AWS Managed Microsoft AD の多要素認証を有効にするには - AWS Directory Service

AWS Managed Microsoft AD の多要素認証を有効にするには

AWS Managed Microsoft AD ディレクトリに対して多要素認証 (MFA) を有効にすると、ユーザーが サポートされている Amazon Enterprise Applications にアクセスするための AD 認証情報を指定するときのセキュリティが強化されます。MFA を有効にすると、ユーザーはいつものようにユーザー名とパスワード (第 1 要素) を入力した後、仮想 MFA ソリューションまたはハードウェア MFA ソリューションから取得する認証コード (第 2 要素) も入力する必要があります。これらの要素によって、ユーザーが有効なユーザー認証情報と MFA コードを提供しない限り Amazon エンタープライズアプリケーションにアクセスできないというセキュリティが追加されます。

MFA を有効にするには、Remote Authentication Dial-In User Service (RADIUS) サーバーである MFA ソリューションが必要か、またはオンプレミスインフラストラクチャで実装済みの RADIUS サーバーへの MFA プラグインが必要です。MFA ソリューションでは、ユーザーがハードウェアデバイスから取得するか、または携帯電話などのデバイスで実行されるソフトウェアから取得する、ワンタイムパスコード (OTP) を実装する必要があります。

RADIUS は、業界標準のクライアント/サーバープロトコルであり、ユーザーをネットワークサービスに接続するための認証、認可、アカウント管理を行うことができます。AWS Managed Microsoft AD には、MFA ソリューションを実装した RADIUS サーバーに接続する RADIUS クライアントが付属しています。RADIUS サーバーはユーザー名と OTP コードを検証します。RADIUS サーバーがユーザーの検証に成功すると、AWS Managed Microsoft AD は AD に対してユーザーを認証します。AD に対する認証に成功すると、ユーザーは AWS アプリケーションにアクセスできます。AWS Managed Microsoft AD RADIUS クライアントと RADIUS サーバーとの間の通信では、ポート 1812 を介した通信を有効にした AWS セキュリティグループを設定する必要があります。

以下の手順を実行して、AWS Managed Microsoft AD ディレクトリの多要素認証を有効にすることができます。AWS Directory Service および MFA を操作して、RADIUS サーバーを設定する方法の詳細については、「多要素認証の前提条件」を参照してください。

注記

多要素認証は、Simple AD では使用できません。ただし、MFA は AD Connector ディレクトリでは有効にすることができます。詳細については、「AD Connector の多要素認証を有効にするには」を参照してください。

AWS Managed Microsoft AD の多要素認証を有効にするには

  1. RADIUS MFA サーバーと AWS Managed Microsoft AD ディレクトリの IP アドレスを特定します。

  2. Virtual Private Cloud (VPC) セキュリティグループを編集して、AWS Managed Microsoft AD IP エンドポイントと RADIUS MFA サーバーとの間でポート 1812 を介した通信を有効にします。

  3. AWS Directory Service console ナビゲーションペインで [ディレクトリ] を選択します。

  4. AWS Managed Microsoft AD ディレクトリのディレクトリ ID リンクを選択します。

  5. On the Directory details page, select the Networking & security tab.

  6. In the Multi-factor authentication section, choose Actions, and then choose Enable.

  7. On the Enable multi-factor authentication (MFA) page, provide the following values:

    Display label

    Provide a label name.

    RADIUS server DNS name or IP addresses

    The IP addresses of your RADIUS server endpoints, or the IP address of your RADIUS server load balancer. You can enter multiple IP addresses by separating them with a comma (e.g., 192.0.0.0,192.0.0.12).

    注記

    RADIUS MFA is applicable only to authenticate access to the AWS マネジメントコンソール, or to Amazon Enterprise applications and services such as Amazon WorkSpaces, Amazon QuickSight, or Amazon Chime. It does not provide MFA to Windows workloads running on EC2 instances, or for signing into an EC2 instance. AWS Directory Service does not support RADIUS Challenge/Response authentication.

    Users must have their MFA code at the time they enter their username and password. Alternatively, you must use a solution that performs MFA out-of-band such as SMS text verification for the user. In out-of-band MFA solutions, you must make sure you set the RADIUS time-out value appropriately for your solution. When using an out-of-band MFA solution, the sign-in page will prompt the user for an MFA code. In this case, the best practice is for users to enter their password in both the password field and the MFA field.

    Port

    The port that your RADIUS server is using for communications. Your on-premises network must allow inbound traffic over the default RADIUS server port (UDP:1812) from the AWS Directory Service servers.

    Shared secret code

    The shared secret code that was specified when your RADIUS endpoints were created.

    Confirm shared secret code

    Confirm the shared secret code for your RADIUS endpoints.

    Protocol

    Select the protocol that was specified when your RADIUS endpoints were created.

    Server timeout (in seconds)

    The amount of time, in seconds, to wait for the RADIUS server to respond. This must be a value between 1 and 50.

    Max RADIUS request retries

    The number of times that communication with the RADIUS server is attempted. This must be a value between 0 and 10.

    Multi-factor authentication is available when the RADIUS Status changes to Enabled.

  8. Choose Enable.

サポートされている Amazon Enterprise Applications

AWS Managed Microsoft ADと AD Connector を MFA で使用する場合、Amazon WorkSpaces、Amazon WorkDocs、 Amazon WorkMail、Amazon QuickSight、AWS シングルサインオン、AWS マネジメントコンソールへのアクセス を含むすべての Amazon Enterprise IT アプリケーションがサポートされます。

AWS Directory Serviceを使用して、Amazon エンタープライズアプリケーション、 AWS シングルサインオン、AWS マネジメントコンソール への基本的なユーザーアクセスを設定する方法については、「AWS のアプリケーションとサービスへのアクセスを有効にする」および「AD 認証情報による AWS マネジメントコンソール へのアクセスを有効にする」を参照してください。

AWS セキュリティブログの関連記事