Mengintegrasikan autentikasi RADIUS dengan Azure Multi-Factor Authentication Server

  • Artikel

RADIUS adalah protokol standar untuk menerima permintaan autentikasi dan memproses permintaan tersebut. Azure MFA Server dapat bertindak sebagai server RADIUS. Sisipkan di antara klien RADIUS (peralatan VPN) dan target autentikasi untuk menambahkan verifikasi dua langkah. Target otentikasi Anda bisa berupa Active Directory, direktori LDAP, atau server RADIUS lainnya. Agar autentikasi multifaktor Azure berfungsi, Anda harus mengonfigurasi Azure MFA Server sehingga dapat berkomunikasi dengan server klien dan target autentikasi. Azure MFA Server menerima permintaan dari klien RADIUS, memvalidasi kredensial terhadap target autentikasi, menambahkan autentikasi multifaktor Azure, dan mengirim respons kembali ke klien RADIUS. Permintaan autentikasi hanya berhasil jika autentikasi utama dan autentikasi multifaktor Azure berhasil.

Penting

Pada bulan September 2022, Microsoft mengumumkan penghentian Azure Multi-Factor Authentication Server. Mulai 30 September 2024, penyebaran Azure Multi-Factor Authentication Server tidak akan lagi melayani permintaan autentikasi multifaktor, yang dapat menyebabkan autentikasi gagal untuk organisasi Anda. Untuk memastikan layanan autentikasi yang tidak terganggu dan tetap dalam status yang didukung, organisasi harus memigrasikan data autentikasi pengguna mereka ke layanan Azure MFA berbasis cloud dengan menggunakan Utilitas Migrasi terbaru yang disertakan dalam pembaruan Azure MFA Server terbaru. Untuk informasi selengkapnya, lihat Migrasi Server Azure MFA.

Untuk mulai menggunakan MFA berbasis cloud, lihat Tutorial: Mengamankan peristiwa masuk pengguna dengan autentikasi multifaktor Microsoft Entra.

Jika Anda menggunakan MFA berbasis cloud, lihat Mengintegrasikan infrastruktur NPS yang ada dengan autentikasi multifaktor Azure.

Catatan

MFA Server hanya mendukung protokol RADIUS MSCHAPv2 (Protokol Autentikasi Verifikasi Masuk Jabat Tangan Microsoft) dan PAP (protokol autentikasi kata sandi) saat berfungsi sebagai server RADIUS. Protokol lain, seperti EAP (extensible authentication protocol), dapat digunakan ketika server MFA bertindak sebagai proxy RADIUS ke server RADIUS lain yang mendukung protokol tersebut.

Dalam konfigurasi ini, token OATH dan SMS satu arah tidak berfungsi karena MFA Server tidak dapat memulai respons Verifikasi Masuk RADIUS yang sukses menggunakan protokol alternatif.

Radius Authentication in MFA Server

Menambahkan klien RADIUS

Untuk mengonfigurasi autentikasi RADIUS, instal Azure MFA Server di server Windows. Jika Anda memiliki lingkungan Active Directory, server harus bergabung ke domain di dalam jaringan. Gunakan prosedur berikut ini untuk mengonfigurasi Azure MFA Server:

  1. Di Azure MFA Server, klik ikon Autentikasi RADIUS di menu kiri.

  2. Centang kotak Aktifkan autentikasi RADIUS.

  3. Pada tab Klien, ubah port Autentikasi dan Akun jika layanan RADIUS Azure MFA perlu mendengarkan permintaan RADIUS di port non-standar.

  4. Klik Tambahkan.

  5. Masukkan alamat IP appliance/server yang akan diautentikasi ke Azure MFA Server, nama aplikasi (opsional), dan rahasia bersama.

    Nama aplikasi muncul dalam laporan dan dapat ditampilkan dalam pesan autentikasi SMS atau aplikasi ponsel.

    Rahasia bersama harus sama di Azure MFA Server dan appliance/server.

  6. Centang kotak Perlu kecocokan pengguna autentikasi multifaktor jika semua pengguna telah diimpor ke Server dan tunduk pada autentikasi multifaktor. Jika sejumlah besar pengguna belum diimpor ke Server atau dikecualikan dari verifikasi dua langkah, biarkan kotak tidak dicentang.

  7. Centang kotak Aktifkan token fallback OATH jika Anda ingin menggunakan kode akses OATH dari aplikasi verifikasi seluler sebagai metode pencadangan.

  8. Klik OK.

Ulangi langkah 4 hingga 8 untuk menambahkan klien RADIUS tambahan sebanyak yang Anda butuhkan.

Mengonfigurasi klien RADIUS

  1. Klik tab Target.

    • Jika Azure MFA Server diinstal pada server yang bergabung dengan domain di lingkungan Active Directory, pilih domain Windows.
    • Jika pengguna harus diautentikasi terhadap direktori LDAP, pilih Pengikatan LDAP. Pilih ikon Integrasi Direktori dan edit konfigurasi LDAP pada tab Pengaturan sehingga Server dapat dikaitkan ke direktori Anda. Petunjuk untuk mengonfigurasi LDAP dapat ditemukan dalam panduan konfigurasi Proksi LDAP.
    • Jika pengguna harus diautentikasi terhadap server RADIUS lain,pilih server RADIUS.

  2. Klik Tambahkan untuk mengonfigurasi server tempat tujuan Azure MFA Server akan memproksi permintaan RADIUS.

  3. Dalam kotak dialog Tambahkan Server RADIUS, masukkan alamat IP server RADIUS dan rahasia bersama.

    Rahasia bersama harus sama di Azure MFA Server Azure dan server RADIUS. Ubah port otentikasi dan port Akun jika port yang berbeda digunakan oleh server RADIUS.

  4. Klik OK.

  5. Tambahkan Azure MFA Server sebagai klien RADIUS di server RADIUS lainnya sehingga dapat memproses permintaan akses yang dikirim ke server RADIUS dari Azure MFA Server. Gunakan rahasia bersama yang sama yang dikonfigurasi di Azure MFA Server.

Ulangi langkah-langkah ini untuk menambahkan server RADIUS lainnya. Konfigurasikan urutan di mana Azure MFA Server harus memanggilnya dengan tombol Pindah ke Atas dan Pindah ke Bawah.

Anda berhasil mengonfigurasi Azure MFA Server. Server sekarang mendengarkan port yang dikonfigurasi untuk permintaan akses RADIUS dari klien yang dikonfigurasi.

Konfigurasi Klien RADIUS

Untuk mengonfigurasi klien RADIUS, gunakan panduan:

  • Konfigurasikan appliancer/server untuk diautentikasi melalui RADIUS ke alamat IP Azure MFA Server, yang bertindak sebagai server RADIUS.
  • Gunakan rahasia bersama yang sama yang dikonfigurasi sebelumnya.
  • Konfigurasikan batas waktu RADIUS hingga 60 detik sehingga ada waktu untuk memvalidasi mandat pengguna, melakukan verifikasi dua langkah, menerima respons, lalu merespons permintaan akses RADIUS.

Langkah berikutnya

Pelajari cara berintegrasi dengan autentikasi RADIUS jika Anda memiliki autentikasi multifaktor Microsoft Entra di cloud.