Tópico Anterior Próximo Tópico

Como habilitar MFA para logins VPN e logins de endpoint suportados por RADIUS

Nota: MFA para logins VPN requer a edição Professional do ADSelfService Plus com Endpoint MFA.

O Endpoint MFA do ADSelfService Plus adiciona uma etapa extra de autenticação para logins VPN e de endpoint que usam autenticação RADIUS (como Microsoft Remote Desktop Gateway e VMware Horizon) para maior segurança.

O ADSelfService Plus requer o uso de um Windows Network Policy Server (NPS) nas VPNs e endpoints. Ele vem com uma extensão NPS, que deve ser instalada no NPS. Essa extensão facilita a comunicação entre o NPS e o ADSelfService Plus para MFA durante logins VPN e de endpoint.

Como funciona:

Uma vez que o servidor VPN ou endpoint esteja configurado para usar autenticação RADIUS, e a extensão NPS esteja instalada no servidor RADIUS, veja como o processo de autenticação funciona:

• Um usuário tenta estabelecer uma conexão fornecendo seu nome de usuário e senha ao servidor VPN ou endpoint.
• O servidor converte a solicitação em uma mensagem RADIUS Access-Request e a envia para o NPS onde a extensão ADSelfService Plus NPS está instalada.
• Se a combinação de nome de usuário e senha estiver correta, a extensão NPS dispara uma solicitação de autenticação secundária com o servidor ADSelfService Plus.
• O ADSelfService Plus realiza a autenticação secundária e envia o resultado para a extensão NPS no NPS.
• Se a autenticação for bem-sucedida, o NPS envia uma mensagem RADIUS Access-Accept para o servidor VPN ou endpoint.
• O usuário tem acesso concedido ao servidor VPN ou endpoint, e um túnel criptografado para a rede interna é estabelecido.

Configurando MFA para VPNs e endpoints que suportam RADIUS

Primeiro, você precisa decidir qual modo de MFA deseja usar para configurar o MFA VPN. Você pode selecionar Verificação do Cliente VPN ou Verificação por Email SecureLink, dependendo dos autenticadores e do tipo de prompts MFA que deseja usar:

1. Verificação do Cliente VPN
• Selecione Verificação do Cliente VPN para apresentar aos usuários prompts MFA diretamente do cliente VPN durante o processo de login.
• Se sua VPN suporta prompts de desafio RADIUS, então os autenticadores do ADSelfService Plus (como Autenticação TOTP, Microsoft Authenticator, YubiKey Authenticator ou Zoho OneAuth TOTP) e autenticadores unidirecionais (como Autenticação por Notificação Push ou Autenticação Biométrica) podem ser selecionados para MFA VPN.
• Se sua VPN não suporta prompts de desafio RADIUS, autenticadores unidirecionais (como Autenticação por Notificação Push ou Autenticação Biométrica) podem ser selecionados para MFA VPN.
2. Verificação por Email SecureLink
• Selecione Verificação por Email SecureLink para proteger VPNs usando qualquer autenticador suportado pelo ADSelfService Plus, incluindo autenticadores que não são suportados pelo cliente VPN (como FIDO Passkeys ou Autenticação por Smart Card).
• Quando este método é selecionado, o usuário receberá um link de verificação em sua caixa de entrada que deverá clicar para verificar sua identidade.

Etapas de configuração

Pré-requisitos

• Você deve ter a edição Professional do ADSelfService Plus com Endpoint MFA.
• Seu servidor VPN ou endpoint deve estar configurado para usar autenticação RADIUS.
• Para o servidor RADIUS, você deve ter um servidor Windows (Windows Server 2008 R2 ou superior) com a função NPS habilitada.
• Você deve habilitar HTTPS no ADSelfService Plus em Admin > Product Settings > Connection.
Nota: Se você estiver usando um certificado não confiável no ADSelfService Plus para habilitar HTTPS, deve desabilitar a opção Restrict User Access when there is an Invalid SSL Certificate em Configuration > Administrative Tools > GINA/Mac/Linux (Ctrl+Alt+Del) > GINA/Mac/Linux Customization > Advanced.
• No AD, defina a permissão Network Access dos usuários para Control access through NPS Network Policy em suas propriedades Dial-in.
• No ADSelfService Plus, a URL de acesso que você configura em Admin > Product Settings > Connection > Configure Access URL é usada pela extensão NPS para comunicar-se com o servidor ADSelfService Plus. Certifique-se de atualizar a URL de acesso antes de instalar a extensão NPS.
• On the NPS where the NPS extension is going to be installed:
  • Defina as configurações de Authentication da Connection Request Policy para Authenticate requests on this server.
  • Deixe a caixa de seleção Ignore user account dial-in properties na seção Overview da Network Policy desmarcada.

Passo 1: Habilitar os autenticadores necessários

1. Faça login no ADSelfService Plus como administrador.
2. Vá para Configuration > Self-Service > Multi-factor Authentication > Authenticators Setup.
3. Habilite os autenticadores compatíveis com o modo MFA decidido antes de iniciar o processo de configuração.

Autenticadores compatíveis com Verificação do Cliente VPN

Esses autenticadores são aplicáveis por padrão para todos os endpoints que fornecem autenticação RADIUS. Se você escolher este modo, pode selecionar autenticadores unidirecionais ou autenticadores baseados em desafio.

1. Autenticadores unidirecionais
• Autenticação por notificação push
• Autenticação biométrica
Note: When you enable Push Notification Authentication or Biometric Authentication, make sure the ADSelfService Plus server is reachable by the users through the internet from their mobile devices.

The RADIUS authentication timeout should be set to at least 60 seconds in the VPN server's RADIUS authentication configuration settings. Failing to configure this setting could result in the default timeout (often as low as five seconds) being applied, which may be insufficient for users to complete MFA, potentially causing authentication failures.
2. Autenticadores baseados em desafio
• Autenticação TOTP
• Google Authenticator
• Microsoft Authenticator
• YubiKey Authenticator
• Verificação por SMS
• Verificação por Email
• Zoho OneAuth TOTP

Autenticadores baseados em desafio são aplicáveis somente quando:

• O Protocolo de Autenticação de Senha (PAP) está configurado para o método de autenticação RADIUS.
• O cliente RADIUS (o servidor VPN ou endpoint) suporta prompts de desafio-resposta; ou seja, possui uma forma de solicitar ao usuário um desafio (um código de verificação) e enviar de volta o desafio inserido.
Note: When challenge-based authenticators are used, the RADIUS attributes that are configured in the network policy won't be forwarded to the RADIUS client (the VPN or endpoint server). As a result, the VPN client might have more access than you want it to have, less access, or no access. To address this, you can use the Send additional attributes as a response to the VPN server after successful MFA option under Advanced settings to send the RADIUS attributes to the VPN server from ADSelfService Plus.

Autenticadores compatíveis com SecureLink Email Verification

Se você selecionar SecureLink Email Verification, poderá proteger sua VPN usando qualquer autenticador suportado pelo ADSelfService Plus. Você pode encontrar a lista de autenticadores aqui. Clique nos respectivos links para aprender como habilitar esses métodos de autenticação.

Passo 2: Habilitar MFA para logins VPN no ADSelfService Plus

1. Vá para MFA para Endpoints.
2. Selecione uma política no menu suspenso Escolha a Política. Esta política determina os usuários para os quais o MFA para logins VPN e endpoint será habilitado. Para saber mais sobre como criar uma política baseada em OU ou grupo, clique aqui.
3. Na seção MFA para Logins VPN, selecione Verificação do Cliente VPN ou SecureLink Email Verification, dependendo do modo MFA decidido anteriormente.
4. Marque a caixa ao lado de Habilitar fator(es) de autenticação __ para logins VPN.
5. Escolha o número de fatores de autenticação a serem aplicados.
6. Selecione os métodos de autenticação a serem usados. Você também pode reorganizar os métodos de autenticação listados arrastando e soltando-os nas posições necessárias.
7. Clique em Salvar Configurações.

Configurações avançadas

Consulte o documento de ajuda das configurações avançadas para enviar atributos adicionais ao provedor VPN, configurar o limite de sessão MFA VPN e habilitar a opção para pular o MFA se o ADSelfService Plus estiver indisponível ou o usuário não estiver registrado.

Você pode enviar atributos adicionais ao servidor VPN após o MFA bem-sucedido para determinar o nível de acesso que cada usuário deve ter ou para outros fins. Consulte a documentação fornecida pelo seu provedor VPN para a lista completa de atributos que você pode utilizar. Abaixo está uma lista dos atributos mais usados pelos principais fornecedores de VPN do mercado:

Passo 3: Instale a extensão NPS

1. Vá para MFA para Endpoints.



2. Clique no ícone de dica ao lado de MFA para Logins VPN para exibir o diagrama da arquitetura e baixar a extensão NPS usando o link fornecido no banner.



3. Copie o arquivo da extensão (ADSSPNPSExtension.zip) para o servidor Windows que você configurou como servidor RADIUS. Extraia o conteúdo do arquivo ZIP e salve-o em um local seguro.
4. Abra o Windows PowerShell como administrador e navegue até a pasta onde o conteúdo do arquivo da extensão está localizado.
5. Execute o seguinte comando:

PS C:\> .\setupNpsExtension.ps1 Install

Nota: Se o plug-in da extensão NPS precisar ser desinstalado ou atualizado para uma versão mais recente, insira Uninstall ou Update, respectivamente, em vez de Install.
6. Após a instalação, você será solicitado a reiniciar o serviço NPS do Windows. Prossiga com a reinicialização.

Personalizando a configuração do MFA para VPNs e endpoints que suportam RADIUS

Você pode personalizar a configuração do MFA com base nos requisitos da sua organização.
Para isso:

1. Abra o Editor do Registro (digite regedit na caixa de diálogo Executar).
2. Vá para HKEY_LOCAL_MACHINE\SOFTWARE\ZOHO Corp\ADSelfService Plus NPS Extension.
Nota:
3. Você pode personalizar as propriedades mencionadas abaixo de acordo com os requisitos da sua organização:
• ServerName: Informe o nome do host ou endereço IP do servidor web ADSelfService Plus.
• ServerPortNo: Informe o número da porta TCP para o servidor web ADSelfService Plus.
• ServerContextPath: Informe o caminho do contexto do servidor web (se configurado).
• MfaStatus: Pode ser configurado como true ou false, dependendo se o MFA precisa ser aplicado ou não.
• ServerSSLValidation: Pode ser configurado como true ou false. Se configurado como true, verifica o certificado SSL e o nome do host ao estabelecer uma conexão HTTPS da extensão NPS para o servidor ADSelfService Plus. Recomenda-se que esta propriedade esteja sempre configurada como true por razões de segurança.
• BypassMFAOnConnectionError (opcional): Esta propriedade pode ser configurada como true ou false, dependendo se o MFA pode ser ignorado caso haja algum problema de conexão durante a autenticação.
• CRPolicies (opcional): Esta propriedade pode ser usada para aplicar MFA apenas para usuários que se enquadram nessas políticas de solicitação de conexão. Insira os nomes das políticas de solicitação de conexão e, se mais de uma política precisar ser mencionada, separe os nomes das políticas com ponto e vírgula (;).
• NetworkPolicies (opcional): Esta propriedade pode ser usada para aplicar MFA apenas para usuários que se enquadram nessas políticas de rede. Insira os nomes das políticas de rede e, se mais de uma política precisar ser mencionada, separe os nomes das políticas com ponto e vírgula (;).
Nota: Quando tanto CRPolicies quanto NetworkPolicies estão configuradas, uma solicitação de autenticação é considerada para MFA somente se tanto as CRPolicies quanto as NetworkPolicies da solicitação RADIUS corresponderem às configuradas. Se as políticas não estiverem configuradas, o MFA é aplicado para todas as solicitações RADIUS bem-sucedidas enviadas ao NPS.
• LogLevel (opcional): Esta propriedade pode ser usada para determinar o nível de detalhes das informações registradas sobre o funcionamento do recurso. A propriedade é configurada como Normal por padrão e pode ser alterada para Debug para registrar detalhes adicionais que auxiliam na depuração. Recomenda-se que a propriedade seja configurada como Normal.
• UserIPAttribute (opcional): O valor desta propriedade é um atributo da solicitação RADIUS, que pode ser modificado para receber o endereço IP do usuário e enviá-lo ao ADSelfService Plus para acesso condicional.

O valor a ser configurado como propriedade UserIPAttribute varia conforme o provedor VPN. Consulte a documentação fornecida pelo seu provedor VPN para o valor do atributo RADIUS pelo qual o endereço IP do usuário é enviado.

Este atributo pode ser padrão ou específico do fornecedor.

• Se for um atributo padrão, você pode configurar a propriedade UserIPAttribute apenas com o número do atributo.
• Se for um atributo específico do fornecedor, você precisa mencionar o ID do fornecedor seguido pelo número do atributo atribuído pelo fornecedor — separados por vírgula — como valor da propriedade UserIPAttribute.
• Exemplos usando fornecedores conhecidos são fornecidos na tabela abaixo:

Fornecedor	Tipo de Atributo	Nome do Atributo	ID do fornecedor	Número do Atributo	Valor de UserIPAttribute
Juniper Networks	Padrão	calling-station-id	-	31	31
Palo Alto Networks	Específico do fornecedor	client-source-ip	25461	7	25461,7

4. Clique em OK.

Tópico Anterior Próximo Tópico