Abilita l'autenticazione a più fattori per AWS Managed Microsoft AD

Puoi abilitare l'autenticazione a più fattori (MFA) per la tua directory AWS Managed Microsoft AD per aumentare la sicurezza quando gli utenti specificano le proprie credenziali AD per accedere. Applicazioni Amazon Enterprise supportate Quando si abilita la MFA, gli utenti inseriscono i propri nome utente e password (primo fattore) come di consueto, quindi devono inserire anche un codice di autenticazione (secondo fattore), fornito dalla soluzione MFA virtuale o dell'hardware. Tutti questi fattori forniscono maggiore sicurezza impedendo l'accesso alle applicazioni Amazon Enterprise, a meno che gli utenti non forniscano credenziali valide e un codice MFA valido.

Per abilitare MFA, è necessario disporre di una soluzione MFA che funge da server Remote Authentication Dial-In User Service (RADIUS) oppure disporre di un plug-in MFA per un server RADIUS già implementato nell'infrastruttura on-premise. La soluzione MFA deve implementare i codici d'accesso monouso (OTP, One Time Passcode) che gli utenti ottengono da un dispositivo hardware o dal software in esecuzione su un dispositivo, ad esempio un telefono cellulare.

RADIUS è un protocollo client/server standard del settore che fornisce l'autenticazione, l'autorizzazione e la gestione contabile per consentire agli utenti di connettersi ai servizi di rete. AWS Microsoft AD gestito include un client RADIUS che si connette al server RADIUS su cui è stata implementata la soluzione MFA. Il server RADIUS convalida il nome utente e il codice OTP. Se il server RADIUS convalida correttamente l'utente, AWS Managed Microsoft AD autentica l'utente con Active Directory. Una volta completata l'autenticazione con Active Directory, gli utenti possono quindi accedere all'applicazione. AWS La comunicazione tra il client Microsoft AD RADIUS AWS gestito e il server RADIUS richiede la configurazione di gruppi AWS di sicurezza che abilitano la comunicazione sulla porta 1812.

È possibile abilitare l'autenticazione a più fattori per la directory AWS Managed Microsoft AD eseguendo la procedura seguente. Per ulteriori informazioni su come configurare il server RADIUS per il funzionamento con AWS Directory Service e MFA, consulta Prerequisiti dell'autenticazione a più fattori.

Considerazioni

Di seguito sono riportate alcune considerazioni sull'autenticazione a più fattori per Managed AWS Microsoft AD:

• L'autenticazione a più fattori non è disponibile per Simple AD. Tuttavia, MFA può essere abilitato per la directory AD Connector. Per ulteriori informazioni, consulta Abilitazione dell'autenticazione a più fattori per AD Connector.

• MFA è una funzionalità regionale di Managed AWS Microsoft AD. Se utilizzi Replica multi regione, le seguenti procedure devono essere applicate separatamente in ciascuna regione. Per ulteriori informazioni, consulta Funzionalità globali e regionali.

• Se intendi utilizzare AWS Managed Microsoft AD per comunicazioni esterne, ti consigliamo di configurare un gateway Internet NAT (Network Address Translation) o un gateway Internet esterno alla AWS rete per queste comunicazioni.

  • Se desideri supportare le comunicazioni esterne tra il tuo AWS Managed Microsoft AD e il tuo server RADIUS ospitato sulla AWS rete, contatta AWS Support.

Abilita l'autenticazione a più fattori per AWS Managed Microsoft AD

La procedura seguente mostra come abilitare l'autenticazione a più fattori per AWS Managed Microsoft AD.

1. Identifica l'indirizzo IP del tuo server RADIUS MFA e della tua directory AWS Managed Microsoft AD.

2. Modifica i gruppi di sicurezza Virtual Private Cloud (VPC) per abilitare le comunicazioni sulla porta 1812 tra gli endpoint IP AWS Microsoft AD gestiti e il server MFA RADIUS.

3. Nel riquadro di navigazione della console AWS Directory Service, seleziona Directory.

4. Scegli il link ID della directory per la tua directory AWS Managed Microsoft AD.

5. Nella pagina Dettaglio report, procedi in uno dei seguenti modi:

   • Se nella sezione Replica multi regione sono visualizzate più Regioni, seleziona quella in cui vuoi abilitare MFA, quindi scegli la scheda Rete e sicurezza. Per ulteriori informazioni, consulta Regioni primarie e regioni aggiuntive.

   • Se non hai alcuna regione visualizzata in replica multiregione, scegli la scheda Rete e sicurezza.

6. Nella sezione Multi-factor authentication (Autenticazione a più fattori) selezionare Actions (Operazioni), quindi Enable (Abilita).

7. Fornire i seguenti valori nella pagina Enable multi-factor authentication (MFA) (Abilita l'autenticazione a più fattori (MFA)):

   Display label (Visualizza etichetta)

   Indicare un nome per l'etichetta.

   RADIUS server DNS name or IP addresses (Indirizzi IP o nome DNS del server RADIUS)

   Gli indirizzi IP degli endpoint del server RADIUS o l'indirizzo IP del sistema di bilanciamento del carico del server RADIUS. Puoi inserire più indirizzi IP separandoli con una virgola, ad esempio 192.0.0.0,192.0.0.12.

   Nota

   RADIUS MFA è applicabile solo per autenticare l'accesso a o ad applicazioni e servizi Amazon Enterprise come Amazon o WorkSpaces Amazon QuickSight Chime. AWS Management Console Non fornisce MFA ai carichi di lavoro Windows in esecuzione su istanze EC2 o per l'accesso a un'istanza EC2. AWS Directory Service non supporta l'autenticazione RADIUS Challenge/Response.

   Quando inseriscono nome utente e password, gli utenti devono disporre del proprio codice MFA. In alternativa, è necessario utilizzare una soluzione che esegua l'autenticazione a più fattori, out-of-band ad esempio la verifica del testo tramite SMS per l'utente. Nelle soluzioni out-of-band MFA, è necessario assicurarsi di impostare il valore di timeout RADIUS in modo appropriato per la soluzione in uso. Quando si utilizza una soluzione out-of-band MFA, la pagina di accesso richiederà all'utente un codice MFA. In questo caso, gli utenti devono inserire la loro password nel campo password e nel campo MFA.

   Porta

   La porta utilizzata dal server RADIUS per le comunicazioni. La rete locale deve consentire il traffico in entrata attraverso la porta server RADIUS predefinita (UDP:1812) dai server. AWS Directory Service

   Shared secret code (Codice segreto condiviso)

   Il codice segreto condiviso specificato quando sono stati creati gli endpoint RADIUS.

   Confirm shared secret code (Conferma codice segreto condiviso)

   Conferma il codice segreto condiviso per gli endpoint RADIUS.

   Protocollo

   Seleziona il protocollo specificato quando sono stati creati gli endpoint RADIUS.

   Server timeout (in seconds) (Timeout del server (in secondi))

   Il periodo di tempo, in secondi, per cui il server RADIUS attende una risposta. Il valore deve essere compreso tra 1 e 50.

   Nota

   Ti consigliamo di configurare il timeout del server RADIUS su un massimo di 20 secondi. Se il timeout supera i 20 secondi, il sistema non può riprovare con un altro server RADIUS e potrebbe causare un errore di timeout.

   Max RADIUS request retries (Numero massimo di tentativi di richieste RADIUS)

   Il numero di volte per cui viene tentata la comunicazione con il server RADIUS. Il valore deve essere compreso tra 0 e 10.

   L'autenticazione a più fattori è disponibile se RADIUS Status (Stato RADIUS) viene modificato in Enabled (Abilitato).

8. Scegli Abilita .

Applicazioni Amazon Enterprise supportate

Tutte le applicazioni IT di Amazon Enterprise WorkSpaces, tra cui Amazon WorkDocs, Amazon WorkMail, Amazon QuickSight, e l'accesso AWS IAM Identity Center e AWS Management Console sono supportati quando si utilizza AWS Managed Microsoft AD e AD Connector con MFA.

Per informazioni su come configurare l'accesso utente di base alle applicazioni Amazon Enterprise, AWS Single Sign-On e l' AWS Management Console utilizzo AWS Directory Service, consulta Consentire l'accesso ad AWS applicazioni e servizi e. Abilitazione dell'accesso a AWS Management Console con le credenziali AD

Articolo correlato del blog AWS sulla sicurezza

• Come abilitare l'autenticazione a più fattori per AWS i servizi utilizzando AWS Managed Microsoft AD e credenziali locali