Share via

Integrar a autenticação RADIUS com o Servidor Multi-Factor Authentication do Azure

  • Artigo

O RADIUS é um protocolo padrão para aceitar pedidos de autenticação e para processar esses pedidos. O Servidor Multi-Factor Authentication do Azure pode funcionar como um servidor RADIUS. Insira-o entre o cliente RADIUS (a aplicação VPN) e o destino de autenticação para adicionar a verificação de dois passos. O destino de autenticação pode ser o Active Directory, um diretório LDAP ou outro servidor RADIUS. Para que a autenticação multifator do Azure funcione, você deve configurar o Servidor Azure MFA para que ele possa se comunicar com os servidores cliente e o destino de autenticação. O Servidor Azure MFA aceita solicitações de um cliente RADIUS, valida credenciais em relação ao destino de autenticação, adiciona autenticação multifator do Azure e envia uma resposta de volta ao cliente RADIUS. A solicitação de autenticação só terá êxito se a autenticação primária e a autenticação multifator do Azure forem bem-sucedidas.

Importante

Em setembro de 2022, a Microsoft anunciou a descontinuação do Azure Multi-Factor Authentication Server. A partir de 30 de setembro de 2024, as implantações do Servidor Azure Multi-Factor Authentication não atenderão mais às solicitações de autenticação multifator, o que pode fazer com que as autenticações falhem para sua organização. Para garantir serviços de autenticação ininterruptos e permanecer em um estado com suporte, as organizações devem migrar os dados de autenticação de seus usuários para o serviço Azure MFA baseado em nuvem usando o Utilitário de Migração mais recente incluído na atualização mais recente do Azure MFA Server. Para obter mais informações, consulte Migração do Azure MFA Server.

Para começar a usar o MFA baseado em nuvem, consulte Tutorial: Eventos de entrada de usuário seguro com a autenticação multifator do Microsoft Entra.

Se você usa MFA baseada em nuvem, consulte Integrar sua infraestrutura NPS existente com a autenticação multifator do Azure.

Nota

O Servidor MFA apenas suporta os protocolos RADIUS PAP (protocolo de autenticação de palavras-passe) e MSCHAPv2 (Challenge Handshake Authentication Protocol da Microsoft) ao atuar como um servidor RADIUS. Podem ser utilizados outros protocolos, como o EAP (protocolo de autenticação extensível), quando o servidor MFA funciona como um proxy RADIUS para outro servidor RADIUS que suporte esse protocolo.

Nesta configuração, os tokens SMS e OATH unidirecionais não funcionam, uma vez que o Servidor MFA não consegue iniciar uma resposta Challenge RADIUS com êxito utilizando protocolos alternativos.

Radius Authentication in MFA Server

Adicionar um cliente RADIUS

Para configurar a autenticação RADIUS, instale o Servidor Multi-Factor Authentication do Azure num servidor do Windows. Se tiver um ambiente do Active Directory, o servidor deve ser associado ao domínio dentro da rede. Utilize o seguinte procedimento para configurar o Servidor Multi-Factor Authentication do Azure:

  1. No Servidor Multi-Factor Authentication do Azure, clique no ícone Autenticação RADIUS no menu da esquerda.

  2. Marque a caixa de verificação Ativar autenticação RADIUS.

  3. No separador Clientes, altere a portas de Autenticação e Gestão de Contas se o serviço RADIUS do MFA do Azure tiver de escutar os pedidos RADIUS em portas não padrão.

  4. Clique em Adicionar.

  5. Introduza o endereço IP da aplicação/servidor que irá autenticar no Servidor Multi-Factor Authentication do Azure, um nome de aplicação (opcional) e um segredo partilhado.

    O nome da aplicação aparece nos relatórios e poderá ser apresentado nas mensagens de autenticação SMS ou da aplicação móvel.

    O segredo partilhado tem de ser o mesmo no Servidor Multi-Factor Authentication do Azure e na aplicação/servidor.

  6. Marque a caixa Exigir correspondência de usuário de autenticação multifator se todos os usuários tiverem sido importados para o Servidor e estiverem sujeitos à autenticação multifator. Se um número significativo de utilizadores ainda não tiverem sido importados para o Servidor ou são excluídos da verificação em dois passos, deixe a caixa desmarcada.

  7. Marque a caixa Ativar token OATH de contingência se pretender utilizar códigos de acesso a partir de aplicações móveis de verificação como método de cópia de segurança.

  8. Clique em OK.

Repita os passos de 4 a 8 para adicionar o número de clientes RADIUS adicionais que precisar.

Configurar o cliente RADIUS

  1. Clique no separador Destino.

    • Se o Servidor Azure MFA estiver instalado em um servidor associado a um domínio em um ambiente do Ative Directory, selecione Domínio do Windows.
    • Se os utilizadores tiverem de ser autenticados num diretório LDAP, selecione Enlace de LDAP. Selecione o ícone de Integração de Diretórios e edite a configuração LDAP no separador Definições, para que o Servidor possa ser vinculado ao seu diretório. Pode encontrar instruções para a configuração de LDAP no guia de configuração do Proxy LDAP.
    • Se os usuários devem ser autenticados em outro servidor RADIUS, selecione servidor(es) RADIUS.

  2. Clique em Adicionar para configurar o servidor no qual o servidor MFA do Azure fará o proxy dos pedidos RADIUS.

  3. Na caixa de diálogo Adicionar Servidor RADIUS, introduza o endereço IP do servidor RADIUS e um segredo partilhado.

    O segredo partilhado tem de ser o mesmo no Servidor Multi-Factor Authentication do Azure e no servidor RADIUS. Altere a porta de Autenticação e a porta de Gestão de Contas se forem utilizadas portas diferentes pelo servidor RADIUS.

  4. Clique em OK.

  5. Adicione o Servidor MFA do Azure como um cliente RADIUS no outro servidor RADIUS para que possa processar os pedidos de acesso enviados do Servidor MFA do Azure. Utilize o mesmo segredo partilhado configurado no Servidor Multi-Factor Authentication do Azure.

Repita estes passos para adicionar mais servidores RADIUS. Configure a ordem pela qual o Servidor MFA do Azure os deve chamar com os botões Mover Para Cima e Mover Para Baixo.

Configurou com êxito o Servidor Multi-Factor Authentication do Azure. O Servidor está agora a escutar nas portas configuradas para pedidos de acesso RADIUS dos clientes configurados.

Configuração do Cliente RADIUS

Para configurar o cliente RADIUS, utilize as diretrizes:

  • Configure seu aparelho/servidor para autenticar via RADIUS no endereço IP do Servidor Azure Multi-Factor Authentication, que atua como o servidor RADIUS.
  • Utilize o mesmo segredo partilhado que foi configurado anteriormente.
  • Configure o tempo limite do RADIUS para 60 segundos para que haja tempo para validar as credenciais do usuário, executar a verificação em duas etapas, receber sua resposta e, em seguida, responder à solicitação de acesso RADIUS.

Próximos passos

Saiba como integrar com a autenticação RADIUS se tiver a autenticação multifator Microsoft Entra na nuvem.