Ostatnia aktualizacja dnia July 1 2026
Rozwiązanie Rublon Authentication Proxy umożliwia użycie usługi Microsoft Entra ID jako głównego źródła uwierzytelniania dla uwierzytelniania przez protokoły LDAP i RADIUS. Oznacza to, że aplikacje, sieci VPN, urządzenia sieciowe i inne systemy, które nadal korzystają z protokołu LDAP lub RADIUS, mogą uwierzytelniać użytkowników za pomocą danych logowania Microsoft Entra ID, a rozwiązanie Rublon MFA dodaje uwierzytelnianie wieloskładnikowe do tego samego procesu logowania.
To podejście sprawdza się, gdy aplikacja lub urządzenie nie może zintegrować się bezpośrednio z usługą Microsoft Entra ID za pomocą standardu SAML, protokołu OAuth 2.0 lub standardu OpenID Connect, ale może uwierzytelniać użytkowników przez protokół LDAP lub RADIUS. Zamiast utrzymywać osobne źródło tożsamości LDAP lub RADIUS, możesz połączyć Rublon Authentication Proxy z usługą Microsoft Entra ID i do uwierzytelniania podstawowego używać danych logowania Entra ID.
Używanie danych logowania Microsoft Entra ID do logowania przez LDAP i RADIUS
Wiele aplikacji typu legacy, sieci VPN, firewalli, kontrolerów Wi-Fi i urządzeń sieciowych nadal obsługuje protokół LDAP lub RADIUS jako główną zewnętrzną metodę uwierzytelniania. Dzięki rozwiązaniu Rublon Authentication Proxy te systemy mogą nadal używać protokołu LDAP lub RADIUS, a podstawowe dane logowania są weryfikowane w usłudze Microsoft Entra ID.
- Włącz dostęp do aplikacji typu legacy za pomocą danych logowania Microsoft Entra ID i rozwiązania Rublon MFA przez protokół LDAP lub RADIUS.
- Włącz dostęp do urządzeń sieciowych za pomocą danych logowania Microsoft Entra ID i rozwiązania Rublon MFA przez protokół LDAP lub RADIUS.
- Włącz dostęp do sieci VPN za pomocą danych logowania Microsoft Entra ID i rozwiązania Rublon MFA przez protokół LDAP lub RADIUS.
- Ogranicz zależność od osobnych źródeł tożsamości LDAP lub RADIUS, gdy usługa Microsoft Entra ID jest już centralnym katalogiem użytkowników.
- Dodaj rozwiązanie Rublon MFA do procesów uwierzytelniania przez protokół LDAP i RADIUS bez wymogu natywnej obsługi usługi Microsoft Entra ID przez chroniony system.
W tej konfiguracji usługa Microsoft Entra ID służy do uwierzytelniania podstawowego, a rozwiązanie Rublon MFA zapewnia drugi etap uwierzytelniania. Aplikację Rublon Authentication Proxy trzeba wykluczyć z Microsoft Entra MFA, aby rozwiązanie Rublon MFA mogło zastosować własny proces MFA.
Wspieraj architekturę Entra-first bez utraty dostępu przez LDAP i RADIUS
Wiele organizacji chce przejść na architekturę tożsamości Entra-first lub Entra-only, ale często przeszkadza w tym lokalna usługa Active Directory, która znajduje się w środowisku, dlatego że systemy typu legacy nadal wymagają protokołu LDAP lub RADIUS. Rozwiązanie Rublon Authentication Proxy pomaga zamknąć tę lukę, umożliwiając klientom LDAP i RADIUS używanie usługi Microsoft Entra ID jako głównego źródła uwierzytelniania.
Pozwala to ograniczyć zależność od lokalnej usługi Active Directory, kontrolerów domeny, kont usługowych LDAP, certyfikatów LDAPS oraz infrastruktury Microsoft NPS utrzymywanej wyłącznie na potrzeby uwierzytelniania przez protokół RADIUS. Użytkownicy mogą nadal uzyskiwać dostęp do sieci VPN, firewalli, urządzeń sieciowych, serwerów i aplikacji typu legacy za pomocą danych logowania Microsoft Entra ID, a rozwiązanie Rublon MFA chroni ten sam proces uwierzytelniania.
- Wspieraj projekty wygaszania usługi Active Directory bez konieczności wcześniejszej wymiany każdego systemu opartego na protokole LDAP lub RADIUS.
- Utrzymuj dostęp przez protokół LDAP i RADIUS dla systemów starszego typu (legacy), przenosząc jednocześnie główne źródło tożsamości do Microsoft Entra ID.
- Używaj danych logowania Microsoft Entra ID w systemach, które nie obsługują integracji przez SAML, OAuth 2.0 ani OpenID Connect.
- Wdrażaj Rublon Authentication Proxy na serwerach Windows Server lub Linux, także w infrastrukturze chmurowej.
Uwierzytelnianie RADIUS za pomocą Microsoft Entra ID
Uwierzytelnianie przez protokół RADIUS za pomocą usługi Microsoft Entra ID sprawdza się, gdy sieci VPN, firewalle, kontrolery Wi-Fi, serwery RRAS i inni klienci RADIUS muszą uwierzytelniać użytkowników za pomocą danych logowania Entra ID. Usługa Microsoft Entra ID nie jest natywnym serwerem RADIUS, dlatego klienci RADIUS zwykle nie mogą łączyć się bezpośrednio z usługą Entra ID.
Rozwiązanie Rublon Authentication Proxy rozwiązuje ten problem, działając jako punkt końcowy RADIUS dla klienta RADIUS i używając usługi Microsoft Entra ID jako głównego źródła uwierzytelniania. Klient RADIUS wysyła żądanie uwierzytelnienia do rozwiązania Rublon Authentication Proxy. Rublon Authentication Proxy weryfikuje podstawowe dane logowania użytkownika w usłudze Microsoft Entra ID, a następnie wymaga uwierzytelnienia Rublon MFA przed przyznaniem dostępu.
Dzięki temu możesz włączyć logowanie za pomocą Entra ID dla klientów RADIUS bez przenoszenia chronionego systemu na standard SAML, protokół OAuth 2.0 czy standard OpenID Connect. Jest to szczególnie przydatne w przypadku sieci VPN, urządzeń sieciowych i systemów legacy, które obsługują protokół RADIUS, ale nie obsługują natywnie usługi Microsoft Entra ID.
Uwierzytelnianie LDAP za pomocą Microsoft Entra ID
Uwierzytelnianie przez protokół LDAP za pomocą usługi Microsoft Entra ID sprawdza się, gdy aplikacje typu legacy, urządzenia sieciowe i inni klienci LDAP muszą uwierzytelniać użytkowników za pomocą danych logowania Entra ID. Usługa Microsoft Entra ID nie jest tradycyjnym katalogiem LDAP, dlatego klienci LDAP zwykle nie mogą wykonać operacji bind z usługą Entra ID bezpośrednio w taki sam sposób jak z usługą Active Directory lub innym serwerem LDAP.
Rozwiązanie Rublon Authentication Proxy rozwiązuje ten problem, działając jako punkt końcowy LDAP dla klienta LDAP i używając usługi Microsoft Entra ID jako głównego źródła uwierzytelniania. Klient LDAP wysyła żądanie uwierzytelnienia do Rublon Authentication Proxy. Rozwiązanie Rublon Authentication Proxy weryfikuje podstawowe dane logowania użytkownika w usłudze Microsoft Entra ID, a następnie wymaga uwierzytelniania Rublon MFA przed przyznaniem dostępu.
Dzięki temu możesz włączyć logowanie za pomocą Entra ID do aplikacji i urządzeń LDAP bez przenoszenia chronionego systemu na standard SAML, protokół OAuth 2.0 lub standard OpenID Connect. Jest to szczególnie przydatne w przypadku systemów typu legacy, które obsługują uwierzytelnianie przez protokół LDAP, ale nie obsługują natywnie usługi Microsoft Entra ID.
Jak włączyć logowanie za pomocą Microsoft Entra ID dla klientów RADIUS?
Aby włączyć logowanie za pomocą Microsoft Entra ID dla klientów RADIUS, takich jak sieci VPN, sieci Wi-Fi, firewalle i urządzenia sieciowe, skonfiguruj rozwiązanie Rublon Authentication Proxy z usługą Microsoft Entra ID jako źródłem uwierzytelniania ENTRA. W takim scenariuszu klient RADIUS nadal wysyła żądania uwierzytelnienia do rozwiązania Rublon Authentication Proxy, a proxy weryfikuje podstawowe dane logowania użytkownika w usłudze Microsoft Entra ID, po czym uruchamia uwierzytelnianie Rublon MFA.
Jak włączyć logowanie za pomocą Microsoft Entra ID dla klientów LDAP?
Aby włączyć logowanie za pomocą Microsoft Entra ID dla klientów LDAP, skonfiguruj rozwiązanie Rublon Authentication Proxy jako serwer proxy LDAP i użyj usługi Microsoft Entra ID jako źródła uwierzytelniania ENTRA. Chroniona aplikacja lub urządzenie nadal używa protokołu LDAP, a rozwiązanie Rublon Authentication Proxy weryfikuje dane logowania użytkownika w usłudze Microsoft Entra ID i dodaje uwierzytelnianie Rublon MFA do procesu logowania.
Włącz logowanie do FortiGate VPN za pomocą Microsoft Entra ID i Rublon MFA
Jeśli FortiGate VPN uwierzytelnia użytkowników przez protokół RADIUS lub LDAP, możesz użyć rozwiązania Rublon Authentication Proxy do zweryfikowania podstawowych danych logowania w usłudze Microsoft Entra ID i nałożenia wymogu uwierzytelniania za pomocą rozwiązania Rublon MFA przed przyznaniem dostępu do sieci VPN. Dzięki temu użytkownicy FortiGate VPN mogą logować się za pomocą danych logowania Microsoft Entra ID bez konieczności bezpośredniej integracji FortiGate z usługą Microsoft Entra ID.
Włącz logowanie do sieci VPN za pomocą Microsoft Entra ID i Rublon MFA
Dzięki rozwiązaniu Rublon Authentication Proxy, serwery VPN obsługujące protokół RADIUS lub LDAP mogą korzystać z Microsoft Entra ID jako głównego źródła uwierzytelniania. Użytkownicy logują się danymi z Microsoft Entra ID, a rozwiązanie Rublon MFA wymusza weryfikację wieloetapową przed przyznaniem dostępu do VPN.
Włącz logowanie do klientów RADIUS za pomocą Microsoft Entra ID i Rublon MFA
Rozwiązanie Rublon Authentication Proxy pozwala klientom RADIUS uwierzytelniać użytkowników w usłudze Microsoft Entra ID i wymuszać Rublon MFA w ramach jednego procesu logowania. Rozwiązanie to świetnie sprawdza się w przypadku bram VPN, firewalli, sieci Wi-Fi oraz urządzeń sieciowych, które posiadają obsługę protokołu RADIUS, ale brakuje im natywnej integracji z Microsoft Entra ID.
Włącz logowanie do aplikacji LDAP za pomocą Microsoft Entra ID i Rublon MFA
Rozwiązanie Rublon Authentication Proxy umożliwia aplikacjom LDAP uwierzytelnianie użytkowników w usłudze Microsoft Entra ID i stosowanie uwierzytelniania Rublon MFA przed przyznaniem dostępu. Jest to przydatne w przypadku aplikacji typu legacy i systemów, które obsługują protokół LDAP, ale nie mogą łączyć się bezpośrednio z usługą Microsoft Entra ID.
Konfiguracja usługi Microsoft Entra ID
1. Rejestracja aplikacji Rublon Authentication Proxy w usłudze Entra ID
1. W centrum administracyjnym Entra ID przejdź do panelu App registrations (Rejestracje aplikacji) i kliknij New registration (Nowa rejestracja).

2. Ustaw nazwę aplikacji i kliknij Register (Rejestruj).

3. Skopiuj identyfikator aplikacji (klienta) i wklej go jako wartość client_id w pliku konfiguracyjnym rozwiązania Rublon Auth Proxy.
4. Skopiuj identyfikator katalogu (dzierżawy) i wklej go jako wartość tenant_id w pliku konfiguracyjnym rozwiązania Rublon Authentication Proxy.
5. Kliknij Add a certificate or secret (Dodaj certyfikat lub wpis tajny).

6. Kliknij + New client secret (+ Nowy klucz tajny klienta), ustaw opis i datę wygaśnięcia tego klucza tajnego klienta, a następnie kliknij Add (Dodaj).
Uwaga
Po wygaśnięciu klucza tajnego rozwiązanie Rublon Auth Proxy nie będzie mogło uwierzytelniać użytkowników.

7. Skopiuj wartość klucza tajnego i wklej ją jako wartość client_secret w pliku konfiguracyjnym rozwiązania Rublon Authentication Proxy.
8. Przejdź do API permissions (Uprawnienia interfejsu API) i dodaj następujące uprawnienia usługi Microsoft Graph:

| API / Permissions name (Interfejs API / Nazwa uprawnień) | Type (Typ) | Description (Opis) | Admin consent required (Wymagana zgoda administratora) |
| Group.Read.All | Application (Aplikacja) | Read all groups (Odczytuj wszystkie grupy) | Yes (Tak) |
| User.Read | Delegated (Delegowane) | Sign in and read user profile (Loguj się o odczytuj profil użytkownika) | No (Nie) |
| User.Read.All | Application (Aplikacja) | Read all users’ full profiles (Odczytuj pełne profile wszystkich użytkowników) | Yes (Tak) |
9. Kliknij Grant admin consent for X (Wyraź zgodę administratora dla katalogu X), gdzie X to nazwa dzierżawy.
2. Wykluczenie aplikacji Rublon Authentication Proxy z zasad dostępu warunkowego MFA
Aby rozwiązanie Rublon Auth Proxy poprawnie współpracowało z Microsoft Entra ID, należy wyłączyć wymóg MFA w usłudze Entra ID dla żądań pochodzących z tego serwera proxy. Wynika to z faktu, że rozwiązanie Rublon MFA musi zainicjować własny proces weryfikacji wieloskładnikowej. Bez tego wykluczenia usługa Entra ID może zażądać MFA, jeszcze przed zweryfikowaniem podstawowych danych logowania przez proxy, co doprowadzi do przerwania procesu i wyświetlenia następującego błędu:
AADSTS50076: Due to a configuration change made by your administrator, or because you moved to a new location, you must use multi-factor authentication to access '{RESOURCE_ID}'.
Masz dwie opcje:
- Opcja 1: Wyłącz globalnie zasady odpowiedzialne za MFA (Require multifactor authentication for all users).
- Opcja 2: Użyj bardziej restrykcyjnej konfiguracji.
Zalecamy opcję 2, ponieważ docelowa konfiguracja powinna być znacznie bardziej restrykcyjna i wykluczać MFA tylko dla zasobu aplikacji utworzonego w usłudze Entra ID. Używaj opcji 1 tylko podczas testowania lub rozwiązywania problemów w środowisku testowym.
Uwaga
Jeśli w dzierżawie włączono ustawienie Security defaults (Ustawienia domyślne zabezpieczeń), musisz je wyłączyć, zanim użyjesz zasad Conditional Access:
1. Przejdź do Entra ID → Overview (Przegląd) → Properties (Właściwości).
2. Kliknij Manage security defaults (Zarządzaj domyślnymi ustawieniami zabezpieczeń).
3. Ustaw Security defaults (Ustawienia domyślne zabezpieczeń) na Disabled (Wyłączone), a następnie kliknij Save (Zapisz).
Opcja 1: Globalne wyłączenie zasad MFA tylko w środowisku testowym
1. W lewym panelu centrum administracyjnego Entra ID przejdź do Entra ID → Conditional Access (Dostęp warunkowy).
2. Kliknij Policies (Zasady), kliknij zasadę Multifactor authentication for all users, a następnie kliknij Edit (Edytuj), aby ją zmodyfikować. W sekcji Enable Policy (Włącz zasady) ustaw wartość Off (Wyłączone) lub Report-only (Sam raport).
Opcja 2: Wykluczenie tylko aplikacji Rublon Authentication Proxy z zasad MFA (zalecane!)
1. W lewym panelu centrum administracyjnego Entra ID przejdź do Entra ID → Conditional Access (Dostęp warunkowy).
2. Przejdź do Policies (Zasady), kliknij zasadę zarządzaną przez Microsoft o nazwie Require multifactor authentication for all users i kliknij Duplicate (Duplikuj).

3. Kliknij Target resources (Zasoby docelowe). Wybierz Exclude (Wyklucz), a następnie wybierz Select resources (Wybierz zasoby).
4. W sekcji Select specific resources (Wybierz określone zasoby) wybierz aplikację zarejestrowaną dla Rublon Authentication Proxy.

5. Ustaw Enable policy (Włącz zasady) na On (Włączone) i kliknij Create (Utwórz), aby utworzyć nową zasadę dostępu warunkowego.
6. W rezultacie powstanie zasada utworzona przez użytkownika, która jest dokładną kopią oryginalnej zasady zarządzanej przez Microsoft z dodatkowym wykluczeniem zasobu utworzonego dla Rublon Auth Proxy. Następnie trzeba wyłączyć oryginalną zasadę: Multifactor authentication for all users → Edit (Edytuj) → Enable policy (Włącz zasady): Off (Wyłączone) → Save (Zapisz).
Konfiguracja Rublon Authentication Proxy dla usługi Entra ID
Konfiguracja rozwiązania Rublon Auth Proxy wymaga dodania źródła uwierzytelniania w sekcji auth_sources z wartością type: ENTRA. Następnie trzeba podać wartości tenant_id, client_id, client_secret, transport_type i base_dn.
Uwaga
Możesz zdefiniować wiele źródeł uwierzytelniania z parametrem type: ENTRA, ale każdy serwer proxy może korzystać tylko z jednego z nich. Różne serwery proxy mogą wskazywać na te same lub na inne źródła Microsoft Entra ID. Ponieważ pojedynczy serwer proxy nie obsługuje jednocześnie kilku źródeł ENTRA, mechanizm przełączania awaryjnego (failover) między nimi nie jest wspierany. Do integracji z Entra ID możesz użyć zarówno serwerów proxy RADIUS, jak i LDAP.
Przykład konfiguracji:
proxy_servers:
- name: RADIUS-Proxy
type: RADIUS
radius_secret: RADIUS_SECRET
ip: 0.0.0.0
port: 1812
mode: standard
auth_source: ENTRAID
auth_method: email
- name: LDAP-Proxy
type: LDAP
ip: 0.0.0.0
port: 389
auth_source: ENTRAID
auth_method: email
auth_sources:
- name: ENTRAID
type: ENTRA
tenant_id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
client_id: yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy
client_secret: ENTRA_CLIENT_SECRET
base_dn: dc=entra,dc=com
transport_type: plain
Uwaga
Możesz używać wartości client_secret z funkcją Secret Source. Jeśli używasz wartości secret_source innej niż „plain”, skonfiguruj wartość client_secret tak samo jak inne sekrety, zależnie od konfiguracji z użyciem env lub winvault.
Dowiedz się więcej:
Konfiguracja Rublon Authentication Proxy Secret Source – zmienne środowiskowe (env)
Konfiguracja Rublon Authentication Proxy Secret Source – Menedżer poświadczeń systemu Windows
Podsumowanie
Rozwiązanie Rublon Authentication Proxy integruje się z usługą Microsoft Entra ID jako głównym źródłem uwierzytelniania dla serwerów proxy RADIUS i LDAP. Konfiguracja wymaga rejestracji aplikacji Entra, klucza tajnego klienta oraz zasad dostępu warunkowego, które wykluczają tę aplikację z usługi Entra MFA, aby rozwiązanie Rublon Authentication Proxy mogło zamiast tego zastosować uwierzytelnianie Rublon MFA. Skonfiguruj źródło uwierzytelniania ENTRA z wartościami tenant_id, client_id i client_secret, a następnie wskaż je na serwerze proxy. Każdy serwer proxy może używać jednego źródła uwierzytelniania Entra, a przełączanie awaryjne źródeł uwierzytelniania Entra nie jest obsługiwane. Aby uniknąć przechowywania wartości client_secret w jawnym tekście, użyj parametru secret_source z opcją env lub winvault
Dowiedz się więcej
Pełną listę ustawień źródła Entra znajdziesz w dokumentacji Rublon Authentication Proxy.
Pełne instrukcje konfiguracji rozwiązania Rublon Authentication Proxy jako serwera proxt LDAP i RADIUS znajdziesz w artykułach:
- Konfiguracja Rublon Authentication Proxy jako serwera LDAP Proxy Server
- Konfiguracja Rublon Authentication Proxy jako serwera RADIUS Proxy Server
Aby dowiedzieć się więcej o certyfikatach LDAPS w Rublon Authentication Proxy, przeczytaj artykuł How to set up LDAPS certificates in the Rublon Authentication Proxy?.
FAQ: Entra ID oraz uwierzytelnianie RADIUS i LDAP
Czy usługi Microsoft Entra ID można używać do uwierzytelniania przez protokół RADIUS?
Tak. Usługi Microsoft Entra ID można używać jako głównego źródła uwierzytelniania dla uwierzytelniania przez protokół RADIUS za pomocą rozwiązania Rublon Authentication Proxy. Klient RADIUS łączy się z rozwiązaniem Rublon Authentication Proxy, a Rublon Authentication Proxy weryfikuje dane logowania użytkownika w usłudze Microsoft Entra ID przed wymuszeniem uwierzytelniania Rublon MFA.
Jak włączyć logowanie za pomocą Entra ID przez protokół RADIUS?
Aby włączyć logowanie za pomocą Entra ID przez protokół RADIUS, skonfiguruj rozwiązanie Rublon Authentication Proxy jako serwer proxy RADIUS i dodaj źródło uwierzytelniania ENTRA. Następnie skieruj sieć VPN, firewall, kontroler Wi-Fi, serwer RRAS lub innego klienta RADIUS na rozwiązanie Rublon Authentication Proxy. W tym scenariuszu użytkownicy uwierzytelniają się za pomocą danych logowania Microsoft Entra ID, a rozwiązanie Rublon MFA dodatkowo chroni logowanie.
Czy mogę używać danych logowania Microsoft Entra ID do logowania do sieci VPN przez protokół RADIUS?
Tak. Jeśli sieć VPN obsługuje uwierzytelnianie przez protokół RADIUS, możesz użyć rozwiązania Rublon Authentication Proxy do uwierzytelniania użytkowników VPN za pomocą danych logowania Microsoft Entra ID i wymagać uwierzytelniania Rublon MFA przed przyznaniem dostępu do sieci VPN.
Czy można użyć Microsoft Entra ID do uwierzytelniania przez protokół LDAP?
Tak. Usługi Microsoft Entra ID można używać jako głównego źródła uwierzytelniania dla uwierzytelniania przez protokół LDAP za pomocą rozwiązania Rublon Authentication Proxy. Klient LDAP łączy się z rozwiązaniem Rublon Authentication Proxy, a Rublon Authentication Proxy weryfikuje dane logowania użytkownika w usłudze Microsoft Entra ID, po czym dodaje dodatkowe uwierzytelnianie Rublon MFA.
Jak włączyć logowanie za pomocą Entra ID do aplikacji LDAP?
Aby włączyć logowanie za pomocą Entra ID do aplikacji LDAP, skonfiguruj rozwiązanie Rublon Authentication Proxy jako serwer proxy LDAP i dodaj źródło uwierzytelniania typu ENTRA. W tym scenariuszu aplikacja nadal używa protokołu LDAP, a rozwiązanie Rublon Authentication Proxy weryfikuje podstawowe dane logowania w usłudze Microsoft Entra ID i dodaje uwierzytelnianie Rublon MFA do procesu logowania.
Czy potrzebuję Microsoft NPS, aby używać usługi Entra ID z protokołem RADIUS?
Nie zawsze. Usługa Microsoft NPS z rozszerzeniem Microsoft Entra MFA to jedno z możliwych podejść do MFA przez protokół RADIUS, ale typowy model NPS nadal używa usługi Active Directory Domain Services (AD FS) do uwierzytelniania podstawowego i dodaje Microsoft Entra MFA po tym kroku. Rozwiązanie Rublon Authentication Proxy oferuje inne podejście: może odbierać żądania uwierzytelniania RADIUS, weryfikować podstawowe dane logowania w usłudze Microsoft Entra ID i nakładać na to uwierzytelnianie Rublon MFA w tym samym procesie logowania. Jest to dobra opcja, gdy chcesz ograniczyć zależność od lokalnej usługi Active Directory, zachowując działanie systemów opartych na protokole RADIUS.