الانتقال إلى السابق الموضوع السابقالموضوع التالي الانتقال إلى التالي

    كيفية تمكين المصادقة متعددة العوامل (MFA) لتسجيلات الدخول إلى الشبكة الخاصة الافتراضية (VPN) وتسجيلات الدخول إلى نقاط النهاية المدعومة ببروتوكول RADIUS

    ملاحظة: تتطلب المصادقة متعددة العوامل (MFA) لعمليات تسجيل الدخول عبر VPN الإصدار Professional من ADSelfService Plus مع Endpoint MFA.

    تضيف ميزة المصادقة متعددة العوامل لنقاط النهاية في ADSelfService Plus خطوة مصادقة إضافية لعمليات تسجيل الدخول إلى شبكات VPN ونقاط النهاية التي تستخدم مصادقة RADIUS (مثل Microsoft Remote Desktop Gateway وVMware Horizon) لتعزيز الأمان.

    يتطلب ADSelfService Plus استخدام Windows Network Policy Server (NPS) على شبكات VPN ونقاط النهاية. يأتي مرفقًا بامتداد NPS ينبغي تثبيته على NPS. يسهّل هذا الامتداد الاتصال بين NPS وADSelfService Plus للمصادقة متعددة العوامل (MFA) أثناء عمليات تسجيل الدخول عبر VPN وعلى نقاط النهاية.

    كيف يعمل:

    المصادقة متعددة العوامل لتسجيلات الدخول إلى VPN

    بمجرد تكوين خادم VPN أو خادم نقطة النهاية لاستخدام مصادقة RADIUS، وتثبيت ملحق NPS على خادم RADIUS، إليك كيفية عمل عملية المصادقة:

    • يحاول مستخدم إنشاء اتصال عن طريق تقديم اسم المستخدم وكلمة المرور إلى خادم VPN أو خادم نقطة النهاية.
    • يقوم الخادم بتحويل الطلب إلى رسالة RADIUS من نوع Access-Request ويُرسِل هذه الرسالة إلى خادم NPS حيث يكون ملحق NPS الخاص بـ ADSelfService Plus مثبتًا.
    • إذا كانت مجموعة اسم المستخدم وكلمة المرور صحيحة، يقوم ملحق NPS بإرسال طلب للمصادقة الثانوية إلى خادم ADSelfService Plus.
    • يقوم ADSelfService Plus بإجراء المصادقة الثانوية ويرسل النتيجة إلى ملحق NPS على خادم NPS.
    • إذا كانت المصادقة ناجحة، يرسل NPS رسالة RADIUS من نوع Access-Accept إلى خادم VPN أو خادم نقطة النهاية.
    • يُمنح المستخدم إمكانية الوصول إلى شبكة VPN أو خادم نقطة النهاية، ويتم إنشاء نفق مشفّر إلى الشبكة الداخلية.

    تكوين MFA لشبكات VPN ونقاط النهاية التي تدعم RADIUS

    أولًا، تحتاج إلى تحديد وضع المصادقة متعددة العوامل (MFA) الذي ترغب في استخدامه لتكوين المصادقة متعددة العوامل لشبكة VPN. يمكنك اختيار إما التحقق من عميل VPN أو التحقق عبر البريد الإلكتروني من SecureLink، وذلك اعتمادًا على عوامل المصادقة ونوع مطالبات المصادقة متعددة العوامل التي تريد استخدامها:

    1. التحقق من عميل VPN
    • حدّد التحقق من عميل VPN لعرض مطالبات المصادقة متعددة العوامل (MFA) للمستخدمين مباشرةً من عميل VPN أثناء عملية تسجيل الدخول.
    • إذا كانت شبكة VPN لديك تدعم مطالبات تحدي RADIUS، فعندها يمكن اختيار عوامل مصادقة ADSelfService Plus (مثل مصادقة TOTP، أو Microsoft Authenticator، أو YubiKey Authenticator، أو Zoho OneAuth TOTP) وعوامل المصادقة أحادية الاتجاه (مثل مصادقة إشعارات الدفع أو المصادقة البيومترية) لـMFA الخاصة بالـVPN.
    • إذا كانت شبكة VPN الخاصة بك لا تدعم مطالبات تحدّي RADIUS، فيمكن اختيار مُصادِقات أحادية الاتجاه (مثل المصادقة عبر إشعارات الدفع أو المصادقة البيومترية) للمصادقة متعددة العوامل الخاصة بشبكة VPN.
    • التحقق من البريد الإلكتروني لـ SecureLink
      • اختر SecureLink Email Verification لتأمين شبكات VPN باستخدام أي وسيلة مصادقة يدعمها ADSelfService Plus، بما في ذلك وسائل المصادقة غير المدعومة من قِبل عميل الـVPN (مثل مفاتيح مرور FIDO أو المصادقة بالبطاقة الذكية).
      • عند اختيار هذه الطريقة، سيتلقى المستخدم رابط تحقق في صندوق بريده الإلكتروني يحتاج إلى النقر عليه للتحقق من هويته.

    ملاحظة: لا تدعم بعض خدمات نقاط النهاية الداعمة لـ RADIUS وVPN مطالبات التحدي-الاستجابة الخاصة بـ RADIUS، مثل Cisco Meraki وMicrosoft Routing and Remote Access وMicrosoft Remote Desktop Gateway. لتأمين شبكات VPN ونقاط النهاية هذه، يمكنك استخدام عوامل مصادقة أحادية الاتجاه (مثل المصادقة عبر إشعارات الدفع والمصادقة البيومترية) أو SecureLink Email Verification.

    تتوافق SecureLink Email Verification مع جميع نقاط النهاية الداعمة لـ RADIUS بغض النظر عن دعمها لمطالبات التحدي-الاستجابة الخاصة بـ RADIUS.

    إذا لم تكن متأكدًا مما إذا كان عميل VPN لديك يدعم مطالبات التحدي-الاستجابة الخاصة بـ RADIUS، فراجع وثائق موفر خدمة VPN لديك أو تواصل مع فريق دعم الموفر للحصول على تأكيد.

    خطوات التكوين

    المتطلبات الأساسية

    • يجب أن يكون لديك الإصدار الاحترافي من ADSelfService Plus مع Endpoint MFA.
    • يجب تكوين خادم VPN أو خادم نقطة النهاية لديك لاستخدام مصادقة RADIUS.
    • بالنسبة إلى RADIUS Server، يجب أن يكون لديك Windows Server (Windows Server 2008 R2 فما فوق) مع تمكين دور NPS.
    • يجب تمكين HTTPS في ADSelfService Plus ضمن المسؤول > إعدادات المنتج > الاتصال.
    ملاحظة: إذا كنت تستخدم شهادة غير موثوقة في ADSelfService Plus لتمكين HTTPS، فيجب تعطيل خيار تقييد وصول المستخدم عند وجود شهادة SSL غير صالحة ضمن Configuration > Administrative Tools > GINA/Mac/Linux (Ctrl+Alt+Del) > GINA/Mac/Linux Customization > Advanced.
    • في AD، اضبط إذن الوصول إلى الشبكة للمستخدمين على التحكم في الوصول عبر نهج شبكة NPS ضمن خصائص الاتصال الهاتفي الخاصة بهم.
    • في ADSelfServicePlus، يستخدم ملحق NPS عنوان URL للوصول الذي تقوم بتكوينه ضمن المسؤول > إعدادات المنتج > الاتصال > تكوين عنوان URL للوصول للتواصل مع خادم ADSelfService Plus. تأكد من تحديث عنوان URL للوصول قبل تثبيت ملحق NPS.
    • على خادم NPS الذي سيتم تثبيت ملحق NPS عليه:
      • قم بتعيين إعدادات المصادقة في نهج طلب الاتصال إلى مصادقة الطلبات على هذا الخادم.
      • اترك خانة الاختيار تجاهل خصائص الاتصال الهاتفي لحساب المستخدم ضمن قسم نظرة عامة في نهج الشبكة غير محددة.

    المصادقة متعددة العوامل لتسجيل الدخول إلى VPN

    الخطوة 1: قم بتمكين وسائل المصادقة المطلوبة

    1. سجّل الدخول إلى ADSelfService Plus كمسؤول.
    2. انتقل إلى التكوين > الخدمة الذاتية > المصادقة متعددة العوامل > إعداد المصدّقات.
    3. فعّل أدوات المصادقة المتوافقة مع وضع المصادقة متعددة العوامل (MFA) الذي تم تحديده قبل بدء عملية التكوين.

    أدوات مصادقة متوافقة مع التحقق من عميل VPN

    تنطبق عوامل المصادقة هذه افتراضياً على جميع نقاط النهاية التي توفر مصادقة RADIUS. إذا اخترت هذا الوضع، يمكنك اختيار إما عوامل مصادقة أحادية الاتجاه أو عوامل مصادقة مستندة إلى التحديات.

    1. مصادقات أحادية الاتجاه
    • المصادقة عبر إشعارات الدفع
    • المصادقة البيومترية
    ملاحظة: عند تمكين مصادقة إشعارات الدفع أو المصادقة البيومترية، تأكد من أن خادم ADSelfService Plus قابل للوصول من قِبل المستخدمين عبر الإنترنت من أجهزتهم المحمولة. 

    يجب ضبط مهلة مصادقة RADIUS على 60 ثانية على الأقل في إعدادات تكوين مصادقة RADIUS على خادم VPN. قد يؤدي عدم تكوين هذا الإعداد إلى تطبيق المهلة الافتراضية (التي قد تكون منخفضة حتى خمس ثوانٍ)، وهو ما قد لا يكون كافيًا للمستخدمين لإكمال المصادقة متعددة العوامل (MFA)، مما قد يتسبب في فشل المصادقة.
    • وسائل المصادقة القائمة على التحدي
      • المصادقة عبر TOTP
      • Google Authenticator
      • Microsoft Authenticator
      • مصادِق YubiKey
      • التحقق عبر الرسائل النصية
      • التحقق من البريد الإلكتروني
      • Zoho OneAuth TOTP

    تكون وسائل المصادقة المعتمدة على التحدي قابلة للتطبيق فقط عندما:

    • تم تكوين بروتوكول مصادقة كلمة المرور (PAP) لطريقة مصادقة RADIUS.
    • عميل RADIUS (خادم الـVPN أو خادم نقطة النهاية) يدعم موجهات التحدي-الاستجابة؛ أي أنه لديه طريقة لطلب تحدٍ من المستخدم (رمز تحقق) وإعادة إرسال التحدي الذي أدخله.
    ملاحظة: عند استخدام المصدِّقات القائمة على التحدّي، لن تُمرَّر سمات RADIUS المُكوَّنة في نهج الشبكة إلى عميل RADIUS (خادم VPN أو خادم نقطة النهاية). ونتيجة لذلك، قد يحصل عميل VPN على صلاحيات وصول أكثر مما ترغب، أو أقل، أو قد لا يحصل على أي وصول. لمعالجة ذلك، يمكنك استخدام خيار إرسال سمات إضافية كرد إلى خادم VPN بعد نجاح المصادقة متعددة العوامل (MFA) ضمن إعدادات المتقدمة لإرسال سمات RADIUS إلى خادم VPN من ADSelfService Plus.

    وسائل المصادقة المتوافقة مع التحقق من البريد الإلكتروني من SecureLink

    إذا اخترت SecureLink Email Verification، يمكنك تأمين شبكة VPN الخاصة بك باستخدام أي وسيلة مصادقة مدعومة من ADSelfService Plus. يمكنك العثور على قائمة وسائل المصادقة هنا. انقر الروابط المقابلة لمعرفة كيفية تفعيل طرق المصادقة هذه.

    ملاحظة: تجنّب استخدام مصادقة RADIUS لتسجيلات دخول VPN عبر SecureLink Email Verification إذا كان خادم RADIUS لديك هو نفسه الخادم الذي ثُبِّتت عليه إضافة NPS الخاصة بـ ADSelfService Plus لمصادقة VPN. تعرّف على المزيد

    يجب ضبط مهلة مصادقة RADIUS على 10 دقائق على الأقل ضمن إعدادات تكوين مصادقة RADIUS في خادم الـ VPN عند استخدام SecureLink Email Verification. قد يؤدي عدم تكوين هذا الإعداد إلى تطبيق المهلة الافتراضية (والتي تكون منخفضة غالبًا إلى خمس ثوانٍ فقط)، وهو ما قد لا يكون كافيًا للمستخدمين لإكمال المصادقة متعددة العوامل (MFA)، مما قد يسبب حالات فشل في المصادقة.

    الخطوة 2: تمكين المصادقة متعددة العوامل (MFA) لعمليات تسجيل الدخول عبر VPN في ADSelfService Plus

    المصادقة متعددة العوامل لتسجيل الدخول عبر VPN

    1. انتقل إلى المصادقة متعددة العوامل لنقاط النهاية.
    2. حدِّد سياسة من القائمة المنسدلة اختر السياسة. تحدد هذه السياسة المستخدمين الذين يتم تمكين MFA لديهم لتسجيلات الدخول إلى VPN ونقاط النهاية. لمعرفة المزيد حول إنشاء سياسة قائمة على الوحدة التنظيمية (OU) أو على المجموعات، انقر هنا.
    3. في قسم المصادقة متعددة العوامل لتسجيلات الدخول إلى VPN، حدّد التحقق من عميل VPN أو التحقق عبر البريد الإلكتروني من SecureLink، وفقًا لوضع المصادقة متعددة العوامل الذي تم تحديده مسبقًا.
    4. انقر على خانة الاختيار بجوار تمكين __ عامل(عوامل) مصادقة لشبكة VPN لعمليات تسجيل الدخول.
    5. اختر عدد عوامل المصادقة التي سيتم فرضها.
    6. حدد طرق المصادقة المراد استخدامها. يمكنك أيضًا إعادة ترتيب طرق المصادقة المدرجة بسحبها وإفلاتها في المواضع المطلوبة.
    7. انقر فوق حفظ الإعدادات.

    إعدادات متقدمة

    راجع مستند المساعدة الخاص بالإعدادات المتقدمة لإرسال سمات إضافية إلى موفر الشبكة الخاصة الافتراضية (VPN)، وتكوين حد جلسة المصادقة متعددة العوامل (MFA) لـ VPN، وتمكين خيار تخطي المصادقة متعددة العوامل (MFA) إذا كان ADSelfService Plus غير متاح أو إذا لم يكن المستخدم مسجلا.

    يمكنك إرسال سمات إضافية إلى خادم VPN بعد نجاح المصادقة متعددة العوامل (MFA) لتحديد مستوى الوصول الذي ينبغي أن يحصل عليه كل مستخدم أو لأغراض أخرى. يُرجى الرجوع إلى الوثائق التي يقدّمها موفّر خدمة VPN للاطّلاع على القائمة الكاملة للسمات التي يمكنك استخدامها. ترد أدناه قائمة بأكثر السمات استخدامًا لدى أبرز مزوّدي خدمات VPN في السوق:

    البائعنوع السمةمعرّف البائعرقم السمةالتنسيقاسم السمةوصف السمة
    Fortinetخاص بالبائع123561سلسلة نصيةFortinet-Group-Nameتطبق Fortinet قيود التفويض القائمة على المجموعات باستخدام هذه السمة
    Palo Alto Networksخاص بالمورّد254615سلسلة نصيةPaloAlto-User-Groupتطابق Palo Alto Networks معلومات المجموعة مع المجموعات المحددة في قائمة السماح لملف تعريف المصادقة
    Ciscoخاص بالبائع307625سلسلة نصيةGroup-lockتستخدم Cisco هذه السمة لتقييد الوصول بناءً على هوية المجموعة
    SonicWallخاص بالمورّد87413سلسلة نصيةSonicWall-User-Groupتستخدم SonicWall هذه السمة لتحديد المجموعة التي ينتمي إليها المستخدم
    WatchGuardقياسيغير متاح11سلسلةFilterIDتُستخدم السمة FilterID لتحديد قائمة التحكم بالوصول (ACL) الخاصة بمستخدم RADIUS
    Check Pointخاص بالمورّد2620229سلسلة نصيةCP-Gaia-User-Roleتستخدم Check Point هذه السمة لمنح صلاحيات لمستخدمين محددين
    Citrixخاص بالمورّد384516سلسلةCitrix-Group-Namesتستخدم Citrix طريقة استخراج مجموعات RADIUS هذه لتمكين التفويض

    الخطوة 3: قم بتثبيت ملحق NPS

    1. انتقل إلى المصادقة متعددة العوامل لنقاط النهاية.

    المصادقة متعددة العوامل لتسجيلات الدخول عبر VPN

    1. انقر فوق أيقونة تلميح الأدوات بجوار MFA لعمليات تسجيل الدخول عبر VPN لعرض مخطط البنية وتنزيل ملحق NPS باستخدام الرابط الموفّر في اللافتة.

    المصادقة متعددة العوامل لتسجيل الدخول إلى VPN

    1. انسخ ملف الملحق (ADSSPNPSExtension.zip) إلى خادم Windows الذي قمت بتكوينه كخادم RADIUS. استخرج محتويات ملف ZIP واحفظها في موقع آمن.
    2. افتح Windows PowerShell كمسؤول وانتقل إلى المجلد الذي يوجد فيه محتوى ملف الإضافة.
    3. نفّذ الأمر التالي:

    PS C:\> .\setupNpsExtension.ps1 Install

    ملاحظة: إذا كان يجب إلغاء تثبيت المكوّن الإضافي لامتداد NPS أو تحديثه إلى إصدار أحدث، أدخل إلغاء التثبيت أو تحديث، على التوالي، بدلاً من تثبيت.
    1. بعد التثبيت، ستتم مطالبتك بإعادة تشغيل خدمة Windows الخاصة بـ NPS. تابع عملية إعادة التشغيل.

    تخصيص إعدادات المصادقة متعددة العوامل (MFA) للشبكات الافتراضية الخاصة (VPN) ونقاط النهاية التي تدعم بروتوكول RADIUS

    يمكنك تخصيص تكوين MFA وفقًا لمتطلبات مؤسستك. 
    للقيام بذلك:

    1. افتح محرر التسجيل (اكتب regedit في مربع الحوار تشغيل).
    2. انتقل إلى HKEY_LOCAL_MACHINE\SOFTWARE\ZOHO Corp\ADSelfService Plus NPS Extension.
    ملاحظة: أنشئ نسخة احتياطية من مفتاح السجل قبل تعديله. لا يملك صلاحية تعديل هذا المفتاح إلا مجموعة المسؤولين المضمنة على الكمبيوتر.
    1. يمكنك تخصيص الخصائص المذكورة أدناه وفقًا لمتطلبات مؤسستك:
    • Serverالاسم: اذكر اسم المضيف أو عنوان IP لـ ADSelfService Plus الويب Server.
    • Serverرقم المنفذ: حدد رقم منفذ TCP للويب Server الخاص بـ ADSelfService Plus.
    • Serverمسار السياق: اذكر مسار سياق Server الخاص بالويب (إذا تم تكوينه).
    • MfaStatus: يمكن ضبطه على true أو false وفقًا لما إذا كنت بحاجة إلى فرض MFA أم لا.
    • ServerSSLValidation: يمكن تعيين هذه القيمة إلى true أو false. إذا تم تعيينها إلى true، فسيتم التحقق من شهادة SSL واسم المضيف عند إنشاء اتصال HTTPS من ملحق NPS إلى ADSelfService Plus Server. يُوصى بأن يتم تعيين هذه الخاصية دائمًا إلى true لأسباب أمنية.
    • BypassMFAOnConnectionError (اختياري): يمكن تعيين هذه الخاصية إلى true أو false اعتمادًا على ما إذا كان بالإمكان تجاوز MFA إذا كانت هناك أي مشكلة اتصال أثناء المصادقة.
    • CRPolicies (اختياري): يمكن استخدام هذه الخاصية لفرض المصادقة متعددة العوامل (MFA) فقط على المستخدمين الذين يندرجون ضمن هذه السياسات الخاصة بطلبات الاتصال. أدخل أسماء سياسات طلبات الاتصال، وإذا كان يجب ذكر أكثر من سياسة، فافصل بين أسماء السياسات بفواصل منقوطة (;).
    • NetworkPolicies (اختياري): يمكن استخدام هذه الخاصية لفرض المصادقة متعددة العوامل (MFA) فقط على المستخدمين الذين تنطبق عليهم سياسات الشبكة هذه. أدخل أسماء سياسات الشبكة، وإذا كان يجب ذكر أكثر من سياسة، فافصل أسماء السياسات بفواصل منقوطة (;).
    ملاحظة: عند تكوين كل من CRPolicies وNetworkPolicies، يُؤخذ طلب المصادقة في الاعتبار لـ MFA فقط إذا كان كل من CRPolicies وNetworkPolicies في طلب RADIUS مطابقًا للسياسات المُكوَّنة. إذا لم يتم تكوين السياسات، تُفرض المصادقة متعددة العوامل (MFA) على جميع طلبات RADIUS الناجحة المُرسلة إلى NPS.
    • LogLevel (اختياري): يمكن استخدام هذه الخاصية لتحديد مدى تعقيد المعلومات المسجّلة حول أداء الميزة. يتم تعيين هذه الخاصية افتراضيًا إلى Normal ويمكن تغييرها إلى Debug لتسجيل تفاصيل إضافية تساعد في تصحيح الأخطاء. يُوصى بضبط هذه الخاصية على Normal.
    • UserIPAttribute (اختياري): قيمة هذه الخاصية هي سمة في طلب RADIUS، ويمكن تعديلها لتلقي عنوان IP الخاص بالمستخدم وإرساله إلى ADSelfService Plus من أجل الوصول المشروط.

    تختلف القيمة التي يجب تعيينها كخاصية UserIPAttribute باختلاف كل مزوّد VPN. يُرجى الرجوع إلى الوثائق التي يوفّرها مزوّد الـVPN لديك لمعرفة قيمة سمة RADIUS التي من خلالها يتم إرسال عنوان IP الخاص بالمستخدم.

    يمكن أن تكون هذه السمة قياسية أو خاصة بالمورّد.

    • إذا كانت سمة قياسية، يمكنك تعيين خاصية UserIPAttribute إلى رقم السمة فقط.
    • إذا كانت سمة خاصة بالمورّد، فيلزمك ذكر معرّف المورّد متبوعًا برقم السمة المعيَّن من قِبل المورّد — مفصولًا بفاصلة — كقيمة UserIPAttribute.
    • تُعرض أمثلة باستخدام مزوّدين معروفين في الجدول أدناه:
    البائعنوع السمةاسم السمةمعرّف البائعرقم السمةقيمة UserIPAttribute
    Juniper Networksقياسيcalling-station-id-3131
    Palo Alto Networksخاص بالبائعclient-source-ip25461725461,7
    • انقر فوق موافق.
    الانتقال إلى السابق الموضوع السابقالموضوع التالي الانتقال إلى التالي

    شكرًا!

    تم إرسال طلبك إلى فريق الدعم الفني لـ ADSelfService Plus. سيساعدك فريق الدعم الفني لدينا في أقرب وقت ممكن.

     

    هل تحتاج إلى مساعدة تقنية؟

    • أدخل بريدك الإلكتروني
    • تحدث مع الخبراء
    •  

       

    •  

    • بالنقر على 'تحدث إلى الخبراء' فإنك توافق على معالجة البيانات الشخصية وفقاً لـ سياسة الخصوصية.
     

    لا ترى ما تبحث عنه؟

    • قم بزيارة مجتمعنا

      انشر أسئلتك في المنتدى.

    • اطلب موارد إضافية

      أرسل إلينا متطلباتك.

    • هل تحتاج إلى مساعدة في التنفيذ؟

      جرّب OnboardPro