Configurazione di Azure Multi-Factor Authentication per le App Web IISConfigure Azure Multi-Factor Authentication Server for IIS web apps

Usare la sezione Autenticazione IIS del server Azure Multi-Factor Authentication (MFA) per abilitare e configurare l'autenticazione IIS per l'integrazione con le applicazioni Web Microsoft IIS.Use the IIS Authentication section of the Azure Multi-Factor Authentication (MFA) Server to enable and configure IIS authentication for integration with Microsoft IIS web applications. Il server Azure MFA installa un plug-in che può filtrare le richieste inoltrate al server Web IIS per aggiungere Azure Multi-Factor Authentication.The Azure MFA Server installs a plug-in that can filter requests being made to the IIS web server to add Azure Multi-Factor Authentication. Il plug-in di IIS fornisce inoltre il supporto per l'autenticazione basata su form e l'autenticazione HTTP integrata di Windows.The IIS plug-in provides support for Form-Based Authentication and Integrated Windows HTTP Authentication. È possibile anche configurare gli indirizzi IP attendibili in modo da escludere gli indirizzi IP interni dall'autenticazione a due fattori.Trusted IPs can also be configured to exempt internal IP addresses from two-factor authentication.

Autenticazione IIS

Uso dell'autenticazione IIS basata su form con il server Azure Multi-Factor AuthenticationUsing Form-Based IIS Authentication with Azure Multi-Factor Authentication Server

Per proteggere un'applicazione Web IIS che usa l'autenticazione basata su form, installare il server Azure Multi-Factor Authentication nel server Web IIS e configurare il server seguendo questa procedura:To secure an IIS web application that uses form-based authentication, install the Azure Multi-Factor Authentication Server on the IIS web server and configure the Server per the following procedure:

  1. Nel server Azure Multi-Factor Authentication fare clic sull'icona Autenticazione IIS nel menu a sinistra.In the Azure Multi-Factor Authentication Server, click the IIS Authentication icon in the left menu.
  2. Fare clic sulla scheda Basata su form.Click the Form-Based tab.
  3. Fare clic su Aggiungi.Click Add.
  4. Per rilevare automaticamente le variabili di dominio, nome utente e password, immettere l'URL di accesso, ad esempio https://localhost/contoso/auth/login.aspx, nella finestra di dialogo Configura automaticamente sito Web basato su form e fare clic su OK.To detect username, password and domain variables automatically, enter the Login URL (like https://localhost/contoso/auth/login.aspx) within the Auto-Configure Form-Based Website dialog box and click OK.
  5. Se tutti gli utenti sono già stati o verranno importati nel server e saranno soggetti all'autenticazione a più fattori, selezionare la casella Richiedi corrispondenza utente di Multi-Factor Authentication.Check the Require Multi-Factor Authentication user match box if all users have been or will be imported into the Server and subject to multi-factor authentication. Se un numero significativo di utenti non è ancora stato importato nel Server e/o esenti dall'autenticazione a più fattori, lasciare deselezionata la casella.If a significant number of users have not yet been imported into the Server and/or will be exempt from multi-factor authentication, leave the box unchecked.
  6. Se le variabili di pagina non possono essere rilevate automaticamente, fare clic su Specifica manualmente nella finestra di dialogo Configura automaticamente sito Web basato su form.If the page variables cannot be detected automatically, click Specify Manually in the Auto-Configure Form-Based Website dialog box.
  7. Nella finestra di dialogo Aggiungi sito Web immettere l'URL alla pagina di accesso nel campo URL di invio e immettere un nome di applicazione (facoltativo).In the Add Form-Based Website dialog box, enter the URL to the login page in the Submit URL field and enter an Application name (optional). Il nome dell'applicazione viene visualizzato nei report di Azure multi-Factor Authentication e potrebbe essere visualizzato all'interno di messaggi di autenticazione dell'App Mobile o SMS.The Application name appears in Azure Multi-Factor Authentication reports and may be displayed within SMS or Mobile App authentication messages.
  8. Selezionare il formato di richiesta correttoSelect the correct Request format. È impostato su POST or GET (OTTIENI) per la maggior parte delle applicazioni Web.This is set to POST or GET for most web applications.
  9. Immettere la variabile nome utente, la variabile password e la variabile dominio (se è presente nella pagina di accesso).Enter the Username variable, Password variable, and Domain variable (if it appears on the login page). Per individuare i nomi delle caselle di input, passare alla pagina di accesso in un Web browser, fare clic con il pulsante destro del mouse nella pagina e quindi scegliere Visualizza origine.To find the names of the input boxes, navigate to the login page in a web browser, right-click on the page, and select View Source.
  10. Selezionare la casella Require Azure Multi-Factor Authentication user match (Richiedi corrispondenza utente di Azure Multi-Factor Authentication) se tutti gli utenti sono già stati o verranno importati nel server e saranno soggetti all'autenticazione a più fattori.Check the Require Azure Multi-Factor Authentication user match box if all users have been or will be imported into the Server and subject to multi-factor authentication. Se un numero significativo di utenti non è ancora stato importato nel Server e/o esenti dall'autenticazione a più fattori, lasciare deselezionata la casella.If a significant number of users have not yet been imported into the Server and/or will be exempt from multi-factor authentication, leave the box unchecked.
  11. Fare clic su Avanzate per rivedere le impostazioni avanzate, tra cui:Click Advanced to review advanced settings, including:

    • Selezionare un file di paging di rifiuto personalizzatoSelect a custom denial page file
    • Memorizzare nella cache le autenticazioni riuscite per il sito Web per un periodo di tempo tramite cookieCache successful authentications to the website for a period of time using cookies
    • Scegliere se autenticare le credenziali primarie in un dominio di Windows, in una directory LDAPSelect whether to authenticate the primary credentials against a Windows Domain, LDAP directory. o in un server RADIUS.or RADIUS server.
  12. Fare clic su OK per tornare alla finestra di dialogo Aggiungi sito Web basato su form.Click OK to return to the Add Form-Based Website dialog box.

  13. Fare clic su OK.Click OK.
  14. Dopo aver rilevato o immesso le variabili di pagina e URL, i dati del sito Web vengono visualizzati nel pannello Basata su form.Once the URL and page variables have been detected or entered, the website data displays in the Form-Based panel.

Uso dell'autenticazione integrata di Windows con il server Azure Multi-Factor AuthenticationUsing Integrated Windows Authentication with Azure Multi-Factor Authentication Server

Per proteggere un'applicazione Web IIS che usa l'autenticazione HTTP integrata di Windows, installare il server Azure MFA nel server Web IIS e configurare il server seguendo questa procedura:To secure an IIS web application that uses Integrated Windows HTTP authentication, install the Azure MFA Server on the IIS web server, then configure the Server with the following steps:

  1. Nel server Azure Multi-Factor Authentication fare clic sull'icona Autenticazione IIS nel menu a sinistra.In the Azure Multi-Factor Authentication Server, click the IIS Authentication icon in the left menu.
  2. Fare clic sulla scheda HTTP.Click the HTTP tab.
  3. Fare clic su Aggiungi.Click Add.
  4. Nella finestra di dialogo Aggiungi URL di base immettere l'URL del sito Web in cui viene eseguita l'autenticazione HTTP, ad esempio http://localhost/owa, e immettere il nome dell'applicazione (facoltativo).In the Add Base URL dialogue box, enter the URL for the website where HTTP authentication is performed (like http://localhost/owa) and provide an Application name (optional). Il nome dell'applicazione viene visualizzato nei report di Azure multi-Factor Authentication e potrebbe essere visualizzato all'interno di messaggi di autenticazione dell'App Mobile o SMS.The Application name appears in Azure Multi-Factor Authentication reports and may be displayed within SMS or Mobile App authentication messages.
  5. Modificare i valori relativi al timeout di inattività e al tempo massimo delle sessioni se i valori predefiniti non sono sufficienti.Adjust the Idle timeout and Maximum session times if the default is not sufficient.
  6. Se tutti gli utenti sono già stati o verranno importati nel server e saranno soggetti all'autenticazione a più fattori, selezionare la casella Richiedi corrispondenza utente di Multi-Factor Authentication.Check the Require Multi-Factor Authentication user match box if all users have been or will be imported into the Server and subject to multi-factor authentication. Se un numero significativo di utenti non è ancora stato importato nel Server e/o esenti dall'autenticazione a più fattori, lasciare deselezionata la casella.If a significant number of users have not yet been imported into the Server and/or will be exempt from multi-factor authentication, leave the box unchecked.
  7. Se lo si desidera, selezionare la casella Cookie cache (Cache di cookie).Check the Cookie cache box if desired.
  8. Fare clic su OK.Click OK.

Abilitare i plug-in di IIS per il server Azure Multi-Factor AuthenticationEnable IIS Plug-ins for Azure Multi-Factor Authentication Server

Dopo aver configurato gli URL e le impostazioni dell'autenticazione HTTP o basata su form, selezionare le destinazioni in cui i plug-in di IIS del server Azure Multi-Factor Authentication devono essere caricati e abilitati in IIS.After configuring the Form-Based or HTTP authentication URLs and settings, select the locations where the Azure Multi-Factor Authentication IIS plug-ins should be loaded and enabled in IIS. Usare la procedura seguente:Use the following procedure:

  1. Se si esegue IIS 6, fare clic sulla scheda ISAPI. Selezionare il sito Web che esegue l'applicazione Web (ad esempio "Sito Web predefinito") per abilitare il plug-in dei filtri ISAPI di Azure Multi-Factor Authentication per tale sito.If running on IIS 6, click the ISAPI tab. Select the website that the web application is running under (e.g. Default Web Site) to enable the Azure Multi-Factor Authentication ISAPI filter plug-in for that site.
  2. Se si esegue IIS 7 o versione successiva, fare clic sulla scheda Modulo nativo. Selezionare il server, i siti Web o le applicazioni per abilitare il plug-in di IIS ai livelli desiderati.If running on IIS 7 or higher, click the Native Module tab. Select the server, websites, or applications to enable the IIS plug-in at the desired levels.
  3. Scegliere la casella Abilita autenticazione IIS nella parte superiore della schermata.Click the Enable IIS authentication box at the top of the screen. A questo punto l'applicazione IIS selezionata è protetta da Azure Multi-Factor Authentication.Azure Multi-Factor Authentication is now securing the selected IIS application. Verificare che gli utenti siano stati importati nel server.Ensure that users have been imported into the Server.

IP attendibiliTrusted IPs

Il provider di identità attendibili consente agli utenti di ignorare Azure multi-Factor Authentication per le richieste del sito Web provenienti da specifici indirizzi IP o subnet.The Trusted IPs allows users to bypass Azure Multi-Factor Authentication for website requests originating from specific IP addresses or subnets. Ad esempio, è possibile escludere gli utenti da Azure multi-Factor Authentication durante l'accesso dall'ufficio.For example, you may want to exempt users from Azure Multi-Factor Authentication while logging in from the office. A tale scopo, specificare la subnet dell'ufficio come voce di Indirizzi IP attendibili.For this, you would specify the office subnet as a Trusted IPs entry. Per configurare gli indirizzi IP attendibili, seguire questa procedura:To configure Trusted IPs, use the following procedure:

  1. Fare clic sulla scheda IP attendibili nella sezione Autenticazione IIS.In the IIS Authentication section, click the Trusted IPs tab.
  2. Fare clic su Aggiungi.Click Add.
  3. Quando viene visualizzata la finestra di dialogo Add Trusted IPs (Aggiungi IP attendibili), selezionare il pulsante di opzione IP singolo, Intervallo IP o Subnet.When the Add Trusted IPs dialog box appears, select the Single IP, IP range, or Subnet radio button.
  4. Immettere l'indirizzo IP, intervallo di indirizzi IP o subnet devono essere incluse nell'elenco.Enter the IP address, range of IP addresses or subnet that should be whitelisted. Se si immette una subnet, selezionare la Netmask appropriata e fare clic su OK.If entering a subnet, select the appropriate Netmask and click OK. L'elenco whitelist è stato aggiunto.The whitelist has now been added.