使用 Azure 多重身份验证服务器激活 PAM 或 SSPR

以下文档介绍如何设置 Azure MFA 服务器,使其在用户激活 Privileged Access Management 和自助密码重置中的角色时作为第二安全层。

重要

由于弃用 Azure 多重身份验证 (MFA) 软件开发工具包 (SDK) ,客户将再无法下载 Azure MFA SDK。

以下文章概述了配置更新以及启用从 Azure MFA SDK 迁移到 Azure MFA 服务器。

先决条件

要结合使用 MIM 和 Azure 多重身份验证服务器,需要:

  • 每个提供 PAM 和 SSPR 的 MIM 服务或 MFA 服务器的 Internet 访问,用于联系 Azure MFA 服务
  • Azure 订阅
  • 安装已在使用 Azure MFA SDK
  • Azure Active Directory Premium候选用户的许可证
  • 适用于所有候选用户的电话号码
  • MIM 修补程序 4.5. 或更高版本,请参阅版本历史记录,了解相关公告

Azure 多重身份验证服务器配置

注意

在配置中,需要为 SDK 安装有效 SSL 证书。

步骤 1:从多重身份验证服务器下载 Azure Azure 门户

登录 Azure 门户并下载 Azure MFA 服务器。 working-with-mfaserver-for-mim_downloadmfa

步骤 2:生成激活凭据

使用“生成激活凭据以开始使用”链接,以生成激活凭据。 生成后,保存供以后使用。

步骤 3:安装 Azure 多重身份验证服务器

下载服务器后,即可安装它。 需要激活凭据。

步骤 4:创建将承载 SDK 的 IIS Web 应用程序

  1. 打开 IIS 管理器 working-with-mfaserver-for-mim_iis.PNG
  2. 创建新的网站调用"MIM MFASDK",链接到空目录working-with-mfaserver-for-mim_sdkweb.PNG
  3. 打开多重身份验证控制台,然后单击"Web 服务 SDK working-with-mfaserver-for-mim_sdkinstall.PNG
  4. 通过配置单击向导后,选择“MIM MFASDK”和应用池

注意

向导将要求创建管理员组。 有关详细信息,请参阅 Azure >> MFA Azure 多重身份验证服务器文档。

  1. 接下来,我们需要导入 MIM 服务帐户,打开多重身份验证控制台,选择“用户” a. 单击“从 Active Directory 导入” b. 导航到服务帐户,例如"contoso\mimservice"c。 单击"导入"和"关闭
  2. 编辑MIM服务帐户以在多重身份验证控制台中启用working-with-mfaserver-for-mim_enableserviceaccount.PNG
  3. 在“MIM MFASDK”网站上更新 IIS 身份验证。 首先,我们将禁用"匿名身份验证",然后Windows身份验证"working-with-mfaserver-for-mim_iisconfig.PNG
  4. 最后一步:将MIM服务帐户添加到"PhoneFactor 管理员

为 Azure 多重身份验证服务器配置 MIM 服务

步骤 1:将修补程序服务器升级到 4.5.202.0

步骤 2:备份并打开位于“C:\Program Files\Microsoft Forefront Identity Manager\2010\Service”中的 MfaSettings.xml

步骤 3:更新以下行

  1. 删除/清除以下配置条目行
    <LICENSE_KEY >< /LICENSE_KEY>
    <GROUP_KEY >< /GROUP_KEY>
    <CERT_PASSWORD >< /CERT_PASSWORD>

  2. 更新或将以下各行添加到 MfaSettings.xml 中
    <Username>mimservice@contoso.com</Username>
    <LOCMFA>true</LOCMFA>
    <LOCMFASRV>https://CORPSERVICE.contoso.com:9999/MultiFactorAuthWebServiceSdk/PfWsSdk.asmx</LOCMFASRV>

  3. 重启 MIM 服务并测试 Azure 多重身份验证服务器的功能。

注意

若要还原设置,请将 MfaSettings.xml 替换为步骤 2 中的备份文件

另请参阅