Activation de l'authentification multifactorielle pour AWS Managed Microsoft AD - AWS Directory Service
ConsidérationsActiver MFA l'authentification pour AWS Managed Microsoft AD

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation de l'authentification multifactorielle pour AWS Managed Microsoft AD

Vous pouvez activer l'authentification multifactorielle (MFA) pour votre annuaire Microsoft AD AWS géré afin de renforcer la sécurité lorsque vos utilisateurs spécifient leurs informations d'identification AD pour accéder aux applications Amazon Enterprise prises en charge. Lorsque vous l'activezMFA, vos utilisateurs saisissent leur nom d'utilisateur et leur mot de passe (premier facteur) comme d'habitude, et ils doivent également saisir un code d'authentification (deuxième facteur) qu'ils obtiennent de votre MFA solution virtuelle ou matérielle. Ensemble, ces facteurs fournissent une sécurité supplémentaire en empêchant l'accès à vos applications Amazon Enterprise, sauf si les utilisateurs fournissent des informations d'identification et un MFA code valides.

Pour l'activerMFA, vous devez disposer d'une MFA solution qui est un serveur de service utilisateur d'authentification à distance (RADIUS), ou vous devez disposer d'un MFA plug-in vers un RADIUS serveur déjà implémenté dans votre infrastructure sur site. Votre MFA solution doit implémenter des codes d'accès à usage unique (OTP) que les utilisateurs obtiennent à partir d'un périphérique matériel ou d'un logiciel exécuté sur un appareil tel qu'un téléphone portable.

RADIUSest un protocole client/serveur standard qui assure l'authentification, l'autorisation et la gestion de la comptabilité afin de permettre aux utilisateurs de se connecter aux services réseau. AWS Managed Microsoft AD inclut un RADIUS client qui se connecte au RADIUS serveur sur lequel vous avez implémenté votre MFA solution. Votre RADIUS serveur valide le nom d'utilisateur et le OTP code. Si votre RADIUS serveur valide correctement l'utilisateur, AWS Managed Microsoft AD authentifie ensuite l'utilisateur auprès d'Active Directory. Une fois l'authentification Active Directory réussie, les utilisateurs peuvent accéder à l' AWS application. La communication entre le RADIUS client Microsoft AD AWS géré et votre RADIUS serveur nécessite que vous configuriez des groupes AWS de sécurité qui permettent la communication via le port 1812.

Vous pouvez activer l'authentification multifactorielle pour votre annuaire Microsoft AD AWS géré en suivant la procédure suivante. Pour plus d'informations sur la configuration de votre RADIUS serveur pour qu'il fonctionne avec AWS Directory Service etMFA, consultezPrérequis pour l'authentification multifactorielle.

Considérations

Voici quelques considérations relatives à l'authentification multifactorielle pour votre Microsoft AD AWS géré :

Activation de l'authentification multifactorielle (MFA) pour AWS Managed Microsoft AD

La procédure suivante explique comment activer l'authentification multifactorielle pour AWS Managed Microsoft AD.

  1. Identifiez l'adresse IP de votre RADIUS MFA serveur et de votre annuaire Microsoft AD AWS géré.

  2. Modifiez vos groupes de sécurité Virtual Private Cloud (VPC) pour permettre les communications via le port 1812 entre vos points de terminaison IP Microsoft AD AWS gérés et votre RADIUS MFA serveur.

  3. Dans le volet de navigation de la console AWS Directory Service, sélectionnez Directories (Annuaires).

  4. Choisissez le lien d'ID de répertoire pour votre annuaire Microsoft AD AWS géré.

  5. Sur la page Détails de l'annuaire, procédez de l'une des manières suivantes :

    • Si plusieurs régions apparaissent sous Réplication multirégionale, sélectionnez la région dans laquelle vous souhaitez activerMFA, puis cliquez sur l'onglet Réseau et sécurité. Pour de plus amples informations, veuillez consulter Régions principales et régions supplémentaires.

    • Si aucune région n'apparaît sous Réplication sur plusieurs régions, choisissez l'onglet Mise en réseau et sécurité.

  6. Dans la section Authentification multifactorielle, choisissez Actions, puis sélectionnez Activer.

  7. Sur la page Activer l'authentification MFA multifactorielle (), indiquez les valeurs suivantes :

    Afficher l'étiquette

    Indiquez un nom d'étiquette.

    RADIUSDNSnom du serveur ou adresses IP

    Les adresses IP des points de terminaison de votre RADIUS serveur ou l'adresse IP de votre équilibreur de charge de RADIUS serveur. Vous pouvez entrer plusieurs adresses IP en les séparant par une virgule (par exemple, 192.0.0.0,192.0.0.12).

    Note

    RADIUSMFAs'applique uniquement pour authentifier l' AWS Management Console accès aux applications et services Amazon Enterprise tels qu' WorkSpacesAmazon ou Amazon QuickSight Chime. Les applications et services Amazon Enterprise ne sont pris en charge dans la région principale que si la réplication multirégionale est configurée pour votre Microsoft AD AWS géré. Il ne fournit pas de charges de travail MFA à Windows exécutées sur EC2 des instances ou permettant de se connecter à une EC2 instance. AWS Directory Service ne prend pas en charge l'RADIUSauthentification Challenge/Réponse.

    Les utilisateurs doivent avoir leur MFA code au moment de saisir leur nom d'utilisateur et leur mot de passe. Vous devez également utiliser une solution permettant, par MFA out-of-band exemple, de vérifier le SMS texte pour l'utilisateur. Dans les out-of-band MFA solutions, vous devez vous assurer de définir la valeur du RADIUS délai d'expiration de manière appropriée pour votre solution. Lorsque vous utilisez une out-of-band MFA solution, la page de connexion invite l'utilisateur à saisir un MFA code. Dans ce cas, les utilisateurs doivent saisir leur mot de passe à la fois dans le champ du mot de passe et dans le MFA champ.

    Port

    Port utilisé par votre RADIUS serveur pour les communications. Votre réseau local doit autoriser le trafic entrant via le port de RADIUS serveur par défaut (:1812UDP) en provenance des serveurs. AWS Directory Service

    Shared secret code

    Le code secret partagé qui a été spécifié lors de la création de vos RADIUS points de terminaison.

    Confirmer le code secret partagé

    Confirmez le code secret partagé pour vos RADIUS terminaux.

    Protocole

    Sélectionnez le protocole qui a été spécifié lors de la création de vos RADIUS points de terminaison.

    Délai d'attente du serveur (en secondes)

    Temps d'attente, en secondes, avant que le RADIUS serveur réponde. La valeur doit être comprise entre 1 et 50.

    Note

    Nous vous recommandons de configurer le délai d'expiration de votre RADIUS serveur à 20 secondes ou moins. Si le délai d'expiration est supérieur à 20 secondes, le système ne peut pas réessayer avec un autre RADIUS serveur, ce qui peut entraîner un échec du délai d'attente.

    Nombre maximum de RADIUS tentatives de demande

    Nombre de tentatives de communication avec le RADIUS serveur. La valeur doit être comprise entre 0 et 10.

    L'authentification multifactorielle est disponible lorsque le RADIUSstatut passe à Activé.

  8. Sélectionnez Activer.