Autenticação LDAP e Servidor Azure Multi-Factor Authentication

Por predefinição, o Servidor Multi-Factor Authentication do Azure está configurado para importar ou sincronizar os utilizadores do Active Directory. No entanto, pode ser configurado para ser vinculado a diferentes diretórios LDAP, como um diretório do ADAM ou controlador de domínio específico do Active Directory. Quando conectado a um diretório via LDAP, o Servidor Azure Multi-Factor Authentication pode atuar como um proxy LDAP para executar autenticações. O Servidor Azure Multi-Factor Authentication também pode usar a associação LDAP como um destino RADIUS para pré-autenticar usuários do IIS ou para autenticação primária no portal do usuário do Azure Multi-Factor Authentication.

Para usar o Azure Multi-Factor Authentication como um proxy LDAP, insira o Servidor Azure Multi-Factor Authentication entre o cliente LDAP (por exemplo, dispositivo VPN, aplicativo) e o servidor de diretório LDAP. O Servidor Multi-Factor Authentication do Azure tem de ser configurado para comunicar com os servidores cliente e o diretório LDAP. Nesta configuração, o Servidor Multi-Factor Authentication do Azure aceita os pedidos LDAP das aplicações e dos servidores cliente e reencaminha-os para o servidor de diretório LDAP de destino para validar as credenciais principais. Se o diretório LDAP validar as credenciais primárias, o Azure Multi-Factor Authentication executará uma segunda verificação de identidade e enviará uma resposta de volta ao cliente LDAP. A autenticação completa só será bem-sucedida se tanto a autenticação do servidor LDAP, como a verificação de segundo passo, tiverem êxito.

Importante

Em setembro de 2022, a Microsoft anunciou a descontinuação do Azure Multi-Factor Authentication Server. A partir de 30 de setembro de 2024, as implantações do Servidor Azure Multi-Factor Authentication não atenderão mais às solicitações de MFA (autenticação multifator), o que pode fazer com que as autenticações falhem em sua organização. Para garantir serviços de autenticação ininterruptos e permanecer em um estado com suporte, as organizações devem migrar os dados de autenticação de seus usuários para o serviço Azure Multi-Factor Authentication baseado em nuvem usando o Utilitário de Migração mais recente incluído na atualização mais recente do Servidor Azure Multi-Factor Authentication. Para obter mais informações, consulte Migração do servidor Azure Multi-Factor Authentication.

Para começar a usar o MFA baseado em nuvem, consulte Tutorial: Eventos de entrada de usuário seguro com a Autenticação Multifator do Azure.

Configurar autenticação LDAP

Para configurar a autenticação LDAP, instale o Servidor Multi-Factor Authentication do Azure num servidor do Windows. Utilize o seguinte procedimento:

Adicionar um cliente LDAP

1. No Servidor Azure Multi-Factor Authentication, selecione o ícone Autenticação LDAP no menu à esquerda.

2. Selecione a caixa de verificação Ativar Autenticação LDAP.

   

3. Na guia Clientes, altere a porta TCP e a porta SSL (TLS) se o serviço LDAP do Azure Multi-Factor Authentication deve se vincular a portas não padrão para escutar solicitações LDAP.

4. Se você planeja usar LDAPS do cliente para o Servidor Azure Multi-Factor Authentication, um certificado TLS/SSL deve ser instalado no mesmo servidor que o Servidor MFA. Clique em Procurar ao lado da caixa de certificado SSL (TLS) e selecione um certificado a ser usado para a conexão segura.

5. Clique em Adicionar.

6. Na caixa de diálogo Adicionar Cliente LDAP, digite o endereço IP do aparelho, servidor ou aplicativo que se autentica no Servidor e um nome de Aplicativo (opcional). O nome da Aplicação aparece nos relatórios do Multi-Factor Authentication do Azure e poderá ser apresentado nas mensagens de autenticação SMS ou da Aplicação Móvel.

7. Selecione a caixa de correspondência de utilizador Exigir autenticação Azure Multi-Factor Authentication se todos os utilizadores tiverem sido ou forem importados para o Servidor e forem sujeitos à verificação em dois passos. Se um número significativo de usuários ainda não tiver sido importado para o Servidor e/ou estiver isento da verificação em duas etapas, deixe a caixa desmarcada. Consulte o arquivo de ajuda do MFA Server para obter informações adicionais sobre esse recurso.

Repita estas etapas para adicionar mais clientes LDAP.

Configurar a ligação do diretório LDAP

Quando o Multi-Factor Authentication do Azure está configurado para receber autenticações LDAP, é necessário utilizar o proxy nessas autenticações para o diretório LDAP. Assim, o separador Destino apenas apresenta uma única opção desativada para utilizar um destino LDAP.

Nota

Não é garantido que a integração de diretórios funcione com diretórios diferentes dos Serviços de Domínio Ative Directory.

1. Para configurar a ligação do diretório LDAP, clique no ícone de Integração de Diretórios.

2. No separador Definições, selecione o botão de opção Utilizar configuração de LDAP específica.

3. Selecione Editar

4. Na caixa de diálogo Editar Configuração de LDAP, preencha os campos com as informações necessárias para ligar ao diretório LDAP. O ficheiro de ajuda do Servidor Multi-Factor Authentication do Azure inclui descrições dos campos.

   

5. Teste a ligação LDAP, clicando no botão Testar.

6. Se o teste de ligação LDAP for concluído com êxito, clique no botão OK.

7. Clique na guia Filtros . O servidor é pré-configurado para carregar contêineres, grupos de segurança e usuários do Ative Directory. Se vincular a outro diretório LDAP, provavelmente terá de editar os filtros apresentados. Clique na ligação Ajuda para obter mais informações sobre filtros.

8. Clique na guia Atributos . O servidor é pré-configurado para mapear atributos do Ative Directory.

9. Se estiver a vincular a outro diretório LDAP ou para alterar os mapeamentos de atributos pré-configurados, clique no botão Editar...

10. Na caixa de diálogo Editar Atributos, modifique os mapeamentos de atributos LDAP para o seu diretório. Os nomes dos atributos podem ser digitados ou selecionados clicando no botão ... ao lado de cada campo. Clique na ligação Ajuda para obter mais informações sobre atributos.

11. Clique no botão OK.

12. Clique no ícone Definições da Empresa e selecione o separador Resolução de Nomes de Utilizador.

13. Se estiver a ligar ao Active Directory a partir de um servidor associado a um domínio, deixe o botão de opção Utilizar identificadores de segurança (SIDs) do Windows para nomes de utilizador correspondentes selecionado. Caso contrário, selecione o botão de opção Utilizar o atributo de identificador exclusivo de LDAP para nomes de utilizador correspondentes.

Se o botão de opção Utilizar o atributo de identificador exclusivo de LDAP para nomes de utilizador correspondentes estiver selecionado, o Servidor Multi-Factor Authentication do Azure tenta resolver cada nome de utilizador para um identificador exclusivo no diretório LDAP. Uma pesquisa LDAP é realizada nos atributos de nome de usuário definidos na guia Atributos de integração > de diretório. Quando um usuário se autentica, o nome de usuário é resolvido para o identificador exclusivo no diretório LDAP. O identificador exclusivo é usado para corresponder ao usuário no arquivo de dados do Azure Multi-Factor Authentication. Isso permite comparações que não diferenciam maiúsculas de minúsculas e formatos de nome de usuário longos e curtos.

Depois de concluir essas etapas, o MFA Server escuta as portas configuradas para solicitações de acesso LDAP dos clientes configurados e atua como um proxy para essas solicitações para o diretório LDAP para autenticação.

Configurar cliente LDAP

Para configurar o cliente LDAP, utilize as diretrizes:

• Configure o seu dispositivo, servidor ou aplicação para fazer a autenticação através de LDAP no Servidor Multi-Factor Authentication do Azure como se fosse o seu diretório LDAP. Use as mesmas configurações que você normalmente usa para se conectar diretamente ao diretório LDAP, mas use o Servidor Azure Multi-Factor Authentication para o nome do servidor ou endereço IP.
• Configure o tempo limite LDAP para 30-60 segundos para fornecer tempo suficiente para validar as credenciais do usuário com o diretório LDAP, executar a verificação de segunda etapa, receber sua resposta e responder à solicitação de acesso LDAP.
• Se estiver usando LDAPS, o dispositivo ou servidor que faz as consultas LDAP deve confiar no certificado TLS/SSL instalado no Servidor Azure Multi-Factor Authentication.