Habilitación de la autenticación multifactor para el AWS Managed Microsoft AD - AWS Directory Service
ConsideracionesHabilitación de la autenticación multifactor (MFA) para el AWS Managed Microsoft AD

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación de la autenticación multifactor para el AWS Managed Microsoft AD

Puede habilitar la autenticación multifactor (MFA) en su directorio de AWS Managed Microsoft AD para aumentar la seguridad cuando los usuarios especifiquen sus credenciales del AD para acceder a las aplicaciones empresariales compatibles de Amazon. Cuando se habilita la autenticación MFA, los usuarios deben introducir su nombre de usuario y su contraseña (el primer factor) como de costumbre, pero además deben introducir un código de autenticación (el segundo factor), proporcionado por la solución de MFA virtual o de hardware. La combinación de estos factores proporciona seguridad adicional, ya que impiden el acceso a las aplicaciones empresariales de Amazon, a menos que se proporcionen credenciales de usuario válidas y un código de MFA válido.

Para habilitar la MFA, debe tener una solución de MFA compuesta por un servidor Remote Authentication Dial-In User Service (RADIUS), o disponer de un complemento de MFA para un servidor RADIUS que ya tenga implementado en su infraestructura en las instalaciones. La solución de MFA debería implementar claves de acceso de un solo uso (OTP) que los usuarios obtienen de un dispositivo de hardware o de un software que se ejecuta en un dispositivo como un teléfono móvil.

RADIUS es un protocolo cliente/servidor estándar en el sector que proporciona administración de autenticación, autorización y contabilidad para que los usuarios puedan conectarse a servicios de red. AWS Managed Microsoft AD incluye un cliente RADIUS que se conecta al servidor RADIUS sobre el que se ha implementado su solución de MFA. El servidor RADIUS valida el nombre de usuario y el código de OTP. Si el servidor RADIUS valida correctamente al usuario, el AWS Managed Microsoft AD autentica al usuario en el Active Directory. Tras la autenticación correcta en el Active Directory, los usuarios pueden obtener acceso a la aplicación de AWS. La comunicación entre el cliente RADIUS de AWS Managed Microsoft AD y el servidor RADIUS requiere la configuración de grupos de seguridad de AWS que permiten la comunicación a través del puerto 1812.

Puede habilitar la autenticación multifactor para su directorio AWS Managed Microsoft AD con el siguiente procedimiento. Para obtener más información acerca de cómo configurar su servidor RADIUS para que funcione con AWS Directory Service y MFA, consulte Requisitos previos de la autenticación multifactor.

Consideraciones

A continuación se muestran algunas consideraciones para la autenticación multifactor del AWS Managed Microsoft AD:

Habilitación de la autenticación multifactor para AWS Managed Microsoft AD

En el siguiente procedimiento se muestra cómo habilitar la autenticación multifactor para el AWS Managed Microsoft AD.

  1. Identifique la dirección IP de su servidor RADIUS de MFA y de su directorio de AWS Managed Microsoft AD.

  2. Edite sus grupos de seguridad de nube privada virtual (VPC) para habilitar las comunicaciones a través del puerto 1812 entre los puntos de enlace IP de AWS Managed Microsoft AD y su servidor RADIUS de MFA.

  3. En el panel de navegación de la consola de AWS Directory Service, seleccione Directorios.

  4. Elija el vínculo del identificador de su directorio de AWS Managed Microsoft AD.

  5. En la página Detalles del directorio, lleve a cabo una de las siguientes operaciones:

    • Si tiene varias regiones en la sección Replicación de varias regiones, seleccione la región en la que quiere habilitar MFA y, a continuación, elija la pestaña Redes y seguridad. Para obtener más información, consulte Regiones principales frente a las adicionales.

    • Si no aparece ninguna región en la sección Replicación multirregional, seleccione la pestaña Redes y seguridad.

  6. En la sección Multi-factor authentication (Autenticación multifactor), elija Actions (Acciones) y, a continuación, seleccione Enable (Habilitar).

  7. En la página Enable multi-factor authentication (MFA) (Habilitar la autenticación multifactor (MFA)), proporcione los valores siguientes:

    Display label (Mostrar etiqueta)

    Proporcione un nombre de etiqueta.

    RADIUS server DNS name or IP addresses (Nombre de DNS o direcciones IP del servidor RADIUS)

    Direcciones IP de los puntos de enlace del servidor RADIUS o dirección IP del balanceador de carga del servidor RADIUS. Puede especificar varias direcciones IP separándolas mediante comas (por ejemplo, 192.0.0.0,192.0.0.12).

    nota

    La MFA de RADIUS solo puede utilizarse para autenticar el acceso a la AWS Management Console o a las aplicaciones y servicios empresariales de Amazon, como WorkSpaces, Amazon QuickSight o Amazon Chime. Las aplicaciones y servicios empresariales de Amazon solo son compatibles en la región principal si se ha configurado la replicación multirregión para el AWS Managed Microsoft AD. No proporciona MFA a cargas de trabajo de Windows que se ejecutan en instancias EC2 o para iniciar sesión en una instancia EC2. AWS Directory Service no admite la autenticación de desafío/respuesta de RADIUS.

    En el momento en que los usuarios especifiquen el nombre de usuario y la contraseña, deben disponer de un código MFA. Otra posibilidad es utilizar una solución que realice la MFA fuera de banda, como la comprobación por SMS del usuario. En las soluciones MFA sin conexión, debe asegurarse de que establece el valor de tiempo de espera de RADIUS adecuadamente para su solución. Cuando utilice una solución MFA sin conexión, la página de inicio se sesión solicitará al usuario un código MFA. En ese caso, los usuarios deben escribir su contraseña en el campo de contraseña y en el campo de MFA.

    Puerto

    Puerto que utiliza el servidor RADIUS para las comunicaciones. La red local debe permitir el tráfico entrante procedente del puerto de servidor RADIUS (UDP:1812) de los servidores AWS Directory Service.

    Código secreto compartido

    Código de secreto compartido que se especificó cuando se crearon los puntos de enlace de RADIUS.

    Confirm shared secret code (Confirmar código secreto compartido)

    Confirme el código secreto compartido para los puntos de enlace de RADIUS.

    Protocolo

    Seleccione el protocolo que se especificó cuando se crearon los puntos de enlace de RADIUS.

    Tiempo de espera del servidor (en segundos)

    Tiempo, en segundos, que hay que esperar a que el servidor RADIUS responda. Este valor debe estar entre 1 y 50.

    nota

    Recomendamos configurar el tiempo de espera del servidor RADIUS en 20 segundos o menos. Si el tiempo de espera supera los 20 segundos, el sistema no podrá volver a intentarlo con otro servidor RADIUS y podría producirse un error en el tiempo de espera.

    Número máximo de reintentos de solicitud RADIUS

    Número de veces que se intenta la comunicación con el servidor RADIUS. Este valor debe estar entre 0 y 10.

    La autenticación multifactor está disponible cuando RADIUS Status cambia a Habilitado.

  8. Seleccione Habilitar.