Abilitare l'autenticazione con il server Azure Multi-Factor AuthenticationEnable mobile app authentication with Azure Multi-Factor Authentication Server

L'app Microsoft Authenticator offre un'opzione di verifica fuori banda aggiuntiva.The Microsoft Authenticator app offers an additional out-of-band verification option. Invece di effettuare una chiamata automatizzata o di inviare un SMS all'utente durante l'accesso, Azure Multi-Factor Authentication inoltra una notifica push all'app Microsoft Authenticator sul tablet o sullo smartphone dell'utente.Instead of placing an automated phone call or SMS to the user during login, Azure Multi-Factor Authentication pushes a notification to the Microsoft Authenticator app on the user’s smartphone or tablet. L'utente tocca semplicemente Verifica (o immette un PIN e tocca "Esegui autenticazione") nell'app per eseguire l'accesso.The user simply taps Verify (or enters a PIN and taps “Authenticate”) in the app to complete their sign-in.

Quando la ricezione del telefono non è affidabile, è preferibile usare un'app per dispositivi mobili per la verifica in due passaggi.Using a mobile app for two-step verification is preferred when phone reception is unreliable. Se si usa l'app come un generatore di token OATH, non è necessaria una connessione di rete o Internet.If you use the app as an OATH token generator, it doesn't require any network or internet connection.

A seconda dell'ambiente, è possibile distribuire il servizio Web per app per dispositivi mobili nello stesso server in cui è in esecuzione il server Azure Multi-Factor Authentication o in un altro server con connessione Internet.Depending on your environment, you may want to deploy the mobile app web service on the same server as Azure Multi-Factor Authentication Server or on another internet-facing server.

RequisitiRequirements

Per usare l'app Microsoft Authenticator, è necessario quanto segue in modo che l'app possa comunicare correttamente con il servizio Web app per dispositivi mobili:To use the Microsoft Authenticator app, the following are required so that the app can successfully communicate with Mobile App Web Service:

  • Server Azure Multi-Factor Authentication v6.0 o versioni successiveAzure Multi-Factor Authentication Server v6.0 or higher
  • Installare il servizio Web app per dispositivi mobili in un server Web con connessione Internet che esegue Microsoft® Internet Information Services (IIS) 7.x o versione successivaInstall Mobile App Web Service on an Internet-facing web server running Microsoft® Internet Information Services (IIS) IIS 7.x or higher
  • ASP.NET v4.0.30319 deve essere installato, registrato e impostato su ConsentitoASP.NET v4.0.30319 is installed, registered, and set to Allowed
  • I servizi ruolo obbligatori includono ASP.NET e Compatibilità metabase IIS 6Required role services include ASP.NET and IIS 6 Metabase Compatibility
  • Il servizio Web app per dispositivi mobili deve essere accessibile tramite un URL pubblicoMobile App Web Service is accessible via a public URL
  • Il servizio Web app per dispositivi mobili deve essere protetto con un certificato SSL.Mobile App Web Service is secured with an SSL certificate.
  • Installare l'SDK del servizio Web Azure Multi-Factor Authentication in IIS 7.x o versione successiva nello stesso server in cui è in esecuzione il server Azure Multi-Factor AuthenticationInstall the Azure Multi-Factor Authentication Web Service SDK in IIS 7.x or higher on the same server as the Azure Multi-Factor Authentication Server
  • L'SDK del servizio Web Azure Multi-Factor Authentication deve essere protetto con un certificato SSL.The Azure Multi-Factor Authentication Web Service SDK is secured with an SSL certificate.
  • Il servizio Web app per dispositivi mobili deve essere in grado di connettersi all'SDK servizio Web Azure Multi-Factor Authentication tramite SSLMobile App Web Service can connect to the Azure Multi-Factor Authentication Web Service SDK over SSL
  • Il servizio Web app per dispositivi mobili deve essere in grado di eseguire l'autenticazione all'SDK servizio Web Azure MFA usando le credenziali di un account di servizio membro del gruppo di sicurezza "PhoneFactor Admins".Mobile App Web Service can authenticate to the Azure MFA Web Service SDK using the credentials of a service account that is a member of the "PhoneFactor Admins" security group. Questo account e gruppo del servizio esistono in Active Directory se il server Azure Multi-Factor Authentication si trova su un server appartenente a un dominio.This service account and group exist in Active Directory if the Azure Multi-Factor Authentication Server is on a domain-joined server. Questo account del servizio e il gruppo esistono in locale sul server Azure Multi-Factor Authentication se non è aggiunto a un dominio.This service account and group exist locally on the Azure Multi-Factor Authentication Server if it is not joined to a domain.

Installare il servizio Web app per dispositivi mobiliInstall the mobile app web service

Prima di installare il servizio Web app per dispositivi mobili, tenere presente i dettagli seguenti:Before installing the mobile app web service, be aware of the following details:

  • È necessario un account del servizio che fa parte del gruppo "PhoneFactor Admins".You need a Service Account that is a part of "PhoneFactor Admins" Group. L'account può essere lo stesso usato per l'installazione del portale utenti.This account can be the same as the one used for the User Portal installation.
  • È utile aprire un browser Web nel server Web connesso a Internet e andare all'URL dell'SDK servizio Web riportato nel file web.config.It is helpful to open a web browser on the Internet-facing web server and navigate to the URL of the Web Service SDK that was entered into the web.config file. Se il browser è in grado di accedere al servizio Web, chiederà le credenziali.If the browser can get to the web service successfully, it should prompt you for credentials. Immettere il nome utente e la password immessi nel file web.config esattamente come visualizzati nel file.Enter the username and password that were entered into the web.config file exactly as it appears in the file. Assicurarsi che non vengano visualizzati errori o avvisi relativi al certificato.Ensure that no certificate warnings or errors are displayed.
  • Se un proxy inverso o un firewall si trova prima del server Web del servizio Web app per dispositivi mobili ed esegue l'offload SSL, è possibile modificare il file web.config del servizio Web app per dispositivi mobili in modo che il servizio Web app per dispositivi mobili possa usare il protocollo http anziché https.If a reverse proxy or firewall is sitting in front of the Mobile App Web Service web server and performing SSL offloading, you can edit the Mobile App Web Service web.config file so that the Mobile App Web Service can use http instead of https. SSL è comunque richiesto dall'app per dispositivi mobili per il proxy inverso o per il firewall.SSL is still required from the Mobile App to the firewall/reverse proxy. Aggiungere la chiave seguente alla sezione <appSettings>:Add the following key to the <appSettings> section:

      <add key="SSL_REQUIRED" value="false"/>
    

Installare l'SDK del servizio WebInstall the web service SDK

In entrambi gli scenari, se l'SDK del servizio Web Azure Multi-Factor Authentication non è già installato nel server Azure Multi-Factor Authentication (MFA), seguire questa procedura:In either scenario, if the Azure Multi-Factor Authentication Web Service SDK is not already installed on the Azure Multi-Factor Authentication (MFA) Server, complete the steps that follow.

  1. Aprire la console del server Multi-Factor Authentication.Open the Multi-Factor Authentication Server console.
  2. Passare all'SDK del servizio Web e selezionare Installa SDK servizio Web.Go to the Web Service SDK and select Install Web Service SDK.
  3. Completare l'installazione usando le impostazioni predefinite, a meno che non sia necessario modificarle per qualche motivo.Complete the install using the defaults unless you need to change them for some reason.
  4. Associare un certificato SSL al sito in IIS.Bind an SSL Certificate to the site in IIS.

Per eventuali dubbi sulla configurazione di un certificato SSL in un server IIS, vedere l'articolo How to Set Up SSL on IIS (Come configurare SSL in IIS).If you have questions about configuring an SSL Certificate on an IIS server, see the article How to Set Up SSL on IIS.

L'SDK servizio Web deve essere protetto con un certificato SSL.The Web Service SDK must be secured with an SSL certificate. Un certificato autofirmato è accettabile per questo scopo.A self-signed certificate is okay for this purpose. Importare il certificato nell'archivio "Autorità di certificazione radice disponibile nell'elenco locale" dell'account del computer locale nel server Web del portale utenti, in modo che venga considerato attendibile all'avvio della connessione SSL.Import the certificate into the “Trusted Root Certification Authorities” store of the Local Computer account on the User Portal web server so that it trusts that certificate when initiating the SSL connection.

Configurazione del server MFA, SDK servizio Web

Installare il servizioInstall the service

  1. Nel server MFA passare al percorso di installazione.On the MFA Server, browse to the installation path.
  2. Passare alla cartella in cui è installato il server Azure MFA, l'impostazione predefinita è C:\Program Files\Azure Multi-Factor Authentication.Navigate to the folder where the Azure MFA Server is installed the default is C:\Program Files\Azure Multi-Factor Authentication.
  3. Trovare il file di installazione MultiFactorAuthenticationMobileAppWebServiceSetup64.Locate the installation file MultiFactorAuthenticationMobileAppWebServiceSetup64. Se il server non ha una connessione Internet, copiare il file di installazione nel server connesso a Internet.If the server is not Internet-facing, copy the installation file to the Internet-facing server.
  4. Se il server MFA non ha una connessione Internet, passare al server con connessione Internet.If the MFA Server is not internet-facing switch to the internet-facing server.
  5. Eseguire il file di installazione MultiFactorAuthenticationMobileAppWebServiceSetup64 come amministratore, modificare il sito se necessario ed eventualmente sostituire il nome della directory virtuale con un nome breve.Run the MultiFactorAuthenticationMobileAppWebServiceSetup64 install file as an administrator, change the Site if desired and change the Virtual directory to a short name if you would like.
  6. Dopo aver completato l'installazione, passare a C:\inetpub\wwwroot\MultiFactorAuthMobileAppWebService o alla directory appropriata in base al nome della directory virtuale e modificare il file Web.Config.After finishing the install, browse to C:\inetpub\wwwroot\MultiFactorAuthMobileAppWebService (or appropriate directory based on the virtual directory name) and edit the Web.Config file.

    • Trovare la chiave "WEB_SERVICE_SDK_AUTHENTICATION_USERNAME" e sostituire value="" con value="DOMAIN\User", dove DOMAIN\User è un account del servizio che fa parte del gruppo "PhoneFactor Admins".Find the key "WEB_SERVICE_SDK_AUTHENTICATION_USERNAME" and change value="" to value="DOMAIN\User" where DOMAIN\User is a Service Account that is a part of "PhoneFactor Admins" Group.
    • Trovare la chiave "WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD" e sostituire value="" con value="Password", dove Password è la password dell'account del servizio specificato alla riga precedente.Find the key "WEB_SERVICE_SDK_AUTHENTICATION_PASSWORD" and change value="" to value="Password" where Password is the password for the Service Account entered in the previous line.
    • Trovare l'impostazione pfMobile App Web Service_pfwssdk_PfWsSdk e sostituire il valore http://localhost:4898/PfWsSdk.asmx con l'URL dell'SDK servizio Web, ad esempio https://mfa.contoso.com/MultiFactorAuthWebServiceSdk/PfWsSdk.asmx.Find the pfMobile App Web Service_pfwssdk_PfWsSdk setting and change the value from http://localhost:4898/PfWsSdk.asmx to the Web Service SDK URL (Example: https://mfa.contoso.com/MultiFactorAuthWebServiceSdk/PfWsSdk.asmx).
    • Salvare il file Web.Config e chiudere il Blocco note.Save the Web.Config file and close Notepad.

    Nota

    Dato che per la connessione viene usato SSL, è necessario fare riferimento all'SDK servizio Web come nome di dominio completo e non come indirizzo IP.Since SSL is used for this connection, you must reference the Web Service SDK by fully qualified domain name (FQDN) and not IP address. Il certificato SSL viene rilasciato per il nome di dominio completo e l'URL usato deve corrispondere al nome sul certificato.The SSL certificate would have been issued for the FQDN and the URL used must match the name on the certificate.

  7. Se il sito Web in cui è installato il servizio Web per app per dispositivi mobili non è già stato associato a un certificato firmato pubblicamente, installare il certificato nel server, aprire Gestione IIS e associare il certificato al sito Web.If the website that Mobile App Web Service was installed under has not already been bound with a publicly signed certificate, install the certificate on the server, open IIS Manager, and bind the certificate to the website.

  8. Aprire un Web browser da qualsiasi computer e passare all'URL in cui è stato installato il servizio Web per app per dispositivi mobili, ad esempio https://mfa.contoso.com/MultiFactorAuthMobileAppWebService.Open a web browser from any computer and navigate to the URL where Mobile App Web Service was installed (Example: https://mfa.contoso.com/MultiFactorAuthMobileAppWebService). Assicurarsi che non vengano visualizzati errori o avvisi relativi al certificato.Ensure that no certificate warnings or errors are displayed.

Configurare le impostazioni dell'app per dispositivi mobili nel server Azure Multi-Factor AuthenticationConfigure the mobile app settings in the Azure Multi-Factor Authentication Server

Il servizio Web app per dispositivi mobili è ora installato. È necessario configurare il server Azure Multi-Factor Authentication per l'utilizzo con il portale.Now that the mobile app web service is installed, you need to configure the Azure Multi-Factor Authentication Server to work with the portal.

  1. Nella console del server Multi-Factor Authentication fare clic sull'icona del portale utenti.In the Multi-Factor Authentication Server console, click the User Portal icon. Se gli utenti sono autorizzati a controllare i metodi di autenticazione, nella scheda Impostazioni, in Consenti agli utenti di selezionare il metodo, selezionare App per dispositivi mobili.If users are allowed to control their authentication methods, check Mobile App on the Settings tab, under Allow users to select method. Se questa funzionalità non è abilitata, agli utenti finali viene richiesto di contattare l'help desk per completare l'attivazione dell'app per dispositivi mobili.Without this feature enabled, end users are required to contact your Help Desk to complete activation for the Mobile App.
  2. Selezionare la casella Consenti agli utenti di attivare l'app mobile.Check the Allow users to activate Mobile App box.
  3. Selezionare la casella Consenti registrazione utente.Check the Allow User Enrollment box.
  4. Fare clic sull'icona dell'app per dispositivi mobili.Click the Mobile App icon.
  5. Immettere l'URL usato con la directory virtuale creata durante l'installazione di MultiFactorAuthenticationMobileAppWebServiceSetup64, ad esempio https://mfa.contoso.com/MultiFactorAuthMobileAppWebService/ nel campo URL servizio Web app mobile.Enter the URL being used with the virtual directory that was created when installing MultiFactorAuthenticationMobileAppWebServiceSetup64 (Example: https://mfa.contoso.com/MultiFactorAuthMobileAppWebService/) in the field Mobile App Web Service URL:.
  6. Popolare il campo Nome account con il nome della società o dell'organizzazione da visualizzare nell'app per dispositivi mobili per questo account.Populate the Account name field with the company or organization name to display in the mobile application for this account. Impostazioni dell'app per dispositivi mobili per la configurazione del server MFAMFA Server configuration Mobile App settings

Passaggi successiviNext steps