Пошаговое руководство: управление рисками для уязвимых приложений с помощью дополнительной многофакторной проверки подлинности

Информация о руководстве

в этом пошаговом руководстве приведены инструкции по настройке многофакторной проверки подлинности (MFA) в службы федерации Active Directory (AD FS) (AD FS) в Windows Server 2012 R2 на основе данных членства пользователя в группах.

Дополнительные сведения о MFA и механизмах проверки подлинности в AD FS см. в статье Управление рисками с помощью дополнительной многофакторной проверки подлинности для конфиденциальных приложений.

Это пошаговое руководство включает в себя следующие разделы.

Шаг 1. Настройка лабораторной среды

Для выполнения этого пошагового руководства вам потребуется среда, состоящая из следующих компонентов:

  • домен Active Directory с тестовыми учетными записями пользователей и групп, работающими на Windows Server 2012 R2 или Active Directory домене, работающем на Windows server 2008, Windows Server 2008 R2 или Windows Server 2012 с обновленной схемой до Windows Server 2012 R2

  • сервер федерации, работающий на Windows Server 2012 R2

  • веб-сервера, на котором размещен пример приложения;

  • клиентского компьютера, с которого осуществляется доступ к примеру приложения.

Предупреждение

Настоятельно не рекомендуется (как в производственной, так и в тестовой среде) использовать один и тот же компьютер в качестве сервера федерации и веб-сервера.

В этой среде сервер федерации выдает утверждения, которые необходимы для доступа пользователей к примеру приложения. На веб-сервере размещается пример приложения, которое будет считать доверенными пользователей, предъявивших утверждения, выданные сервером федерации.

инструкции по настройке этой среды см. в разделе настройка лабораторной среды для AD FS в Windows Server 2012 R2.

Шаг 2. Проверка стандартного механизма проверки подлинности через службы AD FS

В этом шаге вы проверите стандартный механизм управления доступом через службы AD FS (проверка подлинности с помощью форм для экстрасети и проверка подлинности Windows для интрасети), который перенаправляет пользователя на страницу входа AD FS, где ему нужно ввести действительные учетные данные, после чего пользователю будет предоставлен доступ к приложению. вы можете использовать учетную запись роберт хатлэй AD и пример приложения клаимапп , настроенного в настройке лабораторной среды для AD FS в Windows Server 2012 R2.

  1. На клиентском компьютере откройте окно браузера и перейдите к примеру приложения: https://webserv1.contoso.com/claimapp.

    В результате запрос будет автоматически перенаправлен серверу федерации и вам будет предложено ввести имя пользователя и пароль.

  2. введите учетные данные учетной записи роберт хатлэй AD, созданной в окне настройка лабораторной среды для AD FS в Windows Server 2012 R2.

    После этого вам будет предоставлен доступ к приложению.

Шаг 3. Настройка многофакторной проверки подлинности на сервере федерации

настроить MFA в AD FS в Windows Server 2012 R2 можно двумя частями:

Выбор дополнительного метода проверки подлинности

Чтобы настроить многофакторную проверку подлинности, вы должны выбрать дополнительный метод проверки подлинности. В этом руководстве для выбора дополнительного метода проверки подлинности вам предлагаются следующие варианты:

Проверка подлинности на основе сертификата

Выполните любую из описанных ниже процедур для выбора проверки подлинности сертификата в качестве дополнительного метода проверки подлинности.

Настройка проверки подлинности сертификата в качестве дополнительного метода проверки подлинности через консоль управления AD FS
  1. На сервере федерации в консоли управления AD FS перейдите к узлу Политики проверки подлинности и в разделе Многофакторная проверка подлинности щелкните ссылку Изменить рядом с подразделом Глобальные параметры.

  2. В окне Изменение глобальной политики проверки подлинности выберите вариант Проверка подлинности сертификата в качестве дополнительного метода проверки подлинности, а затем нажмите кнопку ОК.

Настройка проверки подлинности сертификата в качестве дополнительного метода проверки подлинности через Windows PowerShell
  1. На сервере федерации откройте окно команд Windows PowerShell и выполните следующую команду:

    Set-AdfsGlobalAuthenticationPolicy -AdditionalAuthenticationProvider CertificateAuthentication
    
    

    Предупреждение

    Чтобы убедиться в успешном выполнении этой команды, можно выполнить команду Get-AdfsGlobalAuthenticationPolicy .

Многофакторная проверка подлинности Windows Azure

Выполните описанные ниже действия, чтобы загрузить и настроить, а затем выбрать Многофакторная идентификация Windows Azure в качестве дополнительной проверки подлинности на сервере федерации.

  1. Создание поставщика многофакторной проверки подлинности через портал Windows Azure

  2. Загрузка сервера Windows Azure Multi-Factor Authentication

  3. Установка сервера Windows Azure Multi-Factor Authentication на сервере федерации

  4. Настройка Windows Azure Multi-Factor Authentication в качестве дополнительного метода проверки подлинности

Создание поставщика многофакторной проверки подлинности через портал Windows Azure
  1. Войдите на портал Windows Azure с правами администратора.

  2. Выберите слева элемент Active Directory.

  3. В верхней части страницы Active Directory выберите пункт Поставщики многофакторной проверки подлинности. Затем, внизу страницы нажмите кнопку Нажать.

  4. В разделе службы приложений — Active Directoryвыберите поставщик многофакторной проверки подлинностии щелкните Быстрое создание.

  5. В разделе App Services (Службы приложений) выберите Active Auth Providers (Активные поставщики проверки подлинности) и выберите Quick Create (Быстрое создание).

  6. Заполните следующие поля и нажмите кнопку Создать.

    1. Имя — имя поставщика многофакторной проверки подлинности.

    2. Модель использования — модель использования поставщика многофакторной идентификации.

      • Для проверки подлинности — модель приобретения, которая взимается за проверку подлинности. Обычно используется в сценариях применения Многофакторной идентификации Windows Azure в потребительском приложении.

      • На включенную модель приобретения пользователей, которая оплачивается для каждого включенного пользователя. Обычно используется в сценариях приложений для сотрудников, например Office 365.

      Дополнительную информацию о моделях использования см. в разделе, содержащем данные о ценах на Windows Azure.

    3. каталог — клиент Windows Azure Active Directory, с которым связан поставщик многофакторной идентификации. Этот параметр является необязательным, так как не требуется, чтобы поставщик был связан с Windows Azure Active Directory при обеспечении безопасности локальных приложений.

  7. После нажатия кнопки "создать" будет создан поставщик многофакторной идентификации, и появится сообщение о том, что поставщик многофакторной идентификации успешно создан. Нажмите кнопку ОК.

Затем вы должны загрузить сервер Windows Azure Multi-Factor Authentication. Для этого можно открыть портал Windows Azure Multi-Factor Authentication через портал Windows Azure.

Загрузка сервера Windows Azure Multi-Factor Authentication
  1. Войдите на портал Windows Azure с правами администратора и выберите поставщика многофакторной проверки подлинности, которого вы создали ранее. Затем нажмите кнопку Управление.

    Откроется портал Многофакторной идентификации Windows Azure.

  2. На портале Многофакторной идентификации Windows Azure перейдите в раздел Загрузки и нажмите кнопку Загрузить для загрузки копии сервера Многофакторной идентификации Windows Azure.

Загрузив исполняемый файл для сервера Windows Azure Multi-Factor Authentication, вы должны установить его на сервере федерации.

Установка сервера Windows Azure Multi-Factor Authentication на сервере федерации
  1. Загрузите и дважды щелкните исполняемый файл для сервера Многофакторной идентификации Windows Azure. чтобы начать установку.

  2. На экране "Лицензионное соглашение" прочитайте текст соглашения, установите флажок Принимаю и нажмите кнопку Далее.

  3. Убедитесь, что конечная папка задана правильно, и нажмите кнопку Далее.

  4. По завершении установки нажмите кнопку Готово.

Теперь вы можете запустить сервер Многофакторной идентификации Windows Azure, установленный на сервере федерации, и настроить его в качестве дополнительного метода проверки подлинности.

Настройка Windows Azure Multi-Factor Authentication в качестве дополнительного метода проверки подлинности
  1. Запустите сервер Windows Azure Multi-Factor Authentication из его расположения на сервере федерации, на странице приветствия установите флажок Пропустить мастер настройки проверки подлинности и нажмите кнопку Далее.

  2. Чтобы активировать сервер Многофакторной идентификации, вернитесь на страницу портала управления Многофакторной идентификации, откуда вы загрузили сервер Многофакторной идентификации, и нажмите кнопку Создать учетные данные для активации. В пользовательском интерфейсе сервера Многофакторной идентификации введите созданные учетные данные и нажмите кнопку Активировать.

  3. Затем в пользовательском интерфейсе сервера Многофакторной идентификации вам будет предложено запустить мастер настройки многосерверной среды. Выберите вариант Нет.

    Важно!

    Вы можете пропустить мастер настройки многосерверной среды, если для выполнения этого пошагового руководства используется лабораторная среда только с одним сервером федерации. Но если в вашей среде имеется несколько серверов федерации, вы должны установить сервер Многофакторной идентификации и запустить мастер настройки многосерверной среды на каждом сервере федерации, чтобы обеспечить репликацию между серверами Многофакторной идентификации, работающими на серверах федерации.

  4. В пользовательском интерфейсе сервера Многофакторной идентификации щелкните значок Пользователи, выберите команду Импорт из Active Directory, выберите учетную запись Robert Hatley для ее подготовки в Многофакторной идентификации Windows Azure и нажмите кнопку Импорт.

  5. В списке Пользователи выберите учетную запись Robert Hatley, нажмите Изменить, в окне Изменение пользователя укажите номер мобильного телефона этой учетной записи, убедитесь, что флажок Включено установлен и нажмите кнопку Применить.

  6. В списке Пользователи выберите учетную запись Robert Hatley и нажмите кнопку Проверка. В окне Тестовый пользователь предоставьте учетные данные для учетной записи Robert Hatley. Чтобы завершить проверку учетной записи, нажмите клавишу "#" в ячейке телефонного звонка.

  7. В пользовательском интерфейсе сервера Многофакторной идентификации щелкните значок AD FS, установите флажки Разрешить регистрацию пользователей, Разрешить пользователям выбрать метод (включая Телефонный звонок и Текстовое сообщение), Использовать секретные вопросы в качестве запасного варианта и Включить ведение журнала, выберите элемент Установить адаптер AD FS и выполните инструкции мастера установки адаптера AD FS для Многофакторной идентификации.

    Примечание

    Мастер установки адаптера AD FS для Многофакторной идентификации создает группу безопасности под названием Администраторы PhoneFactor в Active Directory и добавляет учетную запись службы AD FS для вашей службы федерации в эту группу.

    Рекомендуется убедиться на контроллере домена, что группа Администраторы PhoneFactor действительно создана и что учетная запись службы AD FS входит в эту группу.

    При необходимости добавьте учетную запись службы AD FS в группу Администраторы PhoneFactor на контроллере домена вручную.

    Для получения дополнительной информации об установке адаптера AD FS перейдите по ссылке справки в правом верхнем углу интерфейса сервера Multi-Factor Authentication.

  8. Чтобы зарегистрировать адаптер в службе федерации, на сервере федерации откройте окно команд Windows PowerShell и выполните следующую команду: \Program Files\Multi-Factor Authentication Server\Register-MultiFactorAuthenticationAdfsAdapter.ps1. Теперь адаптер зарегистрирован под именем WindowsAzureMultiFactorAuthentication. Чтобы регистрация вступила в силу, перезапустите службу AD FS.

  9. Чтобы настроить Многофакторную идентификацию Windows Azure в качестве дополнительного метода проверки подлинности, в консоли управления AD FS перейдите к узлу Политики проверки подлинности и в разделе Многофакторной идентификации щелкните ссылку Изменить рядом с подразделом Глобальные параметры. В окне Изменить глобальную политику проверки подлинности выберите Многофакторная идентификация в качестве дополнительного метода проверки подлинности и нажмите кнопку ОК.

    Примечание

    Можно настроить имя и описание метода Многофакторной идентификации Windows Azure (как и любого другого стороннего метода проверки подлинности), отображающиеся в пользовательском интерфейсе AD FS, при помощи командлета Set-AdfsAuthenticationProviderWebContent. Дополнительные сведения см. в разделе https://technet.microsoft.com/library/dn479401.aspx.

Настройка политики многофакторной проверки подлинности

Чтобы активировать многофакторную проверку подлинности, вы должны настроить ее политику на сервере федерации. для этого пошагового руководства в соответствии с политикой mfa необходимо, чтобы учетная запись роберт хатлэй была подвергнута выполнению MFA, поскольку она принадлежит к группе финансы , настроенной в разделе настройка лабораторной среды для AD FS в Windows Server 2012 R2.

Политику многофакторной проверки подлинности можно настроить через консоль управления AD FS или при помощи Windows PowerShell.

Настройка политики MFA на основе данных членства пользователя в группах для "клаимапп" с помощью консоли управления AD FS
  1. На сервере федерации в консоли управления AD FS перейдите к узлу Политики проверки подлинностиДля отдельного отношения доверия с проверяющей стороной и выберите отношение доверия с проверяющей стороной, которое представляет ваш пример приложения (claimapp).

  2. Перейдите на страницу Действия или щелкните правой кнопкой мыши claimapp и выберите пункт Изменить настраиваемую многофакторную проверку подлинности.

  3. В окне Изменение отношения доверия с проверяющей стороной для claimapp нажмите кнопку Добавить рядом со списком Пользователи/Группы. введите в поле финансы имя группы AD, созданной в окне настройка лабораторной среды для AD FS в Windows Server 2012 R2, а затем нажмите кнопку проверить именаи после разрешения имени нажмите кнопку ок.

  4. Нажмите кнопку ОК в окне Изменение отношения доверия с проверяющей стороной для claimapp.

Настройка политики MFA на основе данных членства пользователя в группах для "клаимапп" через Windows PowerShell
  1. На сервере федерации откройте окно команд Windows PowerShell и выполните следующую команду:

    $rp = Get-AdfsRelyingPartyTrust -Name claimapp
    
  2. В том же окне команд Windows PowerShell выполните следующую команду:

    $GroupMfaClaimTriggerRule = 'c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "^(?i) <group_SID>$"] => issue(Type = "https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "https://schemas.microsoft.com/claims/multipleauthn");'
    Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -AdditionalAuthenticationRules $GroupMfaClaimTriggerRule
    
    

    Примечание

    Не забудьте заменить < group_SID > значением SID группы AD <.

Шаг 4. Проверка механизма многофакторной проверки подлинности

В этом шаге вы проверите функции многофакторной проверки подлинности, настроенные в предыдущем шаге. Чтобы убедиться, что пользователь с учетной записью Active Directory Robert Hatley может получать доступ к вашему примеру приложения и в этот раз ему нужно пройти многофакторную проверку подлинности, поскольку он входит в группу Finance, можно использовать следующую процедуру.

  1. На клиентском компьютере откройте окно браузера и перейдите к примеру приложения: https://webserv1.contoso.com/claimapp.

    В результате запрос будет автоматически перенаправлен серверу федерации и вам будет предложено ввести имя пользователя и пароль.

  2. Введите учетные данные для учетной записи Active Directory Robert Hatley.

    Согласно настроенной вами политике многофакторной проверки подлинности, пользователю будет предложено пройти дополнительную проверку подлинности. Текст сообщения по умолчанию: В целях безопасности необходимо указать дополнительные данные для проверки учетной записи. Этот текст можно полностью изменить по своему усмотрению. Дополнительную информацию о настройке взаимодействия при входе см. в разделе Customizing the AD FS Sign-in Pages.

    Если в качестве дополнительного метода проверки подлинности вы настроили проверку подлинности сертификата, то текст сообщения по умолчанию будет следующим: Выберите сертификат, который будет использоваться для проверки подлинности. В случае отмены операции закройте веб-браузер и повторите попытку.

    если вы настроили Windows многофакторной идентификации Azure в качестве дополнительного метода проверки подлинности, текст сообщения по умолчанию — вызов будет размещен на телефоне для завершения проверки подлинности. дополнительные сведения о входе в систему с помощью Windows многофакторной идентификации azure и различных параметрах для предпочтительного метода проверки см. в статье Windows обзор многофакторной идентификации azure.

См. также

управление рисками с помощью дополнительной многофакторной проверки подлинности для конфиденциальных приложенийнастройка лабораторной среды для AD FS в Windows Server 2012 R2