Habilite a autenticação multifator para o AWS Managed Microsoft AD - AWS Directory Service
ConsideraçõesHabilitar a autenticação MFA para o Managed AWS Microsoft ADAplicações da Amazon Enterprise compatíveis

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilite a autenticação multifator para o AWS Managed Microsoft AD

Você pode habilitar a autenticação multifator (MFA) para seu diretório AWS gerenciado do Microsoft AD para aumentar a segurança quando seus usuários especificam suas credenciais do AD para acessar. Aplicações da Amazon Enterprise compatíveis Quando você habilita a MFA, os usuários inserem nome de usuário e senha (primeiro fator) normalmente, depois inserem um código de autenticação (segundo fator) obtido pela sua solução de MFA virtual ou de hardware. Esses fatores juntos proporcionam segurança adicional, impedindo o acesso aos seus aplicativos empresariais da Amazon, a menos que os usuários informem credenciais válidas e um código válido de MFA.

Para habilitar a MFA, é necessário ter uma solução de MFA que seja um servidor Remote Authentication Dial-in User Service (RADIUS) ou MFA, ou ter um plug-in MFA para um servidor RADIUS já implementado na sua infraestrutura on-premises. A solução de MFA deve implementar Senhas únicas (OTP) que os usuários conseguem pelo dispositivo de hardware ou por um software em execução em um dispositivo, como telefone celular.

O RADIUS é um protocolo de cliente/servidor padrão da indústria que fornece autenticação, autorização e gerenciamento de contas para que os usuários se conectem com serviços de rede. AWS O Microsoft AD gerenciado inclui um cliente RADIUS que se conecta ao servidor RADIUS no qual você implementou sua solução de MFA. Seu servidor RADIUS valida o nome de usuário e código OTP. Se o servidor RADIUS validar com êxito o usuário, o Managed AWS Microsoft AD autenticará o usuário no Active Directory. Após a autenticação bem-sucedida do Active Directory, os usuários poderão acessar o AWS aplicativo. A comunicação entre o cliente Microsoft AD RADIUS AWS gerenciado e seu servidor RADIUS exige que você configure grupos de AWS segurança que permitam a comunicação pela porta 1812.

Você pode habilitar a autenticação multifator para seu diretório AWS gerenciado do Microsoft AD executando o procedimento a seguir. Para obter mais informações sobre como configurar seu servidor RADIUS para funcionar com AWS Directory Service e MFA, consulte Pré-requisitos da autenticação multifator.

Considerações

A seguir estão algumas considerações sobre a autenticação multifator para seu AWS Microsoft AD gerenciado:

  • A autenticação multifator não está disponível para o Simple AD. No entanto, o MFA pode ser habilitado para seu diretório do AD Connector. Para ter mais informações, consulte Habilitar a autenticação multifator para o AD Connector.

  • O MFA é um recurso regional do Managed AWS Microsoft AD. Se você estiver usando a Replicação em várias regiões, os procedimentos a seguir deverão ser aplicados separadamente em cada região. Para ter mais informações, consulte Recursos globais versus regionais.

  • Se você pretende usar o Microsoft AD AWS gerenciado para comunicações externas, recomendamos que você configure um Gateway de Internet de Tradução de Endereços de Rede (NAT) ou um Gateway de Internet fora da AWS rede para essas comunicações.

    • Se você deseja oferecer suporte a comunicações externas entre seu Microsoft AD AWS gerenciado e seu servidor RADIUS hospedado na AWS rede, entre em contato com AWS Support.

Habilite a autenticação multifator para o AWS Managed Microsoft AD

O procedimento a seguir mostra como habilitar a autenticação multifator para o AWS Managed Microsoft AD.

  1. Identifique o endereço IP do seu servidor RADIUS MFA e seu diretório AWS gerenciado do Microsoft AD.

  2. Edite seus grupos de segurança da Virtual Private Cloud (VPC) para permitir a comunicação pela porta 1812 entre seus endpoints IP gerenciados AWS do Microsoft AD e seu servidor RADIUS MFA.

  3. No painel de navegação do console do AWS Directory Service selecione Diretórios.

  4. Escolha o link da ID do diretório para seu diretório AWS gerenciado do Microsoft AD.

  5. Na página Detalhes do diretório, siga um destes procedimentos:

    • Se houver várias regiões exibidas em Replicação em várias regiões, selecione a região em que deseja habilitar a MFA e, em seguida, escolha a guia Rede e segurança. Para ter mais informações, consulte Regiões principais versus adicionais.

    • Se não houver nenhuma região exibida em Replicação em várias regiões, escolha a guia Rede e segurança.

  6. Na seção Multi-factor authentication (Autenticação multifator), escolha Actions (Ações) e Enable (Habilitar).

  7. Na página Habilitar a autenticação multifator (MFA), forneça os seguintes valores:

    Rótulo de exibição

    Forneça um nome de rótulo.

    Nome de DNS ou endereços IP do servidor RADIUS

    O load balancer dos endpoints do servidor RADIUS ou do endereço IP do servidor RADIUS. Você pode inserir vários endereços IP separados por vírgulas (por exemplo, 192.0.0.0,192.0.0.12).

    nota

    O RADIUS MFA é aplicável somente para autenticar AWS Management Console o acesso aos aplicativos e serviços da Amazon Enterprise WorkSpaces, como Amazon ou QuickSight Amazon Chime. Ele não fornece MFA para cargas de trabalho do Windows em execução em instâncias do EC2 nem para login em uma instância do EC2. AWS Directory Service não oferece suporte à autenticação RADIUS Challenge/Response.

    Os usuários devem ter o código de MFA no momento em que inserem o nome de usuário e a senha. Como alternativa, você deve usar uma solução que realize MFA, out-of-band como verificação de texto por SMS para o usuário. Nas soluções de out-of-band MFA, você deve se certificar de definir o valor de tempo limite do RADIUS de forma adequada para sua solução. Ao usar uma solução de out-of-band MFA, a página de login solicitará ao usuário um código de MFA. Nesse caso, os usuários devem inserir a senha no campo de senha e no campo de MFA.

    Porta

    A porta que o servidor RADIUS está usando para comunicações. Sua rede local deve permitir tráfego de entrada pela porta padrão do servidor RADIUS (UDP: 1812) dos servidores. AWS Directory Service

    Shared secret code (Código secreto compartilhado)

    O código secreto compartilhado que foi especificado quando os endpoints do RADIUS foram criados.

    Confirm shared secret code (Confirmar código secreto compartilhado)

    Confirme o código secreto compartilhado para os endpoints do RADIUS.

    Protocolo

    Selecione o protocolo que foi especificado quando os endpoints do RADIUS foram criados.

    Tempo limite do servidor (em segundos)

    O tempo de espera, em segundos, para o servidor RADIUS responder. Esse valor deve estar entre 1 e 50.

    nota

    Recomendamos configurar o tempo limite do servidor RADIUS para 20 segundos ou menos. Se o tempo limite exceder 20 segundos, o sistema não poderá tentar novamente com outro servidor RADIUS, o que poderá resultar em uma falha de tempo limite.

    Máximo de novas tentativas de solicitação RADIUS

    O número de tentativas de comunicação com o servidor RADIUS. Esse valor deve estar entre 0 e 10.

    A autenticação multifator está disponível quando o Status RADIUS muda para Habilitado.

  8. Escolha Habilitar.

Aplicações da Amazon Enterprise compatíveis

Todos os aplicativos de TI da Amazon Enterprise WorkSpaces, incluindo Amazon WorkDocs, Amazon WorkMail, Amazon QuickSight, e o acesso AWS IAM Identity Center e AWS Management Console são suportados ao usar o Microsoft AD AWS gerenciado e o AD Connector com MFA.

Para obter informações sobre como configurar o acesso básico do usuário aos aplicativos Amazon Enterprise, o AWS Single Sign-On e o AWS Management Console uso AWS Directory Service, consulte e. Permita o acesso a AWS aplicativos e serviços Habilitar acesso ao AWS Management Console com as credenciais do AD

Artigo do blog AWS de segurança relacionado