為 AWS Managed Microsoft AD 啟用多重要素驗證 - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為 AWS Managed Microsoft AD 啟用多重要素驗證

您可以在 AWS Managed Microsoft AD 目錄啟用多重要素驗證 (MFA),以在使用者指定其 AD 憑證來存取 支援的 Amazon 企業應用程式 時,提升安全性。當您啟用 MFA 時,使用者除了像平常一樣輸入使用者名稱和密碼 (第一重因素),還必須輸入身分驗證碼 (第二重因素),該驗證碼由您的虛擬或硬體 MFA 解決方案提供。這兩項因素結合後,可防止使用者在未提供有效使用者登入資料及 MFA 代碼的情況下存取您的 Amazon 企業應用程式,讓您能多一層安全保護。

若要啟用 MFA,您必須擁有本身是一種遠端驗證撥號使用者服務 (RADIUS) 伺服器的 MFA 解決方案,或者擁有已在您的內部部署基礎設施上實作之 RADIUS 伺服器的 MFA 外掛程式。您的 MFA 解決方案必須實作使用者從硬體裝置,或是手機等裝置上執行的軟體所取得的一次性密碼 (OTP)。

RADIUS 是一項業界標準的用戶端/伺服器協定,可提供身分驗證、授權與計量管理,讓使用者能夠連線到網路服務。AWSManaged Microsoft AD 包括連線到 RADIUS 伺服器的 RADIUS 用戶端,該伺服器上已實作您的 MFA 解決方案。您的 RADIUS 伺服器驗證使用者名稱和 OTP 代碼。如果您的 RADIUS 服務器成功驗證用戶,Microsoft AWS 管理 AD 然後對活動目錄的用戶進行身份驗證。成功驗證作用中目錄後,使用者就可以存取AWS應用程式。AWS Managed Microsoft AD RADIUS 用戶端和您的 RADIUS 伺服器之間的通訊,需要您設定 AWS 安全群組以啟用連接埠 1812 的通訊。

您可以執行下列程序為 AWS Managed Microsoft AD 目錄啟用多重驗證。如需有關如何設定您 RADIUS 伺服器以使用 AWS Directory Service 和 MFA 的詳細資訊,請參閱多重要素驗證先決條件

注意

多重要素驗證不可用於 Simple AD。不過,您可以在 AD Connector 目錄啟用 MFA。如需詳細資訊,請參閱為 AD Connector 啟用多重因素認證

注意

MFA 是 AWS Managed Microsoft AD 的區域功能。如果您使用 多區域複製,則必須在每個區域中單獨執行以下程序。如需詳細資訊,請參閱全域與區域功能

為 AWS Managed Microsoft AD 啟用多重要素驗證
  1. 識別 RADIUS MFA 伺服器的 IP 地址和 AWS Managed Microsoft AD 目錄。

  2. 編輯您的 Virtual Private Cloud (VPC) 安全群組,以在您的 AWS Managed Microsoft AD IP 終端節點和 RADIUS MFA 伺服器之間啟用連接埠 1812 通訊。

  3. AWS Directory Service 主控台導覽窗格中,選取目錄

  4. 選擇 AWS Managed Microsoft AD 目錄的目錄 ID 連結。

  5. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取要啟用 MFA 的區域,然後選擇聯網和安全索引標籤。如需詳細資訊,請參閱主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇聯網和安全索引標籤。

  6. Multi-factor authentication (多重因素認證) 區段中,選擇 Actions (動作),然後選擇 Enable (啟用)

  7. Enable multi-factor authentication (MFA) (啟用多重因素認證 (MFA)) 頁面上,提供下列值:

    Display label (顯示標籤)

    提供標籤名稱。

    RADIUS server DNS name or IP addresses (RADIUS 伺服器 DNS 名稱或 IP 地址)

    您的 RADIUS 伺服器端點的 IP 地址,或您的 RADIUS 伺服器負載平衡器的 IP 地址。您可以輸入多個 IP 地址,中間以英文逗號分隔 (例如 192.0.0.0,192.0.0.12)。

    注意

    RADIUS MFA 僅適用於驗證對 Amazon 企業應用程式和服務 (例如 WorkSpaces Amazon 或亞馬 Amazon QuickSight Chime) 的存取權。AWS Management Console它不提供 MFA 給 EC2 執行個體上執行的 Windows 工作負載,或用於登入 EC2 執行個體。AWS Directory Service 不支援 RADIUS 挑戰/回應身分驗證。

    使用者在輸入使用者名稱與密碼時,必須有自己的 MFA 碼。或者,您必須使用執行 MFA 的解決方案, out-of-band 例如用戶的 SMS 文本驗證。在 out-of-band MFA 解決方案中,您必須確定針對您的解決方案適當地設定 RADIUS 逾時值。使用 out-of-band MFA 解決方案時,登入頁面會提示使用者輸入 MFA 代碼。在此情況下,使用者必須在密碼欄位和 MFA 欄位中均輸入其密碼。

    連接埠

    RADIUS 伺服器用於通訊的連接埠。您的內部部署網路必須允許 AWS Directory Service 伺服器透過預設 RADIUS 伺服器連接埠 (UDP:1812) 傳入流量。

    共用秘密代碼

    您的 RADIUS 端點建立時所指定的共用秘密代碼。

    確認共用秘密代碼

    確認您的 RADIUS 端點的共用秘密代碼。

    通訊協定

    選擇您的 RADIUS 端點建立時所指定的通訊協定。

    Server timeout (in seconds) (伺服器逾時 (以秒為單位))

    等待 RADIUS 伺服器回應的時間 (以秒為單位)。此值必須介於 1 到 50。

    注意

    我們建議將 RADIUS 伺服器逾時設定為 20 秒或更短。如果逾時超過 20 秒,系統將無法重試其他 RADIUS 伺服器,並可能導致逾時失敗。

    Max RADIUS request retries (RADIUS 請求重試次數上限)

    嘗試與 RADIUS 伺服器進行通訊的次數。此值必須介於 0 到 10。

    RADIUS Status (RADIUS 狀態) 變更為 Enabled (啟用) 時,即可使用 Multi-Factor Authentication。

  8. 選擇 啟用

支援的 Amazon 企業應用程式

所有 Amazon 企業 IT 應用程式 WorkSpaces,包括 Amazon WorkMail、Amazon QuickSight、Amazon 和訪問AWS IAM Identity Center和使用AWS管理 Microsoft AD 和 AD Connector 與 MFA 時AWS Management Console都受到支援。 WorkDocs

如需了解如何使用 AWS Directory Service 設定 Amazon 企業應用程式、AWS 單一登入和 AWS Management Console 的基本使用者存取,請參閱啟用 AWS 應用程式與服務的存取啟用 AD 憑證存取 AWS Management Console相關文章。

AWS 安全部落格相關的文章