Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Abilitazione dell'autenticazione a più fattori per AWS Managed Microsoft AD
Puoi abilitare l'autenticazione a più fattori (MFA) per la tua directory AWS Managed Microsoft AD per aumentare la sicurezza quando gli utenti specificano le proprie credenziali AD per accedere alle applicazioni Amazon Enterprise supportate. Quando abilitiMFA, gli utenti inseriscono il nome utente e la password (primo fattore) come al solito e devono anche inserire un codice di autenticazione (il secondo fattore) che ottengono dalla tua soluzione virtuale o hardwareMFA. Questi fattori insieme forniscono ulteriore sicurezza impedendo l'accesso alle tue applicazioni Amazon Enterprise, a meno che gli utenti non forniscano credenziali utente valide e un MFA codice valido.
Per abilitareMFA, è necessario disporre di una MFA soluzione che sia un server di accesso remoto (RADIUS) per l'autenticazione remota
RADIUSè un protocollo client/server standard del settore che fornisce l'autenticazione, l'autorizzazione e la gestione della contabilità per consentire agli utenti di connettersi ai servizi di rete. AWS Microsoft AD gestito include un RADIUS client che si connette al RADIUS server su cui è stata implementata la MFA soluzione. Il RADIUS server convalida il nome utente e il OTP codice. Se il RADIUS server convalida correttamente l'utente, AWS Managed Microsoft AD autentica l'utente con Active Directory. Una volta completata l'autenticazione con Active Directory, gli utenti possono quindi accedere all'applicazione. AWS La comunicazione tra il RADIUS client Microsoft AD AWS gestito e il RADIUS server richiede la configurazione di gruppi AWS di sicurezza che abilitano la comunicazione sulla porta 1812.
È possibile abilitare l'autenticazione a più fattori per la directory AWS Managed Microsoft AD eseguendo la procedura seguente. Per ulteriori informazioni su come configurare il RADIUS server in modo che funzioni con AWS Directory Service eMFA, consultaPrerequisiti dell'autenticazione a più fattori.
Considerazioni
Di seguito sono riportate alcune considerazioni sull'autenticazione a più fattori per Managed AWS Microsoft AD:
-
L'autenticazione a più fattori non è disponibile per Simple AD. Tuttavia, MFA può essere abilitato per la directory AD Connector. Per ulteriori informazioni, consulta Abilitazione dell'autenticazione a più fattori per AD Connector.
-
MFAè una funzionalità regionale di AWS Managed Microsoft AD. Se utilizzi la replica multiarea, potrai utilizzarla solo MFA nella regione principale di Managed AWS Microsoft AD.
-
Se intendi utilizzare AWS Managed Microsoft AD per comunicazioni esterne, ti consigliamo di configurare un gateway Internet Network Address Translation (NAT) o un gateway Internet esterno alla AWS rete per queste comunicazioni.
-
Se desideri supportare le comunicazioni esterne tra il tuo AWS Managed Microsoft AD e il tuo RADIUS server ospitato sulla AWS rete, contatta AWS Support
.
-
-
Tutte le applicazioni IT di Amazon Enterprise WorkSpaces, tra cui Amazon WorkDocs, Amazon WorkMail, Amazon QuickSight, e l'accesso AWS IAM Identity Center e AWS Management Console sono supportati quando si utilizza AWS Managed Microsoft AD e AD Connector conMFA.
-
Per informazioni su come configurare l'accesso utente di base alle applicazioni Amazon Enterprise, AWS Single Sign-On e l' AWS Management Console utilizzo AWS Directory Service, consulta Accesso ad AWS applicazioni e servizi dal tuo AWS Managed Microsoft AD e. Abilitazione AWS Management Console dell'accesso con credenziali Microsoft AD AWS gestite
-
Consulta il seguente post sul AWS Security Blog MFA per scoprire come abilitare WorkSpaces gli utenti Amazon su AWS Managed Microsoft AD, come abilitare l'autenticazione a più fattori per AWS i servizi utilizzando AWS Managed Microsoft AD e credenziali locali
-
Abilitazione dell'autenticazione a più fattori per Microsoft AD gestito da AWS
La procedura seguente mostra come abilitare l'autenticazione a più fattori per AWS Managed Microsoft AD.
-
Identifica l'indirizzo IP del tuo RADIUS MFA server e la tua directory AWS Managed Microsoft AD.
-
Modifica i gruppi di sicurezza Virtual Private Cloud (VPC) per abilitare le comunicazioni sulla porta 1812 tra gli endpoint IP Microsoft AD AWS gestiti e il RADIUS MFA server.
-
Nel riquadro di navigazione della console AWS Directory Service
, seleziona Directory. -
Scegli il link ID della directory per la tua directory AWS Managed Microsoft AD.
-
Nella pagina Dettaglio report, procedi in uno dei seguenti modi:
-
Se nella sezione Replica multiarea sono visualizzate più regioni, seleziona la regione da abilitareMFA, quindi scegli la scheda Rete e sicurezza. Per ulteriori informazioni, consulta Regioni primarie e regioni aggiuntive.
-
Se non hai alcuna regione visualizzata in replica multiregione, scegli la scheda Rete e sicurezza.
-
-
Nella sezione Multi-factor authentication (Autenticazione a più fattori) selezionare Actions (Operazioni), quindi Enable (Abilita).
-
Nella pagina Abilita l'autenticazione a più fattori (MFA), fornisci i seguenti valori:
- Display label (Visualizza etichetta)
-
Indicare un nome per l'etichetta.
- RADIUSDNSnome del server o indirizzi IP
-
Gli indirizzi IP degli endpoint del RADIUS server o l'indirizzo IP del sistema di bilanciamento del carico del RADIUS server. Puoi inserire più indirizzi IP separandoli con una virgola, ad esempio
192.0.0.0,192.0.0.12.Nota
RADIUSMFAè applicabile solo per autenticare l'accesso a o ad applicazioni e servizi Amazon Enterprise come WorkSpaces Amazon o Amazon QuickSight Chime. AWS Management Console Le applicazioni e i servizi Amazon Enterprise sono supportati nella regione principale solo se la replica multiregione è configurata per Managed AWS Microsoft AD. Non fornisce MFA carichi di lavoro Windows in esecuzione su EC2 istanze o l'accesso a un'istanza. EC2 AWS Directory Service non supporta l'autenticazione RADIUS Challenge/Response.
Gli utenti devono avere il proprio MFA codice al momento dell'immissione del nome utente e della password. In alternativa, è necessario utilizzare una soluzione che esegua MFA out-of-band una verifica SMS testuale per l'utente. Nelle out-of-band MFA soluzioni, è necessario assicurarsi di impostare il valore di RADIUS timeout in modo appropriato per la soluzione. Quando si utilizza una out-of-band MFA soluzione, la pagina di accesso richiederà all'utente un codice. MFA In questo caso, gli utenti devono inserire la propria password sia nel campo della password che nel campo. MFA
- Porta
-
La porta utilizzata RADIUS dal server per le comunicazioni. La rete locale deve consentire il traffico in entrata attraverso la porta RADIUS server predefinita (:1812UDP) dai server. AWS Directory Service
- Shared secret code (Codice segreto condiviso)
-
Il codice segreto condiviso specificato al momento della creazione degli endpoint. RADIUS
- Confirm shared secret code (Conferma codice segreto condiviso)
-
Conferma il codice segreto condiviso per i tuoi RADIUS endpoint.
- Protocollo
-
Seleziona il protocollo specificato al momento della creazione RADIUS degli endpoint.
- Server timeout (in seconds) (Timeout del server (in secondi))
-
Il tempo di attesa, in secondi, per la risposta del RADIUS server. Il valore deve essere compreso tra 1 e 50.
Nota
Ti consigliamo di configurare il timeout RADIUS del server su 20 secondi o meno. Se il timeout supera i 20 secondi, il sistema non può riprovare con un altro RADIUS server e potrebbe causare un errore di timeout.
- Numero massimo di tentativi di richiesta RADIUS
-
Il numero di tentativi di comunicazione con il RADIUS server. Il valore deve essere compreso tra 0 e 10.
L'autenticazione a più fattori è disponibile quando lo RADIUSstato cambia in Attivato.
-
Scegli Abilita .
