為 AWS 受管理 Microsoft AD 啟用多因素驗證 - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為 AWS 受管理 Microsoft AD 啟用多因素驗證

您可以為 AWS 受管理的 Microsoft AD 目錄啟用多重要素驗證 (MFA),以在使用者指定要存取的 AD 認證時提高安全性。支援的 Amazon 企業應用程式當您啟用 MFA 時,使用者除了像平常一樣輸入使用者名稱和密碼 (第一重因素),還必須輸入身分驗證碼 (第二重因素),該驗證碼由您的虛擬或硬體 MFA 解決方案提供。這兩項因素結合後,可防止使用者在未提供有效使用者登入資料及 MFA 代碼的情況下存取您的 Amazon 企業應用程式,讓您能多一層安全保護。

若要啟用 MFA,您必須擁有本身是一種遠端驗證撥號使用者服務 (RADIUS) 伺服器的 MFA 解決方案,或者擁有已在您的內部部署基礎設施上實作之 RADIUS 伺服器的 MFA 外掛程式。您的 MFA 解決方案必須實作使用者從硬體裝置,或是手機等裝置上執行的軟體所取得的一次性密碼 (OTP)。

RADIUS 是業界標準的用戶端/伺服器通訊協定,提供驗證、授權和帳戶管理,讓使用者能夠連線到網路服務。 AWS 受管理的 Microsoft AD 包含 RADIUS 用戶端,可連線至您已實作 MFA 解決方案的 RADIUS 伺服器。您的 RADIUS 伺服器驗證使用者名稱和 OTP 代碼。如果您的 RADIUS 服務器成功驗證用戶,Microsoft AWS 管理 AD 然後對活動目錄的用戶進行身份驗證。成功驗證作用中目錄後,使用者就可以存取 AWS 應用程式。 AWS 受管理的 Microsoft AD RADIUS 用戶端與 RADIUS 伺服器之間的通訊需要您設定 AWS 安全性群組,以便透過連接埠 1812 進行通訊。

您可以執行下列程序,為您的 AWS 受管理 Microsoft AD 目錄啟用多重要素驗證。如需有關如何設定您 RADIUS 伺服器以使用 AWS Directory Service 和 MFA 的詳細資訊,請參閱多重要素驗證先決條件

考量事項

下列是您 AWS 受管理 Microsoft AD 的多重要素驗證的一些考量事項:

  • 多重要素驗證不可用於 Simple AD。不過,您可以在 AD Connector 目錄啟用 MFA。如需詳細資訊,請參閱 為 AD Connector 啟用多重因素認證

  • MFA 是 AWS 管理 Microsoft AD 的區域功能。如果您使用 多區域複製,則必須在每個區域中單獨執行以下程序。如需詳細資訊,請參閱 全域與區域功能

  • 如果您想要使用 AWS 受管理的 Microsoft AD 進行外部通訊,建議您設定網路位址轉譯 (NAT) 網 Internet Gateway 或網際 AWS 網路閘道來進行這些通訊。

    • 如果您希望支援受管理的 Microsoft AD 與網路上託 AWS 管的 RADIUS 伺服器之間的外部通訊,請聯 AWS 絡AWS Support

為 AWS 受管理 Microsoft AD 啟用多因素驗證

下列程序說明如何為 AWS 受管理的 Microsoft AD 啟用多重要素驗證。

  1. 識別您的 RADIUS MFA 伺服器和 AWS 管理 Microsoft AD 目錄的 IP 位址。

  2. 編輯您的 Virtual Private Cloud (VPC) 安全性群組,以便在 AWS 管理 Microsoft AD IP 端點與 RADIUS MFA 伺服器之間透過連接埠 1812 進行通訊。

  3. AWS Directory Service 主控台導覽窗格中,選取目錄

  4. 選擇您 AWS 受管理的 Microsoft AD 目錄的目錄識別碼連結。

  5. 目錄詳細資訊頁面上,執行下列其中一項:

    • 如果多區域複寫下顯示多個區域,請選取要啟用 MFA 的區域,然後選擇聯網和安全索引標籤。如需詳細資訊,請參閱 主要區域與其他區域

    • 如果多區域複寫下沒有顯示任何區域,請選擇聯網和安全索引標籤。

  6. Multi-factor authentication (多重因素認證) 區段中,選擇 Actions (動作),然後選擇 Enable (啟用)

  7. Enable multi-factor authentication (MFA) (啟用多重因素認證 (MFA)) 頁面上,提供下列值:

    Display label (顯示標籤)

    提供標籤名稱。

    RADIUS server DNS name or IP addresses (RADIUS 伺服器 DNS 名稱或 IP 地址)

    您的 RADIUS 伺服器端點的 IP 地址,或您的 RADIUS 伺服器負載平衡器的 IP 地址。您可以輸入多個 IP 地址,中間以英文逗號分隔 (例如 192.0.0.0,192.0.0.12)。

    注意

    RADIUS MFA 僅適用於驗證對 Amazon 企業應用程式和服務 (例如 WorkSpaces Amazon 或亞馬 Amazon QuickSight Chime) 的存取權。 AWS Management Console它不會為在 EC2 執行個體上執行的 Windows 工作負載或登入 EC2 執行個體提供 MFA。 AWS Directory Service 不支援 RADIUS 挑戰/回應驗證。

    使用者在輸入使用者名稱與密碼時,必須有自己的 MFA 碼。或者,您必須使用執行 MFA 的解決方案, out-of-band 例如用戶的 SMS 文本驗證。在 out-of-band MFA 解決方案中,您必須確定針對您的解決方案適當地設定 RADIUS 逾時值。使用 out-of-band MFA 解決方案時,登入頁面會提示使用者輸入 MFA 代碼。在此情況下,使用者必須在密碼欄位和 MFA 欄位中均輸入其密碼。

    連接埠

    RADIUS 伺服器用於通訊的連接埠。您的內部部署網路必須允許來自伺服器的預設 RADIUS 伺服器連接埠 (UDP: 1812) 輸入流量。 AWS Directory Service

    共用秘密代碼

    您的 RADIUS 端點建立時所指定的共用秘密代碼。

    確認共用秘密代碼

    確認您的 RADIUS 端點的共用秘密代碼。

    通訊協定

    選擇您的 RADIUS 端點建立時所指定的通訊協定。

    Server timeout (in seconds) (伺服器逾時 (以秒為單位))

    等待 RADIUS 伺服器回應的時間 (以秒為單位)。此值必須介於 1 到 50。

    注意

    我們建議將 RADIUS 伺服器逾時設定為 20 秒或更短。如果逾時超過 20 秒,系統將無法重試其他 RADIUS 伺服器,並可能導致逾時失敗。

    Max RADIUS request retries (RADIUS 請求重試次數上限)

    嘗試與 RADIUS 伺服器進行通訊的次數。此值必須介於 0 到 10。

    RADIUS Status (RADIUS 狀態) 變更為 Enabled (啟用) 時,即可使用 Multi-Factor Authentication。

  8. 選擇 啟用

支援的 Amazon 企業應用程式

所有 Amazon 企業 IT 應用程式 WorkSpaces,包括 Amazon WorkMail、Amazon QuickSight、Amazon 和訪問 AWS IAM Identity Center 和使用 AWS 管理 Microsoft AD 和 AD Connector 與 MFA 時 AWS Management Console 都受到支援。 WorkDocs

如需有關如何設定基本使用者對 Amazon 企業應用程式、 AWS 單一登入以及 AWS Management Console 使用的資訊 AWS Directory Service,請參閱啟用對應用 AWS 程式和服務的存取啟用 AD 憑證存取 AWS Management Console

相關 AWS 安全部落格文章