Ověřování pomocí protokolu LDAP a ověřování Azure Multi-Factor Authentication ServerLDAP authentication and Azure Multi-Factor Authentication Server

Ve výchozím nastavení je server Azure Multi-Factor Authentication nakonfigurován pro import nebo synchronizaci uživatelů ze služby Active Directory.By default, the Azure Multi-Factor Authentication Server is configured to import or synchronize users from Active Directory. Můžete ho však navázat na různé adresáře LDAP, například adresář ADAM nebo konkrétní řadič domény služby Active Directory.However, it can be configured to bind to different LDAP directories, such as an ADAM directory, or specific Active Directory domain controller. Při připojení k adresáři prostřednictvím protokolu LDAP, Azure Multi-Factor Authentication Server může fungovat jako proxy protokolu LDAP a prováděl ověřování.When connected to a directory via LDAP, the Azure Multi-Factor Authentication Server can act as an LDAP proxy to perform authentications. Umožňuje také použití vazby protokolu LDAP jako cíle protokolu RADIUS pro předběžné ověřování uživatelů pomocí ověření IIS, nebo pro primární ověřování na portálu Azure MFA User Portal.It also allows for the use of LDAP bind as a RADIUS target, for pre-authentication of users with IIS Authentication, or for primary authentication in the Azure MFA user portal.

Chcete-li použít Azure Multi-Factor Authentication jako proxy protokolu LDAP, vložte Azure Multi-Factor Authentication Server mezi klienta protokolu LDAP (například zařízení VPN, aplikace) a adresářový server LDAP.To use Azure Multi-Factor Authentication as an LDAP proxy, insert the Azure Multi-Factor Authentication Server between the LDAP client (for example, VPN appliance, application) and the LDAP directory server. Azure Multi-Factor Authentication Server musí být nakonfigurován tak, aby komunikoval s klientskými servery i s adresářem LDAP.The Azure Multi-Factor Authentication Server must be configured to communicate with both the client servers and the LDAP directory. V této konfiguraci server Azure Multi-Factor Authentication přijímá požadavky LDAP od klientských serverů a aplikací a předává je cílovému adresářovému serveru LDAP pro ověření primárních pověření.In this configuration, the Azure Multi-Factor Authentication Server accepts LDAP requests from client servers and applications and forwards them to the target LDAP directory server to validate the primary credentials. Pokud adresář LDAP ověří primární přihlašovací údaje, ověřování Azure Multi-Factor Authentication provede druhé ověření identity a odešle odpověď zpět do klienta protokolu LDAP.If the LDAP directory validates the primary credentials, Azure Multi-Factor Authentication performs a second identity verification and sends a response back to the LDAP client. Celkové ověření proběhne úspěšně pouze pokud je úspěšné ověření pomocí serveru LDAP i druhý krok ověření.The entire authentication succeeds only if both the LDAP server authentication and the second-step verification succeed.

Konfigurace ověřování pomocí protokolu LDAPConfigure LDAP authentication

Pro konfiguraci ověřování pomocí protokolu LDAP nainstalujte server Azure Multi-Factor Authentication na server Windows.To configure LDAP authentication, install the Azure Multi-Factor Authentication Server on a Windows server. Použijte následující postup:Use the following procedure:

Přidání klienta protokolu LDAPAdd an LDAP client

  1. V Azure Multi-Factor Authentication Server vyberte v nabídce vlevo na ikonu ověřování pomocí protokolu LDAP.In the Azure Multi-Factor Authentication Server, select the LDAP Authentication icon in the left menu.
  2. Zaškrtněte políčko Povolit ověřování pomocí protokolu LDAP.Check the Enable LDAP Authentication checkbox.

    Ověřování pomocí protokolu LDAP

  3. Na kartě Klienti změňte port TCP a SSL, pokud má služba Azure Multi-Factor Authentication LDAP vytvořit vazbu na nestandardní porty pro naslouchání požadavkům protokolu LDAP.On the Clients tab, change the TCP port and SSL port if the Azure Multi-Factor Authentication LDAP service should bind to non-standard ports to listen for LDAP requests.

  4. Pokud plánujete používat LDAPS z klienta k serveru Azure Multi-Factor Authentication, musí být nainstalován certifikát SSL na stejném serveru jako serveru MFA.If you plan to use LDAPS from the client to the Azure Multi-Factor Authentication Server, an SSL certificate must be installed on the same server as MFA Server. Klikněte na tlačítko Procházet vedle SSL certificate pole a vyberte certifikát, který chcete použít pro zabezpečené připojení.Click Browse next to the SSL certificate box, and select a certificate to use for the secure connection.
  5. Klikněte na tlačítko Add (Přidat).Click Add.
  6. V dialogovém okně Přidat klienta LDAP zadejte IP adresu zařízení, server nebo aplikaci, která se ověřuje na serveru a název aplikace (volitelné).In the Add LDAP Client dialog box, enter the IP address of the appliance, server, or application that authenticates to the Server and an Application name (optional). Název aplikace se zobrazí v sestavách Azure Multi-Factor Authentication a může se zobrazit v rámci SMS zpráv nebo mobilních aplikací ověřování.The Application name appears in Azure Multi-Factor Authentication reports and may be displayed within SMS or Mobile App authentication messages.
  7. Zaškrtněte políčko Vyžadovat porovnání uživatele Azure Multi-Factor Authentication, pokud byli nebo budou všichni uživatelé importováni na server a podstoupí dvoustupňové ověření.Check the Require Azure Multi-Factor Authentication user match box if all users have been or will be imported into the Server and subject to two-step verification. Pokud velký počet uživatelů dosud nebyl importován do serveru a/nebo jsou vyloučení z dvoustupňového ověření, nechejte pole nezaškrtnuté.If a significant number of users have not yet been imported into the Server and/or are exempt from two-step verification, leave the box unchecked. Zobrazit Server MFA pro další informace o této funkci soubor nápovědy.See the MFA Server help file for additional information on this feature.

Opakujte tyto kroky pro přidání dalších klientů protokolu LDAP.Repeat these steps to add additional LDAP clients.

Konfigurace připojení k adresáři LDAPConfigure the LDAP directory connection

Pokud je Azure Multi-Factor Authentication nakonfigurováno pro příjem ověřování LDAP, musí směrovat proxy těchto ověřování do adresáře protokolu LDAP.When the Azure Multi-Factor Authentication is configured to receive LDAP authentications, it must proxy those authentications to the LDAP directory. Proto karta Cíl pouze zobrazí jednu zašedlou možnost použití cíle LDAP.Therefore, the Target tab only displays a single, grayed out option to use an LDAP target.

  1. Pro konfiguraci připojení k adresáři LDAP klikněte na ikonu Integrace adresáře.To configure the LDAP directory connection, click the Directory Integration icon.
  2. Na kartě Nastavení vyberte přepínač Použít specifickou konfiguraci LDAP.On the Settings tab, select the Use specific LDAP configuration radio button.
  3. Vyberte Upravit...Select Edit…
  4. V dialogovém okně Upravit konfiguraci LDAP vyplňte pole pomocí informací požadovaných pro připojení k adresáři protokolu LDAP.In the Edit LDAP Configuration dialog box, populate the fields with the information required to connect to the LDAP directory. Popisy těchto polí jsou uvedeny v souboru nápovědy Azure Multi-Factor Authentication Serveru.Descriptions of the fields are included in the Azure Multi-Factor Authentication Server help file.

    Integrace adresáře

  5. Otestujte připojení LDAP kliknutím na tlačítko Test.Test the LDAP connection by clicking the Test button.

  6. Pokud byl test připojení LDAP úspěšný, klikněte na tlačítko OK.If the LDAP connection test was successful, click the OK button.
  7. Klikněte na kartu Filtry. Server je předem nakonfigurovaný k načítání kontejnerů, skupin zabezpečení a uživatelů ze služby Active Directory.Click the Filters tab. The Server is pre-configured to load containers, security groups, and users from Active Directory. Pokud provádíte navázání na jiný adresář LDAP, budete pravděpodobně muset upravit zobrazené filtry.If binding to a different LDAP directory, you probably need to edit the filters displayed. Kliknutím na odkaz Nápověda zobrazíte další informace o filtrech.Click the Help link for more information on filters.
  8. Klikněte na kartu Atributy. Server je předem nakonfigurovaný k mapování atributů ze služby Active Directory.Click the Attributes tab. The Server is pre-configured to map attributes from Active Directory.
  9. Pokud provádíte navázání na jiný adresář LDAP nebo chcete změnit předem nakonfigurované mapování atributů, klikněte na Upravit...If you're binding to a different LDAP directory or to change the pre-configured attribute mappings, click Edit…
  10. V dialogovém okně Upravit atributy upravte mapování atributů protokolu LDAP pro váš adresář.In the Edit Attributes dialog box, modify the LDAP attribute mappings for your directory. Názvy atributů můžete zadat nebo vybrat kliknutím na ...Attribute names can be typed in or selected by clicking the na tlačítko vedle každého pole.button next to each field. Kliknutím na odkaz Nápověda zobrazíte další informace o atributech.Click the Help link for more information on attributes.
  11. Klikněte na tlačítko OK.Click the OK button.
  12. Klikněte na ikonu Nastavení společnosti a vyberte kartu Překlad uživatelského jména.Click the Company Settings icon and select the Username Resolution tab.
  13. Pokud se připojujete ke službě Active Directory ze serveru připojeného k doméně, ponechejte vybraný přepínač Pro porovnání uživatelských jmen použít identifikátory zabezpečení systému Windows (SID).If you're connecting to Active Directory from a domain-joined server, leave the Use Windows security identifiers (SIDs) for matching usernames radio button selected. Jinak vyberte přepínač Pro porovnávání uživatelských jmen použít atribut jedinečného identifikátoru LDAP.Otherwise, select the Use LDAP unique identifier attribute for matching usernames radio button.

Když je vybraný přepínač Pro porovnávání uživatelských jmen použít atribut jedinečného identifikátoru LDAP, Azure Multi-Factor Authentication Server se pokusí každé uživatelské jméno přeložit na jedinečný identifikátor v adresáři LDAP.When the Use LDAP unique identifier attribute for matching usernames radio button is selected, the Azure Multi-Factor Authentication Server attempts to resolve each username to a unique identifier in the LDAP directory. Provede se vyhledávání protokolu LDAP u atributů uživatelského jména definovaných v části Integrace adresáře na kartě Atributy. Při ověření uživatele uživatelské jméno přeloží na jedinečný identifikátor v adresáři protokolu LDAP.An LDAP search is performed on the Username attributes defined in the Directory Integration -> Attributes tab. When a user authenticates, the username is resolved to the unique identifier in the LDAP directory. Jedinečný identifikátor se použije k porovnání s uživatelem v datovém souboru Azure Multi-Factor Authentication.The unique identifier is used for matching the user in the Azure Multi-Factor Authentication data file. To umožňuje porovnávání velkých a malých písmen a dlouhé a krátké formáty uživatelských jmen.This allows for case-insensitive comparisons, and long and short username formats.

Po dokončení těchto kroků MFA Server naslouchá na nakonfigurovaných portech požadavkům přístupu protokolu LDAP z konfigurovaných klientů a funguje jako proxy pro těchto požadavků do adresáře LDAP pro ověřování.After you complete these steps, the MFA Server listens on the configured ports for LDAP access requests from the configured clients, and acts as a proxy for those requests to the LDAP directory for authentication.

Konfigurace klienta protokolu LDAPConfigure LDAP client

Chcete-li nakonfigurovat klienta LDAP, postupujte podle pokynů:To configure the LDAP client, use the guidelines:

  • Nakonfigurujte zařízení, server nebo aplikaci k ověřování prostřednictvím protokolu LDAP na Azure Multi-Factor Authentication Serveru, jako by šlo o váš adresář LDAP.Configure your appliance, server, or application to authenticate via LDAP to the Azure Multi-Factor Authentication Server as though it were your LDAP directory. Použijte stejné nastavení, které běžně používáte pro připojení přímo k adresáři LDAP, s výjimkou názvu serveru nebo IP adresy, u kterých použijte hodnoty pro Azure Multi-Factor Authentication Server.Use the same settings that you would normally use to connect directly to your LDAP directory, except for the server name or IP address, which will be that of the Azure Multi-Factor Authentication Server.
  • Nakonfigurujte na 30 – 60 sekund vypršel časový limit protokolu LDAP tak, aby se čas na ověření přihlašovacích údajů uživatele v adresáři LDAP, provedení druhého kroku ověřování, obdržení odpovědi a reakce na žádosti o přístup protokolu LDAP.Configure the LDAP timeout to 30-60 seconds so that there is time to validate the user’s credentials with the LDAP directory, perform the second-step verification, receive their response, and respond to the LDAP access request.
  • V případě použití LDAPS musí zařízení nebo server provádějící žádosti LDAP důvěřovat certifikátu SSL nainstalovaném na serveru Azure Multi-Factor Authentication.If using LDAPS, the appliance or server making the LDAP queries must trust the SSL certificate installed on the Azure Multi-Factor Authentication Server.