Mengonfigurasi Azure MFA sebagai penyedia autentikasi dengan Layanan Federasi Direktori Aktif

  • Artikel
  • 12 menit untuk membaca

Jika organisasi Anda digabungkan dengan Azure AD, Anda dapat menggunakan Azure Multi-Factor Authentication untuk mengamankan sumber daya AD FS, baik lokal maupun di cloud. Azure MFA memungkinkan Anda menghilangkan kata sandi dan menyediakan cara yang lebih aman untuk mengautentikasi. Dimulai dengan Windows Server 2016, Anda sekarang dapat mengonfigurasi Azure MFA untuk autentikasi utama atau menggunakannya sebagai penyedia autentikasi tambahan.

Tidak seperti Layanan Federasi Direktori Aktif di Windows Server 2012 R2, adaptor Ad FS 2016 Azure MFA terintegrasi langsung dengan Azure AD dan tidak memerlukan server Azure MFA lokal. Adaptor Azure MFA dibangun ke Windows Server 2016, dan tidak perlu penginstalan tambahan.

Mendaftarkan pengguna untuk Azure MFA dengan Layanan Federasi Direktori Aktif

Layanan Federasi Direktori Aktif tidak mendukung "proof up" sebaris, atau pendaftaran informasi verifikasi keamanan Azure MFA seperti nomor telepon atau aplikasi seluler. Ini berarti pengguna harus mendapatkan pemeriksaan dengan mengunjungi https://account.activedirectory.windowsazure.com/Proofup.aspx sebelum menggunakan Azure MFA untuk mengautentikasi ke aplikasi Layanan Federasi Direktori Aktif. Ketika pengguna yang belum melakukan pemeriksaan di Azure AD mencoba mengautentikasi dengan Azure MFA di Layanan Federasi Direktori Aktif, mereka akan mendapatkan kesalahan Layanan Federasi Direktori Aktif. Sebagai administrator Layanan Federasi Direktori Aktif, Anda dapat menyesuaikan pengalaman kesalahan ini untuk memandu pengguna ke halaman pemeriksaan sebagai gantinya. Anda dapat melakukan ini menggunakan kustomisasi onload.js untuk mendeteksi string pesan kesalahan dalam halaman Layanan Federasi Direktori Aktif dan menampilkan pesan baru untuk memandu pengguna mengunjungi https://aka.ms/mfasetup, lalu mencoba kembali autentikasi. Untuk panduan terperinci, lihat halaman web "Kustomisasi Layanan Federasi Direktori Aktif untuk memandu pengguna mendaftarkan metode verifikasi MFA" di bawah ini di artikel ini.

Catatan

Sebelumnya, pengguna diharuskan mengautentikasi dengan MFA untuk pendaftaran (mengunjungi https://account.activedirectory.windowsazure.com/Proofup.aspx, misalnya melalui pintasan https://aka.ms/mfasetup). Sekarang, pengguna Layanan Federasi Direktori Aktif yang belum mendaftarkan informasi verifikasi MFA dapat mengakses halaman pemeriksaan Azure AD melalui pintasan https://aka.ms/mfasetup hanya menggunakan autentikasi utama (seperti Windows Autentikasi Terintegrasi atau nama pengguna dan kata sandi melalui halaman web Layanan Federasi Direktori Aktif). Jika pengguna tidak memiliki metode verifikasi yang dikonfigurasi, Azure AD akan melakukan pendaftaran sebaris di mana pengguna melihat pesan "Admin Anda telah mengharuskan Anda menyiapkan akun ini untuk verifikasi keamanan tambahan", dan pengguna kemudian dapat memilih untuk "Menyiapkannya sekarang". Pengguna yang sudah memiliki setidaknya satu metode verifikasi MFA yang dikonfigurasi masih akan diminta untuk menyediakan MFA saat mengunjungi halaman pemeriksaan.

Azure MFA sebagai Autentikasi Utama

Ada beberapa alasan besar untuk menggunakan Azure MFA sebagai Autentikasi Utama dengan Layanan Federasi Direktori Aktif:

  • Untuk menghindari kata sandi untuk masuk ke Azure AD, Office 365, dan aplikasi Layanan Federasi Direktori Aktif lainnya
  • Untuk melindungi masuk berbasis kata sandi dengan memerlukan faktor tambahan seperti kode verifikasi sebelum kata sandi

Jika Anda ingin menggunakan Azure MFA sebagai metode autentikasi utama di Layanan Federasi Direktori Aktif untuk mencapai manfaat ini, Anda mungkin juga ingin menjaga kemampuan untuk menggunakan Azure AD akses bersyarkat termasuk "true MFA" dengan meminta faktor tambahan dalam Layanan Federasi Direktori Aktif.

Anda sekarang dapat melakukan ini dengan mengonfigurasi pengaturan domain Azure AD untuk melakukan MFA lokal (mengatur "SupportsMfa" ke $True). Dalam konfigurasi ini, Layanan Federasi Direktori Aktif dapat diminta oleh Azure AD untuk melakukan autentikasi tambahan atau "true MFA" untuk skenario akses bersyarat yang memerlukannya.

Seperti yang dijelaskan di atas, setiap pengguna Layanan Federasi Direktori Aktif yang belum mendaftar (informasi verifikasi MFA yang dikonfigurasi) harus diminta melalui halaman kesalahan Layanan Federasi Direktori Aktif yang disesuaikan untuk dikunjungi https://aka.ms/mfasetup guna mengonfigurasi informasi verifikasi, lalu mencoba kembali login LAYANAN Federasi Direktori Aktif. Karena Azure MFA sebagai primer dianggap sebagai faktor tunggal, setelah konfigurasi awal, pengguna harus memberikan faktor tambahan untuk mengelola atau memperbarui informasi verifikasi mereka di Azure AD, atau untuk mengakses sumber daya lain yang memerlukan MFA.

Catatan

Dengan Layanan Federasi Direktori Aktif 2019, Anda diharuskan untuk membuat modifikasi pada jenis klaim jangkar untuk kepercayaan Penyedia Klaim Direktori Aktif dan memodifikasi ini dari windowsaccountname ke UPN. Jalankan cmdlet PowerShell yang disediakan di bawah ini. Ini tidak berdampak pada fungsi internal farm LAYANAN Federasi Direktori Aktif. Anda mungkin melihat beberapa pengguna mungkin diminta kembali untuk kredensial setelah perubahan ini dilakukan. Setelah masuk lagi, pengguna akhir tidak akan melihat perbedaan.

Set-AdfsClaimsProviderTrust -AnchorClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" -TargetName "Active Directory"

Azure MFA sebagai Autentikasi tambahan untuk Office 365

Adaptor Azure MFA untuk Layanan Federasi Direktori Aktif memungkinkan pengguna Anda melakukan MFA di Layanan Federasi Direktori Aktif. Untuk mengamankan sumber daya Azure Active Directory, sebaiknya wajibkan MFA melalui kebijakan Akses Bersyarat, atur pengaturan domain SupportsMfa ke $True dan keluarkan klaim multipleauthn saat pengguna berhasil melakukan verifikasi dua langkah.

Seperti yang dijelaskan di atas, setiap pengguna Layanan Federasi Direktori Aktif yang belum mendaftar (informasi verifikasi MFA yang dikonfigurasi) harus diminta melalui halaman kesalahan Layanan Federasi Direktori Aktif yang disesuaikan untuk dikunjungi https://aka.ms/mfasetup guna mengonfigurasi informasi verifikasi, lalu mencoba kembali login LAYANAN Federasi Direktori Aktif.

Prasyarat

Prasyarat berikut diperlukan saat menggunakan Azure MFA untuk autentikasi dengan Layanan Federasi Direktori Aktif:

Catatan

Azure AD dan Azure MFA disertakan dalam Azure AD Premium dan Enterprise Mobility Suite (EMS). Jika Anda memiliki salah satu dari ini, Anda tidak memerlukan langganan individual.

Mengonfigurasi Server AD FS

Untuk menyelesaikan konfigurasi Azure MFA untuk Layanan Federasi Direktori Aktif, Anda perlu mengonfigurasi setiap server Layanan Federasi Direktori Aktif menggunakan langkah-langkah yang dijelaskan.

Catatan

Pastikan bahwa langkah-langkah ini dilakukan di semua server Layanan Federasi Direktori Aktif di farm. Jika Anda memiliki beberapa server Layanan Federasi Direktori Aktif di farm, Anda dapat melakukan konfigurasi yang diperlukan dari jarak jauh menggunakan Azure AD PowerShell.

Langkah 1: Buat sertifikat untuk Azure MFA di setiap server AD FS menggunakan New-AdfsAzureMfaTenantCertificate cmdlet

Hal pertama yang perlu Anda lakukan adalah membuat sertifikat untuk digunakan Oleh Azure MFA. Ini dapat dilakukan menggunakan PowerShell. Sertifikat yang dihasilkan dapat ditemukan di penyimpanan sertifikat komputer lokal, dan ditandai dengan nama subjek yang berisi TenantID untuk direktori Azure AD Anda.

Screenshot of the certificate store of a local machine showing the generated certificate.

Perhatikan bahwa TenantID adalah nama direktori Anda di Azure AD. Gunakan cmdlet PowerShell berikut untuk menghasilkan sertifikat baru. $certbase64 = New-AdfsAzureMfaTenantCertificate -TenantID <tenantID>

Screenshot of the PowerShell window showing the cmdlet above.

Langkah 2: Tambahkan kredensial baru ke Azure Multi-Factor Auth Client Service Principal

Untuk mengaktifkan server Layanan Federasi Direktori Aktif untuk berkomunikasi dengan Klien Azure Multi-Factor Auth, Anda perlu menambahkan kredensial ke Perwakilan Layanan untuk Klien Azure Multi-Factor Auth. Sertifikat yang dihasilkan menggunakan New-AdfsAzureMFaTenantCertificate cmdlet akan berfungsi sebagai kredensial ini. Lakukan hal berikut menggunakan PowerShell untuk menambahkan kredensial baru ke Azure Multi-Factor Auth Client Service Principal.

Catatan

Untuk menyelesaikan langkah ini, Anda perlu menyambungkan ke instans Azure AD Anda dengan PowerShell menggunakan Connect-MsolService. Langkah-langkah ini mengasumsikan Anda telah tersambung melalui PowerShell. Untuk informasi, lihat Connect-MsolService.

Atur sertifikat sebagai kredensial baru terhadap Klien Azure Multi-Factor Auth

New-MsolServicePrincipalCredential -AppPrincipalId 981f26a1-7f43-403b-a875-f8b09b8cd720 -Type asymmetric -Usage verify -Value $certBase64

Penting

Perintah ini perlu dijalankan di semua server Layanan Federasi Direktori Aktif di farm Anda. Azure AD MFA akan gagal pada server yang belum menetapkan sertifikat sebagai kredensial baru terhadap Klien Azure Multi-Factor Auth.

Catatan

981f26a1-7f43-403b-a875-f8b09b8cd720 adalah GUID untuk Azure Multi-Factor Auth Client.

Mengonfigurasi Layanan Federasi Direktori Aktif Farm

Setelah Anda menyelesaikan bagian sebelumnya di setiap server Layanan Federasi Direktori Aktif, atur informasi penyewa Azure menggunakan cmdlet Set-AdfsAzureMfaTenant . Cmdlet ini perlu dijalankan hanya sekali untuk farm LAYANAN Federasi Direktori Aktif.

Buka perintah PowerShell dan masukkan tenantId Anda sendiri dengan cmdlet Set-AdfsAzureMfaTenant . Untuk pelanggan yang menggunakan cloud Microsoft Azure Government, tambahkan -Environment USGov parameter :

Catatan

Anda perlu memulai ulang layanan Layanan Federasi Direktori Aktif di setiap server di farm sebelum perubahan ini diterapkan. Untuk dampak minimal, keluarkan setiap server Layanan Federasi Direktori Aktif dari rotasi NLB satu per satu dan tunggu semua koneksi terkuras.

Set-AdfsAzureMfaTenant -TenantId <tenant ID> -ClientId 981f26a1-7f43-403b-a875-f8b09b8cd720

Screenshot of the PowerShell window showing the warning message received after running the Set-AdfsAzureMfaTenant cmdlet.

Windows Server tanpa paket layanan terbaru tidak mendukung -Environment parameter untuk cmdlet Set-AdfsAzureMfaTenant. Jika Anda menggunakan Azure Government cloud dan langkah-langkah sebelumnya gagal mengonfigurasi penyewa Azure Anda karena parameter yang hilang-Environment, selesaikan langkah-langkah berikut untuk membuat entri registri secara manual. Lewati langkah-langkah ini jika cmdlet sebelumnya mendaftarkan informasi penyewa Anda dengan benar atau Anda tidak berada di cloud Azure Government:

  1. Buka Editor Registri di server LAYANAN Federasi Direktori Aktif.

  2. Navigasikan ke HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS. Buat nilai kunci registri berikut:

    Kunci Registri Nilai
    SasUrl https://adnotifications.windowsazure.us/StrongAuthenticationService.svc/Connector
    StsUrl https://login.microsoftonline.us
    ResourceUri https://adnotifications.windowsazure.us/StrongAuthenticationService.svc/Connector

  3. Mulai ulang layanan Layanan Federasi Direktori Aktif di setiap server di farm sebelum perubahan ini berlaku. Untuk dampak minimal, keluarkan setiap server Layanan Federasi Direktori Aktif dari rotasi NLB satu per satu dan tunggu semua koneksi terkuras.

Setelah ini, Anda akan melihat bahwa Azure MFA tersedia sebagai metode autentikasi utama untuk penggunaan intranet dan ekstranet.

Screenshot of the Edit Authentication Methods dialog box showing the Azure M F A option highlighted in both the Extranet and Intranet sections.

Jika Anda ingin menggunakan Azure MFA sebagai metode autentikasi sekunder, pada kotak Edit Metode Autentikasi, pilih tab Multifaktor (tab Tambahan di Layanan Federasi Direktori Aktif 2019) dan pastikan metode tersebut diaktifkan. Jika tidak, Anda mungkin menerima pesan kesalahan, seperti "Tidak ada metode autentikasi kuat yang valid yang ditemukan. Hubungi administrator Anda untuk mengonfigurasi dan mengaktifkan penyedia autentikasi kuat yang sesuai".

Memperpanjang dan Mengelola Sertifikat Ad FS Azure MFA

Panduan berikut membawa Anda melalui cara mengelola sertifikat Azure MFA di server Ad FS Anda. Secara default, saat Anda mengonfigurasi Layanan Federasi Direktori Aktif dengan Azure MFA, sertifikat yang dihasilkan melalui New-AdfsAzureMfaTenantCertificate cmdlet PowerShell berlaku selama 2 tahun. Untuk menentukan seberapa dekat dengan kedaluwarsa sertifikat Anda, lalu untuk memperbarui dan menginstal sertifikat baru, gunakan prosedur berikut.

Menilai tanggal kedaluwarsa sertifikat Ad FS Azure MFA

Di setiap server Layanan Federasi Direktori Aktif, di komputer lokal Penyimpanan saya, akan ada sertifikat yang ditandatangani sendiri dengan "OU=Microsoft AD FS Azure MFA" di Penerbit dan Subjek. Ini adalah sertifikat Azure MFA. Periksa masa berlaku sertifikat ini pada setiap server AD FS untuk menentukan tanggal kedaluwarsa.

Membuat Sertifikat Ad FS Azure MFA baru di setiap server LAYANAN Federasi Direktori Aktif

Jika masa berlaku sertifikat Anda mendekati akhir, mulai proses perpanjangan dengan membuat sertifikat Azure MFA baru di setiap server AD FS. Di jendela perintah PowerShell, buat sertifikat baru di setiap server LAYANAN Federasi Direktori Aktif menggunakan cmdlet berikut:

Perhatian

Jika sertifikat Anda telah kedaluwarsa, jangan tambahkan -Renew $true parameter ke perintah berikut. Dalam skenario ini, sertifikat kedaluwarsa yang ada diganti dengan sertifikat baru alih-alih dibiarkan di tempat dan sertifikat tambahan yang dibuat.

PS C:\> $newcert = New-AdfsAzureMfaTenantCertificate -TenantId <tenant id such as contoso.onmicrosoft.com> -Renew $true

Jika sertifikat belum kedaluwarsa, sertifikat baru yang berlaku dari 2 hari di masa mendatang hingga 2 hari + 2 tahun dibuat. Operasi Layanan Federasi Direktori Aktif dan Azure MFA tidak terpengaruh oleh cmdlet ini atau sertifikat baru. (Catatan: penundaan 2 hari disengaja dan menyediakan waktu untuk menjalankan langkah-langkah di bawah ini untuk mengonfigurasi sertifikat baru di penyewa sebelum Layanan Federasi Direktori Aktif mulai menggunakannya untuk Azure MFA.)

Mengonfigurasi setiap sertifikat Ad FS Azure MFA baru di penyewa Azure AD

Menggunakan modul Azure AD PowerShell, untuk setiap sertifikat baru (di setiap server Layanan Federasi Direktori Aktif), perbarui pengaturan penyewa Azure AD Anda sebagai berikut (Catatan: Anda harus terlebih dahulu tersambung ke penyewa menggunakan Connect-MsolService untuk menjalankan perintah berikut).

PS C:/> New-MsolServicePrincipalCredential -AppPrincipalId 981f26a1-7f43-403b-a875-f8b09b8cd720 -Type Asymmetric -Usage Verify -Value $newcert

Jika sertifikat Anda sebelumnya telah kedaluwarsa, mulai ulang layanan Layanan Federasi Direktori Aktif untuk mengambil sertifikat baru. Anda tidak perlu memulai ulang layanan Layanan Federasi Direktori Aktif jika Anda memperbarui sertifikat sebelum kedaluwarsa.

Verifikasi bahwa sertifikat baru akan digunakan untuk Azure MFA

Setelah sertifikat baru menjadi valid, Layanan Federasi Direktori Aktif akan mengambilnya dan mulai menggunakan setiap sertifikat masing-masing untuk Azure MFA dalam beberapa jam hingga sehari. Setelah ini terjadi, di setiap server Anda akan melihat peristiwa yang dicatat di log peristiwa Admin Layanan Federasi Direktori Aktif dengan informasi berikut:

Log Name:      AD FS/Admin
Source:        AD FS
Date:          2/27/2018 7:33:31 PM
Event ID:      547
Task Category: None
Level:         Information
Keywords:      AD FS
User:          DOMAIN\adfssvc
Computer:      ADFS.domain.contoso.com
Description:
The tenant certificate for Azure MFA has been renewed.

TenantId: contoso.onmicrosoft.com.
Old thumbprint: 7CC103D60967318A11D8C51C289EF85214D9FC63.
Old expiration date: 9/15/2019 9:43:17 PM.
New thumbprint: 8110D7415744C9D4D5A4A6309499F7B48B5F3CCF.
New expiration date: 2/27/2020 2:16:07 AM.

Kustomisasi halaman web Layanan Federasi Direktori Aktif untuk memandu pengguna mendaftarkan metode verifikasi MFA

Gunakan contoh berikut untuk mengkustomisasi halaman web Layanan Federasi Direktori Aktif Anda untuk pengguna yang belum memeriksa (mengonfigurasi informasi verifikasi MFA).

Menemukan kesalahan

Pertama, ada beberapa pesan kesalahan yang berbeda yang akan ditampilkan AD FS dalam kasus di mana pengguna tidak memiliki informasi verifikasi. Jika Anda menggunakan Azure MFA sebagai autentikasi utama, pengguna yang tidak dibuktikan akan melihat halaman kesalahan Layanan Federasi Direktori Aktif yang berisi pesan berikut:

    <div id="errorArea">
        <div id="openingMessage" class="groupMargin bigText">
            An error occurred
        </div>
        <div id="errorMessage" class="groupMargin">
            Authentication attempt failed. Select a different sign in option or close the web browser and sign in again. Contact your administrator for more information.
        </div>

Saat Azure AD saat autentikasi tambahan sedang dicoba, pengguna yang tidak di-proofing akan melihat halaman kesalahan Layanan Federasi Direktori Aktif yang berisi pesan berikut:

<div id='mfaGreetingDescription' class='groupMargin'>For security reasons, we require additional information to verify your account (mahesh@jenfield.net)</div>
    <div id="errorArea">
        <div id="openingMessage" class="groupMargin bigText">
            An error occurred
        </div>
        <div id="errorMessage" class="groupMargin">
            The selected authentication method is not available for &#39;username@contoso.com&#39;. Choose another authentication method or contact your system administrator for details.
        </div>

Menangkap kesalahan dan memperbarui teks halaman

Untuk menangkap kesalahan dan menunjukkan panduan kustom pengguna cukup tambahkan javascript ke akhir file onload.js yang merupakan bagian dari tema web LAYANAN Federasi Direktori Aktif. Ini memungkinkan Anda untuk melakukan hal berikut:

  • cari string kesalahan identifikasi
  • menyediakan konten web kustom.

Catatan

Untuk panduan secara umum tentang cara mengkustomisasi file onload.js, lihat artikel Kustomisasi Tingkat Lanjut Halaman Masuk Layanan Federasi Direktori Aktif.

Berikut adalah contoh sederhana, Anda mungkin ingin memperpanjang:

  1. Buka Windows PowerShell di server LAYANAN Federasi Direktori Aktif utama Anda dan buat Tema Web Layanan Federasi Direktori Aktif baru dengan menjalankan perintah berikut:

        New-AdfsWebTheme –Name ProofUp –SourceName default

  2. Selanjutnya, buat folder dan ekspor Tema Web AD FS default:

       New-Item -Path 'c:\Theme' -ItemType Directory;Export-AdfsWebTheme –Name default –DirectoryPath c:\Theme

  3. Membuka file C:\Theme\script\onload.js di editor teks

  4. Tambahkan kode berikut ke akhir file onload.js

    //Custom Code
//Customize MFA exception
//Begin

var domain_hint = "<YOUR_DOMAIN_NAME_HERE>";
var mfaSecondFactorErr = "The selected authentication method is not available for";
var mfaProofupMessage = "You will be automatically redirected in 5 seconds to set up your account for additional security verification. Once you have completed the setup, please return to the application you are attempting to access.<br><br>If you are not redirected automatically, please click <a href='{0}'>here</a>."
var authArea = document.getElementById("authArea");
if (authArea) {
    var errorMessage = document.getElementById("errorMessage");
    if (errorMessage) {
        if (errorMessage.innerHTML.indexOf(mfaSecondFactorErr) >= 0) {

            //Hide the error message
            var openingMessage = document.getElementById("openingMessage");
            if (openingMessage) {
                openingMessage.style.display = 'none'
            }
            var errorDetailsLink = document.getElementById("errorDetailsLink");
            if (errorDetailsLink) {
                errorDetailsLink.style.display = 'none'
            }

            //Provide a message and redirect to Azure AD MFA Registration Url
            var mfaRegisterUrl = "https://account.activedirectory.windowsazure.com/proofup.aspx?proofup=1&whr=" + domain_hint;
            errorMessage.innerHTML = "<br>" + mfaProofupMessage.replace("{0}", mfaRegisterUrl);
            window.setTimeout(function () { window.location.href = mfaRegisterUrl; }, 5000);
        }
    }
}

//End Customize MFA Exception
//End Custom Code

    Penting

    Anda perlu mengubah "<YOUR_DOMAIN_NAME_HERE>"; untuk menggunakan nama domain Anda. Misalnya: var domain_hint = "contoso.com";

  5. Simpan file onload.js

  6. Impor file onload.js ke dalam tema kustom Anda dengan mengetik perintah Windows PowerShell berikut:

    Set-AdfsWebTheme -TargetName ProofUp -AdditionalFileResource @{Uri='/adfs/portal/script/onload.js';path="c:\theme\script\onload.js"}

  7. Terakhir, terapkan Tema Web Layanan Federasi Direktori Aktif kustom dengan mengetik perintah Windows PowerShell berikut:

    Set-AdfsWebConfig -ActiveThemeName "ProofUp"

Langkah berikutnya

Mengelola Protokol TLS/SSL dan Cipher Suites yang digunakan oleh Layanan Federasi Direktori Aktif dan Azure MFA