LDAP 驗證和 Azure Multi-Factor Authentication Server

發行項
06/21/2024

根據預設，Azure Multi-Factor Authentication Server 會設定為從 Active Directory 匯入或同步處理使用者。不過，它可以設定為繫結至不同 LDAP 目錄 (例如 ADAM 目錄) 或特定的 Active Directory 網域控制站。在透過 LDAP 來連線到目錄時，Azure Multi-Factor Authentication Server 可作為 LDAP Proxy 來執行驗證。 Azure Multi-Factor Authentication Server 也可以使用 LDAP 繫結作為 RADIUS 目標來預先驗證 IIS 使用者，或用於 Azure Multi-Factor Authentication 使用者入口網站中的主要驗證。

若要使用 Azure Multi-Factor Authentication 作為 LDAP Proxy，請在 LDAP 用戶端 (例如 VPN 應用裝置、應用程式) 和 LDAP 目錄伺服器之間插入 Azure Multi-Factor Authentication Server。 Azure Multi-Factor Authentication Server 必須設定為能夠與用戶端伺服器和 LDAP 目錄進行通訊。在此組態中，Azure Multi-Factor Authentication Server 接受來自用戶端伺服器和應用程式的 LDAP 要求，然後轉送至目標 LDAP 目錄伺服器來驗證主要認證。如果 LDAP 目錄認為主要認證有效，Azure Multi-Factor Authentication 會執行第二步身分識別驗證，然後將回應傳回給 LDAP 用戶端。只有在 LDAP 伺服器驗證和第二步驗證皆成功時，整個驗證才會成功。

重要

2022 年 9 月，Microsoft 宣佈淘汰 Azure MFA 伺服器。自 2024 年 9 月 30 日起，Azure Multi-Factor Authentication Server 的部署將不再為多重要素驗證 (MFA) 要求提供服務，這可能會導致您組織驗證失敗。若要確保驗證服務不中斷並維持在受支援的狀態，組織應該使用最新 Azure Multi-Factor Authentication Server 更新中包含的最新移轉公用程式，將使用者的驗證資料移轉至雲端式 Azure Multi-Factor Authentication 服務。如需詳細資訊，請參閱 Azure Multi-Factor Authentication Server 移轉。

若要開始使用雲端架構的 MFA，請參閱教學課程：使用 Azure Multi-Factor Authentication 保護使用者登入事件。

設定 LDAP 驗證

若要設定 LDAP 驗證，請在 Windows 伺服器上安裝 Azure Multi-Factor Authentication Server。請使用下列程序：

新增 LDAP 用戶端

在 Azure Multi-Factor Authentication Server 中，選取左功能表中的 [LDAP 驗證] 圖示。
核取 [啟用 LDAP 驗證] 核取方塊。
如果 Azure Multi-Factor Authentication LDAP 服務應該繫結到非標準連接埠，以接聽 LDAP 要求，請在 Clients (用戶端) 索引標籤上變更 TCP 連接埠和 SSL (TLS) 連接埠。
如果您打算在用戶端到 Azure Multi-Factor Authentication Server 之間使用 LDAPS，則必須將 TLS/SSL 憑證安裝在與 MFA 伺服器相同的伺服器上。按一下 [SSL (TLS) 憑證] 方塊旁的 [瀏覽]，然後選取要用於安全連線的憑證。
按一下新增。
在 [新增 LDAP 用戶端] 對話方塊中，輸入要向「伺服器」驗證的應用裝置、伺服器或應用程式的 IP 位址，以及應用程式名稱 (選擇性)。應用程式名稱會出現在 Azure Multi-Factor Authentication 報表中，而且可能顯示在簡訊或行動應用程式驗證訊息內。
如果所有使用者都已經或將要匯入到「伺服器」，且必須接受雙步驟驗證，請核取 [需要進行 Azure Multi-Factor Authentication 使用者比對] 方塊。如果有大量使用者尚未匯入伺服器及/或將免除雙步驟驗證，請勿核取此方塊。如需此功能的其他資訊，請參閱 MFA 伺服器說明檔。

重複上述步驟來新增其他 LDAP 用戶端。

設定 LDAP 目錄連線

當 Azure Multi-Factor Authentication 設定為接受 LDAP 驗證時，它必須將這些驗證交由 LDAP 目錄代理。因此，[目標] 索引標籤只會顯示灰色的單一選項來使用 LDAP 目標。

注意

不保證目錄整合適用於 Active Directory Domain Services 以外的目錄。

若要設定 LDAP 目錄連線，請按一下 [目錄整合] 圖示。
在 [設定] 索引標籤上，選取 [使用特定 LDAP 設定] 選項按鈕。
選取 [編輯...]
在 [編輯 LDAP 設定] 對話方塊的欄位中，填入連接到 AD 目錄所需的資訊。欄位說明包含在 Azure Multi-Factor Authentication Server 說明檔中。
按一下 [測試] 按鈕來測試 LDAP 連接。
如果 LDAP 連接測試成功，請按一下 [確定] 按鈕。
按一下 [篩選] 索引標籤。「伺服器」已預先設定為從 Active Directory 載入容器、安全性群組和使用者。如果繫結至不同 LDAP 目錄，您可能需要編輯顯示的篩選。如需篩選的詳細資訊，請按一下 [說明] 連結。
按一下 [屬性] 索引標籤。「伺服器」已預先設定為從 Active Directory 對應屬性。
如果要繫結至不同 LDAP 目錄，或要變更預先設定的屬性對應，請按一下 [編輯...]
在 [編輯屬性] 對話方塊中，修改您的目錄的 LDAP 屬性對應。可以輸入屬性名稱，或藉由按一下每個欄位旁邊的 […] 按鈕來選取。如需屬性的詳細資訊，請按一下 [說明] 連結。
按一下 [確定] 按鈕。
按一下 [公司設定] 圖示，然後選取 [使用者名稱解析] 索引標籤。
如果要從加入網域的伺服器連線到 Active Directory，請將 [使用 Windows 安全性識別碼 (SID) 來比對使用者名稱] 選項按鈕保持選取狀態。否則，請選取 [使用 LDAP 唯一識別碼屬性來比對使用者名稱] 選項按鈕。

已選取 [使用 LDAP 唯一識別碼屬性來比對使用者名稱] 選項按鈕時，Azure Multi-factor Authentication Server 會嘗試將每個使用者名稱解析為 LDAP 目錄中的唯一識別碼。將會對 [目錄整合] > [屬性] 索引標籤中定義的使用者名稱屬性執行 LDAP 搜尋。當使用者進行驗證時，使用者名稱會解析為 LDAP 目錄中的唯一識別碼。唯一識別碼可用來比對 Azure Multi-Factor Authentication 資料檔中的使用者。這可進行不區分大小寫的比較，且允許完整或簡短的使用者名稱格式。

在完成這些步驟後，MFA Server 會在設定的連接埠上接聽來自所設定用戶端的 LDAP 存取要求，並且會作為 Proxy 將這些要求交由 LDAP 目錄進行驗證。

設定 LDAP 用戶端

若要設定 LDAP 用戶端，請遵循下列指導方針：

將您的應用裝置、伺服器或應用程式設定為透過 LDAP 向 Azure Multi-Factor Authentication Server 驗證，就好像您的 LDAP 目錄一樣。使用您平常直接連接到您的 LDAP 目錄時所用的相同設定，但以 Azure Multi-Factor Authentication Server 作為伺服器名稱或 IP 位址。
將 LDAP 逾時設定為 30 至 60 秒，以提供足夠的時間向 LDAP 目錄驗證使用者的認證、執行第二步驗證、接收回應，然後回應 LDAP 存取要求。
如果使用 LDAPS，則提出 LDAP 查詢的應用裝置或伺服器必須信任安裝在 Azure Multi-Factor Authentication Server 上的 TLS/SSL 憑證。

共用方式為