Client VPN 中的 Active Directory 身份验证

Client VPN 通过与集成来提供活动目录支持 AWS Directory Service。借助 Active Directory 身份验证，客户端可对照现有 Active Directory 组进行身份验证。使用 AWS Directory Service，Client VPN 可以连接到本地网络中 AWS 或内部网络中配置的现有活动目录。这样，您就可以使用您的现有客户端身份验证基础结构。如果您使用的是本地 Active Directory，并且没有现有的 AWS 托管 Microsoft AD，则必须配置 Active Directory 连接器（AD Connector）。您可以使用一个 Active Directory 服务器对用户进行身份验证。有关 Active Directory 集成的更多信息，请参阅 AWS Directory Service 管理指南。

为 AWS 托管的 Microsoft AD 或 AD Connector 启用多重身份验证（MFA）后，Client VPN 支持多重身份验证（MFA）。如果启用了 MFA，客户端在连接到 Client VPN 端点时必须输入用户名、密码和 MFA 代码。有关启用 MFA 的更多信息，请参阅 AWS Directory Service 管理指南中的为 AWS 托管的 Microsoft AD 启用多重身份验证和为 AD Connector 启用多重身份验证。

有关在 Active Directory 中配置用户和组的配额和规则，请参阅用户和组配额。