使用 Azure MFA 在 MIM PAM 中激活

重要

早期版本的 MIM使用 Azure 多重身份验证 (MFA) 软件开发工具包 (SDK) 与 Azure MFA 集成。 由于 Azure MFA SDK 已弃用,现有MIM客户将再无法下载 Azure MFA SDK。 有关使用 Azure MFA 服务器 Azure MFA SDK 的信息,请参阅在PAM Azure MFA 服务器 SSPR 中使用 Azure MFA SDK。

在配置 PAM 角色时,你可以选择对请求激活角色的用户进行授权的方式。 PAM 授权活动实现的选项有:

如果不启用检查,将自动为候选用户角色激活候选用户。

Microsoft Azure 多重身份验证 (MFA) 是要求用户通过使用移动应用、电话呼叫或短信验证其登录尝试的身份验证服务。 它可与 Microsoft Azure Active Directory 搭配使用,并且作为一项适用于云和本地企业应用程序的服务。 对于 PAM 方案,Azure MFA 提供了其他身份验证机制。 Azure MFA 可用于授权,无论用户如何对 Windows PRIV 域进行身份验证。

注意

MIM 提供的堡垒环境的 PAM 方法旨在用于隔离环境(其中 Internet 访问不可用、法规需要此配置)的自定义体系结构中,或者用于影响较高的独立环境(如脱机研究场和断开连接的操作技术或监督控制和数据采集环境)。 由于 Azure MFA 是一项 Internet 服务,本指南仅针对现有 MIM PAM 客户或法规要求进行此配置的环境中的客户。 如果 Active Directory 是连接 Internet 的环境的一部分,请参阅保护 特权 访问,详细了解从何处开始。

先决条件

若要将 Azure MFA 与 MIM PAM 一起使用,需要:

  • 每项提供 PAM 的 MIM 服务的 Internet 访问,用于联系 Azure MFA 服务
  • 一个 Azure 订阅
  • Azure MFA
  • Azure Active Directory Premium用户的许可证
  • 适用于所有候选用户的电话号码

下载 Azure MFA 服务凭据

以前,你将下载 Azure MFA SDK 的 ZIP 文件,该文件包含身份验证材料,MIM Azure MFA。 但是,由于 Azure MFA SDK 不再可用,请参阅在 PAM Azure MFA 服务器 SSPR 中使用 Azure MFA 服务器。

配置适用于 Azure MFA 的 MIM 服务

  1. 以管理员或者安装了 MIM 的用户的身份登录到安装了 MIM 服务的计算机。

  2. 在安装了 MIM 服务的目录下面创建新的目录文件夹,例如 C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts

  3. 使用 Windows 资源管理器,转到在上一部分中下载的 ZIP 文件的 pf\certs 文件夹。 将文件 cert\_key.p12 复制到新目录中。

  4. 使用Windows资源管理器,导航到 ZIP 的文件夹,并在文本编辑器(如 记事本) pfpf\_auth.cs 中打开文件。

  5. 找到以下三个参数:LICENSE\_KEYGROUP\_KEYCERT\_PASSWORD

从 pf_auth.cs 文件复制值 - 屏幕截图

  1. 使用记事本打开位于 中的 MfaSettings.xml 文件。

  2. 将 pf_auth.cs 文件中 LICENSE_KEY、GROUP_KEY 和 CERT_PASSWORD 参数中的值复制到 MfaSettings.xml 文件中各自的 xml 元素。

  3. XML 元素中,指定前面提取的 cert_key.p12 文件的完整路径名称。

  4. 元素中,输入任意用户名。

  5. 元素中,输入你要拨打的用户的国家/地区代码,如 1 代表美国和加拿大。 在使用无国家/地区代码的电话号码注册用户的情况下使用此值。 如果用户的电话号码具有区别于为组织配置的国际国家/地区代码,则该代码必须包含在将注册的电话号码中。

  6. 保存并覆盖 MIM 服务文件夹 中的 MfaSettings.xml 文件。

注意

在该过程结束时,请确保文件 MfaSettings.xml 及其任何副本或 ZIP 文件均不可公开读取。

为 Azure MFA 配置 PAM 用户

对于要激活需要 Azure MFA 的角色的用户,其电话号码必须存储在 MIM 中。 有两种方式设置此属性。

首先,New-PAMUser 命令将 CORP 域中用户的目录条目的电话号码属性复制到 MIM 服务数据库。 请注意这是一次性操作。

其次,Set-PAMUser 命令将更新 MIM 服务数据库中的电话号码属性。 例如,下列内容取代 MIM 服务中的现有 PAM 用户的电话号码。 其目录条目保持不变。

Set-PAMUser (Get-PAMUser -SourceDisplayName Jen) -SourcePhoneNumber 12135551212

为 Azure MFA 配置 PAM 角色

将 PAM 角色的所有候选用户的电话号码存储在 MIM 服务数据库中后,可以为 Azure MFA 配置该角色。 将使用 New-PAMRoleSet-PAMRole 命令来完成该操作。 例如,应用于对象的

Set-PAMRole (Get-PAMRole -DisplayName "R") -MFAEnabled 1

可以为某个角色禁用 Azure MFA,方法是指定 Set-PAMRole 命令中的参数“-MFAEnabled 0”。

疑难解答

可以在“特权访问管理”事件日志中找到以下事件:

ID 严重性 生成者 说明
101 错误 MIM 服务 用户未完成 Azure MFA(例如,没有应答电话)
103 信息 MIM 服务 用户在激活过程中完成了 Azure MFA
825 警告 PAM 监视服务 电话号码已更改

后续步骤