Поделиться через

Настройка сервера Многофакторной идентификации Azure для работы с AD FS на платформе Windows Server

  • Статья

Если вы используете службы федерации Active Directory (AD FS) и хотите защитить облачные или локальные ресурсы, вы можете настроить сервер Многофакторной идентификации Azure для работы с AD FS. Эта конфигурация активирует двухфакторную проверку подлинности для важных конечных точек.

Эта статья содержит информацию об использовании сервера Многофакторной проверки подлинности Azure вместе с AD FS, начиная с сервера Windows Server 2016. Дополнительные сведения см. в статье Защита облачных и локальных ресурсов с помощью сервера Многофакторной идентификации Azure и AD FS 2.0.

Важно!

В сентябре 2022 года корпорация Майкрософт объявила об отмене использования сервера Многофакторной идентификации Azure. Начиная с 30 сентября 2024 г. развертывания сервера Многофакторной идентификации Azure больше не будут обслуживать многофакторные запросы проверки подлинности, что может привести к сбою проверки подлинности для вашей организации. Чтобы обеспечить непрерывную проверку подлинности и оставаться в поддерживаемом состоянии, организации должны перенести данные проверки подлинности пользователей в облачную службу Azure MFA с помощью последней программы миграции, включенной в последнее обновление сервера MFA Azure. Дополнительные сведения см. в статье "Миграция сервера MFA Azure".

Сведения о начале работы с облачной многофакторной идентификацией см. в руководстве по обеспечению безопасности событий входа пользователей с помощью многофакторной проверки подлинности Azure.

Если вы используете облачную MFA, см. статью "Защита облачных ресурсов с помощью многофакторной проверки подлинности Microsoft Entra" и AD FS.

Существующие клиенты, которые активировали "Сервер MFA" до 1 июля 2019 г., могут скачивать последнюю версию и последующие обновления, а также генерировать учетные данные для активации как обычно.

Защита AD FS в Windows Server с помощью сервера Многофакторной идентификации Azure

Для установки сервера Многофакторной идентификации Azure вы можете выбрать один из следующих вариантов.

  • Установка сервера Многофакторной идентификации Azure локально на том же сервере, на котором находятся службы AD FS.
  • Установите адаптер многофакторной проверки подлинности Azure локально на сервере AD FS, а затем установите сервер Многофакторной идентификации на другом компьютере.

Прежде чем начать, ознакомьтесь с приведенной ниже информацией.

  • Вам не нужно устанавливать сервер Многофакторной идентификации Azure на сервере AD FS. Однако необходимо установить многофакторный адаптер проверки подлинности для AD FS в Windows Server 2012 R2 или Windows Server 2016 под управлением AD FS. Вы можете установить сервер на другом компьютере, если адаптер AD FS установлен отдельно на сервере федерации AD FS. Чтобы узнать, как установить адаптер отдельно, см. следующие процедуры.
  • Если в вашей организации используется проверка подлинности с помощью текстового сообщения или мобильного приложения, строки, определенные в разделе "Параметры компании", содержат заполнитель <$application_name$> (имя приложения). На сервере MFA версии 7.1 вы можете указать имя приложения, которое заменит этот заполнитель. Если вы используете версию 7.0 или более раннюю, заменить автоматически этот заполнитель при использовании адаптера AD FS не получится. Для таких ранних версий при защите AD FS мы рекомендуем удалить этот заполнитель из соответствующих строк.
  • Учетная запись, которую вы используете для входа, должна иметь права на создание групп безопасности в службе Active Directory.
  • Мастер установки адаптера с многофакторной проверкой подлинности AD FS создает группу безопасности с именем Телефон Factor Администратор в экземпляре Active Directory. а затем добавляет учетную запись службы AD FS в эту группу. Убедитесь, что в контроллере домена создана группа PhoneFactor Admins и учетная запись службы AD FS является участником этой группы. При необходимости добавьте вручную учетную запись службы AD FS в группу PhoneFactor Admins в контроллере домена.
  • Сведения об установке пакета SDK веб-службы с помощью пользовательского портала см. в статье Развертывание пользовательского портала на сервере Многофакторной идентификации Azure.

Установка сервера Многофакторной идентификации Azure локально на сервере, на котором находятся службы AD FS

  1. Скачайте и установите сервер Многофакторной идентификации Azure на сервере AD FS. Сведения об установке см. в статье Приступая к работе с сервером Многофакторной идентификации Azure.

  2. В консоли управления сервером Многофакторной идентификации Azure щелкните значок AD FS. Установите флажки Разрешить регистрацию пользователей и Разрешить пользователям выбирать метод.

  3. Выберите дополнительные параметры, которые вы хотите указать для своей организации.

  4. Щелкните Установить AD FS-адаптер.

    Install the ADFS Adapter from the MFA Server console

  5. Запрос на настройку Active Directory может отобразиться по двум причинам. Компьютер присоединен к домену, а конфигурация Active Directory для защиты связи между адаптером AD FS и службой многофакторной проверки подлинности не завершена. Нажмите кнопку Далее, чтобы автоматически завершить настройку, или установите флажок Пропустить автоматическую настройку Active Directory и настроить параметры вручную. Нажмите кнопку Далее.

  6. Запрос на настройку локальной группы может отобразиться по двум причинам. Компьютер не присоединен к домену, а конфигурация локальной группы для защиты связи между адаптером AD FS и службой многофакторной проверки подлинности не завершена. Нажмите кнопку Далее, чтобы автоматически завершить настройку, или установите флажок Пропустить автоматическую настройку локальной группы и настроить параметры вручную. Нажмите кнопку Далее.

  7. В мастере установки нажмите кнопку Далее. Сервер Многофакторной идентификации Azure создаст группу PhoneFactor Admins и добавит в эту группу учетную запись службы AD FS.

  8. На странице Запуск установщика нажмите кнопку Далее.

  9. В установщике адаптера AD FS многофакторной проверки подлинности нажмите кнопку "Далее".

  10. По завершении установки нажмите кнопку Закрыть .

  11. После установки адаптера необходимо зарегистрировать его в AD FS. Откройте Windows PowerShell и выполните следующую команду:

    C:\Program Files\Multi-Factor Authentication Server\Register-MultiFactorAuthenticationAdfsAdapter.ps1

  12. Чтобы использовать только что зарегистрированный адаптер, измените глобальную политику проверки подлинности в AD FS. В консоли управления AD FS откройте узел Authentication Policies (Политики проверки подлинности). В разделе многофакторной проверки подлинности щелкните ссылку "Изменить" рядом с разделом "Глобальный Параметры". В окне "Изменение глобальной политики проверки подлинности" выберите многофакторную проверку подлинности в качестве дополнительного метода проверки подлинности и нажмите кнопку "ОК". Адаптер регистрируется как WindowsAzureMultiFactorAuthentication. Для завершения регистрации нужно перезапустить службу AD FS.

Edit global authentication policy

На этом этапе сервер Многофакторной идентификации уже настроен в качестве дополнительного поставщика проверки подлинности, который можно использовать с AD FS.

Установка изолированного экземпляра адаптера AD FS с помощью пакета SDK веб-службы

  1. Установите пакет SDK веб-службы на сервере, на котором запущен сервер Многофакторной идентификации.
  2. Скопируйте следующие файлы из каталога сервера \Program Files\Multi-Factor Authentication Server на сервер, на котором планируется установить адаптер AD FS:
    • MultiFactorAuthenticationAdfsAdapterSetup64.msi
    • Register-MultiFactorAuthenticationAdfsAdapter.ps1
    • Unregister-MultiFactorAuthenticationAdfsAdapter.ps1
    • MultiFactorAuthenticationAdfsAdapter.config
  3. Запустите файл установки MultiFactorAuthenticationAdfsAdapterSetup64.msi.
  4. В установщике адаптера AD FS многофакторной проверки подлинности нажмите кнопку "Далее ", чтобы начать установку.
  5. По завершении установки нажмите кнопку Закрыть .

Изменение файла MultiFactorAuthenticationAdfsAdapter.config

Чтобы изменить файл MultiFactorAuthenticationAdfsAdapter.config, выполните следующие действия.

  1. Задайте для узла UseWebServiceSdk значение true.
  2. Задайте значение webServiceSdkUrl URL-адрес пакета SDK для многофакторной проверки подлинности. Например, https://contoso.com/<certificatename>/MultiFactorAuthWebServiceSdk/PfWsSdk.asmx, где <certificatename> — это имя сертификата.
  3. Измените скрипт Register-MultiFactorAuthenticationAdfsAdapter.ps1. Для этого добавьте -ConfigurationFilePath &lt;path&gt; в конец команды Register-AdfsAuthenticationProvider, где <path> — это полный путь к файлу MultiFactorAuthenticationAdfsAdapter.config.

Настройка пакета SDK веб-службы с помощью имени пользователя и пароля

Настройку пакета SDK веб-службы можно выполнить двумя способами. В первом случае используется имя пользователя и пароль, а во втором — сертификат клиента. Выполните следующие действия, чтобы настроить пакет SDK первым способом, или перейдите к инструкции для второго способа.

  1. Для параметра WebServiceSdkUsername укажите учетную запись, которая является участником группы безопасности PhoneFactor Admins. Используйте формат <домен>\<имя_пользователя>.
  2. Для параметра WebServiceSdkPassword укажите пароль соответствующей учетной записи. Специальный символ & нельзя использовать в WebServiceSdkPassword.

Настройка пакета SDK веб-службы с помощью сертификата клиента

Если вы не хотите использовать имя пользователя и пароль для настройки пакета SDK веб-службы, выполните следующие действия для настройки с помощью сертификата клиента.

  1. Получите в центре сертификации сертификат клиента для сервера, на котором запущен пакет SDK веб-службы. Дополнительные сведения см. в статье о получении сертификатов клиента.
  2. Импортируйте сертификат клиента в хранилище личных сертификатов локального компьютера на сервере, на котором запущен пакет SDK веб-службы. Убедитесь, что открытый сертификат центра сертификации находится в хранилище доверенных корневых сертификатов.
  3. Экспортируйте открытый и закрытый ключи сертификата клиента в PFX-файл.
  4. Экспортируйте открытый ключ в формате Base64 в CER-файл.
  5. Откройте диспетчер серверов и убедитесь, что компонент проверки подлинности с сопоставлением сертификата клиента установлен в папке Web Server (IIS)\Web Server\Security\IIS. Если этот компонент не установлен, добавьте его, щелкнув Добавить роли и компоненты .
  6. Откройте диспетчер служб IIS и дважды щелкните Редактор конфигураций на веб-сайте, который содержит виртуальный каталог пакета SDK веб-службы. Важно выбрать веб-сайт, а не виртуальный каталог.
  7. Перейдите в раздел system.webServer/security/authentication/iisClientCertificateMappingAuthentication .
  8. Присвойте параметру enabled значение true.
  9. Задайте для параметра oneToOneCertificateMappingsEnabled значение true.
  10. Нажмите кнопку рядом с neToOneMappings, а затем щелкните ссылку Добавить.
  11. Откройте предварительно экспортированный CER-файл в формате Base64. Удалите -----BEGIN CERTIFICATE-----, -----END CERTIFICATE----- и все разрывы строк. Скопируйте получившуюся строку.
  12. Укажите скопированную строку как значение параметра certificate.
  13. Присвойте параметру enabled значение true.
  14. Для параметра userName укажите учетную запись, которая входит в группу безопасности PhoneFactor Admins. Используйте формат <домен>\<имя_пользователя>.
  15. Укажите пароль для соответствующей учетной записи, а затем закройте редактор конфигураций.
  16. Щелкните ссылку Применить .
  17. В виртуальном каталоге пакета SDK веб-службы дважды щелкните Проверка подлинности.
  18. Убедитесь, что параметры "Олицетворение ASP.NET" и "Обычная проверка подлинности" имеют значение Включено, а все остальные — Отключено.
  19. В виртуальном каталоге пакета SDK веб-службы дважды щелкните Параметры SSL.
  20. Чтобы настроить параметр "Сертификаты клиентов" выберите значение Принять, а затем щелкните Применить.
  21. Скопируйте предварительно экспортированный PFX-файл на сервер, на котором работает адаптер AD FS.
  22. Импортируйте PFX-файл в хранилище личных сертификатов на локальном компьютере.
  23. Щелкните правой кнопкой мыши и выберите Управление закрытыми ключами, а затем предоставьте разрешение на чтение учетной записи, используемой для входа в службу AD FS.
  24. Откройте сертификат клиента и скопируйте отпечаток на вкладке Сведения .
  25. В файле MultiFactorAuthenticationAdfsAdapter.config для параметра WebServiceSdkCertificateThumbprint укажите строку, скопированную на предыдущем этапе.

Чтобы зарегистрировать адаптер, выполните в PowerShell сценарий \Program Files\Multi-Factor Authentication Server\Register-MultiFactorAuthenticationAdfsAdapter.ps1. Адаптер регистрируется как WindowsAzureMultiFactorAuthentication. Для завершения регистрации нужно перезапустить службу AD FS.

Защита ресурсов Microsoft Entra с помощью AD FS

Чтобы защитить облачный ресурс, настройте правило утверждений, чтобы при выполнении пользователем двухфакторной проверки подлинности службы федерации Active Directory выдавали утверждение multipleauthn. Это утверждение передается в идентификатор Microsoft Entra. Для этого следуйте такой процедуре:

  1. Откройте оснастку управления AD FS.

  2. В левой части выберите Отношения доверия проверяющей стороны.

  3. Щелкните правой кнопкой мыши Microsoft Office 365 Identity Platform (Платформа удостоверений Microsoft Office 365) и выберите Edit Claim Rules (Изменить правила утверждений).

    Edit claim rules in the ADFS console

  4. На вкладке "Правила преобразования выдачи" выберите Добавить правило.

    Edit transform rules in the ADFS console

  5. В мастере добавления правила преобразования утверждения выберите Проход через входящее утверждение или его фильтрация в раскрывающемся списке и нажмите кнопку Далее.

    Add transform claim rule wizard

  6. Укажите имя правила.

  7. Выберите Ссылки на методы проверки подлинности в качестве типа входящего утверждения.

  8. Выберите Передавать все значения требования.

    Add Transform Claim Rule Wizard

  9. Нажмите кнопку Готово. Закройте консоль управления AD FS.

Журналы для устранения неполадок

Чтобы включить дополнительное ведение журнала для устранения неполадок с адаптером AD FS сервера MFA, выполните следующие действия.

  1. В интерфейсе сервера MFA откройте раздел AD FS и установите флажок Включить ведение журнала.
  2. На каждом сервере AD FS используйте файл regedit.exe для создания строкового раздела реестра Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Positive Networks\PhoneFactor\InstallPath в каталоге C:\Program Files\Multi-Factor Authentication Server\ (или в другом каталоге). Обратите внимание, что обратная косая черта обязательна.
  3. Создайте каталог C:\Program Files\Multi-Factor Authentication Server\Logs (или другой каталог, указанный на шаге 2).
  4. Предоставьте учетной записи службы AD FS разрешение на изменение каталога хранения журналов.
  5. Перезагрузите службу AD FS.
  6. Убедитесь, что в каталоге хранения журналов был создан файл MultiFactorAuthAdfsAdapter.log.

Сведения об устранении неполадок см. в часто задаваемых вопросы о многофакторной проверке подлинности Azure