为 Amazon Managed Microsoft AD 启用多重身份验证
您可以为 Amazon Managed Microsoft AD 目录启用多重身份验证(MFA),以提高您的用户指定其 AD 凭证来访问 Supported Amazon Enterprise 应用程序时的安全性。启用 MFA 后,您的用户如常输入其用户名和密码 (第一安全要素),它们还必须输入通过您的虚拟或硬件 MFA 解决方案获取的身份验证代码 (第二安全要素)。除非用户提供有效的用户凭证和 MFA 代码,否则这些安全要素将通过阻止对您的 Amazon 企业应用程序的访问来提高安全性。
要启用 MFA,您必须具有属于远程身份验证拨入用户服务
RADIUS 是一种行业标准客户端/服务器协议,提供身份验证、授权和账户管理,以使用户能够连接到网络服务。AmazonManaged Microsoft AD 包括一个 RADIUS 客户端,此客户端将连接到您在其上已实现 MFA 解决方案的 RADIUS 服务器。您的 RADIUS 服务器将验证用户名和 OTP 代码。如果您的 RADIUS 服务器成功验证用户,之后 Amazon Managed Microsoft AD 将针对 Active Directory 对用户进行身份验证。Active Directory 身份验证成功后,用户之后可访问 Amazon 应用程序。Amazon Managed Microsoft AD RADIUS 客户端与 RADIUS 服务器之间的通信需要您配置 Amazon 安全组,以允许通过端口 1812 通信。
您可以通过执行以下过程为 Amazon Managed Microsoft AD 目录启用多重身份验证。有关如何配置 RADIUS 服务器以使用 Amazon Directory Service 和 MFA 的更多信息,请参阅多重身份验证先决条件。
注意事项
以下是对 Amazon Managed Microsoft AD 进行多重身份验证时的一些注意事项:
-
多重身份验证对 Simple AD 不可用。但是,可为 AD Connector 目录启用 MFA。有关更多信息,请参阅 为 AD Connector 启用多重身份验证。
-
MFA 是 Amazon Managed Microsoft AD 的一项区域性功能。如果您使用的是多区域复制,则只能在 Amazon Managed Microsoft AD 的主区域中使用 MFA。
-
如果您打算使用 Amazon Managed Microsoft AD 进行外部通信,我们建议您为这些通信配置一个网络地址转换(NATI)互联网网关或 Amazon 网络外部的互联网网关。
-
如果您希望支持 Amazon Managed Microsoft AD 与 Amazon 网络上托管的 RADIUS 服务器之间的外部通信,请联系 Amazon Web Services Support
。
-
-
将 Amazon Managed Microsoft AD 和 AD Connector 与 MFA 结合使用时,所有 Amazon Enterprise IT 应用程序(包括 WorkSpaces、Amazon WorkDocs、Amazon WorkMail、Amazon QuickSight)以及对 Amazon IAM Identity Center 和 Amazon Web Services Management Console 的访问均受支持。
-
有关如何使用 Amazon Directory Service 配置对 Amazon 企业应用程序、Amazon Single Sign-On 和 Amazon Web Services Management Console的基本用户访问权限的信息,请参阅通过 Amazon Managed Microsoft AD 访问 Amazon 应用程序和服务和使用 Amazon Managed Microsoft AD 凭证启用 Amazon Web Services Management Console访问权限。
-
请参阅以下 Amazon 安全博客文章,了解如何在 Amazon Managed Microsoft AD 上为 Amazon WorkSpaces 用户启用 MFA,如何使用 Amazon Managed Microsoft AD 和本地凭证为 Amazon 服务启用多重身份验证
-
为 Amazon Managed Microsoft AD 启用多重身份验证
以下过程介绍如何为 Amazon Managed Microsoft AD 启用多重身份验证。
-
确定您的 RADIUS MFA 服务器的 IP 地址和 Amazon Managed Microsoft AD 目录。
-
编辑 Virtual Private Cloud(VPC)安全组以允许 Amazon Managed Microsoft AD IP 端点和 RADIUS MFA 服务器之间通过端口 1812 的通信。
-
在 Amazon Directory Service 控制台
导航窗格中,选择目录。 -
选择 Amazon Managed Microsoft AD 目录的目录 ID 链接。
-
在报告详细信息页面上,执行以下操作之一:
-
如果多区域复制下显示多个区域,选择想要启用 MFA 的区域,然后选择网络与安全选项卡。有关更多信息,请参阅 主区域与其他区域。
-
如果多区域复制下未显示任何区域,选择网络与安全选项卡。
-
-
在多重验证部分中,选择操作,然后选择启用。
-
在启用多重身份验证(MFA)页面上,提供以下值:
- 显示标签
-
提供标签名称。
- RADIUS 服务器 DNS 名称或 IP 地址
-
您的 RADIUS 服务器终端节点的 IP 地址或者您的 RADIUS 服务器负载均衡器的 IP 地址。可以输入多个 IP 地址,用逗号分隔开(例如
192.0.0.0,192.0.0.12
)。注意
RADIUS MFA 仅适用于对 Amazon Web Services Management Console 或 Amazon Enterprise 应用程序和服务(例如 WorkSpaces、Amazon QuickSight 或 Amazon Chime)的访问进行身份验证。如果为 Amazon Managed Microsoft AD 配置了多区域复制,则只有主区域中支持 Amazon Enterprise 应用程序和服务。其不为在 EC2 实例上运行的 Windows 工作负载提供 MFA,也不会为登录 EC2 实例提供 MFA。Amazon Directory Service 不支持 RADIUS 质询/响应身份验证。
用户在输入其用户名和密码时必须拥有 MFA 代码。或者,您必须使用可执行带外 MFA 的解决方案,例如对用户进行 SMS 文本验证。在带外 MFA 解决方案中,必须确保为您的解决方案设置适当的 RADIUS 超时值。使用带外 MFA 解决方案时,登录页面将提示用户输入 MFA 代码。在这种情况下,用户必须在密码字段和 MFA 字段中均输入密码。
- 端口
-
RADIUS 服务器用来通信的端口。您的本地网络必须允许通过默认的 RADIUS 服务器端口(UDP:1812)从 Amazon Directory Service 服务器传入入站流量。
- Shared secret code
-
在创建 RADIUS 终端节点时指定的共享密码。
- Confirm shared secret code (确认共享密码)
-
确认您的 RADIUS 终端节点的共享密码。
- 协议
-
选择在创建 RADIUS 终端节点时指定的协议。
- 服务器超时(以秒为单位)
-
等待 RADIUS 服务器响应的时间长度 (以秒为单位)。此值必须介于 1 和 50 之间。
注意
我们建议将 RADIUS 服务器超时配置为 20 秒或更短。如果超时超过 20 秒,则系统无法使用其他 RADIUS 服务器重试,并可能导致超时失败。
- RADIUS 请求最大重试次数
-
将尝试与 RADIUS 服务器通信的次数。此值必须介于 0 和 10 之间。
当 RADIUS Status 更改为 Enabled 时,多重验证将可用。
-
请选择 启用。