Utiliser le serveur Azure Multi-Factor Authentication pour activer PAM ou SSPR

Le document suivant explique comment configurer le serveur Azure MFA comme deuxième couche de sécurité quand vos utilisateurs activent des rôles dans Privileged Access Management ou la réinitialisation de mot de passe libre-service.

Important

En raison de la désapprobation du kit de développement logiciel (SDK) Azure Multi-Factor Authentication (MFA), les clients ne seront plus en mesure de télécharger le kit de développement logiciel (SDK) Azure MFA.

L’article ci-dessous décrit la mise à jour de la configuration et les étapes à suivre pour activer le passage du kit de développement logiciel (SDK) Azure MFA au serveur Azure MFA.

Prérequis

Pour utiliser le serveur Azure Multi-Factor Authentication avec MIM, vous avez besoin des éléments suivants :

  • Accès Internet à partir de chaque service MIM ou serveur MFA fournissant PAM et SSPR, pour contacter le service Azure MFA
  • Un abonnement Azure
  • Installation utilisant déjà le SDK Azure MFA
  • licences Azure Active Directory Premium pour les utilisateurs candidats
  • numéros de téléphone de tous les utilisateurs candidats.
  • Correctif logiciel MIM 4.5 ou ultérieur (consultez l’historique des versions pour parcourir les annonces)

Configuration du serveur Azure Multi-Factor Authentication

Notes

Dans la configuration, vous avez besoin d’un certificat SSL valide installé pour le SDK.

Étape 1 : Télécharger Azure serveur Multi-Factor Authentication à partir du Portail Azure

Connectez-vous au portail Azure et téléchargez le serveur Azure MFA. working-with-mfaserver-for-mim_downloadmfa

Étape 2 : Générer des informations d’identification d’activation

Utilisez le lien Générer les informations d’identification d’activation pour lancer l’utilisation pour générer des informations d’identification d’activation. Une fois généré, enregistrez-le pour une utilisation ultérieure.

Étape 3 : Installer le serveur Azure Multi-Factor Authentication

Après avoir téléchargé le serveur, installez-le. Vos informations d’identification d’activation sont nécessaires.

Étape 4 : Créer l’application web IIS qui hébergera le SDK

  1. Ouvrir le gestionnaire des services Internet working-with-mfaserver-for-mim_iis.PNG
  2. créer un appel de site web « MIM MFASDK », le lier à un répertoire videworking-with-mfaserver-for-mim_sdkweb.PNG
  3. Ouvrez Multi-Factor Authentication console et cliquez sur Kit de développement logiciel (SDK) du service Web working-with-mfaserver-for-mim_sdkinstall.PNG
  4. Dans les étapes de configuration de l’Assistant, sélectionnez MIM MFASDK et Pool des applications.

Notes

L’Assistant nécessite la création d’un groupe d’administration. Pour plus d’informations, consultez la >> documentation Azure MFA Azure serveur multi-Factor Authentication.

  1. Nous devons ensuite importer le compte de service MIM. Ouvrez la console Multi-Factor Authentication, sélectionnez Utilisateurs a. Cliquez sur Importer à partir d’Active Directory b. Accédez au compte de service, tel que « contoso\mimservice » c. Cliquez sur « Importer » et sur « Fermer » working-with-mfaserver-for-mim_importmimserviceaccount.PNG
  2. modifier le compte de Service MIM à activer dans la Console Multi-Factor Authenticationworking-with-mfaserver-for-mim_enableserviceaccount.PNG
  3. Mettez à jour l’authentification IIS sur le site web « MIM MFASDK ». tout d’abord, nous allons désactiver l’authentification anonyme, puis activer l’authentification Windows.working-with-mfaserver-for-mim_iisconfig.PNG
  4. dernière étape : ajouter le compte de service MIM à « PhoneFactor admins »working-with-mfaserver-for-mim_addservicetomfaadmin.PNG

Configuration du service MIM pour le serveur Azure Multi-Factor Authentication

Étape 1 : Appliquer le correctif 4.5.202.0 au serveur

Étape 2 : Sauvegarder et ouvrir le fichier MfaSettings.xml situé dans C:\Program Files\Microsoft Forefront Identity Manager\2010\Service

Étape 3 : Mettre à jour les lignes suivantes

  1. Supprimez/effacez les lignes des entrées de configuration suivantes
    <LICENSE_KEY >< /LICENSE_KEY>
    <GROUP_KEY >< /GROUP_KEY>
    <CERT_PASSWORD >< /CERT_PASSWORD>

  2. Mettez à jour ou ajoutez les lignes suivantes à ce qui suit dans MfaSettings.xml
    <Username>mimservice@contoso.com</Username>
    <LOCMFA>true</LOCMFA>
    <LOCMFASRV>https://CORPSERVICE.contoso.com:9999/MultiFactorAuthWebServiceSdk/PfWsSdk.asmx</LOCMFASRV>

  3. Redémarrez le service MIM et testez les fonctionnalités avec le serveur Azure Multi-Factor Authentication.

Notes

Pour rétablir les paramètres, remplacez MfaSettings.xml par votre fichier de sauvegarde créé à l’étape 2

Voir aussi