Autenticazione LDAP e server Azure Multi-Factor AuthenticationLDAP authentication and Azure Multi-Factor Authentication Server

Per impostazione predefinita, il server Azure Multi-Factor Authentication è configurato per importare o sincronizzare utenti da Active Directory,By default, the Azure Multi-Factor Authentication Server is configured to import or synchronize users from Active Directory. ma può essere configurato anche per il binding con altre directory LDAP, ad esempio con una directory ADAM o un controller di dominio di Active Directory specifico.However, it can be configured to bind to different LDAP directories, such as an ADAM directory, or specific Active Directory domain controller. Quando è connesso a una directory tramite LDAP, il server Azure Multi-Factor Authentication può agire come proxy LDAP per l'esecuzione di autenticazioni.When connected to a directory via LDAP, the Azure Multi-Factor Authentication Server can act as an LDAP proxy to perform authentications. Permette anche di usare l'associazione LDAP come destinazione RADIUS, la preautenticazione degli utenti con l'autenticazione IIS oppure l'autenticazione primaria nel portale utenti di Azure MFA.It also allows for the use of LDAP bind as a RADIUS target, for pre-authentication of users with IIS Authentication, or for primary authentication in the Azure MFA user portal.

Per usare Azure Multi-Factor Authentication come proxy LDAP, inserire il server Azure Multi-Factor Authentication tra il client LDAP (ad esempio, l'applicazione o il dispositivo VPN) e il server della directory LDAP.To use Azure Multi-Factor Authentication as an LDAP proxy, insert the Azure Multi-Factor Authentication Server between the LDAP client (for example, VPN appliance, application) and the LDAP directory server. Il server Azure Multi-Factor Authentication deve essere configurato in modo da comunicare sia con i server client che con la directory LDAP.The Azure Multi-Factor Authentication Server must be configured to communicate with both the client servers and the LDAP directory. In questo tipo di configurazione le richieste LDAP provenienti dalle applicazioni e dai server client vengono accettate dal server Azure Multi-Factor Authentication e inoltrate alla directory LDAP di destinazione per convalidare le credenziali primarie.In this configuration, the Azure Multi-Factor Authentication Server accepts LDAP requests from client servers and applications and forwards them to the target LDAP directory server to validate the primary credentials. Se la directory LDAP indica che le credenziali primarie sono valide, Azure Multi-Factor Authentication esegue una seconda verifica dell'identità e invia una risposta al client LDAP.If the LDAP directory validates the primary credentials, Azure Multi-Factor Authentication performs a second identity verification and sends a response back to the LDAP client. L'intero processo di autenticazione riesce solo se sia l'autenticazione nel server LDAP che il secondo passaggio di verifica hanno esito positivo.The entire authentication succeeds only if both the LDAP server authentication and the second-step verification succeed.

Configurare l'autenticazione LDAPConfigure LDAP authentication

Per configurare l'autenticazione LDAP, è necessario installare il server Azure Multi-Factor Authentication in un server Windows.To configure LDAP authentication, install the Azure Multi-Factor Authentication Server on a Windows server. Utilizzare la procedura seguente:Use the following procedure:

Aggiungere un client LDAPAdd an LDAP client

  1. Nel server Azure Multi-Factor Authentication selezionare l'icona Autenticazione LDAP nel menu a sinistra.In the Azure Multi-Factor Authentication Server, select the LDAP Authentication icon in the left menu.
  2. Selezionare la casella di controllo Abilita autenticazione LDAP.Check the Enable LDAP Authentication checkbox.

    Autenticazione LDAP

  3. Nella scheda Client modificare le porte TCP e SSL se il servizio LDAP di Azure Multi-Factor Authentication deve essere associato a porte non standard per rimanere in ascolto di richieste LDAP.On the Clients tab, change the TCP port and SSL port if the Azure Multi-Factor Authentication LDAP service should bind to non-standard ports to listen for LDAP requests.

  4. Se si prevede di usare LDAPS dal client al server Azure Multi-Factor Authentication, è necessario installare un certificato SSL nello stesso server come server MFA.If you plan to use LDAPS from the client to the Azure Multi-Factor Authentication Server, an SSL certificate must be installed on the same server as MFA Server. Fare clic su Sfoglia accanto alla casella del Certificato SSL e selezionare un certificato da usare per la connessione protetta.Click Browse next to the SSL certificate box, and select a certificate to use for the secure connection.
  5. Fare clic su Aggiungi.Click Add.
  6. Nella finestra di dialogo Aggiungi client LDAP immettere l'indirizzo IP del dispositivo, del server o dell'applicazione che esegue l'autenticazione al server e il nome di un'applicazione (facoltativo).In the Add LDAP Client dialog box, enter the IP address of the appliance, server, or application that authenticates to the Server and an Application name (optional). Il nome dell'applicazione viene visualizzato nei report di Azure multi-Factor Authentication e potrebbe essere visualizzato all'interno di messaggi di autenticazione dell'App Mobile o SMS.The Application name appears in Azure Multi-Factor Authentication reports and may be displayed within SMS or Mobile App authentication messages.
  7. Se tutti gli utenti sono già stati o verranno importati nel server e saranno soggetti alla verifica in due passaggi, selezionare la casella di controllo Richiedi corrispondenza utente di Multi-Factor Authentication.Check the Require Azure Multi-Factor Authentication user match box if all users have been or will be imported into the Server and subject to two-step verification. Se un numero significativo di utenti non è ancora stato importato nel server e/o non è soggetto alla verifica in due passaggi, lasciare deselezionata la casella.If a significant number of users have not yet been imported into the Server and/or are exempt from two-step verification, leave the box unchecked. Vedere il file della Guida del server di MFA per altre informazioni su questa funzionalità.See the MFA Server help file for additional information on this feature.

Ripetere questa procedura per aggiungere altri client LDAP.Repeat these steps to add additional LDAP clients.

Configurare la connessione alla directory LDAPConfigure the LDAP directory connection

Quando Azure Multi-Factor Authentication è configurato per ricevere autenticazioni LDAP, deve usare un proxy per le autenticazioni alla directory LDAP.When the Azure Multi-Factor Authentication is configured to receive LDAP authentications, it must proxy those authentications to the LDAP directory. Di conseguenza, nella scheda Destinazione viene visualizzata un'unica opzione non selezionabile per l'uso di una destinazione LDAP.Therefore, the Target tab only displays a single, grayed out option to use an LDAP target.

  1. Per configurare la connessione alla directory LDAP, fare clic sull'icona Integrazione directory.To configure the LDAP directory connection, click the Directory Integration icon.
  2. Nella scheda Impostazioni selezionare il pulsante di opzione Usa configurazione LDAP specifica.On the Settings tab, select the Use specific LDAP configuration radio button.
  3. Selezionare Modifica...Select Edit…
  4. Nella finestra di dialogo Modifica configurazione LDAP compilare i campi con le informazioni necessarie per connettersi alla directory LDAP.In the Edit LDAP Configuration dialog box, populate the fields with the information required to connect to the LDAP directory. Le descrizioni dei campi sono incluse nel file della Guida del server Azure Multi-Factor Authentication.Descriptions of the fields are included in the Azure Multi-Factor Authentication Server help file.

    Integrazione di directory

  5. Verificare la connessione LDAP facendo clic sul pulsante Test.Test the LDAP connection by clicking the Test button.

  6. Se il test della connessione LDAP ha esito positivo, fare clic sul pulsante OK.If the LDAP connection test was successful, click the OK button.
  7. Fare clic sulla scheda Filtri. Il server è preconfigurato per il caricamento di contenitori, gruppi di sicurezza e utenti da Active Directory.Click the Filters tab. The Server is pre-configured to load containers, security groups, and users from Active Directory. Se viene eseguita l'associazione a un'altra directory LDAP, è probabilmente necessario modificare i filtri visualizzati.If binding to a different LDAP directory, you probably need to edit the filters displayed. Per altre informazioni sui filtri, fare clic sul collegamento Guida.Click the Help link for more information on filters.
  8. Fare clic sulla scheda Attributes . Il server è preconfigurato per il mapping degli attributi da Active Directory.Click the Attributes tab. The Server is pre-configured to map attributes from Active Directory.
  9. Se viene eseguita l'associazione a un'altra directory LDAP o vengono modificati i mapping degli attributi preconfigurati, fare clic su Modifica...If you're binding to a different LDAP directory or to change the pre-configured attribute mappings, click Edit…
  10. Nella finestra di dialogo Modifica attributi apportare modifiche ai mapping degli attributi LDAP per la directory.In the Edit Attributes dialog box, modify the LDAP attribute mappings for your directory. I nomi degli attributi possono essere digitati o selezionati facendo clic sul pulsante ...Attribute names can be typed in or selected by clicking the accanto a ogni campo.button next to each field. Per altre informazioni sugli attributi, fare clic sul collegamento Guida.Click the Help link for more information on attributes.
  11. Fare clic sul pulsante OK.Click the OK button.
  12. Fare clic sull'icona Impostazioni società e selezionare la scheda Risoluzione nome utente.Click the Company Settings icon and select the Username Resolution tab.
  13. Se ci si connette ad Active Directory da un server aggiunto a un dominio, lasciare selezionato il pulsante di opzione Usa identificatori di sicurezza (SID) Windows per la corrispondenza dei nomi utente.If you're connecting to Active Directory from a domain-joined server, leave the Use Windows security identifiers (SIDs) for matching usernames radio button selected. In caso contrario, selezionare il pulsante di opzione Usa attributo dell'identificatore univoco LDAP per la corrispondenza dei nomi utente.Otherwise, select the Use LDAP unique identifier attribute for matching usernames radio button.

Quando il pulsante di opzione Usa attributo dell'identificatore univoco LDAP per la corrispondenza dei nomi utente è selezionato, il server Azure Multi-Factor Authentication prova a risolvere ogni nome utente in un identificatore univoco nella directory LDAP.When the Use LDAP unique identifier attribute for matching usernames radio button is selected, the Azure Multi-Factor Authentication Server attempts to resolve each username to a unique identifier in the LDAP directory. Viene eseguita una ricerca LDAP negli attributi dei nomi utente definiti nella scheda Integrazione directory -> Attributi. Se un utente è autenticato, il nome utente viene risolto nell'identificatore univoco nella directory LDAP.An LDAP search is performed on the Username attributes defined in the Directory Integration -> Attributes tab. When a user authenticates, the username is resolved to the unique identifier in the LDAP directory. L'identificatore univoco è usato per abbinare l'utente nel file di dati di Azure Multi-Factor Authentication.The unique identifier is used for matching the user in the Azure Multi-Factor Authentication data file. Sono ammessi confronti senza distinzione tra maiuscole e minuscole e formati dei nomi utente lunghi e corti.This allows for case-insensitive comparisons, and long and short username formats.

Dopo aver completato questa procedura, il server MFA ascolta le porte configurate per le richieste di accesso LDAP dai client configurati ed agisce come un proxy per le richieste di autenticazione alla directory LDAP.After you complete these steps, the MFA Server listens on the configured ports for LDAP access requests from the configured clients, and acts as a proxy for those requests to the LDAP directory for authentication.

Configurare il client LDAPConfigure LDAP client

Per configurare il client LDAP, seguire queste linee guida:To configure the LDAP client, use the guidelines:

  • Configurare il dispositivo, il server o l'applicazione per l'autenticazione tramite LDAP al server Azure Multi-Factor Authentication come per la directory LDAP.Configure your appliance, server, or application to authenticate via LDAP to the Azure Multi-Factor Authentication Server as though it were your LDAP directory. È consigliabile usare le stesse impostazioni specificate normalmente per connettersi direttamente alla directory LDAP, fatta eccezione per il nome o l'indirizzo IP del server, che deve corrispondere a quello del server Azure Multi-Factor Authentication.Use the same settings that you would normally use to connect directly to your LDAP directory, except for the server name or IP address, which will be that of the Azure Multi-Factor Authentication Server.
  • Impostare il timeout di LDAP su un valore compreso tra 30 e 60 secondi, sufficiente per convalidare le credenziali dell'utente con la directory LDAP, eseguire la verifica in due passaggi, ricevere la risposta e rispondere alla richiesta di accesso LDAP.Configure the LDAP timeout to 30-60 seconds so that there is time to validate the user’s credentials with the LDAP directory, perform the second-step verification, receive their response, and respond to the LDAP access request.
  • Se si usa LDAPS, il dispositivo o il server che esegue le query LDAP deve considerare attendibile il certificato SSL installato nel server Azure Multi-Factor Authentication.If using LDAPS, the appliance or server making the LDAP queries must trust the SSL certificate installed on the Azure Multi-Factor Authentication Server.