Udostępnij za pośrednictwem


Uwierzytelnianie usługi RADIUS przy użyciu identyfikatora entra firmy Microsoft

Remote Authentication Dial-In User Service (RADIUS) to protokół sieciowy, który zabezpiecza sieć przez włączenie scentralizowanego uwierzytelniania i autoryzacji użytkowników telefonicznych. Wiele aplikacji nadal korzysta z protokołu RADIUS do uwierzytelniania użytkowników.

System Microsoft Windows Server ma rolę o nazwie Serwer zasad sieciowych (NPS), który może działać jako serwer RADIUS i obsługiwać uwierzytelnianie USŁUGI RADIUS.

Microsoft Entra ID umożliwia uwierzytelnianie wieloskładnikowe z systemami opartymi na usłudze RADIUS. Jeśli klient chce zastosować uwierzytelnianie wieloskładnikowe firmy Microsoft do dowolnego z wcześniej wymienionych obciążeń RADIUS, może zainstalować rozszerzenie NPS uwierzytelniania wieloskładnikowego firmy Microsoft na serwerze NPS systemu Windows.

Serwer NPS systemu Windows uwierzytelnia poświadczenia użytkownika w usłudze Active Directory, a następnie wysyła żądanie uwierzytelniania wieloskładnikowego na platformę Azure. Następnie użytkownik otrzymuje wyzwanie w swoim aplikacji do uwierzytelniania mobilnego. Po pomyślnym zakończeniu aplikacja kliencka może nawiązać połączenie z usługą.

Użyj polecenia , gdy:

Musisz dodać uwierzytelnianie wieloskładnikowe do aplikacji, takich jak

  • wirtualna sieć prywatna (VPN)
  • Dostęp do sieci Wi-Fi
  • Brama usług pulpitu zdalnego (RDG)
  • Infrastruktura pulpitu wirtualnego (VDI)
  • Wszystkie inne osoby, które zależą od protokołu RADIUS do uwierzytelniania użytkowników w usłudze.

Uwaga

Zamiast polegać na usłudze RADIUS i rozszerzeniu NPS uwierzytelniania wieloskładnikowego firmy Microsoft w celu zastosowania uwierzytelniania wieloskładnikowego firmy Microsoft do obciążeń sieci VPN, zalecamy uaktualnienie sieci VPN do języka SAML (Security Assertion Markup Language) i bezpośrednie sfederowanie sieci VPN przy użyciu identyfikatora Entra FIRMY Microsoft. Zapewnia to pełny zakres Ochrona tożsamości Microsoft Entra sieci VPN, w tym dostęp warunkowy, uwierzytelnianie wieloskładnikowe, zgodność urządzeń i Ochrona tożsamości Microsoft Entra.

diagram architektoniczny

Składniki systemu

  • Aplikacja kliencka (klient sieci VPN): wysyła żądanie uwierzytelniania do klienta usługi RADIUS.

  • Klient RADIUS: konwertuje żądania z aplikacji klienckiej i wysyła je do serwera RADIUS z zainstalowanym rozszerzeniem SERWERA NPS.

  • Serwer RADIUS: łączy się z usługą Active Directory, aby wykonać uwierzytelnianie podstawowe dla żądania usługi RADIUS. Po powodzeniu przekazuje żądanie do rozszerzenia serwera NPS uwierzytelniania wieloskładnikowego firmy Microsoft.

  • Rozszerzenie serwera NPS: wyzwala żądanie do uwierzytelniania wieloskładnikowego firmy Microsoft na potrzeby uwierzytelniania pomocniczego. Jeśli to się powiedzie, rozszerzenie serwera NPS zakończy żądanie uwierzytelniania, podając serwer RADIUS tokeny zabezpieczające zawierające oświadczenie uwierzytelniania wieloskładnikowego wystawione przez usługę tokenu zabezpieczającego platformy Azure.

  • Uwierzytelnianie wieloskładnikowe firmy Microsoft: komunikuje się z identyfikatorem Entra firmy Microsoft w celu pobrania szczegółów użytkownika i wykonania dodatkowego uwierzytelniania przy użyciu metody weryfikacji skonfigurowanej przez użytkownika.

Implementowanie usługi RADIUS za pomocą identyfikatora Entra firmy Microsoft