Configurare il server Azure Multi-Factor Authentication per lavorare con AD FS 2.0Configure Azure Multi-Factor Authentication Server to work with AD FS 2.0

Questo articolo è rivolto alle organizzazioni che vengono federate con Azure Active Directory e intendono proteggere le risorse che risiedono in locale o nel cloud.This article is for organizations that are federated with Azure Active Directory, and want to secure resources that are on-premises or in the cloud. È possibile proteggere le risorse usando il server Azure Multi-Factor Authentication e configurandolo per il funzionamento con AD FS in modo da attivare la verifica in due passaggi per gli endpoint di alto valore.Protect your resources by using the Azure Multi-Factor Authentication Server and configuring it to work with AD FS so that two-step verification is triggered for high-value end points.

In questa documentazione viene illustrato l'utilizzo di Server Azure multi-Factor Authentication con ADFS 2.0.This documentation covers using the Azure Multi-Factor Authentication Server with AD FS 2.0. Per altre informazioni su AD FS, vedere Protezione delle risorse cloud e locali tramite il server Azure Multi-Factor Authentication con Windows Server 2012 R2 AD FS.For information about AD FS, see Securing cloud and on-premises resources using Azure Multi-Factor Authentication Server with Windows Server 2012 R2 AD FS.

Proteggere ADFS 2.0 con un proxySecure AD FS 2.0 with a proxy

Per proteggere AD FS 2.0 con un proxy, installare il server Azure Multi-Factor Authentication nel server proxy di AD FS.To secure AD FS 2.0 with a proxy, install the Azure Multi-Factor Authentication Server on the AD FS proxy server.

Configurare l'autenticazione IISConfigure IIS authentication

  1. Nel server Azure Multi-Factor Authentication fare clic sull'icona Autenticazione IIS nel menu a sinistra.In the Azure Multi-Factor Authentication Server, click the IIS Authentication icon in the left menu.
  2. Fare clic sulla scheda Basata su form.Click the Form-Based tab.
  3. Fare clic su Aggiungi.Click Add.

    Configurazione
    Setup

  4. Per rilevare automaticamente le variabili di nome utente, password e dominio, immettere l'URL di accesso (ad esempio https://sso.contoso.com/adfs/ls) nella finestra di dialogo Configura automaticamente sito Web basato su form e fare clic su OK.To detect username, password, and domain variables automatically, enter the login URL (like https://sso.contoso.com/adfs/ls) within the Auto-Configure Form-Based Website dialog box and click OK.

  5. Se tutti gli utenti sono già stati o verranno importati nel server e saranno soggetti alla verifica in due passaggi, selezionare la casella di controllo Richiedi corrispondenza utente di Multi-Factor Authentication.Check the Require Azure Multi-Factor Authentication user match box if all users have been or will be imported into the Server and subject to two-step verification. Se un numero significativo di utenti non è ancora stato importato nel server e/o non sarà soggetto alla verifica in due passaggi, lasciare deselezionata la casella.If a significant number of users have not yet been imported into the Server and/or will be exempt from two-step verification, leave the box unchecked.
  6. Se le variabili di pagina non possono essere rilevate automaticamente, fare clic su Specifica manualmente...If the page variables cannot be detected automatically, click the Specify Manually… pulsante nella finestra di dialogo Configura automaticamente sito Web.button in the Auto-Configure Form-Based Website dialog box.
  7. Nella finestra di dialogo Aggiungi sito Web basato su form immettere l'URL alla pagina di accesso AD FS nel campo URL di invio (ad esempio https://sso.contoso.com/adfs/ls) e immettere un nome di applicazione (facoltativo).In the Add Form-Based Website dialog box, enter the URL to the AD FS login page in the Submit URL field (like https://sso.contoso.com/adfs/ls) and enter an Application name (optional). Il nome dell'applicazione viene visualizzato nei report di Azure multi-Factor Authentication e potrebbe essere visualizzato all'interno di messaggi di autenticazione dell'App Mobile o SMS.The Application name appears in Azure Multi-Factor Authentication reports and may be displayed within SMS or Mobile App authentication messages.
  8. Impostare il formato della richiesta su POST o GET.Set the Request format to POST or GET.
  9. Immettere la variabile di nome utente (ctl00$ ContentPlaceHolder1$ UsernameTextBox) e la variabile Password (ctl00$ ContentPlaceHolder1$ PasswordTextBox).Enter the Username variable (ctl00$ContentPlaceHolder1$UsernameTextBox) and Password variable (ctl00$ContentPlaceHolder1$PasswordTextBox). Se la pagina di accesso basata su form viene visualizzata una casella di testo di dominio, immettere anche la variabile di dominio.If your form-based login page displays a domain textbox, enter the Domain variable as well. Per individuare i nomi delle caselle di input nella pagina di accesso, passare alla pagina di accesso in un Web browser, fare clic con il pulsante destro del mouse nella pagina e quindi scegliere Visualizza origine.To find the names of the input boxes on the login page, go to the login page in a web browser, right-click on the page and select View Source.
  10. Se tutti gli utenti sono già stati o verranno importati nel server e saranno soggetti alla verifica in due passaggi, selezionare la casella di controllo Richiedi corrispondenza utente di Multi-Factor Authentication.Check the Require Azure Multi-Factor Authentication user match box if all users have been or will be imported into the Server and subject to two-step verification. Se un numero significativo di utenti non è ancora stato importato nel server e/o non sarà soggetto alla verifica in due passaggi, lasciare deselezionata la casella.If a significant number of users have not yet been imported into the Server and/or will be exempt from two-step verification, leave the box unchecked.
    Configurazione
    Setup
  11. Fare clic su AvanzateClick Advanced… per verificare le impostazioni avanzate.to review advanced settings. Ecco le impostazioni che possono essere configurate:Settings that you can configure include:

    • Selezionare un file di paging di rifiuto personalizzatoSelect a custom denial page file
    • Memorizzare nella cache le autenticazioni riuscite per il sito Web tramite cookieCache successful authentications to the website using cookies
    • Selezionare la modalità di autenticazione delle credenziali primarieSelect how to authenticate the primary credentials
  12. Poiché il server proxy AD FS non è destinato a essere aggiunto al dominio, è possibile usare LDAP per connettersi al controller di dominio per l'importazione utente e la preautenticazione.Since the AD FS proxy server is not likely to be joined to the domain, you can use LDAP to connect to your domain controller for user import and pre-authentication. Nella finestra di dialogo Sito Web avanzato basato su form fare clic sulla scheda Autenticazione primaria e selezionare Binding LDA per il tipo di autenticazione preautenticazione.In the Advanced Form-Based Website dialog box, click the Primary Authentication tab and select LDAP Bind for the Pre-authentication Authentication type.

  13. Al termine, fare clic su OK per tornare alla finestra di dialogo Aggiungi sito Web basato su form.When complete, click OK to return to the Add Form-Based Website dialog box.
  14. Fare clic su OK per chiudere la finestra di dialogo.Click OK to close the dialog box.
  15. Dopo aver rilevato o immesso le variabili di pagina e URL, i dati del sito Web vengono visualizzati nel pannello Basata su form.Once the URL and page variables have been detected or entered, the website data displays in the Form-Based panel.
  16. Fare clic sulla scheda Modulo nativo e selezionare il server, il sito Web in cui è in esecuzione il proxy AD FS (ad esempio "Sito Web predefinito") o l'applicazione proxy AD FS (ad esempio "ls" in "adfs") per abilitare il plug-in di IIS al livello desiderato.Click the Native Module tab and select the server, the website that the AD FS proxy is running under (like “Default Web Site”), or the AD FS proxy application (like “ls” under “adfs”) to enable the IIS plug-in at the desired level.
  17. Scegliere la casella Abilita autenticazione IIS nella parte superiore della schermata.Click the Enable IIS authentication box at the top of the screen.

L'autenticazione di IIS è abilitato.The IIS authentication is now enabled.

Configurare l'integrazione di directoryConfigure directory integration

L'autenticazione di IIS è stata abilitata, tuttavia per eseguire la preautenticazione per Active Directory (AD) tramite LDAP è necessario configurare la connessione LDAP al controller di dominio.You enabled IIS authentication, but to perform the pre-authentication to your Active Directory (AD) via LDAP you must configure the LDAP connection to the domain controller.

  1. Fare clic sull'icona Integrazione directory.Click the Directory Integration icon.
  2. Nella scheda Impostazioni selezionare il pulsante di opzione Usa configurazione LDAP specifica.On the Settings tab, select the Use specific LDAP configuration radio button.

    Configurazione
    Setup

  3. Fare clic su Modifica.Click Edit.

  4. Nella finestra di dialogo Modifica configurazione LDAP, compilare i campi con le informazioni necessarie per connettersi al controller di dominio Active Directory.In the Edit LDAP Configuration dialog box, populate the fields with the information required to connect to the AD domain controller. Le descrizioni dei campi sono incluse nel file della Guida del server Azure Multi-Factor Authentication.Descriptions of the fields are included in the Azure Multi-Factor Authentication Server help file.
  5. Verificare la connessione LDAP facendo clic sul pulsante Test.Test the LDAP connection by clicking the Test button.

    Configurazione
    Setup

  6. Se il test della connessione LDAP ha esito positivo, fare clic su OK.If the LDAP connection test was successful, click OK.

Configurare le impostazioni aziendaliConfigure company settings

  1. Successivamente, fare clic sull'icona Impostazioni società e selezionare la scheda Risoluzione nome utente.Next, click the Company Settings icon and select the Username Resolution tab.
  2. Selezionare il pulsante di opzione Usa attributo dell'identificatore univoco LDAP per la corrispondenza dei nomi utente.Select the Use LDAP unique identifier attribute for matching usernames radio button.
  3. Se gli utenti immettono il proprio nome utente nel formato "dominio\nomeutente", il server deve essere in grado di eliminare il dominio dal nome utente quando crea la query LDAP.If users enter their username in “domain\username” format, the Server needs to be able to strip the domain off the username when it creates the LDAP query. Che può essere eseguita tramite un'impostazione del Registro di sistema.That can be done through a registry setting.
  4. Aprire l'editor del Registro di sistema e passare a HKEY_LOCAL_MACHINE/SOFTWARE/Wow6432Node/positivo Networks/PhoneFactor su un server a 64 bit.Open the registry editor and go to HKEY_LOCAL_MACHINE/SOFTWARE/Wow6432Node/Positive Networks/PhoneFactor on a 64-bit server. Se si dispone di un server a 32 bit, eseguire "Wow6432Node" dal percorso.If on a 32-bit server, take the “Wow6432Node” out of the path. Creare una chiave del Registro di sistema DWORD denominata "UsernameCxz_stripPrefixDomain" e impostare il valore su 1.Create a DWORD registry key called “UsernameCxz_stripPrefixDomain” and set the value to 1. Il proxy AD FS è ora protetta da Azure Multi-Factor Authentication.Azure Multi-Factor Authentication is now securing the AD FS proxy.

Assicurarsi che gli utenti siano stati importati da Active Directory nel Server.Ensure that users have been imported from Active Directory into the Server. Per inserire nell'elenco elementi consentiti gli indirizzi IP interni in modo che non sia necessaria la verifica in due passaggi quando si accede al sito Web da tali percorsi, vedere la sezione IP attendibili.See the Trusted IPs section if you would like to whitelist internal IP addresses so that two-step verification is not required when signing in to the website from those locations.

Configurazione
Setup

AD FS 2.0 diretto senza un proxyAD FS 2.0 Direct without a proxy

È possibile proteggere ADFS quando il proxy di ADFS non viene usato.You can secure AD FS when the AD FS proxy is not used. Installare il server Azure Multi-Factor Authentication nel server ADFS e configurare il server seguendo questa procedura:Install the Azure Multi-Factor Authentication Server on the AD FS server and configure the Server per the following steps:

  1. Nel server Azure Multi-Factor Authentication fare clic sull'icona Autenticazione IIS nel menu a sinistra.Within the Azure Multi-Factor Authentication Server, click the IIS Authentication icon in the left menu.
  2. Fare clic sulla scheda HTTP.Click the HTTP tab.
  3. Fare clic su Aggiungi.Click Add.
  4. Nella finestra di dialogo Aggiungi URL di base immettere l'URL per il sito Web AD FS in cui viene eseguita l'autenticazione HTTP (ad esempio https://sso.domain.com/adfs/ls/auth/integrated) nel campo URL di base.In the Add Base URL dialogue box, enter the URL for the AD FS website where HTTP authentication is performed (like https://sso.domain.com/adfs/ls/auth/integrated) into the Base URL field. e immettere un nome di applicazione (facoltativo).Then, enter an Application name (optional). Il nome dell'applicazione viene visualizzato nei report di Azure multi-Factor Authentication e potrebbe essere visualizzato all'interno di messaggi di autenticazione dell'App Mobile o SMS.The Application name appears in Azure Multi-Factor Authentication reports and may be displayed within SMS or Mobile App authentication messages.
  5. Se si desidera, modificare il timeout di inattività e massimo per i tempi di sessione.If desired, adjust the Idle timeout and Maximum session times.
  6. Se tutti gli utenti sono già stati o verranno importati nel server e saranno soggetti alla verifica in due passaggi, selezionare la casella di controllo Richiedi corrispondenza utente di Multi-Factor Authentication.Check the Require Azure Multi-Factor Authentication user match box if all users have been or will be imported into the Server and subject to two-step verification. Se un numero significativo di utenti non è ancora stato importato nel server e/o non sarà soggetto alla verifica in due passaggi, lasciare deselezionata la casella.If a significant number of users have not yet been imported into the Server and/or will be exempt from two-step verification, leave the box unchecked.
  7. Se lo si desidera, selezionare la casella di cache di cookie.Check the cookie cache box if desired.

    Configurazione
    Setup

  8. Fare clic su OK.Click OK.

  9. Fare clic sulla scheda Modulo nativo e selezionare il server, il sito Web (ad esempio "Sito Web predefinito") o l'applicazione AD FS (ad esempio "ls" in "adfs") per abilitare il plug-in di IIS al livello desiderato.Click the Native Module tab and select the server, the website (like “Default Web Site”), or the AD FS application (like “ls” under “adfs”) to enable the IIS plug-in at the desired level.
  10. Scegliere la casella Abilita autenticazione IIS nella parte superiore della schermata.Click the Enable IIS authentication box at the top of the screen.

AD FS è protetto da Azure Multi-Factor Authentication.Azure Multi-Factor Authentication is now securing AD FS.

Assicurarsi che gli utenti siano stati importati da Active Directory nel Server.Ensure that users have been imported from Active Directory into the Server. Per inserire nell'elenco elementi consentiti gli indirizzi IP interni in modo che non sia necessaria la verifica in due passaggi quando si accede al sito Web da tali percorsi, vedere la sezione IP attendibili.See the Trusted IPs section if you would like to whitelist internal IP addresses so that two-step verification is not required when signing in to the website from those locations.

IP attendibiliTrusted IPs

Gli IP attendibili consentono agli utenti di ignorare Azure Multi-Factor Authentication per le richieste del sito Web provenienti da specifici indirizzi IP o subnet.Trusted IPs allow users to bypass Azure Multi-Factor Authentication for website requests originating from specific IP addresses or subnets. Ad esempio, è consigliabile fare in modo che gli utenti non debbano eseguire la verifica in due passaggi quando accedono dall'ufficio.For example, you may want to exempt users from two-step verification when they sign in from the office. A tale scopo, specificare la subnet dell'ufficio come voce di Indirizzi IP attendibili.For this, you would specify the office subnet as a Trusted IPs entry.

Per configurare indirizzi IP attendibiliTo configure trusted IPs

  1. Fare clic sulla scheda IP attendibili nella sezione Autenticazione IIS.In the IIS Authentication section, click the Trusted IPs tab.
  2. Fare clic su AggiungiClick the Add… .button.
  3. Quando viene visualizzata la finestra di dialogo Aggiungi indirizzo IP attendibile, selezionare uno dei pulsanti di opzione IP singolo, Intervallo IP o Subnet.When the Add Trusted IPs dialog box appears, select one of the Single IP, IP range, or Subnet radio buttons.
  4. Immettere l'indirizzo IP, l'intervallo di indirizzi IP o la subnet da includere nell'elenco degli elementi attendibili.Enter the IP address, range of IP addresses, or subnet that should be whitelisted. Se si immette una subnet, selezionare la Netmask appropriata e fare clic sul pulsante OK.If entering a subnet, select the appropriate Netmask and click the OK button. È stato aggiunto l'indirizzo IP attendibile.The trusted IP has now been added.

Configurazione
Setup