Integrare l'autenticazione con il server Azure Multi-Factor AuthenticationIntegrate RADIUS authentication with Azure Multi-Factor Authentication Server

RADIUS è un protocollo standard per accettare le richieste di autenticazione e per elaborare le richieste.RADIUS is a standard protocol to accept authentication requests and to process those requests. Il server Azure Multi-Factor Authentication può fungere da server RADIUS.The Azure Multi-Factor Authentication Server can act as a RADIUS server. Per aggiungere la verifica in due passaggi, inserirlo tra il client RADIUS (appliance VPN) e la destinazione di autenticazione,Insert it between your RADIUS client (VPN appliance) and your authentication target to add two-step verification. che potrebbe essere Active Directory, una directory LDAP o un altro server RADIUS.Your authentication target could be Active Directory, an LDAP directory, or another RADIUS server. Per far funzionare Azure Multi-Factor Authentication (MFA), è necessario configurare il server Azure MFA in modo che possa comunicare con i server client e la destinazione di autenticazione.For Azure Multi-Factor Authentication (MFA) to function, you must configure the Azure MFA Server so that it can communicate with both the client servers and the authentication target. Il server Azure MFA accetta richieste da un client RADIUS, convalida le credenziali rispetto alla destinazione di autenticazione, aggiunge Azure Multi-Factor Authentication e invia una risposta al client RADIUS.The Azure MFA Server accepts requests from a RADIUS client, validates credentials against the authentication target, adds Azure Multi-Factor Authentication, and sends a response back to the RADIUS client. La richiesta di autenticazione avrà esito positivo solo se l'autenticazione principale e Azure Multi-Factor Authentication hanno esito positivo.The authentication request only succeeds if both the primary authentication and the Azure Multi-Factor Authentication succeed.

Nota

Il server MFA supporta solo i protocolli RADIUS PAP (Password Authentication Protocol) e MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol) quando agisce da server RADIUS.The MFA Server only supports PAP (password authentication protocol) and MSCHAPv2 (Microsoft's Challenge-Handshake Authentication Protocol) RADIUS protocols when acting as a RADIUS server. Quando il server MFA agisce come proxy RADIUS per un altro server RADIUS che supporta tale protocollo, è possibile usare altri protocolli, ad esempio EAP (Extensible Authentication Protocol).Other protocols, like EAP (extensible authentication protocol), can be used when the MFA server acts as a RADIUS proxy to another RADIUS server that supports that protocol.

In questa configurazione i token OATH e SMS unidirezionali non funzionano perché il server MFA non è in grado di avviare una risposta RADIUS in attesa corretta tramite protocolli alternativi.In this configuration, one-way SMS and OATH tokens don't work since the MFA Server can't initiate a successful RADIUS Challenge response using alternative protocols.

Autenticazione RADIUS

Aggiungere un client RADIUSAdd a RADIUS client

Per configurare l'autenticazione RADIUS, installare il Server Azure Multi-Factor Authentication su un server Windows.To configure RADIUS authentication, install the Azure Multi-Factor Authentication Server on a Windows server. Se si dispone di un ambiente Active Directory, il server deve appartenere al dominio all'interno della rete.If you have an Active Directory environment, the server should be joined to the domain inside the network. Utilizzare la procedura seguente per configurare il Server Azure Multi-Factor Authentication:Use the following procedure to configure the Azure Multi-Factor Authentication Server:

  1. Nel server Azure Multi-Factor Authentication fare clic sull'icona autenticazione RADIUS nel menu a sinistra.In the Azure Multi-Factor Authentication Server, click the RADIUS Authentication icon in the left menu.
  2. Selezionare la casella di controllo Abilita autenticazione RADIUS.Check the Enable RADIUS authentication checkbox.
  3. Nella scheda Client modificare le porte di autenticazione e accounting se il servizio RADIUS di Azure MFA deve attendere le richieste RADIUS su porte non standard.On the Clients tab, change the Authentication and Accounting ports if the Azure MFA RADIUS service needs to listen for RADIUS requests on non-standard ports.
  4. Fare clic su Aggiungi.Click Add.
  5. Immettere l'indirizzo IP dell'accessorio/server che eseguirà l'autenticazione al server Azure Multi-Factor Authentication, il nome di un'applicazione (facoltativo) e un segreto condiviso.Enter the IP address of the appliance/server that will authenticate to the Azure Multi-Factor Authentication Server, an application name (optional), and a shared secret.

    Il nome dell'applicazione viene visualizzato nei report ed eventualmente nei messaggi di autenticazione tramite app per dispositivi mobili o SMS.The application name appears in reports and may be displayed within SMS or mobile app authentication messages.

    Il segreto condiviso dovrà essere lo stesso per il server Azure Multi-Factor Authentication e l'accessorio/server.The shared secret needs to be the same on both the Azure Multi-Factor Authentication Server and appliance/server.

  6. Se tutti gli utenti sono stati importati nel server e sono soggetti all'autenticazione a più fattori, selezionare la casella Richiedi corrispondenza utente di Multi-Factor Authentication.Check the Require Multi-Factor Authentication user match box if all users have been imported into the Server and subject to multi-factor authentication. Se un numero significativo di utenti non è ancora stato importato nel server o non è soggetto alla verifica in due passaggi, lasciare deselezionata la casella.If a significant number of users have not yet been imported into the Server or are exempt from two-step verification, leave the box unchecked.

  7. Se si vogliono usare passcode OATH delle app di verifica per dispositivi mobili come metodo di backup, selezionare la casella Abilita token OATH di fallback.Check the Enable fallback OATH token box if you want to use OATH passcodes from mobile verification apps as a backup method.
  8. Fare clic su OK.Click OK.

Ripetere i passaggi da 4 a 8 per aggiungere tutti i client RADIUS che si desidera.Repeat steps 4 through 8 to add as many additional RADIUS clients as you need.

Configurare il client RADIUSConfigure your RADIUS client

  1. Fare clic sulla scheda Destinazione.Click the Target tab.
  2. Se il server Azure MFA è installato in un server aggiunto a un dominio in un ambiente Active Directory, selezionare il dominio di Windows.If the Azure MFA Server is installed on a domain-joined server in an Active Directory environment, select Windows domain.
  3. Se gli utenti devono essere autenticati in una directory LDAP, selezionare Binding LDAP.If users should be authenticated against an LDAP directory, select LDAP bind.

    Selezionare l'icona Integrazione directory e modificare la configurazione LDAP nella scheda Impostazioni per consentire l'associazione del server alla directory.Select the Directory Integration icon and edit the LDAP configuration on the Settings tab so that the Server can bind to your directory. Le istruzioni per la configurazione LDAP sono disponibili nella Guida alla configurazione del proxy LDAP.Instructions for configuring LDAP can be found in the LDAP Proxy configuration guide.

  4. Se gli utenti devono essere autenticati in un altro server RADIUS, selezionare il/i server RADIUS.If users should be authenticated against another RADIUS server, select RADIUS server(s).

  5. Fare clic su Aggiungi per configurare il server in cui il server Azure MFA userà il proxy per le richieste RADIUS.Click Add to configure the server to which the Azure MFA Server will proxy the RADIUS requests.
  6. Nella finestra di dialogo Aggiungi server RADIUS immettere l'indirizzo IP del server RADIUS e un segreto condiviso.In the Add RADIUS Server dialog box, enter the IP address of the RADIUS server and a shared secret.

    Il segreto condiviso deve essere lo stesso per il server RADIUS e per il server Azure Multi-Factor Authentication.The shared secret needs to be the same on both the Azure Multi-Factor Authentication Server and RADIUS server. Se il server RADIUS utilizza porte diverse, modificare le porte di autenticazione e Accounting.Change the Authentication port and Accounting port if different ports are used by the RADIUS server.

  7. Fare clic su OK.Click OK.

  8. Aggiungere il server Azure MFA come client RADIUS negli altri server RADIUS in modo che questo elabori le richieste di accesso ricevute dal server Azure MFA.Add the Azure MFA Server as a RADIUS client in the other RADIUS server so that it can process access requests sent to it from the Azure MFA Server. Usare lo stesso segreto condiviso configurato nel server Azure Multi-Factor Authentication.Use the same shared secret configured in the Azure Multi-Factor Authentication Server.

Ripetere questi passaggi per aggiungere altri server RADIUS.Repeat these steps to add more RADIUS servers. Configurare l'ordine in cui devono essere chiamati dal server Azure MFA con i pulsanti Sposta su e Sposta giù.Configure the order in which the Azure MFA Server should call them with the Move Up and Move Down buttons.

La configurazione del server Azure Multi-Factor Authentication è stata completata.You've successfully configured the Azure Multi-Factor Authentication Server. Il Server è in attesa sulle porte configurate per le richieste di accesso RADIUS dai client configurati.The Server is now listening on the configured ports for RADIUS access requests from the configured clients.

Configurazione del client RADIUSRADIUS Client configuration

Per configurare il client RADIUS, utilizzare le linee guida:To configure the RADIUS client, use the guidelines:

  • Configurare l'appliance/server per l'autenticazione tramite RADIUS all'indirizzo IP del server Azure Multi-Factor Authentication, che funge da server RADIUS.Configure your appliance/server to authenticate via RADIUS to the Azure Multi-Factor Authentication Server’s IP address, which acts as the RADIUS server.
  • Usare lo stesso segreto condiviso configurato in precedenza.Use the same shared secret that was configured earlier.
  • Impostare il timeout di RADIUS su un valore compreso tra 30 e 60 secondi in modo da rendere disponibile una quantità di tempo sufficiente per convalidare le credenziali dell'utente, eseguire l'autenticazione in due passaggi, ricevere la risposta e quindi rispondere alla richiesta di accesso RADIUS.Configure the RADIUS timeout to 30-60 seconds so that there is time to validate the user’s credentials, perform two-step verification, receive their response, and then respond to the RADIUS access request.

Passaggi successiviNext steps

Se si usa Azure Multi-Factor Authentication nel cloud, vedere l'articolo relativo all'integrazione con l'autenticazione RADIUS.Learn how to integrate with RADIUS authentication if you have Azure Multi-Factor Authentication in the cloud.