Skip to main content
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

管理多因素驗證( MFA )

貢獻者
PDF

本主題說明如何管理 Active Directory Federation Service ( AD FS )伺服器和 SnapCenter 伺服器中的多因素驗證( MFA )功能。

啟用多因素驗證( MFA )

本主題說明如何在 Active Directory Federation Service ( AD FS )伺服器和 SnapCenter 伺服器中啟用 MFA 功能。

關於這項工作

  • 在相同的AD FS中設定其他應用程式時、支援SSO型登入。SnapCenter在某些AD FS組態中、SnapCenter 由於安全原因、可能需要使用者驗證、視AD FS工作階段持續性而定。

  • 執行即可取得可搭配 Cmdlet 使用之參數的相關資訊及其說明 Get-Help command_name。或者、您也可以參閱 "《軟件指令程式參考指南》SnapCenter"

您需要的產品

  • Windows Active Directory Federation Service(AD FS)應在各自的網域中啟動並執行。

  • 您應該擁有 AD FS 支援的多因素驗證服務、例如 Azure MFA 、 Cisco Duo 等。

  • 無論時區為何、均應使用相同的資訊區和AD FS伺服器時間戳記。SnapCenter

  • 取得SnapCenter 並設定驗證伺服器的授權CA憑證。

    CA憑證為必填、原因如下:

    • 確保 ADFS-F5 通訊不會中斷、因為自我簽署的憑證在節點層級是唯一的。

    • 確保在獨立式或高可用度組態的升級、修復或災難恢復(DR)期間、不會重新建立自我簽署的憑證、因此可避免重新設定MFA。

    • 確保IP FQDN解析度。

      如需CA憑證的相關資訊、請參閱 "產生CA認證CSR檔案"

步驟

  1. 連線至Active Directory Federation Services(AD FS)主機。

  2. 從下載AD FS聯盟中繼資料檔案 "https://<host fqfq>/ 聯邦中繼資料 /2007/06/Federation中繼 資料 .xml" 。

  3. 將下載的檔案複製到SnapCenter 支援MFA功能的伺服器。

  4. 透過PowerShell以「管理員」使用者身分登入SnapCenter 到「伺服器」SnapCenter 。

  5. 使用PowerShell工作階段SnapCenter 、使用_New-SmMultifactorAuthenticationMetadata -path_ Cmdlet來產生FismFA中繼資料檔案。

    path參數指定將MFA中繼資料檔案儲存到SnapCenter Sof the Server主機的路徑。

  6. 將產生的檔案複製到AD FS主機、以設定SnapCenter 將SURE做為用戶端實體。

  7. 使用為 SnapCenter 伺服器啟用 MFA Set-SmMultiFactorAuthentication -Enable -Path Cmdlet。

    path參數指定AD FS MFA中繼資料XML檔案的位置、SnapCenter 該檔案已在步驟3複製到SetfServer。

  8. (選用)使用檢查 MFA 組態狀態和設定 Get-SmMultiFactorAuthentication Cmdlet。

  9. 前往Microsoft管理主控台(MMC)並執行下列步驟:

    1. 按一下*檔案*>*新增/移除Snapin *。

    2. 在「新增或移除嵌入式管理單元」視窗中、選取「憑證」、然後按一下「新增」。

    3. 在「憑證」嵌入式管理單元視窗中、選取「電腦帳戶」選項、然後按一下「完成」。

    4. 按一下*主控台根目錄*>*憑證–本機電腦*>*個人*>*憑證*。

    5. 在繫結SnapCenter 至SUn供 參考的CA憑證上按一下滑鼠右鍵、然後選取*所有工作*>*管理私密金鑰*。

    6. 在權限精靈上執行下列步驟:

      1. 按一下「 * 新增 * 」。

      2. 按一下 * 位置 * 、然後選取相關主機(階層架構頂端)。

      3. 在*位置*快顯視窗中按一下*確定*。

      4. 在物件名稱欄位中、輸入「IIS_IUSRS」、然後按一下*檢查名稱*、再按一下*確定*。

        如果檢查成功、請按一下「確定」。

  10. 在AD FS主機中、開啟AD FS管理精靈、然後執行下列步驟:

    1. 右鍵點選*信賴廠商信任*>*新增信賴廠商信任*>*開始*。

    2. 選取第二個選項、然後瀏覽SnapCenter 「Some MFA中繼資料」檔案、然後按一下「* Next*(下一步)」。

    3. 指定顯示名稱、然後按一下*「下一步*」。

    4. 視需要選擇存取控制原則、然後按一下 * 下一步 * 。

    5. 在下一個索引標籤中選取預設值。

    6. 單擊*完成*。

      目前以依賴方的形式呈現提供的顯示名稱。SnapCenter

  11. 選取名稱並執行下列步驟:

    1. 按一下*編輯請款發放政策*。

    2. 單擊* Add Rule(添加規則),然後單擊 Next*(下一步*)。

    3. 指定宣告規則的名稱。

    4. 選擇* Active Directory *作為屬性儲存區。

    5. 選取「使用者-主要名稱」屬性、並選取傳出的報銷類型為*名稱- ID*。

    6. 單擊*完成*。

  12. 在ADFS伺服器上執行下列PowerShell命令。

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -SigningCertificateRevocationCheck None

    Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -EncryptionCertificateRevocationCheck None

  13. 請執行下列步驟、確認中繼資料已成功匯入。

    1. 在依賴方信任上按一下滑鼠右鍵、然後選取*內容*。

    2. 確認已填入端點、識別項和簽名欄位。

  14. 關閉所有瀏覽器索引標籤、然後重新開啟瀏覽器、以清除現有或作用中的工作階段 Cookie 、然後再次登入。

也可使用REST API來啟用「支援MFA」功能。SnapCenter

如需疑難排解資訊、請參閱 "在多個索引標籤中同時嘗試登入會顯示 MFA 錯誤"

更新AD FS MFA中繼資料

只要AD FS伺服器有任何修改、例如升級、CA憑證續約、DR等、您就應該更新SnapCenter 位於支援區的AD FS MFA中繼資料。

步驟

  1. 從下載AD FS聯盟中繼資料檔案 "https://<host Fqd>>/資料中繼資料/2007/06/FedationMetadata。XML」

  2. 將下載的檔案複製SnapCenter 到「伺服器」以更新MFA組態。

  3. 執行下列Cmdlet來更新SnapCenter Sf1中的AD FS中繼資料:

    Set-SmMultiFactorAuthentication -Path <location of ADFS MFA metadata xml file>

  4. 關閉所有瀏覽器索引標籤、然後重新開啟瀏覽器、以清除現有或作用中的工作階段 Cookie 、然後再次登入。

更新SnapCenter 功能不支援MFA中繼資料

每當有任何修改ADFS伺服器(例如修復、CA憑證續約、DR等)時、您就應該更新SnapCenter AD FS中的功能完善的MFA中繼資料。

步驟

  1. 在AD FS主機中、開啟AD FS管理精靈、然後執行下列步驟:

    1. 按一下*信賴廠商信任*。

    2. 在建立SnapCenter 的依賴方信任上按一下滑鼠右鍵、然後按一下「刪除」。

      隨即顯示使用者定義的信賴關係人信任名稱。

    3. 啟用多因素驗證(MFA)。

      請參閱 "啟用多因素驗證"

  2. 關閉所有瀏覽器索引標籤、然後重新開啟瀏覽器、以清除現有或作用中的工作階段 Cookie 、然後再次登入。

停用多因素驗證(MFA)

步驟

  1. 停用 MFA 、並清除使用啟用 MFA 時所建立的組態檔案 Set-SmMultiFactorAuthentication -Disable Cmdlet。

  2. 關閉所有瀏覽器索引標籤、然後重新開啟瀏覽器、以清除現有或作用中的工作階段 Cookie 、然後再次登入。