IIS web uygulamaları için Azure Multi-Factor Authentication Sunucusu

  • Makale

Microsoft IIS web uygulamaları ile IIS kimlik doğrulamasını etkinleştirmek ve yapılandırmak için Azure Multi-Factor Authentication (MFA) Sunucusu’nun IIS Kimlik Doğrulaması bölümünü kullanın. Azure Multi-Factor Authentication Sunucusu, Azure Multi-Factor Authentication eklemek için IIS web sunucusuna yapılan istekleri filtreleyebilecek bir eklenti yükler. IIS eklentisi Form Tabanlı Kimlik Doğrulaması ve Tümleşik Windows HTTP Kimlik Doğrulaması için destek sağlar. Güvenilen IP’ler iç IP adreslerini iki öğeli kimlik doğrulamasından muaf tutmak için de kullanılabilir.

Önemli

Eylül 2022'de Microsoft, Azure Multi-Factor Authentication Sunucusu'nun kullanımdan kaldırlanacağını duyurdu. 30 Eylül 2024'ün başından itibaren Azure Multi-Factor Authentication Sunucusu dağıtımları artık çok faktörlü kimlik doğrulaması (MFA) isteklerine hizmet vermeyecektir ve bu da kuruluşunuzda kimlik doğrulamalarının başarısız olmasına neden olabilir. Kesintisiz kimlik doğrulama hizmetlerini sağlamak ve desteklenen bir durumda kalmak için kuruluşlar, en son Azure Multi-Factor Authentication Sunucusu güncelleştirmesinde yer alan en son Geçiş Yardımcı Programını kullanarak kullanıcılarının kimlik doğrulama verilerini bulut tabanlı Azure Multi-Factor Authentication hizmetine geçirmelidir. Daha fazla bilgi için bkz . Azure Multi-Factor Authentication Sunucusu Geçişi.

Bulut tabanlı MFA'yı kullanmaya başlamak için bkz . Öğretici: Azure Multi-Factor Authentication ile kullanıcı oturum açma olaylarının güvenliğini sağlama.

Bulut tabanlı Azure Multi-Factor Authentication kullandığınızda, Azure Multi-Factor Authentication (MFA) Sunucusu tarafından sağlanan IIS eklentisinin alternatifi yoktur. Bunun yerine, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) veya Microsoft Entra uygulama ara sunucusu ile Web Uygulama Ara Sunucusu (WAP) kullanın.

IIS Authentication in MFA Server

Azure Multi-Factor Authentication Sunucusu ile Form Tabanlı IIS Kimlik Doğrulaması kullanma

Form tabanlı kimlik doğrulaması kullanan bir IIS web uygulamasını güvenli hale getirmek için, IIS web sunucusuna Azure Multi-Factor Authentication Sunucusu’nu yükleyin ve Sunucu’yu aşağıdaki yordama göre yapılandırın:

  1. Azure Multi-Factor Authentication Sunucusu’nun soldaki menüsünde IIS Kimlik Doğrulaması simgesine tıklayın.

  2. Form Tabanlı sekmesine tıklayın.

  3. Ekle'yi tıklatın.

  4. Kullanıcı adı, parola ve etki alanı değişkenlerini otomatik olarak algılamak için, Form Tabanlı Web Sitesini Otomatik Yapılandır iletişim kutusunda Oturum Açma URL'sini (gibihttps://localhost/contoso/auth/login.aspx) girin ve Tamam'a tıklayın.

  5. Tüm kullanıcılar Sunucu’ya aktarılmışsa ya da aktarılacaksa ve multi-factor authentication’a tabi olacaksa, Multi-Factor Authentication İste kullanıcı eşleme kutusunu işaretleyin. Sunucuya henüz çok sayıda kullanıcı aktarılmamışsa ve/veya çok faktörlü kimlik doğrulamasından muaf tutulacaksa, kutuyu işaretsiz bırakın.

  6. Sayfa değişkenleri otomatik olarak algılanamazsa, Form Tabanlı Web Sitesini Otomatik Yapılandır iletişim kutusunda El ile Belirt'e tıklayın.

  7. Otomatik Yapılandırma Form Tabanlı Web Sitesi iletişim kutusunda, URL Gönder alanına oturum açma sayfası URL’sini girin ve Uygulama adı girin (isteğe bağlı). Uygulama adı Azure Multi-Factor Authentication raporlarında görünür ve SMS veya Mobil Uygulama kimlik doğrulama iletilerinde görüntülenebilir.

  8. Doğru İstek biçimini seçin. Bu, çoğu web uygulaması için POST or GET olarak ayarlanır.

  9. Kullanıcı adı değişkenini, Parola değişkenini ve Etki alanı değişkenini (oturum açma sayfasında görünüyorsa) girin. Girdi kutularının adlarını bulmak için bir web tarayıcısında oturum açma sayfasına gidin, sayfaya sağ tıklayın ve Kaynağı Görüntüle’yi seçin.

  10. Tüm kullanıcılar Sunucu’ya aktarılmışsa ya da aktarılacaksa ve multi-factor authentication’a tabi olacaksa, Azure Multi-Factor Authentication İste kullanıcı eşleme kutusunu işaretleyin. Sunucuya henüz çok sayıda kullanıcı aktarılmamışsa ve/veya çok faktörlü kimlik doğrulamasından muaf tutulacaksa, kutuyu işaretsiz bırakın.

  11. Aşağıdaki gibi gelişmiş ayarları gözden geçirmek için Gelişmiş’e tıklayın:

    • Özel bir reddetme sayfa dosyası seçme
    • Tanımlama bilgilerini kullanarak web sitesinde başarılı kimlik doğrulamalarını belirli bir dönem boyunca önbelleğe alma
    • Birincil kimlik bilgilerinin bir Windows Etki Alanı, LDAP dizinine göre mi yoksa RADIUS sunucusuna göre mi doğrulanacağını belirtin.

  12. Form Tabanlı Web Sitesi Ekle iletişim kutusuna dönmek için Tamam’a tıklayın.

  13. Tamam'ı tıklatın.

  14. URL ve sayfa değişkenleri algılandığında veya girildiğinde, web sitesi verileri Form Tabanlı panelde görüntülenir.

Azure Multi-Factor Authentication Sunucusu ile tümleşik Windows kimlik doğrulamasını kullanma

Tümleşik Windows HTTP kimlik doğrulaması kullanan bir IIS web uygulamasının güvenliğini sağlamak için, IIS web sunucusuna Azure Multi-Factor Authentication Sunucusu'nu yükleyin ve ardından Sunucuyu aşağıdaki adımlarla yapılandırın:

  1. Azure Multi-Factor Authentication Sunucusu’nun soldaki menüsünde IIS Kimlik Doğrulaması simgesine tıklayın.
  2. HTTP sekmesine tıklayın.
  3. Ekle'yi tıklatın.
  4. Temel URL Ekle iletişim kutusuna HTTP kimlik doğrulamasının gerçekleştirildiği web sitesinin URL'sini girin (örneğin http://localhost/owa) ve bir Uygulama adı (isteğe bağlı) sağlayın. Uygulama adı Azure Multi-Factor Authentication raporlarında görünür ve SMS veya Mobil Uygulama kimlik doğrulama iletilerinde görüntülenebilir.
  5. Varsayılan değer yeterli değilse Boşta kalma zaman aşımını ve En fazla oturum sürelerini ayarlayın.
  6. Tüm kullanıcılar Sunucu’ya aktarılmışsa ya da aktarılacaksa ve multi-factor authentication’a tabi olacaksa, Multi-Factor Authentication İste kullanıcı eşleme kutusunu işaretleyin. Sunucuya henüz çok sayıda kullanıcı aktarılmamışsa ve/veya çok faktörlü kimlik doğrulamasından muaf tutulacaksa, kutuyu işaretsiz bırakın.
  7. İsterseniz Tanımlama bilgisi önbelleği kutusunu işaretleyin.
  8. Tamam'ı tıklatın.

Azure Multi-Factor Authentication Sunucusu için IIS Eklentilerini Etkinleştirme

Form Tabanlı ya da HTTP kimlik doğrulaması URL’lerini ve ayarlarını yapılandırdıktan sonra, Azure Multi-Factor Authentication IIS eklentilerinin IIS’de yüklenmesi ve etkinleştirilmesi gereken konumları seçin. Aşağıdaki yordamı kullanın:

  1. IIS 6'da çalışıyorsa ISAPI sekmesine tıklayın. Web uygulamasının altında çalıştığı web sitesini (örneğin, Varsayılan Web Sitesi) seçerek bu site için Azure Multi-Factor Authentication ISAPI filtre eklentisini etkinleştirin.
  2. IIS 7 veya üzerinde çalışıyorsa Yerel Modül sekmesine tıklayın. IIS eklentisini istenen düzeylerde etkinleştirmek için sunucuyu, web sitelerini veya uygulamaları seçin.
  3. Ekranın üst kısmındaki IIS kimlik doğrulamasını etkinleştir kutusuna tıklayın. Azure Multi-Factor Authentication artık seçilen IIS uygulamasını güvenli hale getirir. Kullanıcıların sunucuya aktarıldığından emin olun.

Güvenilen IP'ler

Güvenilen IP'ler kullanıcıların belirli IP adresleri veya alt ağlardan kaynaklanan web sitesi istekleri için Azure Multi-Factor Authentication’ı atlamasına olanak tanır. Örneğin, ofisten oturum açarken kullanıcıların Azure Multi-Factor Authentication’dan muaf tutulmasını isteyebilirsiniz. Bu durumda, office alt akını Güvenilen IP'ler girdisi olarak belirtebilirsiniz. Güvenilen IP’leri yapılandırmak için aşağıdaki yordamı kullanın:

  1. IIS Kimlik Doğrulaması bölümünde Güvenilen IP'ler sekmesine tıklayın.
  2. Ekle'yi tıklatın.
  3. Güvenilen IP'leri Ekle iletişim kutusu göründüğünde Tek IP, IP aralığı veya Alt ağ radyo düğmesini seçin.
  4. İzin verilmesi gereken IP adresini, IP adresi aralığını veya alt ağı girin. Bir alt ağ giriyorsanız uygun Ağ maskesini seçip Tamam’a tıklayın.