor Authentication voor die site in te schakelen.
  2. Indien uitgevoerd op IIS 7 of hoger, klikt u op het tabblad Systeemeigen module. Selecteer dan de server, de website(s) of de toepassing(en) om de IIS-invoegtoepassing op het gewenste niveau/de gewenste niveaus in te schakelen.
  3. Klik op het vak IIS-verificatie inschakelen aan de bovenkant van het scherm. Azure Multi-Factor Authentication is nu de beveiliging van de geselecteerde IIS-toepassing. Zorg ervoor dat gebruikers in de server zijn geïmporteerd.

Goedgekeurde IP-adressen

De goedgekeurde IP-adressen bieden gebruikers de mogelijkheid om Azure Multi-Factor Authentication over te slaan voor websiteverzoeken die afkomstig zijn van bepaalde IP-adressen of subnetten. Zo kunt u gebruikers vrijstellen van Azure Multi-Factor Authentication wanneer zij zich op kantoor aanmelden. In dat geval kunt u het office-subnet opgeven als een vermelding voor vertrouwde IP-adressen. Gebruik de volgende procedure als u goedgekeurde IP-adressen wilt configureren:

  1. Klik op het tabblad Goedgekeurde IP-adressen in de sectie IIS-verificatie.
  2. Klik op Toevoegen.
  3. Wanneer het dialoogvenster Goedgekeurd IP-adres toevoegen wordt weergegeven, selecteert u het keuzerondje Eén IP-adres, IP-bereik of Subnet.
  4. Voer het IP-adres, het bereik van IP-adressen of het subnet in dat toestemming moet krijgen. Als u een subnet wilt invoeren, selecteert u het geschikte Netmasker en klikt u op OK.