Menggunakan Azure MFA Server untuk mengaktifkan PAM atau SSPR

  • Artikel
  • 2 menit untuk membaca

Dokumen berikut menjelaskan cara menyiapkan Azure MFA Server sebagai lapisan keamanan kedua saat pengguna Anda mengaktifkan peran dalam Privileged Access Management atau Self-Service Password Reset.

Artikel di bawah ini menguraikan pembaruan konfigurasi dan langkah-langkah untuk mengaktifkan penyebaran MIM yang ada yang berpindah dari MIM menggunakan Azure MFA SDK ke MIM menggunakan Azure MFA Server.

Catatan

Microsoft tidak lagi menawarkan Azure MFA Server untuk penyebaran baru. Untuk menggunakan penyedia MFA yang berbeda, lihat artikel tentang cara menggunakan API Autentikasi Multifaktor Kustom.

Prasyarat

Untuk bermigrasi menggunakan Azure MFA Server dengan MIM, Anda memerlukan:

  • Akses internet dari setiap Layanan MIM atau MFA Server yang menyediakan PAM dan SSPR, untuk menghubungi layanan Azure MFA
  • Langganan Azure
  • Penginstalan sudah menggunakan Azure MFA SDK mulai Juli 2019 atau yang lebih lama
  • Azure Active Directory Premium lisensi untuk pengguna kandidat
  • Telepon nomor untuk semua pengguna kandidat
  • Perbaikan MIM 4.5. atau lebih besar lihat riwayat versi untuk pengumuman

Konfigurasi Azure MFA Server

Catatan

Dalam konfigurasi, Anda akan memerlukan sertifikat SSL yang valid yang diinstal untuk SDK.

Langkah 1: Unduh Azure MFA Server dari portal Azure

Penting

Pada 1 Juli 2019, Microsoft tidak lagi menawarkan MFA Server untuk penyebaran baru.

Masuk ke portal Azure dan ikuti instruksi dalam Memulai MFA Server untuk mengunduh server Azure MFA. Azure portal Server settings

Langkah 2: Hasilkan kredensial aktivasi

Gunakan tautan Hasilkan kredensial aktivasi untuk memulai penggunaan untuk menghasilkan kredensial aktivasi. Setelah dibuat, simpan untuk digunakan nanti.

Langkah 3: Instal Azure MFA Server

Setelah Anda mengunduh server, instal . Kredensial aktivasi Anda akan diperlukan.

Langkah 4: Buat Aplikasi Web IIS Anda yang akan menghosting SDK

  1. Buka Manajer IIS IIS Manager
  2. Buat Situs Web baru yang disebut "MIM MFASDK", dan tautkan ke direktori kosong. Adding a website in IIS Manager
  3. Buka Konsol Autentikasi Multifaktor dan klik SDK Layanan Web. MFA Server application, button to install Web Service SDK
  4. Setelah wizard terbuka, klik konfigurasi, dan pilih "MIM MFASDK" dan kumpulan aplikasi.

Catatan

Wizard akan mengharuskan grup admin dibuat. Informasi selengkapnya dapat ditemukan di dokumentasi Azure MFA Server.

  1. Selanjutnya, impor akun Layanan MIM. Di konsol, pilih "Pengguna".

    a. Klik "Impor dari Direktori Aktif". b. Navigasi ke akun layanan, seperti "contoso\mimservice". c. Klik "Impor" dan "Tutup".

    importing users from Azure AD in the MFA console

  2. Edit akun Layanan MIM untuk mengaktifkannya. Editing a user in the MFA console

  3. Perbarui autentikasi IIS di situs web "MIM MFASDK". Pertama, kita akan menonaktifkan "Autentikasi Anonim", lalu mengaktifkan Autentikasi Windows". Changing authentication in IIS Manager

  4. Langkah Terakhir: Tambahkan akun layanan MIM ke "Admin PhoneFactor" Add a user to an AD group

Mengonfigurasi Layanan MIM untuk Azure MFA Server

Langkah 1: Patch Server ke 4.5.202.0

Langkah 2: Cadangkan dan Buka MfaSettings.xml yang terletak di "C:\Program Files\Microsoft Forefront Identity Manager\2010\Service"

Langkah 3: Perbarui baris berikut

  1. Hapus/Hapus baris entri konfigurasi berikut
    <><LICENSE_KEY/LICENSE_KEY>
    <><GROUP_KEY/GROUP_KEY>
    <><CERT_PASSWORD/CERT_PASSWORD>
    <CertFilePath></CertFilePath>

  2. Perbarui atau tambahkan baris berikut ke baris berikut ini ke MfaSettings.xml
    <Username>mimservice@contoso.com</Username>
    <LOCMFA>true</LOCMFA>
    <LOCMFASRV>https://CORPSERVICE.contoso.com:9999/MultiFactorAuthWebServiceSdk/PfWsSdk.asmx</LOCMFASRV>

  3. Mulai ulang Layanan MIM dan uji Fungsionalitas dengan Azure MFA Server.

Catatan

Untuk mengembalikan pengaturan ganti MfaSettings.xml dengan file cadangan Anda di langkah 2

Lihat juga