Aktifkan otentikasi multi-faktor untuk AWS Microsoft AD yang Dikelola - AWS Directory Service
PertimbanganAktifkan otentikasi MFA untuk Microsoft AD yang Dikelola AWS Aplikasi Amazon Enterprise yang didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Aktifkan otentikasi multi-faktor untuk AWS Microsoft AD yang Dikelola

Anda dapat mengaktifkan autentikasi multi-faktor (MFA) untuk direktori AWS Microsoft AD Terkelola untuk meningkatkan keamanan saat pengguna menentukan kredensi AD mereka untuk diakses. Aplikasi Amazon Enterprise yang didukung Saat Anda mengaktifkan MFA, pengguna Anda memasukkan nama pengguna dan kata sandi mereka (faktor pertama) seperti biasa, dan mereka juga harus memasukkan kode autentikasi (faktor kedua) yang mereka dapatkan dari solusi MFA virtual atau perangkat keras Anda. Faktor-faktor ini bersama-sama memberikan keamanan tambahan dengan mencegah akses ke aplikasi Amazon Enterprise Anda, kecuali pengguna menyediakan kredensial pengguna yang valid dan kode MFA yang valid.

Untuk mengaktifkan MFA, Anda harus memiliki solusi MFA yang adalah server Layanan autentikasi jarak jauh panggilan masuk pengguna (RADIUS), atau Anda harus memiliki plugin MFA ke server RADIUS yang sudah diterapkan di infrastruktur on-premise Anda. Solusi MFA Anda harus menerapkan Kode Sandi Sekali Pakai (OTP) yang diperoleh pengguna dari perangkat keras atau dari perangkat lunak yang berjalan pada perangkat seperti ponsel.

RADIUS adalah protokol klien/server standar industri yang menyediakan otentikasi, otorisasi, dan manajemen akuntansi untuk memungkinkan pengguna terhubung ke layanan jaringan. AWS Microsoft AD yang dikelola mencakup klien RADIUS yang terhubung ke server RADIUS tempat Anda menerapkan solusi MFA Anda. Server RADIUS Anda memvalidasi nama pengguna dan kode OTP. Jika server RADIUS Anda berhasil memvalidasi pengguna, Microsoft AD yang AWS dikelola kemudian mengautentikasi pengguna terhadap Active Directory. Setelah otentikasi Active Directory berhasil, pengguna kemudian dapat mengakses AWS aplikasi. Komunikasi antara klien Microsoft AD RADIUS AWS Terkelola dan server RADIUS Anda mengharuskan Anda mengonfigurasi grup AWS keamanan yang mengaktifkan komunikasi melalui port 1812.

Anda dapat mengaktifkan autentikasi multi-faktor untuk direktori AWS Microsoft AD Terkelola dengan melakukan prosedur berikut. Untuk informasi selengkapnya tentang cara mengkonfigurasi server RADIUS Anda untuk bekerja dengan AWS Directory Service dan MFA, lihat Prasyarat autentikasi multi-faktor.

Pertimbangan

Berikut ini adalah beberapa pertimbangan untuk otentikasi multi-faktor untuk AWS Microsoft AD Terkelola Anda:

  • Autentikasi multi-faktor tidak tersedia untuk Simple AD. Namun, MFA dapat diaktifkan untuk direktori AD Connector Anda. Untuk informasi selengkapnya, lihat Mengaktifkan autentikasi multi-faktor untuk AD Connector.

  • MFA adalah fitur Regional dari AWS Microsoft AD yang Dikelola. Jika Anda menggunakan Replikasi multi-Region, prosedur berikut harus diterapkan secara terpisah di setiap Region. Untuk informasi selengkapnya, lihat Fitur Global vs Regional.

  • Jika Anda bermaksud menggunakan Microsoft AD yang AWS Dikelola untuk komunikasi eksternal, kami sarankan Anda mengonfigurasi Gateway Internet Gateway atau Internet Gateway Terjemahan Alamat Jaringan (NAT) di luar AWS jaringan untuk komunikasi ini.

    • Jika Anda ingin mendukung komunikasi eksternal antara Microsoft AD yang AWS Dikelola dan server RADIUS yang dihosting di AWS jaringan, silakan hubungi AWS Support.

Aktifkan otentikasi multi-faktor untuk AWS Microsoft AD yang Dikelola

Prosedur berikut menunjukkan cara mengaktifkan otentikasi multi-faktor untuk AWS Microsoft AD yang Dikelola.

  1. Identifikasi alamat IP server MFA RADIUS Anda dan direktori AWS Microsoft AD Terkelola Anda.

  2. Edit grup keamanan Virtual Private Cloud (VPC) Anda untuk mengaktifkan komunikasi melalui port 1812 antara titik akhir IP AWS Microsoft AD Terkelola dan server MFA RADIUS Anda.

  3. Di panel navigasi konsol AWS Directory Service, pilih Direktori.

  4. Pilih tautan ID direktori untuk direktori Microsoft AD AWS Terkelola Anda.

  5. Pada halaman Detail direktori, lakukan salah satu hal berikut:

    • Jika Anda memiliki beberapa Region yang ditampilkan di bawah Replikasi Multi-Region, pilih Region tempat Anda ingin mengaktifkan autentikasi multi-faktor (MFA), lalu pilih tab Jaringan & keamanan. Untuk informasi selengkapnya, lihat Region utama vs tambahan.

    • Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah Replikasi Multi-Region, pilih tab Jaringan & keamanan.

  6. Di bagian Autentikasi multi-faktor, pilih Tindakan, lalu pilih Aktifkan.

  7. Pada halaman Aktifkan multi-factor authentication (MFA), berikan nilai berikut:

    Label tampilan

    Berikan nama label.

    Nama DNS server RADIUS atau alamat IP

    Alamat IP titik akhir server RADIUS, atau alamat IP penyeimbang beban server RADIUS. Anda dapat memasukkan beberapa alamat IP dengan memisahkannya dengan koma (misalnya, 192.0.0.0,192.0.0.12).

    catatan

    RADIUS MFA hanya berlaku untuk mengautentikasi akses ke AWS Management Console, atau ke aplikasi dan layanan Amazon Enterprise seperti, WorkSpaces Amazon, atau Amazon QuickSight Chime. Itu tidak menyediakan beban kerja MFA ke Windows yang berjalan pada instans EC2, atau untuk masuk ke instans EC2. AWS Directory Service tidak mendukung otentikasi RADIUS Challenge/Response.

    Pengguna harus memiliki kode autentikasi multi-faktor (MFA) mereka pada saat mereka memasukkan nama pengguna dan kata sandi. Atau, Anda harus menggunakan solusi yang melakukan MFA out-of-band seperti verifikasi teks SMS untuk pengguna. Dalam solusi out-of-band MFA, Anda harus memastikan bahwa Anda menetapkan nilai batas waktu RADIUS dengan tepat untuk solusi Anda. Saat menggunakan solusi out-of-band MFA, halaman masuk akan meminta pengguna untuk kode MFA. Dalam hal ini, pengguna harus memasukkan kata sandi mereka di bidang kata sandi dan bidang MFA.

    Port

    Port yang digunakan oleh server RADIUS Anda untuk komunikasi. Jaringan lokal Anda harus mengizinkan lalu lintas masuk melalui port server RADIUS default (UDP:1812) dari server. AWS Directory Service

    Kode rahasia bersama

    Kode rahasia bersama yang ditentukan ketika titik akhir RADIUS Anda dibuat.

    Konfirmasikan kode rahasia bersama

    Konfirmasi kode rahasia bersama untuk titik akhir RADIUS Anda.

    Protokol

    Pilih protokol yang ditentukan saat titik akhir RADIUS Anda dibuat.

    Batas waktu server (dalam hitungan detik)

    Jumlah waktu, dalam detik, untuk menunggu server RADIUS menanggapi. Ini harus berupa nilai antara 1 dan 50.

    catatan

    Sebaiknya konfigurasi batas waktu server RADIUS Anda menjadi 20 detik atau kurang. Jika batas waktu melebihi 20 detik, sistem tidak dapat mencoba lagi dengan server RADIUS lain dan dapat mengakibatkan kegagalan batas waktu.

    Permintaan Max RADIUS mencoba ulang

    Berapa kali komunikasi dengan server RADIUS dicoba. Ini harus berupa nilai antara 0 dan 10.

    Autentikasi multi-faktor tersedia ketika Status RADIUS berubah ke Diaktifkan.

  8. Pilih Aktifkan.

Aplikasi Amazon Enterprise yang didukung

Semua aplikasi TI Amazon Enterprise termasuk WorkSpaces, Amazon WorkDocs, Amazon WorkMail, Amazon QuickSight, dan akses ke AWS IAM Identity Center dan AWS Management Console didukung saat menggunakan Konektor AD dan AD Microsoft AWS Terkelola dengan MFA.

Untuk informasi tentang cara mengonfigurasi akses pengguna dasar ke aplikasi Amazon Enterprise, AWS Single Sign-On dan AWS Management Console penggunaan AWS Directory Service, lihat Aktifkan akses ke AWS aplikasi dan layanan dan. Mengaktifkan akses ke AWS Management Console dengan kredensial AD

Artikel blog AWS Keamanan Terkait