Mengonfigurasi Server Azure Multi-Factor Authentication untuk bekerja dengan AD FS di Windows Server

Jika Anda menggunakan Active Directory Federation Services (AD FS) dan ingin mengamankan sumber daya cloud atau lokal, Anda dapat mengonfigurasi Server Azure Multi-Factor Authentication untuk bekerja dengan AD FS. Konfigurasi ini memicu verifikasi dua langkah untuk titik akhir bernilai tinggi.

Dalam artikel ini, kami membahas cara menggunakan Server Microsoft Azure Multi-Factor Authentication dengan Layanan Federasi Direktori Aktif yang dimulai dengan Windows Server 2016. Untuk informasi selengkapnya, baca tentang cara mengamankan sumber daya cloud dan lokal menggunakan Server Azure Multi-Factor Authentication dengan AD FS 2.0.

Penting

Pada 1 Juli 2019, Microsoft tidak lagi menawarkan MFA Server untuk penyebaran baru. Pelanggan baru yang ingin memakai autentikasi multifaktor (MFA) selama kejadian masuk harus menggunakan Azure AD Multi-Factor Authentication berbasis cloud.

Untuk mulai menggunakan MFA berbasis cloud, lihat Tutorial: Mengamankan kejadian masuk pengguna dengan Azure Multi-Factor Authentication.

Jika Anda menggunakan MFA berbasis cloud, lihat Mengamankan sumber daya cloud dengan Azure AD Multi-Factor Authentication dan AD FS.

Pelanggan yang ada dan telah mengaktifkan MFA Server sebelum 1 Juli 2019 dapat mengunduh versi terbaru, pembaruan yang akan datang, dan menghasilkan kredensial aktivasi seperti biasa.

Mengamankan Windows Server AD FS dengan Server Azure Multi-Factor Authentication

Saat menginstal Server Azure Multi-Factor Authentication, Anda memiliki opsi berikut:

  • Instal Server Azure Multi-Factor Authentication secara lokal pada server yang sama dengan AD FS
  • Instal adaptor Azure Multi-Factor Authentication secara lokal pada server AD FS, lalu instal Server Multi-Factor Authentication di komputer lain

Sebelum memulai, ketahui informasi berikut:

  • Anda tidak perlu menginstal Server Azure Multi-Factor Authentication di server AD FS Anda. Namun, Anda harus menginstal adaptor Multi-Factor Authentication untuk AD FS pada Windows Server 2012 R2 atau Windows Server 2016 yang menjalankan AD FS. Anda dapat menginstal server di komputer lain jika Anda menginstal adaptor AD FS secara terpisah pada server federasi AD FS Anda. Lihat prosedur berikut untuk mempelajari cara menginstal adaptor secara terpisah.
  • Jika organisasi Anda menggunakan pesan teks atau metode verifikasi aplikasi seluler, string yang ditentukan dalam Pengaturan Perusahaan berisi placeholder, <$application_name$>. Di MFA Server v7.1, Anda dapat memberikan nama aplikasi yang menggantikan placeholder ini. Pada v7.0 atau yang lebih lama, placeholder ini tidak diganti secara otomatis saat Anda menggunakan adaptor AD FS. Untuk versi lebih lama tersebut, hapus placeholder dari string yang sesuai saat Anda mengamankan AD FS.
  • Akun yang Anda gunakan untuk masuk harus memiliki hak pengguna untuk membuat grup keamanan di layanan Active Directory Anda.
  • Wizard penginstalan adaptor Multi-Factor Authentication membuat grup keamanan yang disebut PhoneFactor Admins dalam instans Active Directory Anda. Hal tersebut kemudian menambahkan akun layanan AD FS dari layanan federasi Anda ke grup ini. Verifikasi bahwa grup PhoneFactor Admins dibuat pada pengendali domain Anda, dan bahwa akun layanan AD FS merupakan anggota grup ini. Jika perlu, tambahkan akun layanan AD FS secara manual ke grup PhoneFactor Admins pada pengendali domain Anda.
  • Untuk informasi tentang menginstal SDK Layanan Web dengan portal pengguna, lihat menyebarkan portal pengguna untuk Server Azure Multi-Factor Authentication.

Menginstal Server Azure Multi-Factor Authentication secara lokal pada server AD FS

  1. Unduh dan instal Server Azure Multi-Factor Authentication pada server AD FS Anda. Untuk mendapatkan informasi penginstalan, baca tentang mulai menggunakan Server Azure Multi-Factor Authentication.

  2. Di konsol manajemen Server Multi-Factor Authentication, klik ikon AD FS. Pilih opsi Izinkan pendaftaran pengguna dan Izinkan pengguna memilih metode.

  3. Pilih opsi tambahan yang ingin Anda tentukan untuk organisasi Anda.

  4. Klik Instal Adaptor AD FS.

    Instal Adaptor ADFS dari konsol MFA Server

  5. Jika jendela Active Directory ditampilkan, itu berarti dua hal. Komputer Anda bergabung ke domain, dan konfigurasi Active Directory untuk mengamankan komunikasi antara adaptor AD FS dan layanan Multi-Factor Authentication tidak lengkap. Klik Berikutnya untuk menyelesaikan konfigurasi ini secara otomatis, atau pilih kotak centang Lewati konfigurasi Active Directory otomatis dan konfigurasi pengaturan secara manual. Klik Selanjutnya.

  6. Jika jendela Grup Lokal ditampilkan, hal ini berarti dua hal. Komputer Anda tidak bergabung ke domain, dan konfigurasi grup lokal untuk mengamankan komunikasi antara adaptor AD FS dan layanan Multi-Factor Authentication tidak lengkap. Klik Berikutnya untuk menyelesaikan konfigurasi ini secara otomatis, atau pilih kotak centang Lewati konfigurasi Grup Lokal otomatis dan konfigurasi pengaturan secara manual. Klik Selanjutnya.

  7. Di wizard penginstalan, klik Berikutnya. Server Azure Multi-Factor Authentication membuat grup PhoneFactor Admins dan menambahkan akun layanan AD FS ke grup PhoneFactor Admins.

  8. Pada halaman Luncurkan Alat Penginstal, klik Berikutnya.

  9. Di alat penginstal adaptor Multi-Factor Authentication AD FS, klik Berikutnya.

  10. Klik Tutup saat penginstalan selesai.

  11. Ketika adaptor telah diinstal, Anda harus mendaftarkannya dengan AD FS. Buka Windows PowerShell dan jalankan perintah berikut:

    C:\Program Files\Multi-Factor Authentication Server\Register-MultiFactorAuthenticationAdfsAdapter.ps1

  12. Untuk menggunakan adaptor yang baru terdaftar, edit kebijakan autentikasi global di AD FS. Di konsol manajemen AD FS, buka node Kebijakan Autentikasi. Di bagian Autentikasi Multifaktor, klik tautan Edit di samping bagian Pengaturan Global. Di jendela Edit Kebijakan Autentikasi Global, pilih Autentikasi Multifaktor sebagai metode autentikasi tambahan, lalu klik OK. Adaptor terdaftar sebagai WindowsAzureMultiFactorAuthentication. Mulai ulang layanan AD FS agar pendaftaran bisa berlaku.

Edit kebijakan autentikasi global

Pada titik ini, Server Multi-Factor Authentication disiapkan menjadi penyedia autentikasi tambahan untuk digunakan dengan AD FS.

Menginstal instans mandiri adaptor AD FS dengan menggunakan SDK Layanan Web

  1. Instal SDK Layanan Web pada server yang menjalankan Server Multi-Factor Authentication.
  2. Salin file berikut dari direktori \Program Files\Multi-Factor Authentication Server ke server tempat Anda berencana menginstal adaptor AD FS:
    • MultiFactorAuthenticationAdfsAdapterSetup64.msi
    • Register-MultiFactorAuthenticationAdfsAdapter.ps1
    • Unregister-MultiFactorAuthenticationAdfsAdapter.ps1
    • MultiFactorAuthenticationAdfsAdapter.config
  3. Jalankan file penginstalan MultiFactorAuthenticationAdfsAdapterSetup64.msi.
  4. Di alat penginstal adaptor Multi-Factor Authentication AD FS, klik Berikutnya untuk memulai penginstalan.
  5. Klik Tutup saat penginstalan selesai.

Mengedit file MultiFactorAuthenticationAdfsAdapter.config

Ikuti langkah-langkah berikut untuk mengedit file MultiFactorAuthenticationAdfsAdapter.config:

  1. Tetapkan node UseWebServiceSdk ke true.
  2. Tetapkan nilai untuk WebServiceSdkUrl ke URL SDK Layanan Web Multi-Factor Authentication. Misalnya: https:// contoso.com/<certificatename>/MultiFactorAuthWebServiceSdk/PfWsSdk.asmx, Di mana <certificatename> adalah nama sertifikat Anda.
  3. Edit skrip Register-MultiFactorAuthenticationAdfsAdapter.ps1 dengan menambahkan -ConfigurationFilePath &lt;path&gt; ke akhir perintah Register-AdfsAuthenticationProvider, di mana <jalur> adalah jalur lengkap ke file MultiFactorAuthenticationAdfsAdapter.config.

Mengonfigurasi SDK Layanan Web dengan nama pengguna dan kata sandi

Ada dua opsi untuk mengonfigurasi SDK Layanan Web. Pertama adalah dengan nama pengguna dan kata sandi, yang kedua adalah dengan sertifikat klien. Ikuti langkah-langkah ini untuk opsi pertama, atau lewati opsi kedua.

  1. Tetapkan nilai untuk WebServiceSdkUsername ke akun yang merupakan anggota grup keamanan PhoneFactor Admins. Gunakan format <domain>\<nama pengguna>.
  2. Tetapkan nilai untuk WebServiceSdkPassword ke kata sandi akun yang sesuai. Karakter khusus "&" tidak dapat digunakan dalam WebServiceSdkPassword.

Mengonfigurasi SDK Layanan Web dengan sertifikat klien

Jika Anda tidak ingin menggunakan nama pengguna dan kata sandi, ikuti langkah-langkah berikut untuk mengonfigurasi SDK Layanan Web dengan sertifikat klien.

  1. Dapatkan sertifikat klien dari otoritas sertifikat untuk server yang menjalankan SDK Layanan Web. Pelajari cara mendapatkan sertifikat klien.
  2. Impor sertifikat klien ke penyimpanan sertifikat pribadi komputer lokal pada server yang menjalankan SDK Layanan Web. Pastikan sertifikat publik dari otoritas sertifikat berada di penyimpanan Sertifikat Akar Tepercaya.
  3. Ekspor kunci publik dan privat sertifikat klien menjadi file .pfx.
  4. Ekspor kunci publik dalam format Base64 menjadi file .cer.
  5. Di Manajer Server, verifikasi bahwa fitur Autentikasi Pemetaan Sertifikat Klien Web Server (IIS)\Web Server\Security\IIS diinstal. Jika tidak diinstal, pilih Tambahkan Peran dan Fitur untuk menambahkan fitur ini.
  6. Di Manajer IIS, klik dua kali Editor Konfigurasi di situs web yang berisi direktori virtual SDK Layanan Web. Sangat penting bagi Anda untuk memilih situs web, bukan direktori virtual.
  7. Buka bagian system.webServer/security/authentication/iisClientCertificateMappingAuthentication.
  8. Atur diaktifkan ke true.
  9. Atur oneToOneCertificateMappingsEnabled ke true.
  10. Klik tombol ... di samping oneToOneMappings, lalu klik tautan Tambahkan.
  11. Buka file Base64 .cer yang Anda ekspor sebelumnya. Hapus -----BEGIN CERTIFICATE----- , -----END CERTIFICATE----- , dan hentian baris apa pun. Salin string yang dihasilkan.
  12. Atur sertifikat ke string yang disalin dalam langkah sebelumnya.
  13. Atur diaktifkan ke true.
  14. Atur userName ke akun yang merupakan anggota grup keamanan PhoneFactor Admins. Gunakan format <domain>\<nama pengguna>.
  15. Atur kata sandi ke kata sandi akun yang sesuai, lalu tutup Editor Konfigurasi.
  16. Klik tautan Terapkan.
  17. Di direktori virtual SDK Layanan Web, klik dua kali Autentikasi.
  18. Verifikasi bahwa Autentikasi Dasar dan Peniruan Identitas ASP.NET diatur ke Diaktifkan, dan semua item lainnya diatur ke Dinonaktifkan.
  19. Di direktori virtual SDK Layanan Web, klik dua kali Pengaturan SSL.
  20. Atur Sertifikat Klien ke Terima, lalu klik Terapkan.
  21. Salin file .pfx yang Anda ekspor sebelumnya ke server yang menjalankan adaptor AD FS.
  22. Impor file .pfx ke penyimpanan sertifikat pribadi komputer lokal.
  23. Klik kanan dan pilih Kelola Kunci Pribadi, lalu beri akses baca ke akun yang Anda gunakan untuk masuk ke layanan AD FS.
  24. Buka sertifikat klien dan salin thumbprint dari tab Detail.
  25. Dalam file MultiFactorAuthenticationAdfsAdapter.config, atur WebServiceSdkCertificateThumbprint ke string yang disalin pada langkah sebelumnya.

Terakhir, untuk mendaftarkan adaptor, jalankan skrip \Program Files\Multi-Factor Authentication Server\Register-MultiFactorAuthenticationAdfsAdapter.ps1 di PowerShell. Adaptor terdaftar sebagai WindowsAzureMultiFactorAuthentication. Mulai ulang layanan AD FS agar pendaftaran bisa berlaku.

Mengamankan sumber daya Azure AD menggunakan AD FS

Untuk mengamankan sumber daya cloud Anda, siapkan aturan klaim sehingga Layanan Federasi Direktori Aktif mengeluarkan klaim multipleauthn ketika pengguna berhasil melakukan verifikasi dua langkah. Klaim ini diteruskan ke Microsoft Azure AD. Ikuti prosedur ini untuk menelusuri langkah-langkahnya:

  1. Buka Manajemen Layanan Federasi Direktori Aktif.

  2. Di sebelah kiri, pilih Mengandalkan Kepercayaan Pihak.

  3. Klik kanan pada Platform Identitas Microsoft Office 365 dan pilih Edit Aturan Klaim…

    Mengedit aturan klaim di konsol ADFS

  4. Pada Aturan Transformasi Penerbitan, klik Tambahkan Aturan.

    Mengedit aturan transformasi di konsol ADFS

  5. Pada Wizard Tambahkan Aturan Klaim Transformasi, pilih Lewati atau Filter Klaim Masuk dari daftar drop-down dan klik Berikutnya.

    Menambahkan wizard aturan klaim transformasi

  6. Beri nama aturan Anda.

  7. Pilih Referensi Metode Autentikasi sebagai jenis klaim Masuk.

  8. Pilih Lewati semua nilai klaim.

    Menambahkan wizard Aturan Klaim Transformasi

  9. Klik Selesai. Tutup konsol Manajemen AD FS.

Log pemecahan masalah

Untuk membantu memecahkan masalah dengan Adaptor AD FS MFA Server, gunakan langkah-langkah berikut untuk mengaktifkan pembuatan logging tambahan.

  1. Di antarmuka MFA Server, buka bagian AD FS, dan centang kotak Aktifkan logging.
  2. Di setiap server AD FS, gunakan regedit.exe untuk membuat kunci registri nilai string Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Positive Networks\PhoneFactor\InstallPath dengan nilai C:\Program Files\Multi-Factor Authentication Server\ (atau direktori pilihan Anda lainnya). Harap diingat bahwa backslash trailing adalah hal yang penting.
  3. Buat direktori C:\Program Files\Multi-Factor Authentication Server\Logs (atau direktori lain seperti yang direferensikan dalam Langkah 2).
  4. Berikan Akses modifikasi pada direktori Log ke akun layanan AD FS.
  5. Mulai ulang layanan AD FS.
  6. Pastikan file MultiFactorAuthAdfsAdapter.log berkas dibuat di dalam direktori Log.

Untuk bantuan pemecahan masalah, lihat Tanya Jawab Umum Azure Multi-Factor Authentication