Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengaktifkan otentikasi multi-faktor untuk Microsoft AD yang Dikelola AWS
Anda dapat mengaktifkan autentikasi multi-faktor (MFA) untuk direktori AWS Microsoft AD Terkelola untuk meningkatkan keamanan saat pengguna menentukan kredensi AD mereka untuk mengakses aplikasi Amazon Enterprise yang Didukung. Ketika Anda mengaktifkanMFA, pengguna Anda memasukkan nama pengguna dan kata sandi mereka (faktor pertama) seperti biasa, dan mereka juga harus memasukkan kode otentikasi (faktor kedua) yang mereka peroleh dari MFA solusi virtual atau perangkat keras Anda. Faktor-faktor ini bersama-sama memberikan keamanan tambahan dengan mencegah akses ke aplikasi Amazon Enterprise Anda, kecuali pengguna memberikan kredensi pengguna yang valid dan kode yang validMFA.
Untuk mengaktifkanMFA, Anda harus memiliki MFA solusi yang merupakan server layanan pengguna (RADIUS) autentikasi jarak jauh, atau Anda harus memiliki MFA plugin ke server yang sudah diimplementasikan di infrastruktur lokal
RADIUSadalah protokol klien/server standar industri yang menyediakan otentikasi, otorisasi, dan manajemen akuntansi untuk memungkinkan pengguna terhubung ke layanan jaringan. AWS Microsoft AD yang dikelola mencakup RADIUS klien yang terhubung ke RADIUS server tempat Anda menerapkan MFA solusi Anda. RADIUSServer Anda memvalidasi nama pengguna dan OTP kode. Jika RADIUS server Anda berhasil memvalidasi pengguna, Microsoft AD yang AWS dikelola kemudian mengautentikasi pengguna terhadap Active Directory. Setelah otentikasi Active Directory berhasil, pengguna kemudian dapat mengakses AWS aplikasi. Komunikasi antara RADIUS klien Microsoft AD AWS Terkelola dan RADIUS server Anda mengharuskan Anda mengonfigurasi grup AWS keamanan yang mengaktifkan komunikasi melalui port 1812.
Anda dapat mengaktifkan autentikasi multi-faktor untuk direktori AWS Microsoft AD Terkelola dengan melakukan prosedur berikut. Untuk informasi selengkapnya tentang cara mengonfigurasi RADIUS server agar berfungsi AWS Directory Service danMFA, lihatPrasyarat autentikasi multi-faktor.
Pertimbangan
Berikut ini adalah beberapa pertimbangan untuk otentikasi multi-faktor untuk AWS Microsoft AD Terkelola Anda:
-
Autentikasi multi-faktor tidak tersedia untuk Simple AD. Namun, MFA dapat diaktifkan untuk direktori AD Connector Anda. Untuk informasi selengkapnya, lihat Mengaktifkan otentikasi multi-faktor untuk AD Connector.
-
MFAadalah fitur Regional dari Microsoft AD yang AWS Dikelola. Jika Anda menggunakan replikasi Multi-Region, Anda hanya dapat menggunakannya MFA di Wilayah Utama AWS Microsoft AD yang Dikelola.
-
Jika Anda bermaksud menggunakan Microsoft AD AWS Terkelola untuk komunikasi eksternal, kami sarankan Anda mengonfigurasi Terjemahan Alamat Jaringan (NAT) Internet Gateway atau Internet Gateway di luar AWS jaringan untuk komunikasi ini.
-
Jika Anda ingin mendukung komunikasi eksternal antara Microsoft AD yang AWS Dikelola dan RADIUS server yang dihosting di AWS jaringan, silakan hubungi AWS Support
.
-
-
Semua aplikasi TI Amazon Enterprise termasuk WorkSpaces, Amazon WorkDocs, Amazon WorkMail, Amazon QuickSight, dan akses ke AWS IAM Identity Center dan AWS Management Console didukung saat menggunakan Microsoft AD dan AD Connector yang AWS Dikelola denganMFA.
-
Untuk informasi tentang cara mengonfigurasi akses pengguna dasar ke aplikasi Amazon Enterprise, AWS Single Sign-On dan AWS Management Console penggunaan AWS Directory Service, lihat Akses ke AWS aplikasi dan layanan dari Microsoft AD yang AWS Dikelola dan. Mengaktifkan AWS Management Console akses dengan kredensyal Microsoft AD yang AWS Dikelola
-
Lihat postingan Blog AWS Keamanan berikut ini untuk mempelajari cara mengaktifkan MFA bagi WorkSpaces pengguna Amazon di Microsoft AD AWS Terkelola, Cara mengaktifkan autentikasi multi-faktor untuk AWS layanan menggunakan iklan AWS Microsoft Terkelola, dan
kredensional lokal
-
Mengaktifkan autentikasi multi-faktor untuk Microsoft AD yang Dikelola AWS
Prosedur berikut menunjukkan cara mengaktifkan otentikasi multi-faktor untuk AWS Microsoft AD yang Dikelola.
-
Identifikasi alamat IP RADIUS MFA server Anda dan direktori Microsoft AD AWS Terkelola Anda.
-
Edit grup keamanan Virtual Private Cloud (VPC) Anda untuk mengaktifkan komunikasi melalui port 1812 antara titik akhir IP Microsoft AD AWS Terkelola dan RADIUS MFA server Anda.
-
Di panel navigasi konsol AWS Directory Service
, pilih Direktori. -
Pilih tautan ID direktori untuk direktori Microsoft AD AWS Terkelola Anda.
-
Pada halaman Detail direktori, lakukan salah satu hal berikut:
-
Jika Anda memiliki beberapa Wilayah yang ditampilkan di bawah replikasi Multi-Region, pilih Wilayah tempat Anda ingin mengaktifkanMFA, lalu pilih tab Jaringan & keamanan. Untuk informasi selengkapnya, lihat Region utama vs tambahan.
-
Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah Replikasi Multi-Region, pilih tab Jaringan & keamanan.
-
-
Di bagian Autentikasi multi-faktor, pilih Tindakan, lalu pilih Aktifkan.
-
Pada halaman Aktifkan otentikasi multi-faktor (MFA), berikan nilai berikut:
- Label tampilan
-
Berikan nama label.
- RADIUSDNSnama server atau alamat IP
-
Alamat IP dari endpoint RADIUS server Anda, atau alamat IP penyeimbang beban RADIUS server Anda. Anda dapat memasukkan beberapa alamat IP dengan memisahkannya dengan koma (misalnya,
192.0.0.0,192.0.0.12).catatan
RADIUSMFAhanya berlaku untuk mengautentikasi akses ke AWS Management Console, atau ke aplikasi dan layanan Amazon Enterprise seperti WorkSpaces, Amazon QuickSight, atau Amazon Chime. Aplikasi dan layanan Amazon Enterprise hanya didukung di Wilayah Utama jika replikasi Multi-Wilayah dikonfigurasi untuk AWS Microsoft AD yang Dikelola. Itu tidak menyediakan MFA beban kerja Windows yang berjalan pada EC2 instance, atau untuk masuk ke sebuah EC2 instance. AWS Directory Service tidak mendukung otentikasi RADIUS Tantangan/Respons.
Pengguna harus memiliki MFA kode mereka pada saat mereka memasukkan nama pengguna dan kata sandi mereka. Atau, Anda harus menggunakan solusi yang melakukan MFA out-of-band seperti verifikasi SMS teks untuk pengguna. Dalam out-of-band MFA solusi, Anda harus memastikan bahwa Anda menetapkan nilai RADIUS time-out dengan tepat untuk solusi Anda. Saat menggunakan out-of-band MFA solusi, halaman masuk akan meminta pengguna untuk MFA kode. Dalam hal ini, pengguna harus memasukkan kata sandi mereka di bidang kata sandi dan MFA bidang.
- Port
-
Port yang digunakan RADIUS server Anda untuk komunikasi. Jaringan lokal Anda harus mengizinkan lalu lintas masuk melalui port RADIUS server default: 1812) UDP dari server. AWS Directory Service
- Kode rahasia bersama
-
Kode rahasia bersama yang ditentukan saat RADIUS titik akhir Anda dibuat.
- Konfirmasikan kode rahasia bersama
-
Konfirmasikan kode rahasia bersama untuk RADIUS titik akhir Anda.
- Protokol
-
Pilih protokol yang ditentukan saat RADIUS titik akhir Anda dibuat.
- Batas waktu server (dalam hitungan detik)
-
Jumlah waktu, dalam hitungan detik, untuk menunggu RADIUS server merespons. Ini harus berupa nilai antara 1 dan 50.
catatan
Sebaiknya konfigurasi batas waktu RADIUS server Anda hingga 20 detik atau kurang. Jika batas waktu melebihi 20 detik, sistem tidak dapat mencoba lagi dengan RADIUS server lain dan dapat mengakibatkan kegagalan batas waktu.
- RADIUSPermintaan ulang maksimum
-
Berapa kali komunikasi dengan RADIUS server dicoba. Ini harus berupa nilai antara 0 dan 10.
Otentikasi multi-faktor tersedia saat RADIUSStatus berubah menjadi Diaktifkan.
-
Pilih Aktifkan.
