结合ADFS 3.0和Azure MFA实现Office 365多因素身份认证

  • Article

在Office 365有如下三种身份认证模型:

云身份。仅在 Office 365 中管理用户帐户。不需要本地服务器来管理用户,所有操作都在云中完成。

同步身份。将本地目录对象与 Office 365 同步,在本地管理你的用户。也可以同步密码,以便用户在本地和在云中具有相同的密码,但用户将必须重新登录才能使用 Office 365。

联合身份。将本地目录对象与 Office 365 同步,在本地管理你的用户。用户在本地和在云中具有相同的密码,他们无需重新登录即可使用 Office 365。这通常称为单一登录。

根据Office 365使用的身份认证的不同,实现多因素身份认证的方式也会有所不同。

如果使用云身份或者同步身份认证模型,我们可以使用Office 365自带的多重身份验证功能,具体信息可以参考https://support.office.com/en-us/article/Set-up-multi-factor-authentication-for-Office-365-users-8f0454b2-f51a-4d9c-bcde-2c48e41621c6?ui=en-US&rs=en-US&ad=US

使用联合身份认证模型时,可以在ADFS上配置附加身份验证方法来实现多因素身份认证。
本文会介绍使用联合身份模型时如何结合ADFS 3.0和Azure MFA实现Office 365多因素身份认证
这一场景。

为了结合ADFS 3.0和Azure MFA功能,我们需要进行如下配置

1. 登陆到Azure,选择Active Directory ->MULTI-FACTOR AUTH PROVIDERS

2. 选择New -> APP Services->ACTIVE DIRECTORY->MUTIL-FACTOR AUTH PROVIDER

3. 选择Quick Create,输入名称,选择使用模型,需要绑定的目录服务,点击Create

此时就在Azure上建立好了为ADFS提供附加身份验证方法的Provider,下一步需要在ADFS服务器部署Azure 多因素身份认证服务器。

4.选中刚才建立完成的Provider,选择manage ,在打开的页面选择DOWNLOADS

5. 点击Download

6. 在ADFS服务器打开下载好的安装文件,选择Next,Finish

7. 此时会打开配置向导,选择Skip using the Authentication Configuration Wizard,点击next

8. 回到Azure 多因素身份认证服务器下载页面,选择Generate activation credentials,记录下生成的账号

9,回到ADFS服务器上的ADFS多因素身份认证服务器界面,输入上一步得到的账户
选择activate

点击 OK

10. 在ADFS多因素身份认证服务器界面选择users ->import form active directory来导入需要启用多因素身份验证的用户

11.选择需要导入的用户,点击IMPORT

12. 在users现在就可以看到导入的用户了,双击打开用户属性,在Phone中输入用户电话号码(选择正确的country code),选择Enabled

13.在管理页面中选择adfs,选择如下 点击 install AD FS Adapter

选择 Next

在ADFS多因素认证服务器安装目录下找到Register-MultiFactorAuthenticationAdfsAdapter.ps1,运行该脚本,此时就完整了AD FS adapter的安装工作。

14.重启AD FS服务,在AD FS管理控制台选择Authentication Policies,在Mutil-Factor Authentication下选择 Edit

15. 选择 Azure Multi-Factor Authentication Server

16. 在ADFS的控制台选择Authentication Policies->Per Relying Party Trust ->Microsoft Office 365 Identity Platform,右键选择Edit Custom Multi-factor Authentication,选择Add添加需要进行多因素身份认证的用户(需要在ADFS多因素身份认证服务器Users添加好电话号码)

此时结合ADFS 3.0和Azure MFA实现Office 365多因素身份认证配置就完成了。

此时用配置完成多因素身份认证的用户登录Office 365,在ADFS进行身份认证时会有如下身份认证选项。

此时选择第一项会拨打该用户电话,第二项会发送短信给用户,当用户应答后即可登录访问对应的Office 365资源

Qitao Xing

合作伙伴技术顾问