Azure Multi-Factor Authentication Sunucusunu AD FS 2.0 ile çalışacak şekilde yapılandırma

Bu makale, Azure Active Directory ile birleştirilen ve kaynakları şirket içinde veya bulutta güvenli hale getirmek isteyen kuruluşlara yöneliktir. Kaynaklarınızı, Azure Multi-Factor Authentication Sunucusu’nu kullanarak ve değeri yüksek uç noktalarda iki aşamalı doğrulamanın tetiklenmesi için AD FS ile çalışacak şekilde yapılandırarak koruyun.

Bu belge AD FS 2.0 ile Multi-Factor Authentication Sunucusu kullanmayı ele alır. AD FS hakkında bilgi için bkz. Windows Server ile Azure Multi-Factor Authentication Sunucusu kullanarak bulut ve şirket içi kaynakları güvenli hale getirme.

Önemli

1 Temmuz 2019 tarihinden itibaren Microsoft yeni dağıtımlar için MFA Sunucusu sağlamamaktadır. Oturum açma olayları sırasında çok faktörlü kimlik doğrulaması (MFA) gerektirmek isteyen yeni müşteriler, bulut tabanlı Azure AD Multi-Factor Authentication kullanmalıdır.

Bulut tabanlı MFA 'yı kullanmaya başlamak için bkz. öğretici: Azure AD Multi-Factor Authentication Ile güvenli Kullanıcı oturum açma olayları.

Bulut tabanlı MFA kullanıyorsanız bkz. Azure AD Multi-Factor Authentication ve AD FS bulut kaynaklarını güvenli hale getirme.

MFA sunucusunu 1 Temmuz 2019 tarihinden önce etkinleştiren mevcut müşteriler, en son sürümü, gelecekteki güncelleştirmeleri indirebilir ve her zamanki gibi etkinleştirme kimlik bilgilerini oluşturabilir.

AD FS 2.0’ı bir ara sunucu ile güvenli hale getirme

Ara sunucu ile AD FS 2.0’ı güvenli hale getirmek için ADFS ara sunucusuna Azure Multi-Factor Authentication Sunucusu’nu yükleyin.

IIS kimlik doğrulamasını yapılandırma

  1. Azure Multi-Factor Authentication Sunucusu’nun soldaki menüsünde IIS Kimlik Doğrulaması simgesine tıklayın.

  2. Form Tabanlı sekmesine tıklayın.

  3. Ekle'ye tıklayın.

    MFA sunucusu IIS kimlik doğrulama penceresi

  4. Kullanıcı adı, parola ve etki alanı değişkenlerini otomatik olarak algılamak için, https://sso.contoso.com/adfs/ls otomatik yapılandırma Form-Based Web sitesi iletişim kutusuna oturum açma URL 'sini (gibi) girin ve Tamam' a tıklayın.

  5. Tüm kullanıcılar Sunucu’ya aktarılmışsa ya da aktarılacaksa ve iki aşamalı doğrulamaya tabi olacaksa Azure Multi-Factor Authentication kullanıcılarının eşleşmesini gerektir kutusunu işaretleyin. Sunucu’ya henüz aktarılmamış ve/veya iki aşamalı doğrulamadan muaf tutulacak çok sayıda kullanıcı varsa kutunun işaretini kaldırın.

  6. Sayfa değişkenleri otomatik olarak algılanamadığından El Ile belirt... öğesine tıklayın. Web Sitesi iletişim kutusunda Elle Belirt düğmesine tıklayın.

  7. Form-Based Web sitesi Ekle iletişim kutusunda URL 'yi gönder alanındaki AD FS oturum açma sayfasının URL 'sini girin (gibi https://sso.contoso.com/adfs/ls ) ve bir uygulama adı girin (isteğe bağlı). Uygulama adı Azure Multi-Factor Authentication raporlarında görünür ve SMS veya Mobil Uygulama kimlik doğrulama iletilerinde görüntülenebilir.

  8. Istek biçimini Post veya Get olarak ayarlayın.

  9. Kullanıcı adı değişkeni (ctl00$ContentPlaceHolder1$UsernameTextBox) ve Parola değişkenini (ctl00$ContentPlaceHolder1$PasswordTextBox) girin. Form tabanlı oturum açma sayfanız bir etki alanı metin kutusu görüntülerse, Etki alanı değişkenini de girin. Oturum açma sayfasında girdi kutularının adlarını bulmak için, bir web tarayıcısında oturum açma sayfasına gidin, sayfaya sağ tıklayın ve Kaynağı Görüntüle’yi seçin.

  10. Tüm kullanıcılar Sunucu’ya aktarılmışsa ya da aktarılacaksa ve iki aşamalı doğrulamaya tabi olacaksa Azure Multi-Factor Authentication kullanıcılarının eşleşmesini gerektir kutusunu işaretleyin. Sunucu’ya henüz aktarılmamış ve/veya iki aşamalı doğrulamadan muaf tutulacak çok sayıda kullanıcı varsa kutunun işaretini kaldırın.

    MFA sunucusuna form tabanlı Web sitesi ekleme

  11. Gelişmiş... öğesine tıklayarak gelişmiş ayarları gözden geçirin. Yapılandırabileceğiniz ayarlar şunlardır:

    • Özel bir reddetme sayfa dosyası seçme
    • Tanımlama bilgilerini kullanarak web sitesinde başarılı kimlik doğrulamalarını önbelleğe alma
    • Birincil kimlik bilgilerini doğrulamanın nasıl gerçekleştirileceğini seçme
  12. AD FS ara sunucusunun etki alanına katılması pek olası olmadığından, kullanıcı içeri aktarma ve ön kimlik doğrulama için etki alanı denetleyicisine bağlanmak amacıyla LDAP’yi kullanabilirsiniz. Gelişmiş Form-Based Web sitesi iletişim kutusunda, birincil kimlik doğrulama sekmesine tıklayın ve kimlik doğrulama öncesi kimlik doğrulama türü Için LDAP bağlaması ' nı seçin.

  13. Tamamlandığında Form Tabanlı Web Sitesi Ekle iletişim kutusuna dönmek için Tamam’a tıklayın.

  14. Tamam’a tıklayarak iletişim kutusunu kapatın.

  15. URL ve sayfa değişkenleri algılandığında veya girildiğinde, web sitesi verileri Form Tabanlı panelde görüntülenir.

  16. IIS eklentisini istediğiniz düzeyde etkinleştirmek için yerel modül sekmesine tıklayın ve sunucuyu, AD FS proxy 'nin altında çalıştığı Web sitesini ("varsayılan Web sitesi" gibi) veya AD FS ara sunucu uygulamasını ("ADFS" altındaki "ls" gibi) seçin.

  17. Ekranın üst kısmındaki IIS kimlik doğrulamasını etkinleştir kutusuna tıklayın.

IIS kimlik doğrulaması şimdi etkinleştirildi.

Dizin tümleştirmesini yapılandırma

IIS kimlik doğrulamasını etkinleştirdiniz, ancak LDAP aracılığıyla Active Directory’de (AD) ön kimlik doğrulama yapabilmek için etki alanı denetleyicisi için LDAP bağlantısı yapılandırmanız gerekir.

  1. Dizin Tümleştirme simgesine tıklayın.

  2. Ayarlar sekmesinde Özel LDAP yapılandırması kullan radyo düğmesini seçin.

    Belirli LDAP ayarları için LDAP ayarlarını yapılandırma

  3. Düzenle’ye tıklayın.

  4. LDAP Yapılandırmasını Düzenle iletişim kutusunda, AD etki alanı denetleyicisine bağlanmak için gerekli bilgilerle alanları doldurun. Bu alanların açıklamaları Azure Multi-Factor Authentication Sunucusu yardım dosyasında da bulunmaktadır.

  5. Test düğmesine tıklayarak LDAP bağlantısını test edin.

    MFA sunucusunda LDAP yapılandırmasını test etme

  6. LDAP bağlantı testi başarılı olduysa Tamam’a tıklayın.

Şirket ayarlarını yapılandırma

  1. sonra şirket Ayarlar simgesine tıklayın ve kullanıcı adı çözümleme sekmesini seçin.
  2. Kullanıcı adlarını eşleştirmek IÇIN LDAP benzersiz tanımlayıcı özniteliğini kullan radyo düğmesini seçin.
  3. Kullanıcılar Kullanıcı adını "etkialanı \ Kullanıcı adı" biçiminde girerse, sunucunun LDAP sorgusu oluştururken etki alanını Kullanıcı adından çıkarabilmesi gerekir. Bu, bir kayıt defteri ayarı aracılığıyla yapılabilir.
  4. Kayıt defteri düzenleyicisini açın ve 64 bit sunucuda HKEY_LOCAL_MACHINE/SOFTWARE/Wow6432Node/Positive Networks/PhoneFactor öğesine gidin. 32 bitlik bir sunucuda, "Wow6432Node" öğesini yoldan alın. "UsernameCxz_stripPrefixDomain" adlı bir DWORD kayıt defteri anahtarı oluşturun ve değeri 1 olarak ayarlayın. Azure Multi-Factor Authentication artık AD FS ara sunucusunu güvenli hale getirir.

Kullanıcıların Active Directory’den Sunucuya aktarıldığından emin olun. Bu konumlardan Web sitesinde oturum açarken iki aşamalı doğrulamanın gerekli olmaması için iç IP adreslerine izin vermek istiyorsanız Güvenilen IP 'ler bölümüne bakın.

Şirket ayarlarını yapılandırmak için kayıt defteri Düzenleyicisi

Ara sunucu olmadan AD FS 2.0 Direct

AD FS ara sunucusu kullanılmadığında AD FS’yi güvenli hale getirebilirsiniz. AD FS sunucusunda Azure Multi-Factor Authentication Sunucusu’nu yükleyin ve aşağıdaki adımları kullanarak Sunucu’yu yapılandırın:

  1. Azure Multi-Factor Authentication Sunucusu’nun soldaki menüsünde IIS Kimlik Doğrulaması simgesine tıklayın.

  2. HTTP sekmesine tıklayın.

  3. Ekle'ye tıklayın.

  4. Taban URL 'SI Ekle iletişim kutusunda, ana URL alanına HTTP kimlik doğrulamasının gerçekleştirildiği (gibi) AD FS Web sitesinin URL 'sini girin https://sso.domain.com/adfs/ls/auth/integrated . Ardından bir uygulama adı (isteğe bağlı) girin. Uygulama adı Azure Multi-Factor Authentication raporlarında görünür ve SMS veya Mobil Uygulama kimlik doğrulama iletilerinde görüntülenebilir.

  5. İsterseniz, Boşta kalma zaman aşımı ve Maksimum oturum sürelerini ayarlayın.

  6. Tüm kullanıcılar Sunucu’ya aktarılmışsa ya da aktarılacaksa ve iki aşamalı doğrulamaya tabi olacaksa Azure Multi-Factor Authentication kullanıcılarının eşleşmesini gerektir kutusunu işaretleyin. Sunucu’ya henüz aktarılmamış ve/veya iki aşamalı doğrulamadan muaf tutulacak çok sayıda kullanıcı varsa kutunun işaretini kaldırın.

  7. İsterseniz tanımlama bilgisi önbellek kutusunu işaretleyin.

    Ara sunucu olmadan AD FS 2.0 Direct

  8. Tamam'a tıklayın.

  9. IIS eklentisini istediğiniz düzeyde etkinleştirmek için yerel modül sekmesine tıklayın ve sunucuyu, Web sitesini ("varsayılan Web sitesi" gibi) veya AD FS uygulamasını ("ADFS" altındaki "ls" gibi) seçin.

  10. Ekranın üst kısmındaki IIS kimlik doğrulamasını etkinleştir kutusuna tıklayın.

Azure Multi-Factor Authentication artık AD FS’yi güvenli hale getirir.

Kullanıcıların Active Directory’den Sunucuya aktarıldığından emin olun. Bu konumlardan Web sitesinde oturum açarken iki aşamalı doğrulamanın gerekli olmaması için iç IP adreslerine izin vermek istiyorsanız güvenilen IP 'Ler bölümüne bakın.

Güvenilen IP'ler

Güvenilen IP'ler, kullanıcıların belirli IP adresleri veya alt ağlardan kaynaklanan web sitesi istekleri için Azure Multi-Factor Authentication’ı atlamasına olanak tanır. Örneğin, kullanıcıları ofiste oturum açtıklarında iki aşamalı doğrulamadan muaf tutabilirsiniz. Bunun için ofis alt ağını Güvenilen IP’ler girişi olarak belirtebilirsiniz.

Güvenilen IP'leri yapılandırmak için

  1. IIS Kimlik Doğrulaması bölümünde Güvenilen IP'ler sekmesine tıklayın.
  2. Ekle... öğesine tıklayın. tıklayın.
  3. Güvenilen IP Ekle iletişim kutusu göründüğünde Tek bir IP, IP aralığı ve Alt ağ radyo düğmelerinden birini seçin.
  4. İzin verilmesi gereken IP adresini, IP adresleri aralığını ya da alt ağı girin. Bir alt ağ giriyorsanız uygun Ağ maskesini seçip Tamam düğmesine tıklayın.

Güvenilen IP 'Leri MFA sunucusuna yapılandırma