Habilite la autenticación multifactorial para Microsoft AWS AD administrado - AWS Directory Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilite la autenticación multifactorial para Microsoft AWS AD administrado

Puede habilitar la autenticación multifactor (MFA) en su directorio AWS administrado de Microsoft AD para aumentar la seguridad cuando los usuarios especifican sus credenciales de AD para acceder. Aplicaciones empresariales de Amazon admitidas Cuando se habilita la autenticación MFA, los usuarios deben introducir su nombre de usuario y su contraseña (el primer factor) como de costumbre, pero además deben introducir un código de autenticación (el segundo factor), proporcionado por la solución de MFA virtual o de hardware. La combinación de estos factores proporciona seguridad adicional, ya que impiden el acceso a las aplicaciones empresariales de Amazon, a menos que se proporcionen credenciales de usuario válidas y un código de MFA válido.

Para habilitar la MFA, debe tener una solución de MFA compuesta por un servidor Remote Authentication Dial-In User Service (RADIUS), o disponer de un complemento de MFA para un servidor RADIUS que ya tenga implementado en su infraestructura en las instalaciones. La solución de MFA debería implementar claves de acceso de un solo uso (OTP) que los usuarios obtienen de un dispositivo de hardware o de un software que se ejecuta en un dispositivo como un teléfono móvil.

RADIUS es un protocolo cliente/servidor estándar en el sector que proporciona administración de autenticación, autorización y contabilidad para que los usuarios puedan conectarse a servicios de red. AWS Microsoft AD administrado incluye un cliente RADIUS que se conecta al servidor RADIUS en el que ha implementado la solución de MFA. El servidor RADIUS valida el nombre de usuario y el código de OTP. Si el servidor RADIUS valida correctamente al usuario, AWS Managed Microsoft AD autentica al usuario en Active Directory. Tras la autenticación correcta de Active Directory, los usuarios pueden acceder a la AWS aplicación. La comunicación entre el cliente RADIUS AWS administrado de Microsoft AD y el servidor RADIUS requiere que configure grupos de AWS seguridad que permitan la comunicación a través del puerto 1812.

Puede habilitar la autenticación multifactor para su directorio AWS administrado de Microsoft AD mediante el siguiente procedimiento. Para obtener más información acerca de cómo configurar su servidor RADIUS para que funcione con AWS Directory Service y MFA, consulte Requisitos previos de la autenticación multifactor.

Consideraciones

Las siguientes son algunas consideraciones para la autenticación multifactor para su Microsoft AD AWS administrado:

  • La autenticación multifactor no puede usarse con Simple AD. Sin embargo, la MFA se puede habilitar para su directorio de Conector AD. Para obtener más información, consulte Habilitación de la autenticación multifactor para Conector AD.

  • La MFA es una función regional de Managed AWS Microsoft AD. Si utiliza Replicación multirregional, los siguientes procedimientos se deberán aplicar por separado en cada región. Para obtener más información, consulte Características globales frente a las regionales.

  • Si piensa utilizar Microsoft AD AWS administrado para las comunicaciones externas, le recomendamos que configure una puerta de enlace de Internet con traducción de direcciones de red (NAT) o una puerta de enlace de Internet fuera de la AWS red para estas comunicaciones.

    • Si desea admitir las comunicaciones externas entre su Microsoft AD AWS administrado y su servidor RADIUS alojado en la AWS red, póngase en contacto con AWS Support.

Habilite la autenticación multifactorial para Microsoft AWS AD administrado

El siguiente procedimiento muestra cómo habilitar la autenticación multifactor para Microsoft AD AWS administrado.

  1. Identifique la dirección IP de su servidor MFA RADIUS y de su directorio administrado de AWS Microsoft AD.

  2. Edite los grupos de seguridad de Virtual Private Cloud (VPC) para habilitar las comunicaciones a través del puerto 1812 entre los puntos finales IP gestionados de AWS Microsoft AD y su servidor de MFA RADIUS.

  3. En el panel de navegación de la consola de AWS Directory Service, seleccione Directorios.

  4. Elija el enlace de ID de directorio para su directorio AWS administrado de Microsoft AD.

  5. En la página Detalles del directorio, lleve a cabo una de las siguientes operaciones:

    • Si tiene varias regiones en la sección Replicación de varias regiones, seleccione la región en la que quiere habilitar MFA y, a continuación, elija la pestaña Redes y seguridad. Para obtener más información, consulte Regiones principales frente a las adicionales.

    • Si no aparece ninguna región en la sección Replicación multirregional, seleccione la pestaña Redes y seguridad.

  6. En la sección Multi-factor authentication (Autenticación multifactor), elija Actions (Acciones) y, a continuación, seleccione Enable (Habilitar).

  7. En la página Enable multi-factor authentication (MFA) (Habilitar la autenticación multifactor (MFA)), proporcione los valores siguientes:

    Display label (Mostrar etiqueta)

    Proporcione un nombre de etiqueta.

    RADIUS server DNS name or IP addresses (Nombre de DNS o direcciones IP del servidor RADIUS)

    Direcciones IP de los puntos de enlace del servidor RADIUS o dirección IP del balanceador de carga del servidor RADIUS. Puede especificar varias direcciones IP separándolas mediante comas (por ejemplo, 192.0.0.0,192.0.0.12).

    nota

    El MFA RADIUS solo se aplica para autenticar el acceso a las AWS Management Console aplicaciones y servicios empresariales de Amazon, como Amazon o WorkSpaces Amazon QuickSight Chime. No proporciona MFA a las cargas de trabajo de Windows que se ejecutan en instancias EC2 ni para iniciar sesión en una instancia EC2. AWS Directory Service no admite la autenticación RADIUS Challenge/Response.

    En el momento en que los usuarios especifiquen el nombre de usuario y la contraseña, deben disponer de un código MFA. Como alternativa, debe usar una solución que realice MFA, out-of-band como la verificación de texto por SMS para el usuario. En las soluciones de out-of-band MFA, debe asegurarse de establecer el valor de tiempo de espera RADIUS de forma adecuada para su solución. Al utilizar una solución de out-of-band MFA, la página de inicio de sesión solicitará al usuario un código de MFA. En ese caso, los usuarios deben escribir su contraseña en el campo de contraseña y en el campo de MFA.

    Puerto

    Puerto que utiliza el servidor RADIUS para las comunicaciones. La red local debe permitir el tráfico entrante desde los servidores a través del puerto de servidor RADIUS predeterminado (UDP:1812). AWS Directory Service

    Código secreto compartido

    Código de secreto compartido que se especificó cuando se crearon los puntos de enlace de RADIUS.

    Confirm shared secret code (Confirmar código secreto compartido)

    Confirme el código secreto compartido para los puntos de enlace de RADIUS.

    Protocolo

    Seleccione el protocolo que se especificó cuando se crearon los puntos de enlace de RADIUS.

    Tiempo de espera del servidor (en segundos)

    Tiempo, en segundos, que hay que esperar a que el servidor RADIUS responda. Este valor debe estar entre 1 y 50.

    nota

    Recomendamos configurar el tiempo de espera del servidor RADIUS en 20 segundos o menos. Si el tiempo de espera supera los 20 segundos, el sistema no podrá volver a intentarlo con otro servidor RADIUS y podría producirse un error en el tiempo de espera.

    Número máximo de reintentos de solicitud RADIUS

    Número de veces que se intenta la comunicación con el servidor RADIUS. Este valor debe estar entre 0 y 10.

    La autenticación multifactor está disponible cuando RADIUS Status cambia a Habilitado.

  8. Seleccione Habilitar.

Aplicaciones empresariales de Amazon admitidas

Todas las aplicaciones de TI empresariales de Amazon WorkSpaces WorkDocs, incluidas Amazon WorkMail QuickSight, Amazon y Access to AWS Managed Microsoft AD AWS IAM Identity Center y AD Connector con MFA, AWS Management Console son compatibles con ellos.

Para obtener información sobre cómo configurar el acceso básico de los usuarios a las aplicaciones de Amazon Enterprise, el inicio de sesión AWS único y el AWS Management Console uso AWS Directory Service, consulte Habilite el acceso a AWS aplicaciones y servicios y. Habilitación del acceso a la AWS Management Console con credenciales de AD

Artículo de blog sobre AWS seguridad relacionado