如何启用VPN MFA

ADSelfService Plu添加了一个额外的身份验证步骤，用于vpn登录以增强安全性。要启用VPN登录的MFA，ADSelfService Plus要求vpn服务器使用windows网络策略服务器进行身份验证。ADSelfservice Plus附带了一个NPS扩展，它应该安装在NPS服务器上。这个扩展促进了NPS服务器和ADSelfService Plus之间的通信，并在VPN登录期间进行第二因素认证。

如何工作的:

mfa-for-vpn-logins

一旦VPN服务器配置为使用RADIUS身份验证，并且在RADIUS服务器上安装了NPS扩展，下面是身份验证过程的工作方式:

用户试图通过向VPN服务器提供用户名和密码来建立VPN连接。
VPN服务器将请求转换为RADIUS访问请求消息，并将其发送到安装了ADSelfService Plus的NPS扩展的NPS服务器。
如果用户名和密码组合正确，NPS扩展将触发使用ADSelfService Plus服务器进行二次身份验证的请求。
ADSelfService Plus执行二次身份验证，并将结果发送到NPS服务器中的NPS扩展。
如果身份验证成功，NPS服务器向VPN服务器发送RADIUS Access-Accept消息。
用户被授予访问VPN服务器的权限，并建立到内部网络的加密通道。

配置VPN MFA 前提条件:

ADSelfService Plus专业版许可。
配置VPN服务器以使用RADIUS身份验证。
对于RADIUS身份验证，必须使用启用了网络策略和访问服务(NPS)角色的Windows server (Windows server 2008 R2及更高版本)。
在ADSelfService Plus中启用HTTPS(管理 → 产品设置 → 连接)。

注意:如果你在ADSelfService Plus中使用不可信的证书来启用HTTPS，你必须取消勾选配置→管理工具→GINA/Mac/Linux (Ctrl+Alt+Del)→GINA/Mac/Linux自定义→高级时限制用户访问。

在Active Directory，用户拨号属性中，设置用户的网络访问权限为通过NPS网络策略控制访问。
您在管理 → 产品设置 → 连接 → 配置访问URL中设置的访问URL，将被NPS扩展用于与ADSelfService Plus服务器通信。在安装NPS扩展之前，请确保您已经更新了访问URL。
在Windows NPS服务器(安装NPS扩展的地方)中，设置连接请求策略的身份验证设置为验证这台服务器上的请求。

步骤 1: 启用所需的身份验证

根据RADIUS客户端(VPN服务器)是否支持RADIUS询问-响应，您可以为VPN登录启用的身份验证方法可能会有所不同。

默认的，支持以下两种身份验证方式:

注意:

当您启用推送通知或指纹/Face ID认证时，请确保ADSelfService Plus服务器可由用户(通过互联网)从他们的移动设备访问。
在VPN服务器的RADIUS身份验证配置设置中，RADIUS身份验证超时时间应该设置为至少60秒。

当RADIUS客户机支持RADIUS质询-响应时，可以启用以下身份验证方法:

ADSelfService Plus TOTP身份验证
Google Authenticator
Microsoft Authenticator
Yubico OTP (hardware key authentication)
Zoho OneAuth OTP Authentication

点击相应的链接以了解如何启用这些身份验证方法。

步骤 2: 在ADSelfService Plus中启用VPN MFA

以管理员的身份登录到ADSelfService Plus。
进入配置 → 自助服务 → 多重身份验证 → 终端MFA。
从选择策略下拉列表中选择策略。该策略决定了为哪些用户启用VPN登录的MFA。点击可了解如何创建基于OU或组的策略。
在VPN登录MFA中，勾选启用二次身份验证方式，并从下拉列表中选择一种身份验证方法。
点击保存设置。

步骤 3: 安装NPS扩展

以管理员身份登录ADSelfService Plus，然后进入配置 > 自助服务 > 多重身份验证 > Endpoint MFA。使用注释部分提供的链接下载NPS扩展。
将扩展文件(ADSSPNPSExtension.zip)复制到您已配置为RADIUS服务器的Windows服务器。解压ZIP文件的内容并将其保存到一个位置。
以管理员身份打开Windows PowerShell并导航到ZIP文件内容所在的文件夹。
执行以下命令:

PS C:\> .\setupNpsExtension.ps1 <operation>

其中，operation可以是install、uninstall或update。

Install: 安装NPS扩展插件。

Uninstall: 卸载NPS扩展插件。

Update: 将扩展更新为较新的版本和配置数据。
安装之后，系统将提示您重新启动NPS(ias) Windows服务。继续重新启动。

高级设置

参考高级设置来配置VPN MFA会话限制，以及如果ADSelfService Plus无法访问或用户未注册时绕过MFA的选项。

基于连接请求策略和网络策略启用VPN MFA

如果您已经在RADIUS服务器中配置了连接请求策略或网络策略，那么您可以基于这些策略对某些用户实施VPN登录的MFA。要做到这一点，

打开注册表。
展开HKEY_LOCAL_MACHINE\SOFTWARE\ZOHO Corp\ADSelfService Plus NPS Extension。

注意:

编辑之前请备份一下注册表键。
只有计算机内置管理员组才有权限编辑此密钥。

基于您想要配置的策略，双击CRPolicies或NetworkPolicies。
在值数据字段中输入策略的名称。如果有多个策略，使用分号进行分隔。
点击确认。