Utilize o Servidor de Autenticação Multi-Factor Azure para ativar o PAM ou o SSPR

O documento que se segue descreve como configurar o servidor Azure MFA como uma segunda camada de segurança quando os seus utilizadores ativam funções em Gestão de Acesso Privilegiado ou Self-Service Redefinição de Password.

Importante

Devido à depreciação do Azure Multi-Factor Authentication (MFA) Software Development Kit (SDK), os clientes não poderão mais descarregar o Azure MFA SDK.

O artigo abaixo descreve a atualização de configuração e passos para permitir a mudança de Azure MFA SDK para Azure MFA Server.

Pré-requisitos

Para utilizar o Azure Multi-Factor Authentication Server com MIM, é necessário:

  • Acesso à Internet de cada MIM Serviço ou MFA Server que fornece PAM e SSPR, para contactar o serviço Azure MFA
  • Uma subscrição do Azure
  • A instalação já está a utilizar o Azure MFA SDK
  • Azure Ative Directory Premium licenças para utilizadores candidatos
  • Números de telefone para todos os utilizadores candidatos
  • MIM hotfix 4.5. ou maior ver história versão para anúncios

Configuração do servidor de autenticação multi-factor Azure

Nota

Na configuração, necessitará de um certificado SSL válido instalado para o SDK.

Passo 1: Descarregue o Servidor de Autenticação Multi-Factor Azure a partir do portal Azure

Faça o sível no portal Azure e descarregue o servidor Azure MFA. trabalho-com-mfaserver-para-mim_downloadmfa

Passo 2: Gerar credenciais de ativação

Utilize as credenciais de ativação Gerar para iniciar a utilização do link para gerar credenciais de ativação. Uma vez gerado, guarde para utilização posterior.

Passo 3: Instalar o Servidor de Autenticação Multi-Factor Azure

Uma vez descarregado o servidor, instale-o. As suas credenciais de ativação serão necessárias.

Passo 4: Crie a sua Aplicação Web IIS que irá acolher o SDK

  1. Open IIS Manager working-with-mfaserver-for-mim_iis.PNG
  2. Crie um novo website chamado "MIM MFASDK", ligue-o a um diretório vazioworking-with-mfaserver-for-mim_sdkweb.PNG
  3. Abra a consola de autenticação multi-factor e clique em SDK working-with-mfaserver-for-mim_sdkinstall.PNG
  4. Uma vez que os assistentes clicam através do config, selecione "MIM MFASDK" e o pool de aplicações

Nota

O Assistente exigirá a criação de um grupo de administração. Mais informações podem ser encontradas na documentação do >> Azure MFA Azure Multi-Factor Authentication Server.

  1. Em seguida, precisamos importar a conta de serviço MIM abrir consola de autenticação multi-factor selecionando "Utilizadores" a. Clique em "Import from Ative Directory" b. Navegue para a conta de serviço, como "contoso\mimservice" c. Clique em "Importar" e "Fechar" working-with-mfaserver-for-mim_importmimserviceaccount.PNG
  2. Editar a conta de Serviço MIM para ativar na consola de autenticação multi-factor working-with-mfaserver-for-mim_enableserviceaccount.PNG
  3. Atualize a autenticação do IIS no website "MIM MFASDK". Primeiro desativaremos a "Autenticação Anónima" e depois ativaremos Windows autenticação" working-with-mfaserver-for-mim_iisconfig.PNG
  4. Passo Final: Adicione a conta de serviço MIM àworking-with-mfaserver-for-mim_addservicetomfaadmin.PNG"PhoneFactor Admins

Configurar o serviço de MIM para o Servidor de Autenticação Multi-Factor Azure

Passo 1: Patch Server para 4.5.202.0

Passo 2: Cópia de segurança e abra o MfaSettings.xml localizado no "C:\Program Files\Microsoft Forefront Identity Manager\2010\Service"

Passo 3: Atualizar as seguintes linhas

  1. Remover/Limpar as seguintes linhas de entradas de configuração
    <LICENSE_KEY >< /LICENSE_KEY>
    <GROUP_KEY >< /GROUP_KEY>
    <CERT_PASSWORD >< /CERT_PASSWORD>

  2. Atualizar ou adicionar as seguintes linhas ao seguinte MfaSettings.xml
    <Username>mimservice@contoso.com</Username>
    <LOCMFA>true</LOCMFA>
    <LOCMFASRV>https://CORPSERVICE.contoso.com:9999/MultiFactorAuthWebServiceSdk/PfWsSdk.asmx</LOCMFASRV>

  3. Reinicie MIM serviço e teste de funcionalidade com O Servidor de Autenticação Multi-Factor Azure.

Nota

Para reverter a definição substitua MfaSettings.xml pelo seu ficheiro de cópia de segurança no passo 2

Ver também