Aktivieren Sie die Multi-Faktor-Authentifizierung für AWS Managed Microsoft AD - AWS Directory Service
ÜberlegungenMFA-Authentifizierung für AWS Managed Microsoft AD aktivierenUnterstützte Amazon-Enterprise-Anwendungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivieren Sie die Multi-Faktor-Authentifizierung für AWS Managed Microsoft AD

Sie können die Multi-Faktor-Authentifizierung (MFA) für Ihr AWS verwaltetes Microsoft AD-Verzeichnis aktivieren, um die Sicherheit zu erhöhen, wenn Ihre Benutzer ihre AD-Anmeldeinformationen für den Zugriff angeben. Unterstützte Amazon-Enterprise-Anwendungen Wenn Sie die MFA aktivieren, geben Ihre Benutzer wie gewöhnlich ihren Benutzernamen und ihr Passwort (erster Faktor) ein. Darüber hinaus müssen sie jedoch einen Authentifizierungscode eingeben (zweiter Faktor), der von Ihrer virtuellen oder Hardware-MFA-Lösung bereitgestellt wird. Diese Faktoren zusammen erhöhen die Sicherheit, indem Sie Zugriffe auf Ihre Amazon Enterprise-Anwendungen verhindern, es sei denn, Benutzer geben gültige Anmeldeinformationen und einen gültigen MFA-Code ein.

Zum Aktivieren der MFA müssen Sie entweder über eine MFA-Lösung in Form eines Remote Authentication Dial-In User Service (RADIUS)-Servers verfügen oder über ein MFA-Plugin für einen RADIUS-Server, der bereits in Ihrer On-Premises-Infrastruktur vorhanden ist. Ihre MFA-Lösung sollte einmalige Sicherheitscodes (OTPs, One Time Passcodes) implementieren, die Benutzer von einem Hardwaregerät oder einer Software erhalten, die auf einem Gerät, beispielsweise einem Mobiltelefon, ausgeführt wird.

RADIUS ist ein branchenübliches Client/Server-Protokoll, das Authentifizierung, Autorisierung und Kontoverwaltung ermöglicht, sodass Benutzer eine Verbindung zu Netzwerkdiensten herstellen können. AWS Managed Microsoft AD umfasst einen RADIUS-Client, der eine Verbindung zu dem RADIUS-Server herstellt, auf dem Sie Ihre MFA-Lösung implementiert haben. Der RADIUS-Server überprüft den Benutzernamen und den OTP-Code. Wenn Ihr RADIUS-Server den Benutzer erfolgreich validiert, authentifiziert AWS Managed Microsoft AD den Benutzer dann gegenüber Active Directory. Nach erfolgreicher Active Directory-Authentifizierung können Benutzer dann auf die AWS Anwendung zugreifen. Für die Kommunikation zwischen dem AWS verwalteten Microsoft AD RADIUS-Client und Ihrem RADIUS-Server müssen Sie AWS Sicherheitsgruppen konfigurieren, die die Kommunikation über Port 1812 ermöglichen.

Sie können die Multi-Faktor-Authentifizierung für Ihr AWS verwaltetes Microsoft AD-Verzeichnis aktivieren, indem Sie das folgende Verfahren ausführen. Weitere Informationen zum Konfigurieren Ihres RADIUS-Servers für AWS Directory Service und MFA finden Sie unter Voraussetzungen für Multifaktor-Authentifizierung.

Überlegungen

Im Folgenden finden Sie einige Überlegungen zur Multi-Faktor-Authentifizierung für Ihr AWS verwaltetes Microsoft AD:

  • Die Multifaktor-Authentifizierung ist für Simple AD nicht verfügbar. MFA kann jedoch für Ihr AD-Connector-Verzeichnis aktiviert werden. Weitere Informationen finden Sie unter Multifaktor-Authentifizierung für AD Connector aktivieren.

  • MFA ist eine regionale Funktion von AWS Managed Microsoft AD. Wenn Sie Multi-Region-Replikation verwenden, müssen die folgenden Verfahren in jeder Region separat angewendet werden. Weitere Informationen finden Sie unter Globale und regionale Features.

  • Wenn Sie AWS Managed Microsoft AD für die externe Kommunikation verwenden möchten, empfehlen wir Ihnen, für diese Kommunikation ein Network Address Translation (NAT) -Internet-Gateway oder ein Internet Gateway außerhalb des AWS Netzwerks zu konfigurieren.

    • Wenn Sie die externe Kommunikation zwischen Ihrem AWS Managed Microsoft AD und Ihrem im AWS Netzwerk gehosteten RADIUS-Server unterstützen möchten, wenden Sie sich bitte an AWS Support.

Aktivieren Sie die Multi-Faktor-Authentifizierung für AWS Managed Microsoft AD

Das folgende Verfahren zeigt Ihnen, wie Sie die Multi-Faktor-Authentifizierung für AWS Managed Microsoft AD aktivieren.

  1. Identifizieren Sie die IP-Adresse Ihres RADIUS-MFA-Servers und Ihres AWS verwalteten Microsoft AD-Verzeichnisses.

  2. Bearbeiten Sie Ihre Virtual Private Cloud (VPC) -Sicherheitsgruppen, um die Kommunikation über Port 1812 zwischen Ihren AWS verwalteten Microsoft AD-IP-Endpunkten und Ihrem RADIUS-MFA-Server zu ermöglichen.

  3. Wählen Sie im Navigationsbereich der AWS Directory Service -Konsole Verzeichnisse.

  4. Wählen Sie den Verzeichnis-ID-Link für Ihr AWS verwaltetes Microsoft AD-Verzeichnis.

  5. Führen Sie auf der Seite Verzeichnisdetails einen der folgenden Schritte aus:

    • Wenn unter Multi-Region-Replikation mehrere Regionen angezeigt werden, wählen Sie die Region aus, in der Sie MFA aktivieren möchten, und wählen Sie dann die Registerkarte Netzwerk und Sicherheit. Weitere Informationen finden Sie unter Primäre Regionen im Vergleich zu zusätzlichen Regionen.

    • Wenn unter Multi-Region-Replikation keine Regionen angezeigt werden, wählen Sie die Registerkarte Netzwerk und Sicherheit.

  6. Wählen Sie im Abschnitt Multi-factor authentication (Mehrfaktoren-Authentifizierung) die Option Actions (Aktionen) und dann Enable (Aktivieren) aus.

  7. Geben Sie auf der Seite Multi-Faktor-Authentifizierung (MFA) aktivieren die folgenden Werte ein:

    Label anzeigen

    Geben Sie einen Labelnamen an.

    DNS-Name oder IP-Adressen des RADIUS-Servers

    Die IP-Adressen Ihrer RADIUS-Server-Endpunkte oder die IP-Adresse Ihres RADIUS-Server-Load Balancer. Sie können mehrere IP-Adressen getrennt durch ein Komma eingeben (z. B. 192.0.0.0,192.0.0.12).

    Anmerkung

    RADIUS MFA gilt nur für die Authentifizierung des Zugriffs auf die AWS Management Console oder auf Amazon Enterprise-Anwendungen und -Services wie WorkSpaces Amazon oder Amazon QuickSight Chime. Es bietet keine MFA für Windows-Workloads, die auf EC2-Instances ausgeführt werden, oder für die Anmeldung bei einer EC2-Instance. AWS Directory Service unterstützt die RADIUS Challenge/Response-Authentifizierung nicht.

    Benutzer müssen ihren MFA-Code bei der Eingabe ihres Benutzernamens und Passworts zur Hand haben. Alternativ müssen Sie eine Lösung verwenden, die MFA out-of-band wie die SMS-Textverifizierung für den Benutzer durchführt. In out-of-band MFA-Lösungen müssen Sie sicherstellen, dass Sie den RADIUS-Timeoutwert entsprechend Ihrer Lösung festlegen. Wenn Sie eine out-of-band MFA-Lösung verwenden, fordert die Anmeldeseite den Benutzer auf, einen MFA-Code einzugeben. In diesem Fall müssen Benutzer ihr Passwort sowohl in das Passwortfeld als auch in das MFA-Feld eingeben.

    Port

    Der Port, den Ihr RADIUS-Server für die Kommunikation verwendet. Ihr lokales Netzwerk muss eingehenden Datenverkehr über den Standard-RADIUS-Serverport (UDP:1812) von den Servern zulassen. AWS Directory Service

    Shared secret code (Gemeinsamer geheimer Code)

    Der gemeinsame geheime Code, der bei der Erstellung Ihrer RADIUS-Endpunkte angegeben wurde.

    Confirm shared secret code (Gemeinsamen geheimen Code bestätigen)

    Bestätigen Sie den gemeinsamen geheimen Code für Ihre RADIUS-Endpunkte.

    Protocol (Protokoll)

    Wählen Sie das Protokoll aus, das bei der Erstellung Ihrer RADIUS-Endpunkte angegeben wurde.

    Server-Timeout (in Sekunden)

    Die Zeit in Sekunden, die gewartet werden muss, bis der RADIUS-Server antwortet. Dies muss ein Wert zwischen 1 und 50 sein.

    Anmerkung

    Wir empfehlen, Ihr RADIUS-Server-Timeout auf 20 Sekunden oder weniger zu konfigurieren. Wenn das Timeout 20 Sekunden überschreitet, kann das System es nicht erneut mit einem anderen RADIUS-Server versuchen, was zu einem Timeout-Fehler führen kann.

    Maximale Wiederholungen von RADIUS-Anfragen

    Die Anzahl der Kommunikationsversuche mit dem RADIUS-Server. Dies muss ein Wert zwischen 0 und 10 sein.

    Die Multifaktor-Authentifizierung ist verfügbar, wenn sich der RADIUS-Status in Enabled ändert.

  8. Wählen Sie Enable (Aktivieren) aus.

Unterstützte Amazon-Enterprise-Anwendungen

Alle Amazon Enterprise IT-Anwendungen WorkSpaces, einschließlich Amazon, Amazon WorkDocs, Amazon WorkMail QuickSight, und der Zugriff auf AWS IAM Identity Center und AWS Management Console werden unterstützt, wenn AWS Managed Microsoft AD und AD Connector mit MFA verwendet werden.

Informationen zur Konfiguration des grundlegenden Benutzerzugriffs auf Amazon Enterprise-Anwendungen, AWS Single Sign-On und deren AWS Management Console Verwendung AWS Directory Service finden Sie unter Ermöglichen Sie den Zugriff auf AWS Anwendungen und Dienste undDen Zugriff auf die AWS Management Console mit AD-Anmeldeinformationen aktivieren.

Verwandter Blogartikel zum Thema AWS Sicherheit