View a markdown version of this page

Aktivierung der Multi-Faktor-Authentifizierung für AWS Verwaltetes Microsoft AD - AWS Directory Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivierung der Multi-Faktor-Authentifizierung für AWS Verwaltetes Microsoft AD

Sie können die Multi-Faktor-Authentifizierung (MFA) für Ihr AWS verwaltetes Microsoft AD-Verzeichnis aktivieren, um die Sicherheit zu erhöhen, wenn Ihre Benutzer ihre AD-Anmeldeinformationen für den Zugriff auf unterstützte Amazon Enterprise-Anwendungen angeben. Wenn Sie die MFA aktivieren, geben Ihre Benutzer wie gewöhnlich ihren Benutzernamen und ihr Passwort (erster Faktor) ein. Darüber hinaus müssen sie jedoch einen Authentifizierungscode eingeben (zweiter Faktor), der von Ihrer virtuellen oder Hardware-MFA-Lösung bereitgestellt wird. Diese Faktoren zusammen erhöhen die Sicherheit, indem Sie Zugriffe auf Ihre Amazon Enterprise-Anwendungen verhindern, es sei denn, Benutzer geben gültige Anmeldeinformationen und einen gültigen MFA-Code ein.

Zum Aktivieren der MFA müssen Sie entweder über eine MFA-Lösung in Form eines Remote Authentication Dial-In User Service (RADIUS)-Servers verfügen oder über ein MFA-Plugin für einen RADIUS-Server, der bereits in Ihrer On-Premises-Infrastruktur vorhanden ist. Ihre MFA-Lösung sollte einmalige Sicherheitscodes (OTPs, One Time Passcodes) implementieren, die Benutzer von einem Hardwaregerät oder einer Software erhalten, die auf einem Gerät, beispielsweise einem Mobiltelefon, ausgeführt wird.

RADIUS ist ein client/server Industriestandardprotokoll, das Authentifizierung, Autorisierung und Kontoverwaltung ermöglicht, damit Benutzer eine Verbindung zu Netzwerkdiensten herstellen können. AWS Managed Microsoft AD umfasst einen RADIUS-Client, der eine Verbindung zu dem RADIUS-Server herstellt, auf dem Sie Ihre MFA-Lösung implementiert haben. Der RADIUS-Server überprüft den Benutzernamen und den OTP-Code. Wenn Ihr RADIUS-Server den Benutzer erfolgreich validiert, authentifiziert AWS Managed Microsoft AD den Benutzer dann gegenüber Active Directory. Nach erfolgreicher Active Directory-Authentifizierung können Benutzer dann auf die AWS Anwendung zugreifen. Für die Kommunikation zwischen dem AWS verwalteten Microsoft AD RADIUS-Client und Ihrem RADIUS-Server müssen Sie AWS Sicherheitsgruppen konfigurieren, die die Kommunikation über Port 1812 ermöglichen.

Sie können die Multi-Faktor-Authentifizierung für Ihr AWS verwaltetes Microsoft AD-Verzeichnis aktivieren, indem Sie das folgende Verfahren ausführen. Weitere Informationen zum Konfigurieren Ihres RADIUS-Servers für Directory Service und MFA finden Sie unter Multi-factor Voraussetzungen für die Authentifizierung.

Überlegungen

Im Folgenden finden Sie einige Überlegungen zur Multi-Faktor-Authentifizierung für Ihr AWS verwaltetes Microsoft AD:

Aktivieren Sie die Multi-Faktor-Authentifizierung für AWS Verwaltetes Microsoft AD

Das folgende Verfahren zeigt Ihnen, wie Sie die Multi-Faktor-Authentifizierung für AWS Managed Microsoft AD aktivieren.

  1. Identifizieren Sie die IP-Adresse Ihres RADIUS-MFA-Servers und Ihres AWS verwalteten Microsoft AD-Verzeichnisses.

  2. Bearbeiten Sie Ihre Virtual Private Cloud (VPC) -Sicherheitsgruppen, um die Kommunikation über Port 1812 zwischen Ihren AWS verwalteten Microsoft AD-IP-Endpunkten und Ihrem RADIUS-MFA-Server zu ermöglichen.

  3. Wählen Sie im Navigationsbereich der AWS Directory Service -Konsole Verzeichnisse.

  4. Wählen Sie den Verzeichnis-ID-Link für Ihr AWS verwaltetes Microsoft AD-Verzeichnis.

  5. Führen Sie auf der Seite Verzeichnisdetails einen der folgenden Schritte aus:

    • Wenn unter Multi-RegionReplikation mehrere Regionen angezeigt werden, wählen Sie die Region aus, in der Sie MFA aktivieren möchten, und klicken Sie dann auf die Registerkarte Netzwerk und Sicherheit. Weitere Informationen finden Sie unter Primäre Regionen im Vergleich zu zusätzlichen Regionen.

    • Wenn unter Multi-RegionReplizierung keine Regionen angezeigt werden, wählen Sie die Registerkarte Netzwerk und Sicherheit.

  6. Wählen Sie im Abschnitt Multi-factor Authentifizierung die Option Aktionen und dann Aktivieren aus.

  7. Geben Sie auf der Seite Multi-Faktor-Authentifizierung (MFA) aktivieren die folgenden Werte ein:

    Label anzeigen

    Geben Sie einen Labelnamen an.

    DNS-Name oder IP-Adressen des RADIUS-Servers

    Die IP-Adressen Ihrer RADIUS-Server-Endpunkte oder die IP-Adresse Ihres RADIUS-Server-Load Balancer. Sie können mehrere IP-Adressen eingeben, indem Sie sie durch ein Komma trennen (z. B. 192.0.0.0,192.0.0.12 oder2001:db8::1,2001:db8::2).

    Wichtig

    Verzeichnisse, die nach dem 7. Oktober 2025 erstellt wurden, erfordern, dass RADIUS-Server, die für die Multi-Faktor-Authentifizierung verwendet werden, über die Netzwerkkonfiguration Ihrer VPC routingfähig sind. Wenn Ihr RADIUS-Server nicht über die Routing-Tabellen, Sicherheitsgruppen und Netzwerk-ACLs Ihrer VPC zugänglich ist, schlägt die Multi-Faktor-Authentifizierung bei Multi-Faktor-Authentifizierungsprüfungen fehl. Um dieses Problem zu beheben, stellen Sie sicher, dass:

    • Netzwerk-Routing: Ihre VPC-Routing-Tabellen ermöglichen es, dass Datenverkehr Ihren RADIUS-Server aus den Subnetzen erreicht, in denen Ihre AWS verwalteten Microsoft AD-Verzeichnisinstanzen bereitgestellt werden.

    • Netzwerk-ACLs: Ihre Subnetz-Netzwerk-ACLs ermöglichen bidirektionalen Verkehr auf Ihrem RADIUS-Server. to/from

    • Internet Gateway/NAT: Wenn Ihr RADIUS-Server mit dem Internet verbunden ist, stellen Sie sicher, dass Ihre VPC über eine geeignete Internet-Gateway- oder NAT-Gateway-Konfiguration für die Verzeichnissubnetze verfügt. Wenn Ihr Netzwerktyp IPv4 ist, müssen NAT und Internet-Gateway mit Ihrer VPC konfiguriert sein.

    Anmerkung

    RADIUS MFA gilt nur für die Authentifizierung des Zugriffs auf die AWS-Managementkonsole oder auf Amazon Enterprise-Anwendungen und -Services wie WorkSpaces Amazon Quick oder Amazon Chime. Amazon Enterprise-Anwendungen und -Services werden in der Primärregion nur unterstützt, wenn die Multi-Region Replikation für Ihr AWS Managed Microsoft AD konfiguriert ist. Es bietet keine MFA für Windows-Workloads, die auf EC2-Instances ausgeführt werden, oder für die Anmeldung bei einer EC2-Instance. Directory Service unterstützt keine RADIUS-Authentifizierung. Challenge/Response

    Benutzer müssen ihren MFA-Code bei der Eingabe ihres Benutzernamens und Passworts zur Hand haben. Alternativ müssen Sie eine Lösung verwenden, die MFA Out-of-Band durchführt, z. B. Push-Benachrichtigungen oder Authentifikator-Einmalkennwörter (OTP) für den Benutzer. Bei Out-of-Band-MFA-Lösungen müssen Sie sicherstellen, dass Sie den RADIUS-Timeout-Wert für Ihre Lösung angemessen einstellen. Wenn Sie eine Out-of-Band-MFA-Lösung verwenden, wird der Benutzer auf der Anmeldeseite zur Eingabe eines MFA-Codes aufgefordert. In diesem Fall müssen Benutzer ihr Passwort sowohl in das Passwortfeld als auch in das MFA-Feld eingeben.

    Port

    Der Port, den Ihr RADIUS-Server für die Kommunikation verwendet. Ihr lokales Netzwerk muss eingehenden Datenverkehr über den standardmäßigen RADIUS-Serverport () von den Servern zulassen. UDP:1812 Directory Service

    Shared secret code (Gemeinsamer geheimer Code)

    Der gemeinsame geheime Code, der bei der Erstellung Ihrer RADIUS-Endpunkte angegeben wurde.

    Confirm shared secret code (Gemeinsamen geheimen Code bestätigen)

    Bestätigen Sie den gemeinsamen geheimen Code für Ihre RADIUS-Endpunkte.

    Protocol (Protokoll)

    Wählen Sie das Protokoll aus, das bei der Erstellung Ihrer RADIUS-Endpunkte angegeben wurde.

    Server-Timeout (in Sekunden)

    Die Zeit in Sekunden, die gewartet werden muss, bis der RADIUS-Server antwortet. Dies muss ein Wert zwischen 1 und 50 sein.

    Anmerkung

    Wir empfehlen, Ihr RADIUS-Server-Timeout auf 20 Sekunden oder weniger zu konfigurieren. Wenn das Timeout 20 Sekunden überschreitet, kann das System es nicht erneut mit einem anderen RADIUS-Server versuchen, was zu einem Timeout-Fehler führen kann.

    Maximale Wiederholungen von RADIUS-Anfragen

    Die Anzahl der Kommunikationsversuche mit dem RADIUS-Server. Dies muss ein Wert zwischen 0 und 10 sein.

    Multi-factor Die Authentifizierung ist verfügbar, wenn sich der RADIUS-Status auf Aktiviert ändert.

  8. Wählen Sie Enable (Aktivieren) aus.