Share via

LDAP 驗證和 Azure Multi-Factor Authentication Server

  • 發行項

根據預設,Azure Multi-Factor Authentication Server 會設定為從 Active Directory 匯入或同步處理使用者。 不過,您可以將它設定為系結至不同的 LDAP 目錄,例如 ADAM 目錄或特定的 Active Directory 網域控制站。 透過 LDAP 連線到目錄時,Azure Multi-Factor Authentication Server 可以做為 LDAP Proxy 來執行驗證。 Azure Multi-Factor Authentication Server 也可以使用 LDAP 系結作為 RADIUS 目標,預先驗證 IIS 使用者,或在 Azure Multi-Factor Authentication 使用者入口網站中進行主要驗證。

若要使用 Azure Multi-Factor Authentication 作為 LDAP Proxy,請在 LDAP 用戶端之間插入 Azure Multi-Factor Authentication Server(例如 VPN 設備、應用程式)和 LDAP 目錄伺服器。 Azure Multi-Factor Authentication Server 必須設定為與用戶端伺服器和 LDAP 目錄通訊。 在此設定中,Azure Multi-Factor Authentication Server 會接受來自用戶端電腦和應用程式的 LDAP 要求,並將其轉送至目標 LDAP 目錄伺服器,以驗證主要認證。 如果 LDAP 目錄驗證主要認證,Azure Multi-Factor Authentication 會執行第二個身分識別驗證,並將回應傳回 LDAP 用戶端。 只有在 LDAP 伺服器驗證和第二個步驟驗證都成功時,整個驗證才會成功。

重要

在 2022 年 9 月,Microsoft 宣佈淘汰 Azure Multi-Factor Authentication Server。 從 2024 年 9 月 30 日起,Azure Multi-Factor Authentication Server 部署將不再服務多重要素驗證 (MFA) 要求,這可能會導致貴組織驗證失敗。 為了確保不間斷的驗證服務並維持在支援的狀態,組織應該 使用最新 Azure Multi-Factor Authentication Server 更新 中包含的最新 移轉公用程式,將其使用者的驗證資料 遷移至雲端式 Azure Multi-Factor Authentication 服務。 如需詳細資訊,請參閱 Azure Multi-Factor Authentication Server 移轉

若要開始使用雲端式 MFA,請參閱 教學課程:使用 Azure Multi-Factor Authentication 保護使用者登入事件。

設定 LDAP 驗證

若要設定 LDAP 驗證,請在 Windows 伺服器上安裝 Azure Multi-Factor Authentication Server。 請使用下列程序:

新增 LDAP 用戶端

  1. 在 Azure Multi-Factor Authentication Server 中,選取左側功能表中的 LDAP 驗證圖示。

  2. 核取 [ 啟用 LDAP 驗證] 核取方塊。

    LDAP Authentication in MFA Server

  3. 在 [用戶端] 索引標籤上,如果 Azure Multi-Factor Authentication LDAP 服務應該系結至非標準埠以接聽 LDAP 要求,請變更 TCP 埠和 SSL (TLS) 埠。

  4. 如果您打算使用從用戶端到 Azure Multi-Factor Authentication Server 的 LDAPS,則必須在與 MFA Server 相同的伺服器上安裝 TLS/SSL 憑證。 按一下 [SSL(TLS) 憑證] 方塊旁的 [流覽 ],然後選取要用於安全連線的憑證。

  5. 按一下新增

  6. 在 [新增 LDAP 用戶端] 對話方塊中,輸入向伺服器和應用程式名稱驗證之設備、伺服器或應用程式的 IP 位址(選擇性)。 應用程式名稱會出現在 Azure Multi-Factor Authentication 報告中,而且可能會顯示在 SMS 或行動應用程式驗證訊息內。

  7. 核取 [ 需要 Azure Multi-Factor Authentication 使用者比對 ] 方塊,如果所有使用者都已匯入或將匯入伺服器,並受限於雙步驟驗證。 如果大量使用者尚未匯入伺服器和/或豁免雙步驟驗證,請取消核取此方塊。 如需這項功能的其他資訊,請參閱 MFA Server 說明檔。

重複這些步驟以新增更多 LDAP 用戶端。

設定 LDAP 目錄連線

當 Azure Multi-Factor Authentication 設定為接收 LDAP 驗證時,它必須將這些驗證 Proxy 至 LDAP 目錄。 因此,[目標] 索引標籤只會顯示單一灰色選項來使用 LDAP 目標。

注意

目錄整合不保證能與Active Directory 網域服務以外的目錄搭配使用。

  1. 若要設定 LDAP 目錄連線,請按一下 目錄整合 圖示。

  2. 在 [設定] 索引標籤上,選取 [ 使用特定 LDAP 設定 ] 選項按鈕。

  3. 選取 [ 編輯...

  4. 在 [編輯 LDAP 組態] 對話方塊中,將連線到 LDAP 目錄所需的資訊填入欄位。 欄位的描述會包含在 Azure Multi-Factor Authentication Server 說明檔中。

    Directory Integration LDAP config

  5. 按一下 [ 測試 ] 按鈕來測試 LDAP 連線。

  6. 如果 LDAP 連線測試成功,請按一下 [ 確定] 按鈕。

  7. 按一下 [ 篩選] 索引標籤。伺服器已預先設定為從 Active Directory 載入容器、安全性群組和使用者。 如果系結至不同的 LDAP 目錄,您可能需要編輯顯示的篩選。 如需篩選的詳細資訊,請按一下 [ 說明 ] 連結。

  8. 按一下 [ 屬性] 索引標籤 。伺服器已預先設定為從 Active Directory 對應屬性。

  9. 如果您要系結至不同的 LDAP 目錄,或變更預先設定的屬性對應,請按一下 [ 編輯...

  10. 在 [編輯屬性] 對話方塊中,修改目錄的 LDAP 屬性對應。 您可以按一下每個欄位旁的 ... 按鈕,以輸入或選取屬性名稱。 按一下 [ 說明] 連結以取得屬性的詳細資訊。

  11. 按一下 [確定] 按鈕。

  12. 按一下 [ 公司設定 ] 圖示,然後選取 [ 使用者名稱解析 ] 索引標籤。

  13. 如果您要從已加入網域的伺服器連線到 Active Directory,請保留 [使用 Windows 安全性識別碼],以符合已選取的使用者 名稱選項按鈕。 否則,請選取 [ 使用 LDAP 唯一識別碼屬性來比對使用者名稱 ] 選項按鈕。

選取 [ 使用 LDAP 唯一 識別碼屬性比對使用者名稱] 選項按鈕時,Azure Multi-Factor Authentication Server 會嘗試將每個使用者名稱解析為 LDAP 目錄中的唯一識別碼。 LDAP 搜尋會在 [目錄整合 > 屬性] 索引標籤中定義的 [使用者名稱] 屬性上執行。當使用者驗證時,使用者名稱會解析為 LDAP 目錄中的唯一識別碼。 唯一識別碼用於比對 Azure Multi-Factor Authentication 資料檔案中的使用者。 這允許不區分大小寫的比較,以及長而短的使用者名稱格式。

完成這些步驟之後,MFA Server 會接聽來自已設定用戶端之 LDAP 存取要求的已設定埠,並做為 LDAP 目錄要求進行驗證的 Proxy。

設定 LDAP 用戶端

若要設定 LDAP 用戶端,請使用指導方針:

  • 將設備、伺服器或應用程式設定為透過 LDAP 向 Azure Multi-Factor Authentication Server 進行驗證,就像您的 LDAP 目錄一樣。 使用您通常用來直接連線到 LDAP 目錄的相同設定,但使用 Azure Multi-Factor Authentication Server 做為伺服器名稱或 IP 位址。
  • 將 LDAP 逾時設定為 30-60 秒,以提供足夠的時間來驗證使用者的 LDAP 目錄認證、執行第二個步驟驗證、接收其回應,以及回應 LDAP 存取要求。
  • 如果使用 LDAPS,進行 LDAP 查詢的設備或伺服器必須信任安裝在 Azure Multi-Factor Authentication Server 上的 TLS/SSL 憑證。