MFA für ADFS konfigurieren

Gilt für: AuthPoint-Multi-Faktor-Authentifizierung, AuthPoint Total Identity Security

Active Directory Federation Services (ADFS) ist eine Lösung für das einmalige Anmelden für Active Directory, die es den Benutzern ermöglicht, sich mit ihren Active Directory-Zugangsdaten bei externen Systemen und Anwendungen anzumelden. Es bietet den Benutzern ein einmaliges Anmelden, wenn sie sich bei den webbasierten Anwendungen ihres Unternehmens anmelden.

Mit AuthPoint ADFS Agent können Sie ADFS eine Multi-Faktor-Authentifizierung (MFA) für zusätzliche Sicherheit hinzufügen. Dazu müssen Sie eine ADFS-Ressource in der AuthPoint-Verwaltungsoberfläche hinzufügen und ADFS Agent auf Ihrem ADFS-Server installieren.

Um MFA mit ADFS zu verwenden, muss ein primäres AuthPoint-Gateway auf Ihrem ADFS-Server installiert sein. Wenn Sie das AuthPoint Gateway noch nicht installiert haben, beachten Sie Über Gateways.

Damit Active Directory-Benutzer AuthPoint MFA mit ADFS verwenden können, müssen Sie den Standardwert sAMAccountName für das Attribut in Bezug auf die Benutzeranmeldung beibehalten, wenn Sie Ihre externe Identität konfigurieren.

Eine ADFS-Ressource konfigurieren

In der AuthPoint-Verwaltungsoberfläche:

  1. Wählen Sie im AuthPoint-Navigationsmenü Ressourcen.

Screen shot of the Resources page.

  1. Klicken Sie auf Ressource hinzufügen.
    Die Seite Ressource hinzufügen wird geöffnet.

Screen shot of the Add Resource page.

  1. Wählen Sie in der Dropdown-Liste Typ die Option ADFSL.
  2. Geben Sie in das Textfeld Name einen beschreibenden Namen für die Ressource ein.

Screen shot of the ADFS fields on the Add Resource page.

  1. Klicken Sie auf Speichern.
  2. Fügen Sie die ADFS-Ressource zu Ihren bestehenden Authentifizierungsregeln hinzu oder fügen Sie neue Authentifizierungsregeln für die ADFS-Ressource hinzu. Die Authentifizierungsregeln legen fest, bei welchen Ressourcen sich Benutzer authentifizieren können und welche Authentifizierungsmethoden möglich sind. Weitere Informationen finden Sie unter Über AuthPoint-Authentifizierungsregeln.

ADFS-Ressource zu Ihrer Gateway-Konfiguration hinzufügen

Um MFA mit ADFS zu verwenden, müssen Sie das AuthPoint Gateway installiert haben und Ihre ADFS-Ressource mit dem AuthPoint Gateway verknüpfen. Das AuthPoint Gateway ist der Kommunikationspunkt zwischen AuthPoint und Ihrem ADFS-Server.

Wenn Sie das AuthPoint Gateway noch nicht installiert haben, finden Sie unter Über Gateways.

Hinzufügen Ihrer ADFS-Ressource zur Konfiguration Ihres AuthPoint Gateway:

  1. Wählen Sie im AuthPoint-Navigationsmenü Gateway.
  2. Klicken Sie auf den Namen Ihres Gateways.

Screen shot of the Gateways page.

  1. Wählen Sie im Abschnitt ADFS aus der Liste ADFS-Ressource auswählen Ihre ADFS-Ressource aus.

Screen shot of the ADFS section of the Edit Gateway page.

  1. Klicken Sie auf Speichern.

Sie haben Ihre ADFS-Ressource erfolgreich mit Ihrem Gateway verknüpft. Der nächste Schritt ist das Herunterladen und Installieren von ADFS Agent.

ADFS Agent herunterladen und installieren

Sie müssen die Konfigurationsdatei für den Gateway herunterladen, mit dem Ihre ADFS-Ressource verknüpft ist, und dann ADFS Agent herunterladen und installieren.

Ihr Gateway muss installiert und verfügbar sein, wenn Sie ADFS Agent installieren.

Herunterladen und Installieren der ADFS Agent:

  1. Wählen Sie im AuthPoint-Navigationsmenü Downloads.
  2. Klicken Sie im Abschnitt ADFS auf Installationsprogramm herunterladen. Sie müssen über eine ADFS-Ressource verfügen und Ihr installiertes Gateway muss Version 4.0.0 oder höher sein, um die Konfigurationsdatei herunterladen zu können.
  3. Klicken Sie auf Konfiguration herunterladen um die Konfigurationsdatei herunterzuladen. Wenn Sie mehrere Gateways haben, werden Sie aufgefordert, das Gateway auszuwählen, dem Ihre ADFS-Ressource zugeordnet ist.
  4. Verschieben Sie ADFS Agent und die Konfigurationsdatei auf den ADFS-Server.
  5. Führen Sie ADFS Agent aus.

Sie können ADFS Agent nur auf dem Server mit Ihrem primären Gateway installieren. Um ADFS Agent auf einem sekundären Gateway-Server zu installieren, müssen Sie Ihr sekundäres Gateway während der Installation von ADFS Agent vorübergehend als primäres Gateway festlegen.

  1. Fügen Sie Ihre ADFS-Ressource zur Konfiguration Ihres sekundären AuthPoint Gateway hinzu. Weitere Informationen darüber, wie Sie einem Gateway eine ADFS-Ressource hinzufügen, finden Sie im Abschnitt ADFS-Ressource zu Ihrer Gateway-Konfiguration hinzufügen in diesem Hilfethema.
  2. Legen Sie ihr sekundäres Gateway als primäres Gateway fest, damit Sie ADFS Agent installieren können. Weitere Informationen darüber, wie Sie das primäre Gateway ändern, finden Sie unter Primäres Gateway ändern.
  3. Installieren Sie ADFS Agent nach dem Download auf Ihrem sekundären Gateway-Server (der nun als primäres Gateway festgelegt ist).
  4. Legen Sie das ursprüngliche Gateway in der AuthPoint-Verwaltungsoberfläche wieder als primäres Gateway fest. Dies ist das Gateway, das zur Synchronisierung von Benutzern aus Ihrer Active Directory- oder LDAP-Datenbank dient.

Server konfigurieren

Nachdem Sie ADFS Agent installiert haben, müssen Sie MFA in ADFS für bestimmte Gruppen aktivieren. MFA funktioniert nur für die Benutzer, die Mitglied der von Ihnen ausgewählten ADFS-Gruppen und Mitglied der AuthPoint-Gruppen mit einer Authentifizierungsregel für Ihre ADFS-Ressource sind.

Die Schritte zum Aktivieren von MFA für ADFS-Gruppen sind unterschiedlich, je nachdem, ob Sie einen Windows 2012r2-Server oder einen Windows 2016-Server haben.

  1. Öffnen Sie die Verwaltungstools.
  2. Wählen Sie ADFS Management.

Screen shot of AD FS Management in the Windows Administrative Tools window.

  1. Wählen Sie Authentifizierungsregeln.
  2. Klicken Sie im Abschnitt Multi-Faktor-Authentifizierungsmethoden auf Bearbeiten um MFA global zu konfigurieren. Um MFA pro vertrauende Seite zu konfigurieren, klicken Sie auf Verwalten.

Screen shot that shows the Multi-factor Authentication section of the Authentication Policies page.

  1. Klicken Sie im Fenster Globale Authentifizierungsregel bearbeiten auf Hinzufügen.

Screen shot of the Edit Global Authentication Policy window.

  1. Geben Sie im Fenster Benutzer oder Gruppen auswählen den Namen der LDAP-Gruppe(n) ein, für die MFA aktiviert werden soll.
  2. Klicken Sie auf OK.

Screen shot of the Select Users or Groups window.

Screen shot of a group added in the Edit Global Authentication Policy window.

  1. Wählen Sie im Fenster Globale Authentifizierungsregel bearbeiten im Abschnitt Zusätzliche Authentifizierungsmethoden WatchGuard Multi-Faktor-Authentifizierung.
  2. Klicken Sie auf Anwenden.

Screenshot of the WatchGuard Multi-Factor Authentication option seleted in the Edit Global Authentication Policy window.

Nach der Konfiguration zeigt das AD FS Management die Benutzer/Gruppen und die gewählte Authentifizierungsmethode an.

Screen shot that shows the users and groups selected in AD FS Management.

  1. Öffnen Sie die Verwaltungstools;
  2. Wählen Sie ADFS Management.

Screen shot of AD FS Management in the Windows Administrative Tools window.

  1. Wählen Sie Dienst > Authentifizierungsmethoden.
  2. Klicken Sie im Abschnitt Multi-Faktor-Authentifizierungsmethoden auf Bearbeiten.

Screen shot that shows the Multi-factor Authentication section of the Authentication Policies page.

  1. Wählen Sie im Fenster Authentifizierungsmethoden bearbeiten die Option WatchGuard Multi-Faktor-Authentifizierung. Klicken Sie auf Anwenden.

Screenshot of the WatchGuard Multi-Factor Authentication option seleted in the Edit Global Authentication Policy window.

MFA ist jetzt für den Zugriff auf ADFS-Ressourcen erforderlich. Um MFA nur für bestimmte Benutzer zu konfigurieren, müssen Sie eine Access Control-Regel für eine AD-Gruppe mit diesen Benutzern erstellen.

  1. (Optional) Erstellen Sie eine AD-Gruppe für die Benutzer, die MFA verwenden müssen. Wenn Sie bereits eine Gruppe haben, müssen Sie keine weitere Gruppe erstellen.
  2. Wählen Sie Access Control-Regeln.
  3. Klicken Sie auf Access Control-Regel hinzufügen.
    Das Fenster Access Control-Regel hinzufügen wird geöffnet.
  4. Geben Sie in das Textfeld Name ein Alle zulassen, aber MFA für bestimmte Gruppen erfordern.
  5. Geben Sie eine Beschreibung ein.
  6. Klicken Sie auf Hinzufügen.
    Das Fenster Richtlinieneditor wird geöffnet.
  7. Konfigurieren Sie im Richtlinieneditor diese Einstellungen:
    1. Wählen Sie für Zulassen Alle.
    2. Wählen Sie für Ausnahmen Von bestimmten Gruppen.
    3. Klicken Sie am Ende des Fensters auf Nur bestimmte und wählen Sie die Active Directory-Gruppe(n), für die die MFA gelten soll.
  8. Klicken Sie OK, um die Richtlinie zu speichern.
  9. Klicken Sie auf Hinzufügen, um eine weitere Richtlinie hinzuzufügen.

    Das Fenster Richtlinieneditor wird geöffnet.
  10. Konfigurieren Sie im Richtlinieneditor diese Einstellungen:
    1. Wählen Sie für Zulassen Benutzer.
    2. Wählen Sie unterhalb der Benutzer die Kontrollkästchen Von bestimmten Gruppen und Multi-Faktor-Authentifizierung verlangen.
    3. Wählen Sie für Ausnahmen Von bestimmten Gruppen.
    4. Klicken Sie am Ende des Fensters auf Nur bestimmte und wählen Sie die Active Directory-Gruppe(n), für die die MFA gelten soll.
  11. Klicken Sie OK, um die Richtlinie zu speichern.
  12. Wählen Sie Vertrauensstellungen der vertrauenden Seite.
  13. Klicken Sie mit der rechten Maustaste auf einen Trust und wählen Sie Access Control-Regel bearbeiten.
  14. Wählen Sie die soeben erstellte Regel aus.
  15. Klicken Sie auf OK. Starten Sie den ADFS-Dienst neu.

Mit ADFS authentifizieren

Wenn MFA für ADFS konfiguriert ist, müssen sich Benutzer authentifizieren, wenn sie auf die Web-Anwendungen Ihres Unternehmens zugreifen. Wenn ein Benutzer zu einer Web-Anwendung navigiert, werden sie auf die ADFS-SSO-Seite umgeleitet, wo sie ihre AD-Zugangsdaten angeben und sich per MFA authentifizieren müssen.

Authentifiziert sich ein Benutzer über ADFS, erhält er eine Aufforderung, seinen Standort zu teilen. Diese Aufforderung wird angezeigt, selbst wenn Ihr AuthPoint-Konto keine Geofence- oder Geokinetik-Regelobjekte verwendet.

Authentifizieren über ADFS:

  1. Navigieren Sie zu einer externen Web-Anwendung.
    Sie werden auf die ADFS-SSO-Seite weitergeleitet.
  2. Geben Sie in das Textfeld Benutzername Ihren Benutzernamen oder Ihre E-Mail-Adresse ein. Benutzernamen müssen als user@domain oder domain\user formatiert werden.
  3. Geben Sie in das Textfeld Passwort Ihr Passwort ein.
  4. Klicken Sie auf Anmelden.
  5. Wählen Sie im Abschnitt Anmeldeoptionen eine Authentifizierungsoption und authentifizieren Sie sich.
    • Push — Genehmigen Sie die Push-Benachrichtigung, die an Ihr Telefon gesendet wird
    • QR-Code — Scannen Sie den QR-Code mit der AuthPoint Mobile App und geben Sie dann den in der App angezeigten Verifizierungscode ein
    • Einmalpasswort — Geben Sie das Einmalpasswort für Ihr Token ein

Ähnliche Themen

Benutzerdefinierte Anmeldeseite für ADFS einrichten

AuthPoint ADFS Agent aktualisieren

ADFS Agent deinstallieren

Über Gateways

Über AuthPoint-Authentifizierungsregeln