Integrare l'autenticazione RADIUS con il server Azure Multi-Factor Authentication

  • Articolo

RADIUS è un protocollo standard per accettare le richieste di autenticazione ed elaborarle. Il server Azure Multi-Factor Authentication può fungere da server RADIUS. Per aggiungere la verifica in due passaggi, inserirlo tra il client RADIUS (appliance VPN) e la destinazione di autenticazione, che potrebbe essere Active Directory, una directory LDAP o un altro server RADIUS. Per il funzionamento dell'autenticazione a più fattori di Azure, è necessario configurare il server Azure MFA in modo che possa comunicare con i server client e la destinazione di autenticazione. Il server Azure MFA accetta le richieste da un client RADIUS, convalida le credenziali rispetto alla destinazione di autenticazione, aggiunge l'autenticazione a più fattori di Azure e invia una risposta al client RADIUS. La richiesta di autenticazione ha esito positivo solo se l'autenticazione primaria e l'autenticazione a più fattori di Azure hanno esito positivo.

Importante

Nel settembre 2022 Microsoft ha annunciato la deprecazione del server Azure Multi-Factor Authentication. A partire dal 30 settembre 2024, le distribuzioni del server Azure Multi-Factor Authentication non serviceranno più le richieste di autenticazione a più fattori, che potrebbero causare errori di autenticazione per l'organizzazione. Per garantire servizi di autenticazione ininterrotti e rimanere in uno stato supportato, le organizzazioni devono eseguire la migrazione dei dati di autenticazione degli utenti al servizio Azure MFA basato sul cloud usando l'utilità di migrazione più recente inclusa nell'aggiornamento più recente del server Azure MFA. Per altre informazioni, vedere Migrazione del server Azure MFA.

Per iniziare a usare l'autenticazione a più fattori basata sul cloud, vedere Esercitazione: Proteggere gli eventi di accesso utente con l'autenticazione a più fattori Di Microsoft Entra.

Se si usa l'autenticazione a più fattori basata sul cloud, vedere Integrare l'infrastruttura nps esistente con l'autenticazione a più fattori di Azure.

Nota

Il server MFA supporta solo i protocolli RADIUS PAP (Password Authentication Protocol) e MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol) quando agisce da server RADIUS. Quando il server MFA agisce come proxy RADIUS per un altro server RADIUS che supporta tale protocollo, è possibile usare altri protocolli, ad esempio EAP (Extensible Authentication Protocol).

In questa configurazione i token OATH e SMS unidirezionali non funzionano perché il server MFA non è in grado di avviare una risposta RADIUS in attesa corretta tramite protocolli alternativi.

Radius Authentication in MFA Server

Aggiungere un client RADIUS

Per configurare l'autenticazione RADIUS, installare il Server Azure Multi-Factor Authentication su un server Windows. Se si dispone di un ambiente Active Directory, il server deve appartenere al dominio all'interno della rete. Utilizzare la procedura seguente per configurare il Server Azure Multi-Factor Authentication:

  1. Nel server Azure Multi-Factor Authentication fare clic sull'icona autenticazione RADIUS nel menu a sinistra.

  2. Selezionare la casella di controllo Abilita autenticazione RADIUS.

  3. Nella scheda Client modificare le porte di autenticazione e accounting se il servizio RADIUS di Azure MFA deve attendere le richieste RADIUS su porte non standard.

  4. Fare clic su Aggiungi.

  5. Immettere l'indirizzo IP dell'accessorio/server che eseguirà l'autenticazione al server Azure Multi-Factor Authentication, il nome di un'applicazione (facoltativo) e un segreto condiviso.

    Il nome dell'applicazione viene visualizzato nei report ed eventualmente nei messaggi di autenticazione tramite app per dispositivi mobili o SMS.

    Il segreto condiviso dovrà essere lo stesso per il server Azure Multi-Factor Authentication e l'accessorio/server.

  6. Selezionare la casella Richiedi corrispondenza utente autenticazione a più fattori se tutti gli utenti sono stati importati nel server e soggetti all'autenticazione a più fattori. Se un numero significativo di utenti non è ancora stato importato nel server o non è soggetto alla verifica in due passaggi, lasciare deselezionata la casella.

  7. Se si vogliono usare passcode OATH delle app di verifica per dispositivi mobili come metodo di backup, selezionare la casella Abilita token OATH di fallback.

  8. Fare clic su OK.

Ripetere i passaggi da 4 a 8 per aggiungere tutti i client RADIUS che si desidera.

Configurare il client RADIUS

  1. Fare clic sulla scheda Destinazione.

    • Se il server Azure MFA è installato in un server aggiunto a un dominio in un ambiente Active Directory, selezionare dominio di Windows.
    • Se gli utenti devono essere autenticati in una directory LDAP, selezionare Binding LDAP. Selezionare l'icona Integrazione directory e modificare la configurazione LDAP nella scheda Impostazioni per consentire l'associazione del server alla directory. Le istruzioni per la configurazione LDAP sono disponibili nella Guida alla configurazione del proxy LDAP.
    • Se gli utenti devono essere autenticati in un altro server RADIUS, selezionare uno o più server RADIUS.

  2. Fare clic su Aggiungi per configurare il server in cui il server Azure MFA userà il proxy per le richieste RADIUS.

  3. Nella finestra di dialogo Aggiungi server RADIUS immettere l'indirizzo IP del server RADIUS e un segreto condiviso.

    Il segreto condiviso deve essere lo stesso per il server RADIUS e per il server Azure Multi-Factor Authentication. Se il server RADIUS utilizza porte diverse, modificare le porte di autenticazione e Accounting.

  4. Fare clic su OK.

  5. Aggiungere il server Azure MFA come client RADIUS negli altri server RADIUS in modo che questo elabori le richieste di accesso ricevute dal server Azure MFA. Usare lo stesso segreto condiviso configurato nel server Azure Multi-Factor Authentication.

Ripetere questi passaggi per aggiungere altri server RADIUS. Configurare l'ordine in cui devono essere chiamati dal server Azure MFA con i pulsanti Sposta su e Sposta giù.

La configurazione del server Azure Multi-Factor Authentication è stata completata. Il Server è in attesa sulle porte configurate per le richieste di accesso RADIUS dai client configurati.

Configurazione del client RADIUS

Per configurare il client RADIUS, utilizzare le linee guida:

  • Configurare l'appliance o il server per l'autenticazione tramite RADIUS all'indirizzo IP del server Azure Multi-Factor Authentication, che funge da server RADIUS.
  • Usare lo stesso segreto condiviso configurato in precedenza.
  • Configurare il timeout RADIUS su 60 secondi in modo che sia necessario convalidare le credenziali dell'utente, eseguire la verifica in due passaggi, ricevere la risposta e quindi rispondere alla richiesta di accesso RADIUS.

Passaggi successivi

Informazioni su come eseguire l'integrazione con l'autenticazione RADIUS se si dispone dell'autenticazione a più fattori Microsoft Entra nel cloud.