Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Abilitazione dell'autenticazione a più fattori per AWS Microsoft AD gestito
Puoi abilitare l'autenticazione a più fattori (MFA) per la tua directory AWS Managed Microsoft AD per aumentare la sicurezza quando gli utenti specificano le proprie credenziali AD per accedere alle applicazioni Amazon Enterprise supportate. Quando si abilita la MFA, gli utenti inseriscono i propri nome utente e password (primo fattore) come di consueto, quindi devono inserire anche un codice di autenticazione (secondo fattore), fornito dalla soluzione MFA virtuale o dell'hardware. Tutti questi fattori forniscono maggiore sicurezza impedendo l'accesso alle applicazioni Amazon Enterprise, a meno che gli utenti non forniscano credenziali valide e un codice MFA valido.
Per abilitare MFA, è necessario disporre di una soluzione MFA che funge da server Remote Authentication Dial-In User Service
RADIUS è un client/server protocollo standard del settore che fornisce l'autenticazione, l'autorizzazione e la gestione contabile per consentire agli utenti di connettersi ai servizi di rete. AWS Microsoft AD gestito include un client RADIUS che si connette al server RADIUS su cui è stata implementata la soluzione MFA. Il server RADIUS convalida il nome utente e il codice OTP. Se il server RADIUS convalida correttamente l'utente, AWS Managed Microsoft AD autentica l'utente con Active Directory. Una volta completata l'autenticazione con Active Directory, gli utenti possono quindi accedere all'applicazione. AWS La comunicazione tra il client Microsoft AD RADIUS AWS gestito e il server RADIUS richiede la configurazione di gruppi AWS di sicurezza che abilitano la comunicazione sulla porta 1812.
È possibile abilitare l'autenticazione a più fattori per la directory AWS Managed Microsoft AD eseguendo la procedura seguente. Per ulteriori informazioni su come configurare il server RADIUS per il funzionamento con Directory Service e MFA, consulta Multi-factor prerequisiti di autenticazione.
Considerazioni
Di seguito sono riportate alcune considerazioni sull'autenticazione a più fattori per Managed AWS Microsoft AD:
-
Multi-factor l'autenticazione non è disponibile per Simple AD. Tuttavia, MFA può essere abilitato per la directory AD Connector. Per ulteriori informazioni, consulta Abilitazione dell'autenticazione a più fattori per AD Connector.
-
MFA è una funzionalità regionale di Managed AWS Microsoft AD. Se si utilizza Multi-Region la replica, sarà possibile utilizzare l'MFA solo nell'area principale di AWS Managed Microsoft AD.
-
Se intendi utilizzare AWS Managed Microsoft AD per comunicazioni esterne, ti consigliamo di configurare un gateway Internet NAT (Network Address Translation) o un gateway Internet esterno alla AWS rete per queste comunicazioni.
-
Se desideri supportare le comunicazioni esterne tra il tuo AWS Managed Microsoft AD e il tuo server RADIUS ospitato sulla AWS rete, contatta Supporto
.
-
-
Tutte le applicazioni IT di Amazon Enterprise WorkSpaces WorkDocs, tra cui Amazon WorkMail, Amazon Quick, e l'accesso Centro identità AWS IAM e Console di gestione AWS sono supportate quando si utilizza AWS Managed Microsoft AD e AD Connector con MFA. Queste AWS applicazioni che utilizzano MFA non sono supportate in più aree.
Per ulteriori informazioni, vedere Come abilitare l'autenticazione a più fattori per AWS i servizi utilizzando AWS Managed Microsoft AD e credenziali locali
. -
Per informazioni su come configurare l'accesso utente di base alle applicazioni Amazon Enterprise, AWS Single Sign-On e l' Console di gestione AWS utilizzo Directory Service, consulta Accesso a AWS applicazioni e servizi del tuo AWS Microsoft AD gestito eAbilitazione Console di gestione AWS dell'accesso con credenziali Microsoft AD AWS gestite.
-
Consulta il seguente post sul AWS Security Blog per scoprire come abilitare l'autenticazione a più fattori per WorkSpaces gli utenti Amazon su Managed AWS Microsoft AD, come abilitare l'autenticazione a più fattori per AWS i servizi utilizzando Managed AWS Microsoft AD e
credenziali locali
-
Abilita l'autenticazione a più fattori per AWS Microsoft AD gestito
La procedura seguente mostra come abilitare l'autenticazione a più fattori per AWS Managed Microsoft AD.
-
Identifica l'indirizzo IP del tuo server RADIUS MFA e della tua directory AWS Managed Microsoft AD.
-
Modifica i gruppi di sicurezza Virtual Private Cloud (VPC) per abilitare le comunicazioni sulla porta 1812 tra gli endpoint IP AWS Microsoft AD gestiti e il server MFA RADIUS.
-
Nel riquadro di navigazione della console AWS Directory Service
, seleziona Directory. -
Scegli il link ID della directory per la tua directory AWS Managed Microsoft AD.
-
Nella pagina Dettaglio report, procedi in uno dei seguenti modi:
-
Se hai più regioni visualizzate in fase di Multi-Regionreplica, seleziona la regione in cui desideri abilitare l'MFA, quindi scegli la scheda Rete e sicurezza. Per ulteriori informazioni, consulta Regioni primarie e regioni aggiuntive.
-
Se non sono presenti regioni in fase di Multi-Regionreplica, scegli la scheda Rete e sicurezza.
-
-
Nella sezione di Multi-factor autenticazione, scegli Azioni, quindi scegli Abilita.
-
Fornire i seguenti valori nella pagina Enable multi-factor authentication (MFA) (Abilita l'autenticazione a più fattori (MFA)):
- Display label (Visualizza etichetta)
-
Indicare un nome per l'etichetta.
- RADIUS server DNS name or IP addresses (Indirizzi IP o nome DNS del server RADIUS)
-
Gli indirizzi IP degli endpoint del server RADIUS o l'indirizzo IP del sistema di bilanciamento del carico del server RADIUS. Puoi inserire più indirizzi IP separandoli con una virgola (ad esempio,
192.0.0.0,192.0.0.12o2001:db8::1,2001:db8::2).Importante
Le directory create dopo il 7 ottobre 2025 richiedono che i server RADIUS utilizzati per l'autenticazione a più fattori siano instradabili attraverso la configurazione di rete del VPC. Se il server RADIUS non è accessibile tramite le tabelle di routing, i gruppi di sicurezza e gli ACL di rete del VPC, l'autenticazione a più fattori avrà esito negativo durante i controlli di autenticazione a più fattori. Per risolvere questo problema, assicurati che:
-
Routing di rete: le tabelle di routing VPC consentono al traffico di raggiungere il server RADIUS dalle sottoreti in cui sono distribuite le istanze di AWS directory Microsoft AD gestite.
-
ACL di rete: gli ACL della rete di sottorete consentono il traffico bidirezionale del server RADIUS. to/from
-
Internet Gateway/NAT: se il tuo server RADIUS è connesso a Internet, assicurati che il tuo VPC disponga di un gateway Internet o di una configurazione del gateway NAT appropriata per le sottoreti di directory. Se il tipo di rete è IPv4, è necessario che il NAT e il gateway Internet siano configurati con il VPC.
Nota
RADIUS MFA è applicabile solo per autenticare l'accesso a o Console di gestione AWS ad applicazioni e servizi Amazon Enterprise come Amazon Quick o WorkSpaces Amazon Chime. Le applicazioni e i servizi Amazon Enterprise sono supportati nella regione principale solo se la Multi-Region replica è configurata per AWS Managed Microsoft AD. Non fornisce MFA ai carichi di lavoro Windows in esecuzione su istanze EC2 o per l'accesso a un'istanza EC2. Directory Service non supporta l'autenticazione RADIUS. Challenge/Response
Quando inseriscono nome utente e password, gli utenti devono disporre del proprio codice MFA. In alternativa, è necessario utilizzare una soluzione che esegua l'autenticazione MFA fuori banda, ad esempio notifiche push o password monouso (OTP) di autenticazione per l'utente. Nelle soluzioni MFA fuori banda, accertarsi di impostare il valore di timeout RADIUS in maniera appropriata per la soluzione. Durante l’utilizzo di una soluzione MFA fuori banda, la pagina di accesso richiederà all’utente un codice MFA. In questo caso, gli utenti devono inserire la loro password nel campo password e nel campo MFA.
-
- Porta
-
La porta utilizzata dal server RADIUS per le comunicazioni. La rete locale deve consentire il traffico in entrata attraverso la porta server RADIUS predefinita () proveniente dai server. UDP:1812 Directory Service
- Shared secret code (Codice segreto condiviso)
-
Il codice segreto condiviso specificato quando sono stati creati gli endpoint RADIUS.
- Confirm shared secret code (Conferma codice segreto condiviso)
-
Conferma il codice segreto condiviso per gli endpoint RADIUS.
- Protocollo
-
Seleziona il protocollo specificato quando sono stati creati gli endpoint RADIUS.
- Server timeout (in seconds) (Timeout del server (in secondi))
-
Il periodo di tempo, in secondi, per cui il server RADIUS attende una risposta. Il valore deve essere compreso tra 1 e 50.
Nota
Ti consigliamo di configurare il timeout del server RADIUS su un massimo di 20 secondi. Se il timeout supera i 20 secondi, il sistema non può riprovare con un altro server RADIUS e potrebbe causare un errore di timeout.
- Max RADIUS request retries (Numero massimo di tentativi di richieste RADIUS)
-
Il numero di volte per cui viene tentata la comunicazione con il server RADIUS. Il valore deve essere compreso tra 0 e 10.
Multi-factor l'autenticazione è disponibile quando lo stato RADIUS cambia in Enabled.
-
Scegli Abilita .