Konfigurera Azure Multi-Factor Authentication Server för IIS-webbappar

  • Artikel

Via IIS-autentisering på Azure Multi-Factor Authentication-servern kan du aktivera och konfigurera IIS-autentisering för integrering med Microsoft IIS-webbprogram. Azure Multi-Factor Authentication Server installerar ett plugin-program som kan filtrera begäranden som görs till IIS-webbservern för att lägga till Azure Multi-Factor Authentication. IIS-plugin-programmet har stöd för formulärbaserad autentisering och integrerad Windows-HTTP-autentisering. Betrodda IP-adresser kan även konfigureras att undanta interna IP-adresser från tvåfaktorsautentisering.

Viktigt!

I september 2022 tillkännagav Microsoft utfasning av Azure Multi-Factor Authentication Server. Från och med den 30 september 2024 kommer Azure Multi-Factor Authentication Server-distributioner inte längre att hantera MFA-begäranden (multifaktorautentisering), vilket kan leda till att autentiseringar misslyckas för din organisation. För att säkerställa oavbrutna autentiseringstjänster och förbli i ett tillstånd som stöds bör organisationer migrera sina användares autentiseringsdata till den molnbaserade Azure Multi-Factor Authentication-tjänsten med hjälp av det senaste migreringsverktyget som ingår i den senaste Azure Multi-Factor Authentication Server-uppdateringen. Mer information finns i Migrering av Azure Multi-Factor Authentication Server.

Information om hur du kommer igång med molnbaserad MFA finns i Självstudie: Skydda användarinloggningshändelser med Azure Multi-Factor Authentication.

När du använder molnbaserad Azure Multi-Factor Authentication finns det inget alternativ till IIS-plugin-programmet som tillhandahålls av Azure Multi-Factor Authentication (MFA) Server. Använd i stället Web Programproxy (WAP) med Active Directory Federation Services (AD FS) (AD FS) eller Microsoft Entra-programproxy.

IIS Authentication in MFA Server

Använda formulärbaserad IIS-autentisering med Azure Multi-Factor Authentication Server

Om du ska skydda en IIS-webbapp som använder formulärbaserad autentisering installerar du Azure Multi-Factor Authentication Server på IIS-webbservern och konfigurerar servern genom att följa stegen nedan:

  1. Klicka på ikonen för IIS-autentisering på den vänstra menyn i Azure Multi-Factor Authentication Server.

  2. Klicka på fliken Formulärbaserad.

  3. Klicka på Lägg till.

  4. Om du vill identifiera användarnamn, lösenord och domänvariabler automatiskt anger du inloggnings-URL :en (till exempel https://localhost/contoso/auth/login.aspx) i dialogrutan Konfigurera formulärbaserad webbplats automatiskt och klickar på OK.

  5. Markera rutan om att Multi-Factor Authentication-användarmatchning krävs om alla användare har importerats eller ska importeras till servern och om multifaktorautentisering används. Om ett stort antal användare ännu inte har importerats till servern och/eller kommer att undantas från multifaktorautentisering lämnar du rutan avmarkerad.

  6. Om sidvariablerna inte kan identifieras automatiskt klickar du på Ange manuellt i dialogrutan Konfigurera formulärbaserad webbplats automatiskt.

  7. I dialogrutan Lägg till formulärbaserad webbplats anger du URL:en till inloggningssidan i fältet Skicka URL och anger ett programnamn (valfritt). Programnamnet visas i Azure Multi-Factor Authentication-rapporter och kan visas i autentiseringsmeddelanden i SMS- eller mobilappar.

  8. Välj rätt format för begäran. Detta är inställt på POST eller GET för de flesta webbprogram.

  9. Ange variabeln Användarnamn, Lösenord och Domän (om den visas på inloggningssidan). Du kan behöva gå till inloggningssidan i en webbläsare, högerklicka på sidan och välja Visa källa för att hitta namnen på inmatningsrutorna.

  10. Markera rutan om att Multi-Factor Authentication-användarmatchning krävs om alla användare har importerats eller ska importeras till servern och om multifaktorautentisering används. Om ett stort antal användare ännu inte har importerats till servern och/eller kommer att undantas från multifaktorautentisering lämnar du rutan avmarkerad.

  11. Klicka på Avancerat för att granska avancerade inställningar, inklusive:

    • Välj en anpassad nekandeväxlingsfil
    • Cachelagra lyckade autentiseringar på webbplatsen under en period med hjälp av cookies
    • Välj om du vill autentisera primära autentiseringsuppgifter mot en Windows-domän, LDAP-katalogen eller RADIUS-servern.

  12. Klicka på OK så visas dialogrutan Lägg till formulärbaserad webbplats igen.

  13. Klicka på OK.

  14. När URL- och sidvariablerna har identifierats eller angetts visas webbplatsdata på panelen Formulärbaserad.

Använda integrerad Windows-autentisering med Azure Multi-Factor Authentication Server

Om du vill skydda en IIS-webbapp som använder integrerad Windows HTTP-autentisering installerar du Azure Multi-Factor Authentication Server på IIS-webbservern och konfigurerar sedan servern med följande steg:

  1. Klicka på ikonen för IIS-autentisering på den vänstra menyn i Azure Multi-Factor Authentication Server.
  2. Klicka på fliken HTTP.
  3. Klicka på Lägg till.
  4. I dialogrutan Lägg till bas-URL anger du URL:en för webbplatsen där HTTP-autentisering utförs (till exempel http://localhost/owa) och anger ett programnamn (valfritt). Programnamnet visas i Azure Multi-Factor Authentication-rapporter och kan visas i autentiseringsmeddelanden i SMS- eller mobilappar.
  5. Justera tidsgränsen för inaktivitet och Maximalt antal sessioner om standardvärdet inte räcker.
  6. Markera rutan om att Multi-Factor Authentication-användarmatchning krävs om alla användare har importerats eller ska importeras till servern och om multifaktorautentisering används. Om ett stort antal användare ännu inte har importerats till servern och/eller kommer att undantas från multifaktorautentisering lämnar du rutan avmarkerad.
  7. Markera kryssrutan för cachelagring av cookies om du vill det.
  8. Klicka på OK.

Aktivera IIS plugin-program för Azure Multi-Factor Authentication Server

När du har konfigurerat URL:erna och inställningarna för formulärbaserad autentisering eller HTTP-autentisering måste du välja de platser där Azure Multi-Factor Authentication IIS plugin-programmen ska läsas in och aktiveras i IIS. Följ dessa steg:

  1. Om du kör på IIS 6 klickar du på fliken ISAPI . Välj den webbplats som webbprogrammet körs under (till exempel Standardwebbplats) för att aktivera PLUGIN-programmet för Azure Multi-Factor Authentication ISAPI-filtret för webbplatsen.
  2. Om du kör på IIS 7 eller senare klickar du på fliken Intern modul . Välj servern, webbplatserna eller programmen för att aktivera IIS-plugin-programmet på önskade nivåer.
  3. Klicka på rutan Aktivera IIS-autentisering överst på skärmen. Nu skyddar Azure Multi-Factor Authentication det valda IIS-programmet. Kontrollera att användarna har importerats till servern.

Tillförlitliga IP-adresser

Tillförlitliga IP-adresser låter användarna kringgå Azure Multi-Factor Authentication för webbplatsförfrågningar som kommer från specifika IP-adresser eller undernät. Du kanske till exempel vill undanta användare från Azure Multi-Factor Authentication när de loggar in från kontoret. I så fall kan du ange office-undernätet som en betrodd IP-post. Följ dessa steg om du vill konfigurera tillförlitliga IP-adresser:

  1. Klicka på fliken Tillförlitliga IP-adresser i avsnittet IIS-autentisering.
  2. Klicka på Lägg till.
  3. När dialogrutan för att lägga till tillförlitliga IP-adresser visas väljer du alternativknappen Enkel IP, IP-intervall eller Undernät.
  4. Ange ip-adressen, ip-adressintervallet eller undernätet som ska tillåtas. Om du anger ett undernät väljer du lämplig nätmask och klickar på OK.