Vorheriges Thema Nächstes Thema

Wie man MFA für VPN-Anmeldungen und RADIUS-unterstützte Endpunktanmeldungen aktiviert

Hinweis: MFA für VPN-Anmeldungen erfordert die Professional Edition von ADSelfService Plus mit Endpoint MFA.

ADSelfService Plus' Endpoint MFA fügt einen zusätzlichen Authentifizierungsschritt für VPN- und Endpunktanmeldungen hinzu, die RADIUS-Authentifizierung verwenden (wie Microsoft Remote Desktop Gateway und VMware Horizon), für erhöhte Sicherheit.

ADSelfService Plus erfordert die Nutzung eines Windows Network Policy Servers (NPS) auf den VPNs und Endpunkten. Es wird mit einer NPS-Erweiterung geliefert, die auf dem NPS installiert werden sollte. Diese Erweiterung ermöglicht die Kommunikation zwischen dem NPS und ADSelfService Plus für MFA während VPN- und Endpunktanmeldungen.

Wie es funktioniert:

Sobald der VPN- oder Endpunkt-Server zur Verwendung von RADIUS-Authentifizierung konfiguriert und die NPS-Erweiterung auf dem RADIUS-Server installiert ist, funktioniert der Authentifizierungsprozess wie folgt:

• Ein Benutzer versucht, eine Verbindung herzustellen, indem er seinen Benutzernamen und sein Passwort an den VPN- oder Endpunkt-Server übermittelt.
• Der Server wandelt die Anfrage in eine RADIUS Access-Request-Nachricht um und sendet sie an den NPS, auf dem die ADSelfService Plus NPS-Erweiterung installiert ist.
• Wenn die Kombination aus Benutzername und Passwort korrekt ist, löst die NPS-Erweiterung eine Anfrage zur sekundären Authentifizierung beim ADSelfService Plus Server aus.
• ADSelfService Plus führt die sekundäre Authentifizierung durch und sendet das Ergebnis an die NPS-Erweiterung auf dem NPS.
• Wenn die Authentifizierung erfolgreich ist, sendet der NPS eine RADIUS Access-Accept-Nachricht an den VPN- oder Endpunkt-Server.
• Dem Benutzer wird Zugriff auf den VPN- oder Endpunkt-Server gewährt und ein verschlüsselter Tunnel zum internen Netzwerk wird aufgebaut.

Konfiguration von MFA für VPNs und RADIUS-unterstützende Endpunkte

Zuerst müssen Sie entscheiden, welchen MFA-Modus Sie zum Konfigurieren von VPN-MFA verwenden möchten. Sie können entweder VPN Client Verification oder SecureLink Email Verificationwählen, abhängig von den Authentifikatoren und der Art der MFA-Aufforderungen, die Sie verwenden möchten:

1. VPN Client Verification
• Wählen Sie VPN Client Verification um Benutzern MFA-Aufforderungen direkt vom VPN-Client während des Anmeldevorgangs zu präsentieren.
• Wenn Ihr VPN RADIUS-Challenge-Aufforderungen unterstützt, können AdsElfService Plus-Authentifikatoren (wie TOTP Authentication, Microsoft Authenticator, YubiKey Authenticator oder Zoho OneAuth TOTP) und Einweg-Authentifikatoren (wie Push Notification Authentication oder Biometric Authentication) für VPN MFA ausgewählt werden.
• Wenn Ihr VPN keine RADIUS-Challenge-Aufforderungen unterstützt, können Einweg-Authentifikatoren (wie Push Notification Authentication oder Biometric Authentication) für VPN MFA ausgewählt werden.
2. SecureLink Email Verification
• Wählen Sie SecureLink Email Verification um VPNs mit jedem von ADSelfService Plus unterstützten Authentifikator abzusichern, einschließlich Authentifikatoren, die vom VPN-Client nicht unterstützt werden (wie FIDO Passkeys oder Smart Card Authentication).
• Wenn diese Methode ausgewählt ist, erhält der Benutzer einen Verifizierungslink in seinem Postfach, den er anklicken muss, um seine Identität zu bestätigen.

Konfigurationsschritte

Voraussetzungen

• Sie müssen die Professional Edition von ADSelfService Plus mit Endpoint MFA besitzen.
• Ihr VPN- oder Endpunkt-Server muss zur Verwendung von RADIUS-Authentifizierung konfiguriert sein.
• Für den RADIUS-Server müssen Sie einen Windows-Server (Windows Server 2008 R2 und höher) mit aktivierter NPS-Rolle haben.
• Sie müssen HTTPS in ADSelfService Plus unter Admin > Product Settings > Connection.
Hinweis: aktivieren. Wenn Sie ein nicht vertrauenswürdiges Zertifikat in ADSelfService Plus verwenden, um HTTPS zu aktivieren, müssen Sie die Einschränkung des Benutzerzugriffs bei ungültigem SSL-Zertifikat Option unter.
• Configuration > Administrative Tools > GINA/Mac/Linux (Ctrl+Alt+Del) > GINA/Mac/Linux Customization > Advanced deaktivieren. Setzen Sie in AD die Benutzer- Netzwerkzugriffs- Berechtigung auf Zugriffskontrolle über NPS-Netzwerkrichtlinie unter deren
• Einwahl- Eigenschaften. In ADSelfService Plus wird die Zugriffs-URL, die Sie unter
• Admin > Product Settings > Connection > Configure Access URL
  • konfigurieren, von der NPS-Erweiterung zum Kommunizieren mit dem ADSelfService Plus Server verwendet. Stellen Sie sicher, dass Sie die Zugriffs-URL vor der Installation der NPS-Erweiterung aktualisieren. Auf dem NPS, auf dem die NPS-Erweiterung installiert werden soll: Setzen Sie die Authentifizierungs- Einstellungen der Connection Request Policy.
  • auf Anfragen auf diesem Server authentifizieren Lassen Sie das Kontrollkästchen Übersicht Benutzerkontoeinwahl-Eigenschaften ignorieren unter dem Abschnitt der

Netzwerkrichtlinie

1. deaktiviert.
2. Schritt 1: Aktivieren Sie die erforderlichen Authentifikatoren Melden Sie sich als Administrator bei ADSelfService Plus an..
3. Gehen Sie zu

Configuration > Self-Service > Multi-factor Authentication > Authenticators Setup

Aktivieren Sie die Authentifikatoren, die mit dem zuvor gewählten MFA-Modus kompatibel sind.

1. Authentifikatoren kompatibel mit VPN Client Verification
• Diese Authentifikatoren sind standardmäßig für alle Endpunkte mit RADIUS-Authentifizierung anwendbar. Wenn Sie diesen Modus wählen, können Sie entweder Einweg-Authentifikatoren oder Challenge-basierte Authentifikatoren auswählen.
• Einweg-Authentifikatoren
Hinweis: Push Notification Authentication

Biometric Authentication
2. Wenn Sie Push Notification Authentication oder Biometric Authentication aktivieren, stellen Sie sicher, dass der ADSelfService Plus Server für die Benutzer von ihren mobilen Geräten aus über das Internet erreichbar ist.
• Die RADIUS-Authentifizierungs-Timeout-Einstellung sollte im RADIUS-Authentifizierungskonfigurationsmenü des VPN-Servers auf mindestens 60 Sekunden gesetzt sein. Wird diese Einstellung nicht vorgenommen, kann der Standard-Timeout (häufig so kurz wie fünf Sekunden) gelten, was nicht ausreichend sein könnte, damit Benutzer MFA abschließen, und dadurch zu Authentifizierungsfehlern führen kann.
• Challenge-basierte Authentifikatoren
• TOTP Authentication
• Google Authenticator
• Microsoft Authenticator
• YubiKey Authenticator
• SMS Verification

Email Verification

• Zoho OneAuth TOTP
• Challenge-basierte Authentifikatoren sind nur anwendbar, wenn:
Hinweis: Password Authentication Protocol (PAP) als RADIUS-Authentifizierungsmethode konfiguriert ist. Der RADIUS-Client (der VPN- oder Endpunkt-Server) Challenge-Response-Aufforderungen unterstützt; das heißt, er kann den Benutzer nach einem Challenge-Code fragen und die eingegebene Antwort zurücksenden. Einschränkung des Benutzerzugriffs bei ungültigem SSL-Zertifikat Wenn challenge-basierte Authentifikatoren verwendet werden, werden die in der Netzwerkrichtlinie konfigurierten RADIUS-Attribute nicht an den RADIUS-Client (VPN- oder Endpunkt-Server) weitergeleitet. Das kann bewirken, dass der VPN-Client mehr, weniger oder keinen Zugriff erhält. Um dem entgegenzuwirken, können Sie die Zusätzlichen Attribute als Antwort an den VPN-Server nach erfolgreicher MFA senden

Erweiterten

Einstellungen verwenden, um die RADIUS-Attribute vom ADSelfService Plus Server an den VPN-Server zu senden. Authentifikatoren kompatibel mit SecureLink Email VerificationWenn Sie SecureLink Email Verification wählen, können Sie Ihr VPN mit jedem von ADSelfService Plus unterstützten Authentifikator absichern. Eine Liste der Authentifikatoren finden Sie

Mehr erfahren

1. Schritt 1: Aktivieren Sie die erforderlichen Authentifikatoren Die RADIUS-Authentifizierungs-Timeout-Einstellung sollte bei Verwendung von SecureLink Email Verification im VPN-Server auf mindestens 10 Minuten gesetzt sein. Wird diese Einstellung nicht vorgenommen, kann der Standard-Timeout (häufig so kurz wie fünf Sekunden) gelten, was nicht ausreichend sein könnte, damit Benutzer MFA abschließen, und dadurch zu Authentifizierungsfehlern führen kann..
2. Schritt 2: MFA für VPN-Anmeldungen in ADSelfService Plus aktivieren MFA für Endpunkte Wählen Sie eine Richtlinie aus dem Richtlinie auswählen.
3. Dropdown-Menü. Diese Richtlinie bestimmt die Benutzer, für die MFA für VPN- und Endpunkt-Anmeldungen aktiviert ist. Um mehr über das Erstellen einer OU- oder gruppenbasierten Richtlinie zu erfahren, klicken Sie hier Im VPN Client Verification MFA für VPN-Anmeldungen SecureLink Email VerificationAbschnitt, wählen Sie
4. oder , je nach vorher ausgewähltem MFA-Modus. Aktivieren Sie das Kontrollkästchen neben
5. __ Authentifikator-Faktor(en) für VPN-Anmeldungen aktivieren.
6. Wählen Sie die Anzahl der durchzusetzenden Authentifizierungsfaktoren aus.
7. Wählen Sie die verwendeten Authentifizierungsmethoden aus. Sie können auch die Reihenfolge der aufgelisteten Authentifizierungsmethoden durch Ziehen und Ablegen anpassen. Klicken Sie auf.

Einstellungen speichern

Erweiterte Einstellungen Siehe das Hilfedokument zu erweiterten Einstellungen

zum Senden zusätzlicher Attribute an den VPN-Anbieter, Konfigurieren des VPN-MFA-Sitzungslimits und Aktivieren der Option zum Überspringen von MFA, falls ADSelfService Plus nicht erreichbar oder der Benutzer nicht registriert ist.

Schritt 3: Installieren der NPS-Erweiterung

1. Schritt 1: Aktivieren Sie die erforderlichen Authentifikatoren Die RADIUS-Authentifizierungs-Timeout-Einstellung sollte bei Verwendung von SecureLink Email Verification im VPN-Server auf mindestens 10 Minuten gesetzt sein. Wird diese Einstellung nicht vorgenommen, kann der Standard-Timeout (häufig so kurz wie fünf Sekunden) gelten, was nicht ausreichend sein könnte, damit Benutzer MFA abschließen, und dadurch zu Authentifizierungsfehlern führen kann..



2. Klicken Sie auf das Tooltipp-Symbol neben klicken Sie hier um das Architekturdiagramm anzuzeigen und die NPS-Erweiterung über den Link im Banner herunterzuladen.



3. Kopieren Sie die Erweiterungsdatei (ADSSPNPSExtension.zip) auf den Windows-Server, den Sie als RADIUS-Server konfiguriert haben. Entpacken Sie den Inhalt der ZIP-Datei und speichern Sie ihn an einem sicheren Ort.
4. Öffnen Sie Windows PowerShell als Administrator und navigieren Sie zu dem Ordner, in dem sich der Inhalt der Erweiterungsdatei befindet.
5. Führen Sie folgenden Befehl aus:

PS C:\> .\setupNpsExtension.ps1 Install

Hinweis: Wenn das NPS-Erweiterungs-Plugin deinstalliert oder auf eine neuere Version aktualisiert werden muss, geben Sie Uninstall MFA für VPN-Anmeldungen Updateein, statt Install.
6. Nach der Installation werden Sie aufgefordert, den NPS Windows-Dienst neu zu starten. Fahren Sie mit dem Neustart fort.

Anpassung der MFA-Konfiguration für VPNs und RADIUS-kompatible Endpunkte

Sie können die MFA-Konfiguration entsprechend den Anforderungen Ihrer Organisation anpassen.
So gehen Sie vor:

1. Öffnen Sie den Registrierungs-Editor (geben Sie regedit im Ausführen-Dialogfeld ein).
2. Schritt 1: Aktivieren Sie die erforderlichen Authentifikatoren HKEY_LOCAL_MACHINE\SOFTWARE\ZOHO Corp\ADSelfService Plus NPS Extension.
Hinweis: Erstellen Sie vor der Bearbeitung eine Sicherung des Registrierungsschlüssels. Nur die integrierte Administratorgruppe des Computers hat das Recht, diesen Schlüssel zu bearbeiten.
3. Sie können die unten aufgeführten Eigenschaften entsprechend den Anforderungen Ihrer Organisation anpassen:
• ServerName: Geben Sie den Hostnamen oder die IP-Adresse des ADSelfService Plus Webservers an.
• ServerPortNo: Geben Sie die TCP-Portnummer für den ADSelfService Plus Webserver an.
• ServerContextPath: Geben Sie den Kontextpfad des Webservers an (sofern konfiguriert).
• MfaStatus: Dieser Wert kann auf true MFA für VPN-Anmeldungen false gesetzt werden, abhängig davon, ob MFA erzwungen werden soll oder nicht.
• ServerSSLValidation: Dieser Wert kann auf true MFA für VPN-Anmeldungen false. Wenn auf truetrue true gesetzt, überprüft es das SSL-Zertifikat und den Hostnamen beim Aufbau einer HTTPS-Verbindung von der NPS-Erweiterung zum ADSelfService Plus Server. Aus Sicherheitsgründen wird empfohlen, diese Eigenschaft stets auf
• true BypassMFAOnConnectionError (optional): true MFA für VPN-Anmeldungen false Diese Eigenschaft kann auf
• true false
• gesetzt werden, um zu bestimmen, ob MFA bei Verbindungsproblemen während der Authentifizierung umgangen werden kann. CRPolicies (optional):
Hinweis: Diese Eigenschaft kann verwendet werden, um MFA nur für Benutzer durchzusetzen, die unter diese Verbindungsanforderungsrichtlinien fallen. Geben Sie die Namen der Verbindungsanforderungsrichtlinien ein, und wenn mehrere Richtlinien angegeben werden müssen, trennen Sie die Namen mit Semikolons (;). NetworkPolicies (optional): Diese Eigenschaft kann verwendet werden, um MFA nur für Benutzer durchzusetzen, die unter diese Netzwerkrichtlinien fallen. Geben Sie die Namen der Netzwerkrichtlinien ein, und wenn mehrere Richtlinien angegeben werden müssen, trennen Sie die Namen mit Semikolons (;). Wenn sowohl CRPolicies NetworkPolicies (optional): Diese Eigenschaft kann verwendet werden, um MFA nur für Benutzer durchzusetzen, die unter diese Netzwerkrichtlinien fallen. Geben Sie die Namen der Netzwerkrichtlinien ein, und wenn mehrere Richtlinien angegeben werden müssen, trennen Sie die Namen mit Semikolons (;). Wenn sowohl als auch
• NetworkPolicies konfiguriert sind, wird eine Authentifizierungsanfrage nur dann für MFA berücksichtigt, wenn beide bei der RADIUS-Anfrage mit den konfigurierten übereinstimmen. Wenn die Richtlinien nicht konfiguriert sind, wird MFA für alle erfolgreichen RADIUS-Anfragen an das NPS durchgesetzt. LogLevel (optional): Diese Eigenschaft kann verwendet werden, um den Detailgrad der protokollierten Informationen über die Funktionsweise der Funktion zu bestimmen. Die Eigenschaft ist standardmäßig auf Normal bei der RADIUS-Anfrage mit den konfigurierten übereinstimmen. Wenn die Richtlinien nicht konfiguriert sind, wird MFA für alle erfolgreichen RADIUS-Anfragen an das NPS durchgesetzt..
• gesetzt und kann auf Debug

geändert werden, um zusätzliche Details für die Fehlerbehebung zu protokollieren. Es wird empfohlen, die Eigenschaft auf Normal UserIPAttribute (optional):

Der Wert dieser Eigenschaft ist ein RADIUS-Anfrageattribut, das geändert werden kann, um die IP-Adresse des Benutzers zu erfassen und an ADSelfService Plus für bedingten Zugriff zu senden.

• Der einzustellende Wert für die
• UserIPAttribute Normal Eigenschaft variiert je nach VPN-Anbieter. Bitte konsultieren Sie die Dokumentation Ihres VPN-Anbieters für den RADIUS-Attributwert, über den die IP-Adresse des Benutzers gesendet wird.
• Dieses Attribut kann entweder standard oder herstellerspezifisch sein.

Sie können zusätzliche Attribute nach erfolgreicher MFA an den VPN-Server senden, um den Zugriff für jeden Benutzer zu bestimmen oder für andere Zwecke. Die vollständige Liste der nutzbaren Attribute entnehmen Sie bitte der Dokumentation Ihres VPN-Anbieters. Eine Liste der am häufigsten verwendeten Attribute für die Top-VPN-Anbieter auf dem Markt finden Sie unten:	Wenn es sich um ein Standardattribut handelt, können Sie die Eigenschaft UserIPAttribute nur auf die Attributnummer setzen.	Wenn es sich um ein herstellerspezifisches Attribut handelt, müssen Sie die Hersteller-ID gefolgt von der vom Hersteller zugewiesenen Attributnummer angeben – getrennt durch ein Komma – als	Attributtyp	Wert.	Normal Beispiele mit bekannten Herstellern sind in der folgenden Tabelle aufgeführt:
Attributtyp	Standard	Attributname	-	31	31
Palo Alto Networks	Attributnummer	Wert	25461	7	25461,7

4. Wählen Sie die verwendeten Authentifizierungsmethoden aus. Sie können auch die Reihenfolge der aufgelisteten Authentifizierungsmethoden durch Ziehen und Ablegen anpassen. Juniper Networks.

Vorheriges Thema Nächstes Thema