View a markdown version of this page

Abilitazione dell'autenticazione a più fattori per AWS Microsoft AD gestito - Servizio di directory AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione dell'autenticazione a più fattori per AWS Microsoft AD gestito

Puoi abilitare l'autenticazione a più fattori (MFA) per la tua directory AWS Managed Microsoft AD per aumentare la sicurezza quando gli utenti specificano le proprie credenziali AD per accedere alle applicazioni Amazon Enterprise supportate. Quando si abilita la MFA, gli utenti inseriscono i propri nome utente e password (primo fattore) come di consueto, quindi devono inserire anche un codice di autenticazione (secondo fattore), fornito dalla soluzione MFA virtuale o dell'hardware. Tutti questi fattori forniscono maggiore sicurezza impedendo l'accesso alle applicazioni Amazon Enterprise, a meno che gli utenti non forniscano credenziali valide e un codice MFA valido.

Per abilitare MFA, è necessario disporre di una soluzione MFA che funge da server Remote Authentication Dial-In User Service (RADIUS) oppure disporre di un plug-in MFA per un server RADIUS già implementato nell'infrastruttura on-premise. La soluzione MFA deve implementare i codici d'accesso monouso (OTP, One Time Passcode) che gli utenti ottengono da un dispositivo hardware o dal software in esecuzione su un dispositivo, ad esempio un telefono cellulare.

RADIUS è un client/server protocollo standard del settore che fornisce l'autenticazione, l'autorizzazione e la gestione contabile per consentire agli utenti di connettersi ai servizi di rete. AWS Microsoft AD gestito include un client RADIUS che si connette al server RADIUS su cui è stata implementata la soluzione MFA. Il server RADIUS convalida il nome utente e il codice OTP. Se il server RADIUS convalida correttamente l'utente, AWS Managed Microsoft AD autentica l'utente con Active Directory. Una volta completata l'autenticazione con Active Directory, gli utenti possono quindi accedere all'applicazione. AWS La comunicazione tra il client Microsoft AD RADIUS AWS gestito e il server RADIUS richiede la configurazione di gruppi AWS di sicurezza che abilitano la comunicazione sulla porta 1812.

È possibile abilitare l'autenticazione a più fattori per la directory AWS Managed Microsoft AD eseguendo la procedura seguente. Per ulteriori informazioni su come configurare il server RADIUS per il funzionamento con Directory Service e MFA, consulta Multi-factor prerequisiti di autenticazione.

Considerazioni

Di seguito sono riportate alcune considerazioni sull'autenticazione a più fattori per Managed AWS Microsoft AD:

Abilita l'autenticazione a più fattori per AWS Microsoft AD gestito

La procedura seguente mostra come abilitare l'autenticazione a più fattori per AWS Managed Microsoft AD.

  1. Identifica l'indirizzo IP del tuo server RADIUS MFA e della tua directory AWS Managed Microsoft AD.

  2. Modifica i gruppi di sicurezza Virtual Private Cloud (VPC) per abilitare le comunicazioni sulla porta 1812 tra gli endpoint IP AWS Microsoft AD gestiti e il server MFA RADIUS.

  3. Nel riquadro di navigazione della console AWS Directory Service, seleziona Directory.

  4. Scegli il link ID della directory per la tua directory AWS Managed Microsoft AD.

  5. Nella pagina Dettaglio report, procedi in uno dei seguenti modi:

    • Se hai più regioni visualizzate in fase di Multi-Regionreplica, seleziona la regione in cui desideri abilitare l'MFA, quindi scegli la scheda Rete e sicurezza. Per ulteriori informazioni, consulta Regioni primarie e regioni aggiuntive.

    • Se non sono presenti regioni in fase di Multi-Regionreplica, scegli la scheda Rete e sicurezza.

  6. Nella sezione di Multi-factor autenticazione, scegli Azioni, quindi scegli Abilita.

  7. Fornire i seguenti valori nella pagina Enable multi-factor authentication (MFA) (Abilita l'autenticazione a più fattori (MFA)):

    Display label (Visualizza etichetta)

    Indicare un nome per l'etichetta.

    RADIUS server DNS name or IP addresses (Indirizzi IP o nome DNS del server RADIUS)

    Gli indirizzi IP degli endpoint del server RADIUS o l'indirizzo IP del sistema di bilanciamento del carico del server RADIUS. Puoi inserire più indirizzi IP separandoli con una virgola (ad esempio, 192.0.0.0,192.0.0.12 o2001:db8::1,2001:db8::2).

    Importante

    Le directory create dopo il 7 ottobre 2025 richiedono che i server RADIUS utilizzati per l'autenticazione a più fattori siano instradabili attraverso la configurazione di rete del VPC. Se il server RADIUS non è accessibile tramite le tabelle di routing, i gruppi di sicurezza e gli ACL di rete del VPC, l'autenticazione a più fattori avrà esito negativo durante i controlli di autenticazione a più fattori. Per risolvere questo problema, assicurati che:

    • Routing di rete: le tabelle di routing VPC consentono al traffico di raggiungere il server RADIUS dalle sottoreti in cui sono distribuite le istanze di AWS directory Microsoft AD gestite.

    • ACL di rete: gli ACL della rete di sottorete consentono il traffico bidirezionale del server RADIUS. to/from

    • Internet Gateway/NAT: se il tuo server RADIUS è connesso a Internet, assicurati che il tuo VPC disponga di un gateway Internet o di una configurazione del gateway NAT appropriata per le sottoreti di directory. Se il tipo di rete è IPv4, è necessario che il NAT e il gateway Internet siano configurati con il VPC.

    Nota

    RADIUS MFA è applicabile solo per autenticare l'accesso a o Console di gestione AWS ad applicazioni e servizi Amazon Enterprise come Amazon Quick o WorkSpaces Amazon Chime. Le applicazioni e i servizi Amazon Enterprise sono supportati nella regione principale solo se la Multi-Region replica è configurata per AWS Managed Microsoft AD. Non fornisce MFA ai carichi di lavoro Windows in esecuzione su istanze EC2 o per l'accesso a un'istanza EC2. Directory Service non supporta l'autenticazione RADIUS. Challenge/Response

    Quando inseriscono nome utente e password, gli utenti devono disporre del proprio codice MFA. In alternativa, è necessario utilizzare una soluzione che esegua l'autenticazione MFA fuori banda, ad esempio notifiche push o password monouso (OTP) di autenticazione per l'utente. Nelle soluzioni MFA fuori banda, accertarsi di impostare il valore di timeout RADIUS in maniera appropriata per la soluzione. Durante l’utilizzo di una soluzione MFA fuori banda, la pagina di accesso richiederà all’utente un codice MFA. In questo caso, gli utenti devono inserire la loro password nel campo password e nel campo MFA.

    Porta

    La porta utilizzata dal server RADIUS per le comunicazioni. La rete locale deve consentire il traffico in entrata attraverso la porta server RADIUS predefinita () proveniente dai server. UDP:1812 Directory Service

    Shared secret code (Codice segreto condiviso)

    Il codice segreto condiviso specificato quando sono stati creati gli endpoint RADIUS.

    Confirm shared secret code (Conferma codice segreto condiviso)

    Conferma il codice segreto condiviso per gli endpoint RADIUS.

    Protocollo

    Seleziona il protocollo specificato quando sono stati creati gli endpoint RADIUS.

    Server timeout (in seconds) (Timeout del server (in secondi))

    Il periodo di tempo, in secondi, per cui il server RADIUS attende una risposta. Il valore deve essere compreso tra 1 e 50.

    Nota

    Ti consigliamo di configurare il timeout del server RADIUS su un massimo di 20 secondi. Se il timeout supera i 20 secondi, il sistema non può riprovare con un altro server RADIUS e potrebbe causare un errore di timeout.

    Max RADIUS request retries (Numero massimo di tentativi di richieste RADIUS)

    Il numero di volte per cui viene tentata la comunicazione con il server RADIUS. Il valore deve essere compreso tra 0 e 10.

    Multi-factor l'autenticazione è disponibile quando lo stato RADIUS cambia in Enabled.

  8. Scegli Abilita .