远程身份验证拨入用户服务(RADIUS)是一种网络协议,它通过启用拨入用户的集中式身份验证和授权来保护网络。 许多应用程序仍依赖于 RADIUS 协议对用户进行身份验证。
Microsoft Windows Server 的角色称为网络策略服务器(NPS),它可以充当 RADIUS 服务器并支持 RADIUS 身份验证。
Microsoft Entra ID 支持使用基于 RADIUS 的系统进行多重身份验证。 如果客户想要将 Microsoft Entra 多重身份验证应用到上述任何 RADIUS 工作负荷,则可以在其 Windows NPS 服务器上安装 Microsoft Entra 多重身份验证 NPS 扩展。
Windows NPS 服务器针对 Active Directory 对用户的凭据进行身份验证,然后将多重身份验证请求发送到 Azure。 然后,用户在其移动验证器上收到质询。 成功后,允许客户端应用程序连接到服务。
在以下情况下使用:
需要向应用程序添加多重身份验证,例如
- 虚拟专用网络 (VPN)
- 无线网络访问
- 远程桌面网关 (RDG)
- 虚拟桌面基础结构 (VDI)
- 任何其他依赖于 RADIUS 协议进行用户身份验证的服务。
注释
建议将 VPN 升级到安全断言标记语言(SAML),并直接将 VPN 与 Microsoft Entra ID 联合起来,而不是依赖于 RADIUS 和 Microsoft Entra 多重身份验证 NPS 扩展来应用 Microsoft Entra 多重身份验证。 这为 VPN 提供了Microsoft Entra ID 保护的完整范围,包括条件访问、多重身份验证、设备符合性。
系统的组件
客户端应用程序(VPN 客户端): 将身份验证请求发送到 RADIUS 客户端。
RADIUS 客户端: 转换来自客户端应用程序的请求并将其发送到安装了 NPS 扩展的 RADIUS 服务器。
RADIUS 服务器: 连接到 Active Directory 以执行 RADIUS 请求的主要身份验证。 成功后,将请求传递给 Microsoft Entra 多重身份验证 NPS 扩展。
NPS 扩展: 触发对 Microsoft Entra 多重身份验证的二次身份验证请求。 如果成功,NPS 扩展会通过向 RADIUS 服务器提供包含 Azure 安全令牌服务颁发的多重身份验证声明的安全令牌来完成身份验证请求。
Microsoft Entra 多重身份验证: 与 Microsoft Entra ID 通信,以检索用户的详细信息,并使用用户配置的验证方法执行辅助身份验证。