MFA für ADFS konfigurieren

Active Directory Federation Services (ADFS) ist eine Lösung für das einmalige Anmelden für Active Directory, die es den Benutzern ermöglicht, sich mit ihren Active Directory-Zugangsdaten bei externen Systemen und Anwendungen anzumelden. Es bietet den Benutzern ein einmaliges Anmelden, wenn sie sich bei den webbasierten Anwendungen ihres Unternehmens anmelden.

Mit AuthPoint ADFS Agent können Sie ADFS eine Multi-Faktor-Authentifizierung (MFA) für zusätzliche Sicherheit hinzufügen. Dazu müssen Sie eine ADFS-Ressource in der AuthPoint-Verwaltungsoberfläche hinzufügen und ADFS Agent auf Ihrem ADFS-Server installieren.

Um MFA mit ADFS zu verwenden, muss das AuthPoint Gateway installiert sein. Falls Sie das AuthPoint Gateway noch nicht installiert haben, siehe Über Gateways.

Damit Active Directory-Benutzer AuthPoint MFA mit ADFS verwenden können, müssen Sie den Standardwert sAMAccountName für das Attribut in Bezug auf die Benutzeranmeldung beibehalten, wenn Sie Ihre externe Identität konfigurieren.

Eine ADFS-Ressource konfigurieren

In der AuthPoint-Verwaltungsoberfläche:

Wählen Sie im AuthPoint-Navigationsmenü Ressourcen.
Die Seite Ressourcen in der AuthPoint-Verwaltungsoberfläche öffnet sich.
Wählen Sie in der Dropdown-Liste Ressourcentyp auswählen die Option ADFS. Klicken Sie auf Hinzufügen.

Geben Sie in das Textfeld Name einen beschreibenden Namen für die Ressource ein.

Klicken Sie auf Speichern.
Fügen Sie die ADFS-Ressource zu Ihren bestehenden Authentifizierungsregeln hinzu oder fügen Sie neue Authentifizierungsregeln für die ADFS-Ressource hinzu. Die Authentifizierungsregeln legen fest, bei welchen Ressourcen sich Benutzer authentifizieren können und welche Authentifizierungsmethoden möglich sind. Weitere Informationen finden Sie unter Über AuthPoint-Authentifizierungsregeln.

Hinzufügen der ADFS-Ressource zu Ihrer Gateway-Konfiguration

Um MFA mit ADFS zu verwenden, müssen Sie das AuthPoint Gateway installiert haben und Ihre ADFS-Ressource mit dem AuthPoint Gateway verknüpfen. Das AuthPoint Gateway ist der Kommunikationspunkt zwischen AuthPoint und Ihrem ADFS-Server.

Falls Sie das AuthPoint Gateway noch nicht installiert haben, siehe Über Gateways.

Hinzufügen Ihrer ADFS-Ressource zur Konfiguration Ihres AuthPoint Gateway:

Wählen Sie im AuthPoint-Navigationsmenü Gateway.
Klicken Sie auf den Namen Ihres Gateways.

Wählen Sie im Abschnitt ADFS aus der Liste ADFS-Ressource auswählen Ihre ADFS-Ressource aus.

Klicken Sie auf Speichern.

Sie haben Ihre ADFS-Ressource erfolgreich mit Ihrem Gateway verknüpft. Der nächste Schritt ist das Herunterladen und Installieren von ADFS Agent.

ADFS Agent herunterladen und installieren

Sie müssen die Konfigurationsdatei für den Gateway herunterladen, mit dem Ihre ADFS-Ressource verknüpft ist, und dann ADFS Agent herunterladen und installieren.

Ihr Gateway muss installiert und verfügbar sein, wenn Sie ADFS Agent installieren.

Wählen Sie im AuthPoint-Navigationsmenü Downloads.
Klicken Sie im Abschnitt ADFS auf Installationsprogramm herunterladen. Sie müssen über eine ADFS-Ressource verfügen und Ihr installiertes Gateway muss Version 4.0.0 oder höher sein, um die Konfigurationsdatei herunterladen zu können.
Klicken Sie auf Konfiguration herunterladen um die Konfigurationsdatei herunterzuladen. Wenn Sie mehrere Gateways haben, werden Sie aufgefordert, das Gateway auszuwählen, dem Ihre ADFS-Ressource zugeordnet ist.
Verschieben Sie ADFS Agent und die Konfigurationsdatei auf den ADFS-Server.
Führen Sie ADFS Agent aus.

Konfigurieren des Servers

Nachdem Sie ADFS Agent installiert haben, müssen Sie MFA in ADFS für bestimmte Gruppen aktivieren. MFA funktioniert nur für die Benutzer, die Mitglied der von Ihnen ausgewählten ADFS-Gruppen und Mitglied der AuthPoint-Gruppen mit einer Authentifizierungsregel für Ihre ADFS-Ressource sind.

Die Schritte zum Aktivieren von MFA für ADFS-Gruppen sind unterschiedlich, je nachdem, ob Sie einen Windows 2012r2-Server oder einen Windows 2016-Server haben.

MFA auf einem Windows 2012r2 Server aktivieren:

Öffnen Sie die Verwaltungstools.
Wählen Sie AD FS Management.

Wählen Sie Authentifizierungsregeln.
Klicken Sie im Abschnitt Methoden der Multi-Faktor-Authentifizierung auf Bearbeiten um MFA global zu konfigurieren. Um MFA pro vertrauende Seite zu konfigurieren, klicken Sie auf Verwalten.

Klicken Sie im Fenster Globale Authentifizierungsregel bearbeiten auf Hinzufügen.

Geben Sie im Fenster Benutzer oder Gruppen auswählenden Namen der LDAP-Gruppe(n) ein, für die MFA aktiviert werden soll.
Klicken Sie auf OK.

Wählen Sie im Fenster Globale Authentifizierungsregel bearbeiten im Abschnitt Zusätzliche Authentifizierungsmethoden WatchGuard Multi-Faktor-Authentifizierung.
Klicken Sie auf Anwenden.

Nach der Konfiguration zeigt das AD FS Management die Benutzer/Gruppen und die gewählte Authentifizierungsmethode an.

MFA auf einem Windows 2016 Server aktivieren:

Öffnen Sie die Verwaltungstools;
Wählen Sie AD FS Management.

Wählen Sie Dienst > Authentifizierungsmethoden.
Klicken Sie im Abschnitt Methoden der Multi-Faktor-Authentifizierung auf Bearbeiten.

Wählen Sie im Fenster Authentifizierungsmethoden bearbeiten die Option WatchGuard Multi-Faktor-Authentifizierung. Klicken Sie auf Anwenden.

MFA ist jetzt für den Zugriff auf ADFS-Ressourcen erforderlich. Um MFA nur für bestimmte Benutzer zu konfigurieren, müssen Sie eine Access Control-Regel für eine AD-Gruppe mit diesen Benutzern erstellen.

(Optional) Erstellen Sie eine AD-Gruppe für die Benutzer, die MFA verwenden müssen. Wenn Sie bereits eine Gruppe haben, müssen Sie keine weitere Gruppe erstellen.
Wählen Sie Access Control-Regeln.
Klicken Sie auf Access Control-Regel hinzufügen.
Geben Sie in das Textfeld Name ein Alle zulassen, aber MFA für bestimmte Gruppen erfordern.
Geben Sie eine Beschreibung ein.
Klicken Sie auf Hinzufügen.
Konfigurieren Sie im Fenster Regeleditor diese Berechtigungen:
- Benutzer zulassen, außer aus Domäne\<Ihre AD-Gruppe>
- Benutzer aus Domäne\<Ihre AD-Gruppe> zulassen und Multi–Faktor-Authentifizierung
erfordern
Klicken Sie auf OK, um zu speichern.
Wählen Sie Vertrauensstellungen der vertrauenden Seite.
Klicken Sie mit der rechten Maustaste auf einen Trust und wählen Sie Access Control-Regel bearbeiten.
Wählen Sie die soeben erstellte Regel aus.
Klicken Sie auf OK. Starten Sie den ADFS-Dienst neu.

Authentifizierung mit ADFS

Wenn MFA für ADFS konfiguriert ist, müssen sich Benutzer authentifizieren, wenn sie auf die Web-Anwendungen Ihres Unternehmens zugreifen. Wenn ein Benutzer zu einer Web-Anwendung navigiert, werden sie auf die ADFS-SSO-Seite umgeleitet, wo sie ihre AD-Zugangsdaten angeben und sich per MFA authentifizieren müssen.

Authentifizieren über ADFS:

Navigieren Sie zu einer externen Web-Anwendung.
Sie werden auf die ADFS-SSO-Seite weitergeleitet.
Geben Sie in das Textfeld Benutzername Ihren Benutzernamen oder Ihre E-Mail-Adresse ein. Benutzernamen müssen als user@domain oder domain\user formatiert werden.
Geben Sie in das Textfeld Passwort Ihr Passwort ein.
Klicken Sie auf Anmelden.
Wählen Sie im Abschnitt Anmeldeoptionen eine Authentifizierungsoption und authentifizieren Sie sich.
- Push — Genehmigen Sie die Push-Benachrichtigung, die an Ihr Telefon gesendet wird
- QR-Code — Scannen Sie den QR-Code mit der AuthPoint Mobile App und geben Sie dann den in der App angezeigten Verifizierungscode ein
- Einmalpasswort — Geben Sie das Einmalpasswort für Ihr Token ein

Siehe auch

Einrichten einer benutzerdefinierten Anmeldeseite für ADFS

Aktualisieren von AuthPoint ADFS Agent

ADFS Agent deinstallieren

Über Gateways

Über AuthPoint-Authentifizierungsregeln

© 2023 WatchGuard Technologies, Inc. Alle Rechte vorbehalten. WatchGuard und das WatchGuard-Logo sind eingetragene Marken oder Marken von WatchGuard Technologies in den Vereinigten Staaten und/oder anderen Ländern. Alle anderen Handels- und Markennamen sind Eigentum der jeweiligen Inhaber.