为 AWS 托管的 Microsoft AD 启用多因素身份验证

您可以为 AWS 托管 Microsoft AD 目录启用多重身份验证 (MFA)，以便在用户指定其 AD 凭证访问支持的亚马逊企业应用程序时提高安全性。启用后MFA，您的用户将像往常一样输入他们的用户名和密码（第一要素），他们还必须输入从您的虚拟解决方案或硬件MFA解决方案中获得的身份验证码（第二个因素）。除非用户提供有效的用户证书和有效的MFA代码，否则这些因素共同阻止访问您的 Amazon Enterprise 应用程序，从而提供了额外的安全性。

要启用MFA，你必须有一个MFA解决方案，即远程身份验证拨入用户服务 (RADIUS) 服务器，或者你必须有一个已在本地基础架构中实现的RADIUS服务器MFA插件。您的MFA解决方案应实现用户从硬件设备或移动电话等设备上运行的软件获取的一次性密码 (OTP)。

RADIUS是一种行业标准的客户机/服务器协议，它提供身份验证、授权和记账管理，使用户能够连接到网络服务。 AWS 托管 Microsoft AD 包括一个RADIUS客户端，该客户端可以连接到你在其上实施MFA解决方案的RADIUS服务器。您的RADIUS服务器会验证用户名和OTP代码。如果您的RADIUS服务器成功验证了用户， AWS Microsoft AD 将根据活动目录对用户进行身份验证。成功进行 Active Directory 身份验证后，用户就可以访问该 AWS 应用程序了。 AWS 托管 Microsoft AD RADIUS 客户端与您的RADIUS服务器之间的通信要求您配置 AWS 安全组，以启用通过端口 1812 进行通信。

您可以通过执行以下步骤为 AWS 托管 Microsoft AD 目录启用多因素身份验证。有关如何配置RADIUS服务器以使用 AWS Directory Service 和的更多信息MFA，请参阅多重身份验证先决条件。

注意事项

以下是 AWS 托管 Microsoft AD 的多因素身份验证的一些注意事项：

多重身份验证对 Simple AD 不可用。但是，MFA可以为您的 AD Connector 目录启用。有关更多信息，请参阅为 AD Connector 启用多因素身份验证。
MFA是 Microsoft AWS 托管 AD 的区域性功能。如果您使用的是多区域复制，则只能MFA在 AWS 托管 Microsoft AD 的主区域中使用。
如果您打算使用 AWS 托管 Microsoft AD 进行外部通信，我们建议您在网络外部为这些通信配置网络地址转换 (NAT) Internet Gateway 或 Internet Gateway。 AWS
- 如果您希望支持 AWS 托管的 Microsoft AD 与 AWS 网络上托管的RADIUS服务器之间的外部通信，请联系AWS Support。
所有亚马逊企业 IT 应用程序 WorkSpaces，包括亚马逊、亚马逊 WorkDocs WorkMail QuickSight、亚马逊，以及使用 AWS 托管 Microsoft AD AWS IAM Identity Center 和 AWS Management Console AD Connector 时支持访问和支持MFA。
- 有关如何配置用户对 Amazon Enterprise 应用程序的基本访问权限、 AWS 单点登录和 AWS Management Console 使用的信息 AWS Directory Service，请参阅从你的 AWS 托管 Microsoft AD 访问 AWS 应用程序和服务和启用 AWS Management Console 使用 AWS 托管微软 AD 凭据进行访问。
- 请参阅以下 AWS 安全博客文章，了解如何在托管 Microsoft AD 上MFA为亚马逊 WorkSpaces 用户启用，如何使用 AWSAWS 托管 Microsoft AD 和本地凭证为 AWS 服务启用多因素身份验证

为 AWS Managed Microsoft AD 启用多重身份验证

以下过程向您展示如何为 AWS 托管 Microsoft AD 启用多因素身份验证。

识别RADIUSMFA服务器的 IP 地址和 AWS 托管 Microsoft AD 目录。
编辑您的虚拟私有云 (VPC) 安全组，以启用 AWS 托管的 Microsoft AD IP 端点和RADIUSMFA服务器之间通过端口 1812 进行通信。
在 AWS Directory Service 控制台导航窗格中，选择目录。
为你的 AWS 托管 Microsoft AD 目录选择目录 ID 链接。
在报告详细信息页面上，执行以下操作之一：
- 如果您在 “多区域复制” 下显示了多个区域，请选择要启用的区域MFA，然后选择 “网络和安全” 选项卡。有关更多信息，请参阅主区域与其他区域。
- 如果多区域复制下未显示任何区域，选择网络与安全选项卡。
在多重验证部分中，选择操作，然后选择启用。
在启用多因素身份验证 (MFA) 页面上，提供以下值：

显示标签

提供标签名称。

RADIUS服务器DNS名称或 IP 地址

RADIUS服务器端点的 IP 地址或RADIUS服务器负载均衡器的 IP 地址。可以输入多个 IP 地址，用逗号分隔开（例如 192.0.0.0,192.0.0.12）。

注意
RADIUSMFA仅适用于对亚马逊企业应用程序和服务（例如 WorkSpaces亚马逊或 Amazon Chime QuickSight）的身份验证访问权限。 AWS Management Console只有为 AWS 托管 Microsoft AD 配置了多区域复制时，主区域才支持亚马逊企业应用程序和服务。它不提供MFA在EC2实例上运行的 Windows 工作负载，也不提供用于登录EC2实例的工作负载。 AWS Directory Service 不支持RADIUS质询/响应身份验证。
用户在输入用户名和密码时必须有自己的MFA代码。或者，您必须使用能够为用户执行SMS文本验证之MFA out-of-band类的解决方案。在 out-of-bandMFA解决方案中，必须确保为解决方案正确设置RADIUS超时值。使用 out-of-bandMFA解决方案时，登录页面将提示用户输入MFA代码。在这种情况下，用户必须在密码字段和字段中输入密码。MFA

端口

您的RADIUS服务器用于通信的端口。您的本地网络必须允许服务器通过默认RADIUS服务器端口 (: 1812UDP) 的入站流量。 AWS Directory Service

Shared secret code

创建RADIUS终端节点时指定的共享密码。

Confirm shared secret code (确认共享密码)

确认您的RADIUS终端节点的共享密码。

协议

选择创建RADIUS终端节点时指定的协议。

服务器超时（以秒为单位）

等待RADIUS服务器响应的时间（以秒为单位）。此值必须介于 1 和 50 之间。

注意
我们建议将RADIUS服务器超时配置为 20 秒或更短。如果超时时间超过 20 秒，则系统无法在另一RADIUS台服务器上重试，并可能导致超时失败。

最大RADIUS请求重试次数

尝试与RADIUS服务器通信的次数。此值必须介于 0 和 10 之间。

当 “RADIUS状态” 更改为 “启用” 时，多因素身份验证可用。
请选择启用。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

委派谁可以管理你的密码策略

启用安全LDAP或 LDAPS