本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
為 AD Connector 啟用多重因素認證
當您的 Active Directory 在內部部署或在 EC2 執行個體上執行時,可以啟用 AD Connector 多重要素驗證。如需搭配 AWS Directory Service 使用多重驗證的詳細資訊,請參閱 AD Connector 事前準備。
注意
多重要素驗證不可用於 Simple AD。不過,您可以在 AWS Managed Microsoft AD 目錄啟用 MFA。如需詳細資訊,請參閱為 AWS 受管理 Microsoft AD 啟用多因素驗證。
為 AD Connector 啟用多重要素驗證
-
在 AWS Directory Service 主控台
導覽窗格中,選取目錄。 -
為您的 AD Connector 目錄選擇目錄 ID 連結。
-
在 Directory details (目錄詳細資訊) 頁面上,選擇 Networking & security (聯網和安全) 索引標籤。
-
在 Multi-factor authentication (多重因素認證) 區段中,選擇 Actions (動作),然後選擇 Enable (啟用)。
-
在 Enable multi-factor authentication (MFA) (啟用多重因素認證 (MFA)) 頁面上,提供下列值:
- Display label (顯示標籤)
-
提供標籤名稱。
- RADIUS server DNS name or IP addresses (RADIUS 伺服器 DNS 名稱或 IP 地址)
-
您的 RADIUS 伺服器端點的 IP 地址,或您的 RADIUS 伺服器負載平衡器的 IP 地址。您可以輸入多個 IP 地址,中間以英文逗號分隔 (例如
192.0.0.0,192.0.0.12)。注意
RADIUS MFA 僅適用於驗證對 Amazon 企業應用程式和服務 (例如 WorkSpaces、Amazon 或亞馬 Amazon QuickSight Chime) 的存取權。AWS Management Console它不提供 MFA 給 EC2 執行個體上執行的 Windows 工作負載,或用於登入 EC2 執行個體。AWS Directory Service 不支援 RADIUS 挑戰/回應身分驗證。
使用者在輸入使用者名稱與密碼時,必須有自己的 MFA 碼。或者,您必須使用執行 MFA 的解決方案, out-of-band 例如用戶的 SMS 文本驗證。在 out-of-band MFA 解決方案中,您必須確定針對您的解決方案適當地設定 RADIUS 逾時值。使用 out-of-band MFA 解決方案時,登入頁面會提示使用者輸入 MFA 代碼。在此情況下,最佳實務是讓使用者在密碼欄位和 MFA 欄位中輸入其密碼。
- 連接埠
-
RADIUS 伺服器用於通訊的連接埠。您的內部部署網路必須允許 AWS Directory Service 伺服器透過預設 RADIUS 伺服器連接埠 (UDP:1812) 傳入流量。
- 共用秘密代碼
-
您的 RADIUS 端點建立時所指定的共用秘密代碼。
- 確認共用秘密代碼
-
確認您的 RADIUS 端點的共用秘密代碼。
- 通訊協定
-
選擇您的 RADIUS 端點建立時所指定的通訊協定。
- Server timeout (in seconds) (伺服器逾時 (以秒為單位))
-
等待 RADIUS 伺服器回應的時間 (以秒為單位)。此值必須介於 1 到 50。
- Max RADIUS request retries (RADIUS 請求重試次數上限)
-
嘗試與 RADIUS 伺服器進行通訊的次數。此值必須介於 0 到 10。
當 RADIUS Status (RADIUS 狀態) 變更為 Enabled (啟用) 時,即可使用 Multi-Factor Authentication。
-
選擇 啟用 。
