AWS Managed Microsoft AD の Multi-Factor·Authentication を有効にする - AWS Directory Service

AWS Managed Microsoft AD の Multi-Factor·Authentication を有効にする

AWS Managed Microsoft AD ディレクトリに対して Multi-Factor·Authentication (MFA) を有効にすると、ユーザーが サポートされている Amazon エンタープライズアプリケーション にアクセスするための AD 認証情報を指定する際のセキュリティを強化できます。MFA が有効化されている場合、ユーザーは、通常と同じくユーザーネームとパスワード (第 1 要素) を入力した後、仮想 MFA ソリューションまたはハードウェア MFA ソリューションから取得する認証コード (第 2 要素) も入力する必要があります。これらの要素によって、有効なユーザー認証情報に加えて MFA コードをユーザーが提供しない限り、Amazon エンタープライズアプリケーションへのアクセスが許可されないというセキュリティが追加されます。

MFA を有効にするには、MFA ソリューションとして Remote Authentication Dial-In User Service (RADIUS) サーバーを使用するか、オンプレミスインフラストラクチャに RADIUS サーバー用の MFA プラグインを実装しておく必要があります。MFA ソリューションでは、ワンタイムパスコード (OTP) を実装する必要があります。ユーザーは、ハードウェアデバイスから、または携帯電話などのデバイスで実行されるソフトウェアから、このコードを取得します、

RADIUS は、業界標準のクライアント/サーバープロトコルであり、ユーザーをネットワークサービスに接続するための認証、許可、アカウント管理の機能を提供します。AWSManaged Microsoft AD には、MFA ソリューションを実装した RADIUS サーバーに接続する RADIUS クライアントが付属しています。この RADIUS サーバーが、ユーザーネームと OTP コードを検証します。RADIUS サーバーがユーザーの検証に成功すると、AWS Managed Microsoft AD は AD に対して、そのユーザーを認証します。AD に対する認証に成功したユーザーは、AWS アプリケーションにアクセスできるようになります。AWS Managed Microsoft AD RADIUS クライアントと RADIUS サーバーとの間の通信では、ポート 1812 を介した通信を有効にするための AWS セキュリティグループを設定する必要があります。

AWS Managed Microsoft AD ディレクトリの Multi-Factor·Authentication を有効にするには、以下の手順を実行します。RADIUS サーバーと AWS Directory Service および MFA を連携させるための設定方法については、「Multi-Factor·Authentication の前提条件」を参照してください。

注記

Multi-Factor·Authentication は、Simple AD では使用できません。ただし、AD Connector ディレクトリでは、MFA を有効にすることができます。詳細については、「AD Connector の多要素認証を有効にする」を参照してください。

注記

MFAは、AWS Managed Microsoft AD がリージョンごとに使用する機能です。マルチリージョンレプリケーション を使用している場合、次の手順を各リージョンで個別に適用する必要があります。詳細については、「グローバル機能とリージョン機能」を参照してください。

AWS Managed Microsoft AD の Multi-Factor·Authentication を有効にするには
  1. RADIUS MFA サーバーと AWS Managed Microsoft AD ディレクトリの IP アドレスを特定します。

  2. Virtual Private Cloud (VPC) のセキュリティグループを編集して、AWS Managed Microsoft AD のIP エンドポイントと RADIUS MFA サーバーとの間で、ポート 1812 を介した通信を有効にします。

  3. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ) をクリックします。

  4. AWS Managed Microsoft AD ディレクトリへのディレクトリ ID リンクを選択します。

  5. [Directory details] (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。

    • [Multi-Region replication] (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、MFA を有効にするリージョンを選択した上で、[Networking & security] (ネットワークとセキュリティ) タブを開きます。詳細については、「プライマリリージョンと追加のリージョン」を参照してください。

    • [Multi-Region replication] (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

  6. [Multi-factor authentication] セクションで、[Actions] (アクション)、[Enable] (有効化) の順に選択します。

  7. [Enable multi-factor authentication (MFA)] (Multi-Factor·Authentication (MFA) の有効化) ページで、次の値を指定します。

    [Display label] (表示ラベル)

    ラベル名を指定します。

    [RADIUS server DNS name or IP addresses] (RADIUS サーバーの DNS 名または IP アドレス)

    RADIUS サーバーエンドポイントの IP アドレス、または、RADIUS サーバーロードバランサーの IP アドレス。カンマで区切って、複数の IP アドレスを入力できます (例えば、192.0.0.0,192.0.0.12)。

    注記

    RADIUS MFA は、AWS Management Console へのアクセス、または、WorkSpaces、Amazon QuickSight、Amazon Chime などの Amazon エンタープライズアプリケーションおよびサービスへのアクセスを認証する場合にのみ適用されます。EC2 インスタンス上で実行されている、または EC2 インスタンスにサインインするための Windows ワークロードに MFA を入力することはありません。 AWS Directory Service では、RADIUS チャレンジ/レスポンス認証はサポートされていません。

    ユーザーは、ユーザー名とパスワードを入力するときに MFA コードが必要になります。または、ユーザーの SMS テキストの検証など、MFA 帯域外を実行するソリューションを使用する必要があります。帯域外 MFA ソリューションでは、ソリューションに合わせて RADIUS タイムアウト値を適切に設定する必要があります。帯域外 MFA ソリューションを使用している場合、ユーザーはサインインページで MFA コードの入力を求められます。この場合、ユーザーはパスワードフィールドと MFA フィールドの両方に、自分のパスワードを入力します。

    [Port] (ポート)

    RADIUS サーバーが通信のために使用しているポート。オンプレミスのネットワークで、AWS Directory Service サーバーからのデフォルトの RADIUS サーバーポート (UDP: 1812) を介したインバウンドトラフィックが許可されている必要があります。

    [Shared secret code] (共有シークレットコード)

    RADIUS エンドポイントの作成時に指定された共有シークレットコード。

    [Confirm shared secret code] (共有シークレットコードの確認)

    RADIUS エンドポイントの共有シークレットコードを確認します。

    [Protocol] (プロトコル)

    RADIUS エンドポイントの作成時に指定されたプロトコルを選択します。

    [Server timeout (in seconds)] (サーバータイムアウト (秒単位))

    RADIUS サーバーのレスポンスを待つ時間 (秒)。これは 1~50 の範囲の値にする必要があります。

    注記

    RADIUS サーバのタイムアウトは、20 秒以下に設定することが推奨されます。20 秒を超えるタイムアウトを使用すると、システムは別の RADIUS サーバで再試行できなくなり、タイムアウトで失敗する可能性があります。

    [Max RADIUS request retries] (RADIUS リクエストの最大再試行数)

    RADIUS サーバーとの通信を試みる回数。これは 0~10 の範囲の値にする必要があります。

    Multi-Factor·Authentication は、[RADIUS Status] (RADIUS 状態) が [Enabled] (有効) に変わると使用できます。

  8. [Enable] (有効化) を選択します。

サポートされている Amazon エンタープライズアプリケーション

AWS IAM Identity Center (successor to AWS Single Sign-On) Managed Microsoft AD と AD Connector を MFA で使用する場合、WorkSpaces、Amazon WorkDocs、Amazon WorkMail、Amazon QuickSight、および AWS IAM Identity Center (successor to AWS Single Sign-On) と AWS Management Console へのアクセスを含む、すべての Amazon エンタープライズ IT アプリケーションがサポートされます。

Amazon エンタープライズアプリケーション、AWS シングルサインオン、および AWS Directory Service を使用する AWS Management Console において、基本的なユーザーアクセスを設定する方法については、「AWS のアプリケーションとサービスへのアクセスを有効にする」および「AD 認証情報による AWS Management Console へのアクセスを有効化する」を参照してください。

関連する AWS セキュリティブログの記事