Mengonfigurasi Azure Multi-Factor Authentication Server untuk bekerja dengan AD FS 2.0

Artikel ini ditujukan untuk organisasi yang digabungkan dengan Azure Active Directory, dan ingin mengamankan sumber daya yang ada di tempat atau di cloud. Lindungi sumber daya dengan menggunakan Azure MFA Server dan mengonfigurasikannya untuk berfungsi dengan AD FS sehingga verifikasi dua langkah dipicu untuk titik akhir bernilai tinggi.

Dokumentasi ini mencakup penggunaan Azure MFA Server dengan AD FS 2.0. Untuk informasi tentang Layanan Federasi Direktori Aktif, lihat Mengamankan cloud dan sumber daya lokal menggunakan Server Multi-Factor Authentication Azure dengan Windows Server.

Penting

Pada 1 Juli 2019, Microsoft tidak lagi menawarkan Server MFA untuk penyebaran baru. Pelanggan baru yang ingin memakai autentikasi multifaktor (MFA) selama peristiwa masuk harus menggunakan Azure AD Multi-Factor Authentication berbasis cloud.

Untuk mulai menggunakan MFA berbasis cloud, lihat Tutorial: Mengamankan peristiwa masuk pengguna dengan Azure Active Directory MFA.

Jika Anda menggunakan MFA berbasis cloud, lihat Mengamankan sumber daya cloud dengan Azure Active Directory Multi-Factor Authentication dan Layanan Federasi Direktori Aktif.

Pelanggan lama yang telah mengaktifkan MFA Server sebelum 1 Juli 2019 dapat mengunduh versi terbaru dan pembaruan mendatang, serta membuat info masuk aktivasi seperti biasa.

Mengamankan Layanan Federasi Direktori Aktif 2.0 dengan proksi

Untuk mengamankan AD FS 2.0 dengan proksi, instal Azure MFA Server di server proksi AD FS.

Mengonfigurasi autentikasi IIS

  1. Di Azure MFA Server, klik ikon Autentikasi IIS di menu sebelah kiri.

  2. Klik tab Berbasis Formulir.

  3. Klik Tambahkan.

    Jendela Autentikasis IIS MFA Server

  4. Untuk mendeteksi nama pengguna, kata sandi, dan variabel domain secara otomatis, masukkan URL login (seperti https://sso.contoso.com/adfs/ls) dalam kotak dialog Konfigurasikan Otomatis Situs Web Berbasis Formulir dan klik OK.

  5. Centang kotak Wajibkan pencocokan pengguna Autentikasi Multifaktor Azure jika semua pengguna telah atau akan diimpor ke dalam Server dan tunduk pada verifikasi dua langkah. Jika sejumlah besar pengguna belum diimpor ke Server dan/atau akan dikecualikan dari verifikasi dua langkah, biarkan kotak tidak dicentang.

  6. Jika variabel halaman tidak dapat dideteksi secara otomatis, klik kotak Tentukan Secara Manual... di kotak dialog Konfigurasikan Otomatis Situs Web Berbasis Formulir.

  7. Dalam kotak dialog Tambahkan Situs Web Berbasis Formulir, masukkan URL ke halaman masuk Layanan Federasi Direktori Aktif di bidang Kirim URL (seperti https://sso.contoso.com/adfs/ls) dan masukkan Nama aplikasi (opsional). Nama aplikasi muncul di laporan Azure MFA dan dapat ditampilkan dalam pesan autentikasi Aplikasi Ponsel atau SMS.

  8. Atur format Permintaan ke POST atau GET.

  9. Masukkan variabel Nama pengguna (ctl00$ContentPlaceHolder1$UsernameTextBox) dan variabel Kata sandi (ctl00$ContentPlaceHolder1$PasswordTextBox). Jika halaman masuk berbasis formulir menampilkan kotak teks domain, masukkan variabel Domain juga. Untuk menemukan nama kotak input di halaman masuk, buka halaman masuk di browser web, klik kanan pada halaman dan pilih Tampilkan Sumber.

  10. Centang kotak Wajibkan pencocokan pengguna Autentikasi Multifaktor Azure jika semua pengguna telah atau akan diimpor ke dalam Server dan tunduk pada verifikasi dua langkah. Jika sejumlah besar pengguna belum diimpor ke Server dan/atau akan dikecualikan dari verifikasi dua langkah, biarkan kotak tidak dicentang.

    Menambahkan situs web berbasis formulir ke MFA Server

  11. Klik Lanjutan... untuk meninjau pengaturan lanjutan. Pengaturan yang dapat Anda konfigurasi meliputi:

    • Pilih file halaman penolakan kustom
    • Simpan cache autentikasi yang berhasil ke situs web menggunakan cookie
    • Pilih cara untuk mengautentikasi kredensial utama
  12. Karena server proksi Layanan Federasi Direktori Aktif tidak mungkin digabungkan dengan domain, Anda dapat menggunakan LDAP untuk terhubung ke pengontrol domain Anda untuk impor dan pra-autentikasi pengguna. Dalam kotak dialog Situs Web Berbasis Formulir Lanjutan, klik tab Autentikasi Utama dan pilih Ikatan LDAP untuk jenis Autentikasi Pra-autentikasi.

  13. Setelah selesai, klik OK untuk kembali ke kotak dialog Tambahkan Situs Web Berbasis Formulir Anda.

  14. Klik OK untuk menutup kotak dialog.

  15. Setelah URL dan variabel halaman terdeteksi atau dimasukkan, data situs web menampilkan panel Berbasis Volume.

  16. Klik tab Modul Native dan pilih server, situs web tempat proksi web dijalankan (seperti "Situs Web Default"), atau aplikasi proksi Layanan Federasi Direktori Aktif (seperti "Is" di bagian "adfs") untuk mengaktifkan plug-in IIS pada tingkat yang dikehendaki.

  17. Klik kotak Aktifkan autentikasi IIS di bagian atas layar.

Autentikasi IIS kini diaktifkan.

Mengonfigurasi integrasi direktori

Anda telah mengaktifkan autentikasi IIS, tetapi untuk melakukan pra-autentikasi ke Direktori Aktif (AD) Anda melalui LDAP, Anda harus mengonfigurasi koneksi LDAP ke pengontrol domain.

  1. Klik ikon Integrasi Direktori.

  2. Pada tab Pengaturan, pilih tombol radio Gunakan konfigurasi LDAP.

    Mengonfigurasi pengaturan LDAP untuk pengaturan LDAP tertentu

  3. Klik Edit.

  4. Dalam kotak dialog Edit Konfigurasi LDAP, isi bidang dengan informasi yang diperlukan untuk terhubung ke pengendali domain AD. Deskripsi bidang disertakan dalam file bantuan Azure MFA Azure Multi-Factor Authentication Server.

  5. Uji koneksi LDAP dengan mengklik tombol Uji.

    Menguji Konfigurasi LDAP di MFA Server

  6. Jika pengujian koneksi LDAP berhasil, klik OK.

Mengonfigurasi pengaturan perusahaan

  1. Selanjutnya, klik ikon Pengaturan Perusahaan dan pilih tab Resolusi Nama Pengguna.
  2. Pilih tombol radio Gunakan atribut pengidentifikasi unik untuk nama pengguna yang cocok.
  3. Jika pengguna memasukkan nama pengguna mereka dalam format "domain\username", Server harus dapat menghapus domain nama pengguna saat membuat kueri LDAP. Hal ini dapat dilakukan melalui pengaturan registri.
  4. Buka editor registri dan buka HKEY_LOCAL_MACHINE/SOFTWARE/Wow6432Node/Positive Networks/PhoneFactor di server 64-bit. Jika di server 32-bit, keluarkan "Wow6432Node" dari jalur tersebut. Buat kunci registri DWORD bernama "UsernameCxz_stripPrefixDomain" dan atur nilainya ke 1. Azure Multi-Factor Authentication kini mengamankan proksi Layanan Federasi Direktori Aktif.

Pastikan pengguna telah diimpor dari Direktori Aktif ke dalam Server. Lihat bagian IP Tepercaya jika Anda ingin mengizinkan alamat IP internal sehingga verifikasi dua langkah tidak diperlukan saat masuk ke situs web dari lokasi tersebut.

Editor registri untuk mengonfigurasi pengaturan perusahaan

Layanan Federasi Direktori Aktif 2.0 Direct tanpa proksi

Anda dapat mengamankan Layanan Federasi Direktori Aktif jika proksi Layanan Federasi Direktori Aktif tidak digunakan. Instal Azure MFA Server di server Layanan Federasi Direktori Aktif dan konfigurasikan Server sesuai langkah-langkah berikut:

  1. Di dalam Azure MFA Server, klik ikon Autentikasi IIS di menu kiri.

  2. Klik tab HTTP.

  3. Klik Tambahkan.

  4. Dalam kotak dialog Tambahkan URL Dasar, masukkan URL untuk situs web Layanan Federasi Direktori Aktif tempat autentikasi HTTP dilakukan (seperti https://sso.domain.com/adfs/ls/auth/integrated) ke dalam bidang URL Dasar. Kemudian, masukkan nama Aplikasi (opsional). Nama aplikasi muncul di laporan Azure MFA dan dapat ditampilkan dalam pesan autentikasi Aplikasi Ponsel atau SMS.

  5. Jika diinginkan, sesuaikan batas waktu menganggur dan Waktu sesi maksimum.

  6. Centang kotak Wajibkan pencocokan pengguna Autentikasi Multifaktor Azure jika semua pengguna telah atau akan diimpor ke dalam Server dan tunduk pada verifikasi dua langkah. Jika sejumlah besar pengguna belum diimpor ke Server dan/atau akan dikecualikan dari verifikasi dua langkah, biarkan kotak tidak dicentang.

  7. Centang cache cookie jika diinginkan.

    Layanan Federasi Direktori Aktif 2.0 Direct tanpa proksi

  8. Klik OK.

  9. Klik tab Modul Native dan pilih server, situs web (seperti "Situs Web Default"), atau aplikasi Layanan Federasi Direktori Aktif (seperti "ls" di bagian "adfs") untuk mengaktifkan plug-in IIS pada tingkat yang diinginkan.

  10. Klik kotak Aktifkan autentikasi IIS di bagian atas layar.

Azure MFA kini mengamankan Layanan Federasi Direktori Aktif.

Pastikan pengguna telah diimpor dari Direktori Aktif ke dalam Server. Lihat bagian IP Tepercaya jika Anda ingin mengizinkan alamat IP internal sehingga verifikasi dua langkah tidak diperlukan saat masuk ke situs web dari lokasi tersebut.

IP tepercaya

IP Tepercaya memungkinkan pengguna untuk melewati Azure Multi-Factor Authentication untuk permintaan situs web yang berasal dari alamat IP atau subnet tertentu. Misalnya, sebaiknya Anda mengecualikan pengguna dari verifikasi dua langkah saat mereka masuk dari kantor. Untuk ini, Anda akan menentukan subnet kantor sebagai entri IP Tepercaya.

Untuk mengonfigurasi IP tepercaya

  1. Di bagian Autentikasi IIS, klik tab IP Tepercaya.
  2. Klik tombol Tambahkan... .
  3. Saat kotak dialog Tambahkan IP Tepercaya muncul, pilih salah satu tombol radio IP Tunggal, Rentang IP, atau Subnet.
  4. Masukkan alamat IP, rentang alamat IP, atau subnet yang akan diizinkan. Jika memasukkan subnet, pilih Netmask yang sesuai dan klik tombol OK.

Mengonfigurasi IP tepercaya ke MFA Server