AD Connector の多要素認証の有効化

AD Connector のMulti-Factor Authenticationを有効にするには

1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ) をクリックします。

2. AD Connector ディレクトリのディレクトリ ID リンクをクリックします。

3. [Directory details] (ディレクトリの詳細) ページで、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

4. [Multi-factor authentication] セクションで、[Actions] (アクション)、[Enable] (有効化) の順に選択します。

5. 多要素認証を有効にする (MFA） ページで、次の値を指定します。

   [Display label] (表示ラベル)

   ラベル名を指定します。

   RADIUS サーバーDNS名または IP アドレス

   RADIUS サーバーエンドポイントの IP アドレス、またはRADIUSサーバーロードバランサーの IP アドレス。カンマで区切って、複数の IP アドレスを入力できます (例えば、192.0.0.0,192.0.0.12)。

   注記

   RADIUS MFA は、、 AWS Management Console、、Amazon QuickSightChime などの Amazon Enterprise WorkSpacesアプリケーションおよびサービスへのアクセスを認証する場合にのみ適用できます。EC2 インスタンスで実行されている MFA Windows ワークロード、またはEC2インスタンスへのサインインには提供されません。 AWS Directory Service はRADIUSチャレンジ/レスポンス認証をサポートしていません。

   ユーザーは、ユーザー名とパスワードを入力するときにMFAコードを持っている必要があります。または、ユーザーのSMSテキスト検証MFA out-of-bandなどの を実行するソリューションを使用する必要があります。 out-of-band MFA ソリューションでは、ソリューションにRADIUSタイムアウト値を適切に設定する必要があります。MFA ソリューションを使用すると out-of-band、サインインページにMFAコードの入力が求められます。この場合のベストプラクティスは、ユーザーがパスワードフィールドと MFA フィールドの両方にパスワードを入力することです。

   [ポート]

   RADIUS サーバーが通信に使用するポート。オンプレミスネットワークでは、 AWS Directory Service サーバーからのデフォルトのRADIUSサーバーポート (UDP:1812) を介したインバウンドトラフィックを許可する必要があります。

   [Shared secret code] (共有シークレットコード)

   RADIUS エンドポイントの作成時に指定された共有シークレットコード。

   [Confirm shared secret code] (共有シークレットコードの確認)

   RADIUS エンドポイントの共有シークレットコードを確認します。

   [プロトコル]

   RADIUS エンドポイントの作成時に指定されたプロトコルを選択します。

   [Server timeout (in seconds)] (サーバータイムアウト (秒単位))

   RADIUS サーバーが応答するまでの秒単位の待機時間。これは 1～50 の範囲の値にする必要があります。

   最大RADIUSリクエスト再試行回数

   RADIUS サーバーとの通信が試行された回数。これは 0～10 の範囲の値にする必要があります。

   多要素認証は、RADIUSステータスが Enabled に変わったときに使用できます。

6. [Enable] (有効化) を選択します。