Интеграция каталогов между сервером Azure Multi-Factor Authentication и Active Directory
Воспользуйтесь разделом "Интеграция каталогов" сервера Многофакторной идентификации Azure для интеграции с Active Directory или другим каталогом LDAP. Вы сможете настроить атрибуты в соответствии со схемой каталога и автоматическую синхронизацию пользователей.
Внимание
В сентябре 2022 года корпорация Майкрософт объявила об отмене использования сервера Многофакторной идентификации Azure. Начиная с 30 сентября 2024 г. развертывания сервера Многофакторной идентификации Azure больше не будут обслуживать запросы многофакторной проверки подлинности (MFA), что может привести к сбою проверки подлинности для вашей организации. Чтобы обеспечить непрерывную проверку подлинности и оставаться в поддерживаемом состоянии, организации должны перенести данные проверки подлинности пользователей в облачную службу Azure MFA с помощью последней программы миграции, включенной в последнее обновление сервера MFA Azure. Дополнительные сведения см. в статье "Миграция сервера MFA Azure".
Чтобы приступить к работе с облачной MFA, см. статью Учебник. Защита пользовательских событий входа с помощью многофакторной проверки подлинности Azure.
Настройки
По умолчанию на сервере Многофакторной идентификации Azure настроен импорт или синхронизация пользователей из Active Directory. На вкладке "Интеграция каталогов" можно переопределить поведение по умолчанию и выполнить привязку к другому каталогу LDAP, каталогу ADAM или конкретному контроллеру домена Active Directory. На ней также можно настроить проверку подлинности LDAP для прокси-сервера LDAP или привязку LDAP в качестве целевого объекта RADIUS, а также настроить предварительную проверку подлинности для IIS и основную проверку подлинности для пользовательского портала. В следующей таблице описаны отдельные параметры.
Примечание.
Интеграция с каталогами не гарантирована для каталогов, отличных от доменных служб Active Directory.
| Возможность | Description |
|---|---|
| Использовать Active Directory | Выберите этот параметр для использования Active Directory для импорта и синхронизации. Этот параметр принимается по умолчанию. Примечание. Для правильной интеграции с Active Directory компьютер должен быть присоединен к домену, а вы должны войти с помощью учетной записи домена. |
| Включить доверенные домены | Установите флажок Включить доверенные домены, чтобы агент пытался подключаться к доменам, которым доверяет текущий домен, другой домен в лесу или к доменам, включенным в доверие леса. Если импорт и синхронизация пользователей из доверенных доменов не используются, снимите этот флажок для повышения производительности. По умолчанию флажок установлен. |
| Использовать заданную конфигурацию LDAP | Выберите параметр «Использовать заданную конфигурацию LDAP» для использования заданных настроек LDAP для импорта и синхронизации. Примечание. Если выбран параметр «Использовать LDAP», пользовательский интерфейс меняет ссылки с Active Directory на LDAP. |
| Кнопка "Изменить" | Кнопка «Изменить» позволяет изменить текущие параметры конфигурации LDAP. |
| Использовать запросы области атрибута | Указывает, следует ли использовать запросы области атрибута. Запросы области атрибута позволяют выполнять эффективный поиск записей в каталоге на основе записей в атрибуте другой записи. С помощью запросов области атрибута сервер Многофакторной идентификации Azure эффективно определяет пользователей, которые являются членами группы безопасности. Примечание. Существуют ситуации, когда запросы области атрибутов поддерживаются, но не должны использоваться. Например, если группа безопасности содержит пользователей из разных доменов, то в Active Directory могут возникнуть проблемы с запросами области атрибута. В этом случае нужно снять флажок. |
В следующей таблице описаны параметры конфигурации LDAP.
| Возможность | Description |
|---|---|
| Сервер | Укажите имя узла или IP-адрес сервера, содержащего каталог LDAP. Также можно указать резервный сервер через точку с запятой. Примечание. Если задан тип привязки SSL (TLS), требуется указать полное имя узла. |
| Базовое DN | Введите различающееся имя объекта базового каталога, с которого начинается выполнение всех запросов по каталогу. Например, dc=abc,dc=com. |
| Тип привязки — запросы | Выберите тип привязки, подходящий для поиска в каталоге LDAP. Используется для импорта, синхронизации и разрешения имен пользователей. Анонимная — выполняется анонимная привязка. Привязка DN и привязка пароля не используются. Возможна, только если каталог LDAP допускает анонимную привязку и права доступа позволяют запрашивать соответствующие записи и атрибуты. Простая — для привязки к каталогу LDAP различающееся имя привязки и пароль привязки будут передаваться обычным текстом. Этот вариант используется, когда нужно проверить, есть ли связь с сервером и есть ли у учетной записи привязки соответствующий доступ. Вместо этого варианта привязки следует использовать SSL после установки соответствующего сертификата. SSL — для привязки к каталогу LDAP различающееся имя привязки и пароль привязки будут зашифрованы с помощью SSL. Выполните локальную установку сертификата, которому доверяет каталог LDAP. Windows — для безопасного подключения к контроллеру домена Active Directory или к каталогу ADAM будут использоваться имя пользователя и пароль привязки. Если поле "Привязка имени пользователя" остается пустым, то для привязки используется учетная запись пользователя, вошедшего в систему. |
| Тип привязки — проверка подлинности | Выберите соответствующий тип привязки для использования при проверке подлинности привязки LDAP. См. описания типов привязки в разделе «Тип привязки — запросы». Например, так можно настроить анонимную привязку для запросов и привязку SSL для проверки подлинности привязки LDAP. |
| Различающееся имя привязки или имя пользователя привязки | Введите различающееся имя записи пользователя для учетной записи, используемой при привязке к каталогу LDAP. Различающееся имя привязки используется только для простой привязки и для привязки SSL. Введите имя пользователя учетной записи Windows для привязки к каталогу LDAP, если тип привязки — Windows. Если оставить поле пустым, будет использована учетная запись пользователя, вошедшего в систему. |
| Пароль привязки | Введите пароль для DN или имени пользователя, которые используются для привязки к каталогу LDAP. Чтобы настроить пароль для службы AdSync сервера Многофакторной идентификации, нужно включить синхронизацию и запустить службу на локальном компьютере. Пароль сохраняется в списке хранимых имен пользователей и паролей Windows под учетной записью, от имени которой запускается служба AdSync сервера Многофакторной идентификации Azure. Пароль также сохраняется под учетной записью, от имени которой запускаются пользовательский интерфейс и служба сервера Многофакторной идентификации Azure. Так как пароль хранится только в списке хранимых имен пользователей и паролей Windows, который находится на локальном сервере, описываемое здесь действие нужно выполнить для каждого сервера Многофакторной идентификации, которому нужен доступ к паролю. |
| Предельный размер запроса | Укажите предельный размер, то есть максимальное число пользователей, которое отображается как результат после поиска по каталогу. Это ограничение должно соответствовать конфигурации в каталоге LDAP. Если выполняется масштабный поиск, для которого не поддерживается подкачка, процессы импорта и синхронизации пытаются получить пользователей в пакетах. Если указанный предельный размер превышает ограничение, заданное в каталоге LDAP, некоторые пользователи могут быть пропущены. |
| Кнопка "Тест" | Нажмите кнопку Проверка для проверки привязки к серверу LDAP. При этой проверке не следует выбирать параметр Use LDAP (Использовать LDAP). Это позволяет проверить привязку перед использованием конфигурации LDAP. |
Фильтры
Фильтры позволяют задать условие ограничения записей при выполнении поиска в каталоге. Задавая фильтр, можно ограничить область объектов, которые требуется синхронизировать.
Для Многофакторной идентификации Azure может использоваться три следующих варианта фильтров.
- Фильтр контейнера задает критерии фильтра для ограничения записей контейнера при выполнении поиска в каталоге. Для Active Directory и ADAM обычно используется (|(objectClass=organizationalUnit)(objectClass=container)). Для других каталогов LDAP используйте критерии фильтрации, соответствующие каждому типу объекта контейнера в зависимости от схемы каталога.
Примечание. Если оставить это поле пустым, по умолчанию используется ((objectClass=organizationalUnit)(objectClass=container)). - Фильтр группы безопасности задает критерии фильтра для ограничения записей групп безопасности при выполнении поиска в каталоге. Для Active Directory и ADAM обычно используется (&(objectCategory=group)(groupType:1.2.840.113556.1.4.804:=-2147483648)). Для других каталогов LDAP используйте критерии фильтрации, соответствующие каждому типу объекта группы безопасности в зависимости от схемы каталога.
Примечание. Если оставить это поле пустым, по умолчанию используется (&(objectCategory=group)(groupType:1.2.840.113556.1.4.804:=-2147483648)). - Фильтр пользователей задает критерии фильтра для ограничения записей пользователей при выполнении поиска в каталоге. Для Active Directory и ADAM обычно используется (&(objectClass=user)(objectCategory=person)). Для других каталогов LDAP используйте (objectClass = inetOrgPerson) или что-либо подобное в зависимости от схемы каталога.
Примечание. Если оставить это поле пустым, по умолчанию используется (&(objectCategory=person)(objectClass=user)).
Атрибуты
Атрибуты для каталога при необходимости можно изменить. Это позволит добавлять настраиваемые атрибуты и выполнять тонкую настройку синхронизации, оставляя только те атрибуты, которые необходимы. Значением каждого поля атрибута должно быть имя атрибута, как определено в схеме каталога. В таблице ниже приведены дополнительные сведения о каждой функции.
Атрибуты можно вводить вручную и не обязательно выбирать из списка.
| Возможность | Description |
|---|---|
| Уникальный идентификатор | Введите имя атрибута, который служит в качестве уникального идентификатора контейнера, группы безопасности и записей пользователей. В Active Directory это обычно objectGUID. В других реализациях LDAP может использоваться entryUUID или подобный атрибут. По умолчанию используется objectGUID. |
| Тип уникального идентификатора | Выберите тип уникального идентификатора атрибута. В Active Directory атрибут objectGUID имеет тип GUID. В других реализациях LDAP может использоваться ASCII Byte Array или String. По умолчанию используется GUID. Очень важно правильно задать тип, так как элементы синхронизации определяются их уникальными идентификаторами. Для прямого поиска объекта в каталоге используется тип уникального идентификатора. Если установить тип String, тогда как фактически значение хранится в виде байтового массива символов ASCII, синхронизация будет работать неправильно. |
| Distinguished name | Введите имя атрибута, который содержит различающееся имя для каждой записи. В Active Directory это обычно distinguishedName. В других реализациях LDAP может использоваться entryDN или что-либо подобное. По умолчанию используется distinguishedName. Если не существует атрибута, содержащего только различающееся имя, можно использовать атрибут ads path. Фрагмент пути LDAP://<сервер>/ будет автоматически удален, и останется только различающееся имя объекта. |
| Имя контейнера | Введите имя атрибута, который содержит имя в записи контейнера. Значение этого атрибута отображается в иерархии контейнеров при импорте из Active Directory или при добавлении элементов синхронизации. По умолчанию используется name. Если в различных контейнерах для имен используются различные атрибуты, используйте точку с запятой, чтобы разделить несколько атрибутов имен контейнеров. Для отображения имени контейнера используется первый атрибут имени контейнера, найденный в объекте контейнера. |
| Имя группы безопасности | Введите имя атрибута, который содержит имя в записи группы безопасности. Значение этого атрибута отображается в списке групп безопасности при импорте из Active Directory или при добавлении элементов синхронизации. По умолчанию используется name. |
| Username | Введите имя атрибута, который содержит имя пользователя в записи пользователя. Значение этого атрибута используется в качестве имени пользователя сервера Многофакторной идентификации. В дополнение к первому можно указать второй атрибут. Второй атрибут используется только в тех случаях, когда первый атрибут не содержит значения для пользователя. Значения по умолчанию: userPrincipalName и sAMAccountName. |
| Имя | Введите имя атрибута, который содержит имя в записи пользователя. Значение по умолчанию — givenName. |
| Фамилия | Введите имя атрибута, который содержит фамилию в записи пользователя. Значение по умолчанию — sn. |
| Адрес электронной почты | Введите имя атрибута, который содержит адрес электронной почты в записи пользователя. Адрес электронной почты используется для отправки пользователю приветствия и сообщений об обновлении. Значение по умолчанию — mail. |
| Группа пользователей | Введите имя атрибута, который содержит группу пользователя в записи пользователя. Группа пользователей может использоваться для фильтрации пользователей в агенте и в отчетах портала управления сервера Azure Multi-Factor Authentication. |
| Description | Введите имя атрибута, который содержит описание в записи пользователя. Описание используется только для поиска. Значение по умолчанию — description. |
| Язык телефонного звонка | Введите имя атрибута, содержащего короткое название языка голосовых вызовов для пользователя. |
| Язык текстового сообщения | Введите имя атрибута, содержащего короткое название языка для отправки SMS-сообщений для пользователя. |
| Язык мобильного приложения | Введите имя атрибута, содержащего короткое название языка для отправки текстовых сообщений для пользователя через мобильное приложение. |
| Язык OATH-токена | Введите имя атрибута, содержащего короткое название языка текстовых сообщений OATH-токена для пользователя. |
| Рабочий телефон | Введите имя атрибута, который содержит номер рабочего телефона в записи пользователя. Значение по умолчанию — telephoneNumber. |
| Домашний телефон | Введите имя атрибута, который содержит номер домашнего телефона в записи пользователя. Значение по умолчанию — homePhone. |
| Пейджер | Введите имя атрибута, который содержит номер пейджера в записи пользователя. Значение по умолчанию — pager. |
| Мобильный телефон | Введите имя атрибута, который содержит номер мобильного телефона в записи пользователя. Значение по умолчанию — mobile. |
| Fax | Введите имя атрибута, который содержит номер факса в записи пользователя. Значение по умолчанию — facsimileTelephoneNumber. |
| IP-телефон | Введите имя атрибута, который содержит номер IP-телефона в записи пользователя. Значение по умолчанию — ipPhone. |
| Пользовательское | Введите имя атрибута, который содержит номер другого телефона в записи пользователя. Значение по умолчанию — пусто. |
| Расширение | Введите имя атрибута, который содержит добавочный номер телефона в записи пользователя. Добавочный номер используется только для основного номера телефона. Значение по умолчанию — пусто. Если атрибут добавочного номера не указан, добавочный номер можно включить в атрибут телефона. В этом случае перед добавочным номером нужно указать символ "x", чтобы добавочный номер можно было правильно определить. Например, для атрибута 555-123-4567 x890 будут определены основной номер 555-123-4567 и добавочный номер 890. |
| Кнопка «Восстановить значения по умолчанию» | Для возврата всех атрибутов в значения по умолчанию нажмите кнопку Восстановить значения по умолчанию. Значения по умолчанию подходят для Active Directory или ADAM. |
Чтобы изменить атрибуты, нажмите кнопку Изменить на вкладке "Атрибуты". Откроется окно редактирования атрибутов. Щелкните ... рядом с любым атрибутом, чтобы открыть окно, в котором можно выбрать, какие атрибуты следует отобразить.
Синхронизация
Функция синхронизации позволяет поддерживать синхронизацию базы данных пользователей Многофакторной идентификации Azure с пользователями Active Directory или другого каталога LDAP. Процесс синхронизации аналогичен импорту пользователей из Active Directory вручную, но при этом группы пользователей Active Directory и группы безопасности периодически опрашиваются на наличие изменений. Он также отключает или удаляет пользователей, которые были удалены из контейнера, группы безопасности или Active Directory.
Служба ADSync сервера Azure Multi-Factor Authentication — это служба Windows, которая периодически опрашивает Active Directory. Это не следует путать с синхронизацией Azure AD или Microsoft Entra Подключение. Многофакторная проверка подлинности ADSync, хотя и основанная на аналогичной базе кода, зависит от сервера Многофакторной идентификации Azure. После установки служба находится в остановленном состоянии и запускается службой сервера Azure Multi-Factor Authentication при настройке запуска. При наличии многосерверной конфигурации сервера Azure Multi-Factor Authentication служба ADSync может быть запущена только на одном сервере.
Служба ADSync сервера Azure Multi-Factor Authentication использует серверное расширение DirSync LDAP, предоставляемое Microsoft, для эффективного опроса изменений. У вызывающего объекта DirSync должны быть право доступа directory get changes и расширенное право управления доступом DS-Replication-Get-Changes. По умолчанию эти права назначаются учетным записям Administrator и LocalSystem на контроллерах домена. По умолчанию служба AdSync запускается от имени учетной записи LocalSystem. Поэтому проще всего запустить службу на контроллере домена. Служба может работать с учетной записью с меньшими разрешениями, если настроить ее так, чтобы она всегда выполняла полную синхронизацию. Это менее эффективно, но требует меньших привилегий учетной записи.
Если каталог LDAP настроен для использования DirSync и поддерживает его, то опрос изменений пользователей и группы безопасности будет выполняться точно так же, как в случае с Active Directory. Если каталог LDAP не поддерживает DirSync, то во время каждого цикла будет выполняться полная синхронизация.
Следующая таблица содержит дополнительные сведения о каждом параметре на вкладке "Синхронизация".
| Возможность | Description |
|---|---|
| Включить синхронизацию с Active Directory | Если флажок установлен, служба сервера Многофакторной идентификации периодически опрашивает Active Directory на наличие изменений. Примечание. Перед тем как служба сервера Многофакторной идентификации Azure начнет обрабатывать изменения, необходимо добавить по крайней мере один элемент синхронизации и нажать кнопку "Синхронизировать". |
| Синхронизировать каждые... | Задает интервал времени ожидания между опросом и обработкой изменений службы сервера Azure Multi-Factor Authentication. Примечание. Указанный интервал равен интервалу времени между началом каждого цикла. Если время обработки изменений превысит этот интервал, повторный опрос изменений будет выполнен незамедлительно. |
| Удалять пользователей, которых больше нет в Active Directory | Если флажок установлен, служба сервера Azure Multi-Factor Authentication будет обрабатывать записи об удалении пользователей Active Directory и удалять соответствующих пользователей сервера Azure Multi-Factor Authentication. |
| Всегда выполнять полную синхронизацию | Если флажок установлен, служба сервера Azure Multi-Factor Authentication всегда будет выполнять полную синхронизацию. Если флажок снят, служба сервера Multi-Factor Authentication будет выполнять добавочную синхронизацию только для тех пользователей, которые были изменены. По умолчанию флажок снят. Если флажок снят, сервер Многофакторной идентификации Azure выполняет добавочную синхронизацию только в том случае, если каталог поддерживает DirSync и учетная запись (с привязкой к каталогу) имеет разрешения для выполнения добавочных запросов DirSync. Если учетная запись не имеет соответствующих разрешений или в синхронизации участвуют несколько доменов, сервер Многофакторной идентификации Azure выполняет полную синхронизацию. |
| Требовать подтверждения администратора при удалении или отключении более X пользователей | Элементы синхронизации можно настроить для отключения или удаления пользователей, которые больше не являются членом контейнера элемента или группы безопасности. В качестве защитной меры можно использовать подтверждение администратора при превышении количеством пользователей для отключения или удаления порогового значения. Если флажок установлен, то требуется утверждение для заданного порогового значения. Значение по умолчанию — 5, диапазон — от 1 до 999. Для облегчения процедуры подтверждения администраторам отправляется уведомление по электронной почте. Это уведомление содержит инструкции по просмотру и подтверждению отключения и удаления пользователей. При запуске пользовательского интерфейса сервера Azure Multi-Factor Authentication будет выдан запрос на подтверждение. |
Кнопка Синхронизировать позволяет выполнить полную синхронизацию для указанных элементов синхронизации. Полная синхронизация требуется каждый раз при добавлении, изменении, удалении или изменении порядка элементов синхронизации. Она также необходима перед первым запуском службы AdSync сервера Многофакторной идентификации Azure, так как задает начальную точку, для которой служба будет опрашивать добавочные изменения. Если в элементы синхронизации были внесены изменения, но полная синхронизация не выполнена, вам будет предложено нажать кнопку "Синхронизировать".
Кнопка Удаление позволяет администратору удалить один или несколько элементов синхронизации из списка элементов синхронизации сервера Azure Multi-Factor Authentication.
Предупреждение
После удаления элемента синхронизации восстановить его нельзя. Если элементы синхронизации были удалены по ошибке, необходимо добавить их снова.
Элемент синхронизации или элементы синхронизации были удалены из сервера Azure Multi-Factor Authentication. Служба сервера Azure Multi-Factor Authentication больше не будет обрабатывать элементы синхронизации.
Кнопки перемещения вверх и вниз позволяют администратору изменить порядок элементов синхронизации. Порядок важен, так как один и тот же пользователь может быть членом нескольких элементов синхронизации (например, контейнера и группы безопасности). Параметры, применяемые к пользователю в процессе синхронизации, будут поступать из первого элемента синхронизации в списке, с которым связан пользователь. Поэтому элементы синхронизации должны быть помещены в порядке приоритета.
Совет
После удаления элементов синхронизации следует выполнить полную синхронизацию. После упорядочения элементов синхронизации следует выполнить полную синхронизацию. Нажмите кнопку Синхронизировать, чтобы выполнить полную синхронизацию.
Серверы многофакторной идентификации
Можно настроить дополнительные серверы многофакторной идентификации, которые могут использоваться в качестве резервного прокси-сервера RADIUS, прокси-сервера LDAP или для проверки подлинности IIS. Настройки синхронизации доступны всем агентам. Однако служба сервера многофакторной идентификации может быть запущена только для одного из этих агентов. Эта вкладка позволяет выбрать, для каких серверов многофакторной идентификации нужно включить синхронизацию.
