您可以在 Workspace ONE Access Connector 中設定使用者驗證服務,以便在使用者登入 Workspace ONE 時,使用連接器型 RADIUS (雲端部署) 驗證方法。在 Workspace ONE Access 主控台中啟用 RADIUS 驗證方法並設定 RADIUS 設定。

必要條件

  • 在驗證管理員伺服器上安裝與設定 RADIUS 軟體。由於 RADIUS 雙因素驗證解決方案可與個別伺服器上安裝的驗證管理程式搭配使用,因此必須設定 RADIUS 伺服器並可供 Workspace ONE Access 服務存取。對於 RADIUS 驗證,請依照供應商的組態文件進行。

    需要下列 RADIUS 伺服器資訊,才能在 Workspace ONE Access 服務上設定 RADIUS。

    • RADIUS 伺服器的 IP 位址或 DNS 名稱。
    • 驗證連接埠號碼。驗證連接埠通常為 1812。
    • 驗證類型。驗證類型包括 PAP (密碼驗證通訊協定)、CHAP (Challenge Handshake 驗證通訊協定)、MSCHAP1、MSCHAP2 (Microsoft Challenge Handshake 驗證通訊協定,版本 1 和 2)。
    • 用於在 RADIUS 通訊協定訊息中加密和解密的 RADIUS 共用密碼。
    • RADIUS 驗證所需的特定逾時和重試值。
  • 安裝為 Workspace ONE Access Connector 元件的使用者驗證服務。

程序

  1. Workspace ONE Access 主控台的整合 > 連接器驗證方法頁面中,按一下新增,然後選取 RADIUS (雲端部署)
  2. 若要使用此驗證方法進行設定,請選取目錄服務主機,然後按下一步
  3. 設定 RADIUS 驗證方法的設定。
    選項 動作
    允許嘗試的驗證次數 輸入使用 RADIUS 登入時,登入嘗試失敗的次數上限。預設為五次嘗試。
    登入頁面複雜密碼提示 輸入要在使用者登入頁面上顯示為訊息的文字字串,以引導使用者輸入正確的 RADIUS 通行碼。預設的文字字串為 RADIUS 通行碼。預設訊息為請輸入 RADIUS 通行碼
    登入頁面的自訂複雜密碼提示 如果您在此文字方塊中輸入自訂複雜密碼提示,此提示會顯示為使用者登入頁面上的訊息,以取代登入頁面複雜密碼提示。例如,如果將此文字方塊設定為先輸入您的 AD 密碼然後輸入 SMS 通行碼,登入頁面訊息會顯示先輸入您的 AD 密碼然後輸入 SMS 通行碼
    啟用對 RADIUS 伺服器的直接驗證 將 [否] 變更為可啟用直接使用者驗證。使用者不需要重新輸入其認證。在此情況下,系統會針對密碼使用相同的使用者名稱。

    僅在已於 RADIUS 伺服器中設定存取挑戰時,才啟用此選項。

    若要對 RADIUS 伺服器使用直接驗證,必須以相同的方式在 RADIUS 伺服器和 Active Directory 中設定使用者名稱。請注意,Active Directory 中的使用者名稱 JSmith 不符合 RADIUS 伺服器中的 jsmith
    對 RADIUS 伺服器的嘗試次數 輸入重試嘗試的總數。如果主要伺服器未回應,服務會等待設定的時間經過後再次進行重試。
    伺服器逾時 (以秒為單位)

    輸入 RADIUS 伺服器逾時 (以秒為單位),在此時間之後,如果 RADIUS 伺服器未回應,即會傳送重試。

    RADIUS 伺服器主機名稱/位址 (選用) 輸入 RADIUS 伺服器的主機名稱或 IP 位址。
    驗證連接埠 輸入 RADIUS 驗證連接埠號碼。連接埠通常為 1812。
    帳戶處理連接埠 輸入 0 做為連接埠號碼。目前未使用帳戶處理連接埠。
    驗證類型 輸入 RADIUS 伺服器支援的驗證通訊協定。可以是 PAP、CHAP、MSCHAP1 或 MSCHAP2。
    共用密碼 輸入在 RADIUS 伺服器和 Workspace ONE Access 服務之間使用的共用密碼。
    領域字首 (選用) 使用者帳戶位置稱為領域。輸入要使用的領域首碼。

    如果您輸入領域首碼字串,則該名稱傳送至 RADIUS 伺服器時會放置在使用者名稱的開頭。例如,如果輸入的使用者名稱為 jdoe,並指定領域首碼 DOMAIN-A\,則會將使用者名稱 DOMAIN-A\jdoe 傳送至 RADIUS 伺服器。如果不設定 [領域] 文字方塊,則只會傳送所輸入的使用者名稱。

    領域字尾 (選用) 如果您指定領域尾碼,則會在使用者名稱的結尾放置該字串。例如,如果尾碼為 @myco.com,則會傳送使用者名稱 [email protected] 至 RADIUS 伺服器。
    啟用基本 MSCHAPv2 驗證 將 [否] 變更為可啟用基本的 MS-CHAPv2 驗證。如果此選項設為 [是],則會略過來自來自 RADIUS 伺服器回應的額外驗證。依預設會執行完整驗證。
  4. 您可以啟用次要 RADIUS 伺服器以獲得高可用性。
    如步驟 4 所述設定次要伺服器。
  5. 下一步以檢閱組態,然後按一下儲存
    此螢幕擷取畫面顯示伺服器組態頁面

下一步

將 RADIUS 新增為內建身分識別提供者組態頁面的驗證方法。

將 RADIUS 驗證方法新增至預設存取原則。在主控台中,移至資源 > 原則頁面,然後編輯預設原則規則,以將 RADIUS 驗證方法新增到規則。請參閱 在 Workspace ONE Access 服務中管理存取原則

若要獲得高可用性,請將此 RADIUS 驗證方法與已安裝企業服務「使用者驗證」元件的其他已登錄 Workspace ONE Access Connector 建立關聯。