Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activation de l'authentification multifactorielle pour AWS Microsoft AD géré
Vous pouvez activer l'authentification multifactorielle (MFA) pour votre annuaire Microsoft AD AWS géré afin de renforcer la sécurité lorsque vos utilisateurs spécifient leurs informations d'identification AD pour accéder aux applications Amazon Enterprise prises en charge. Lorsque vous activez la MFA, vos utilisateurs saisissent leur nom d'utilisateur et leur mot de passe (premier facteur), comme ils en ont l'habitude, mais ils doivent également saisir un code d'authentification (deuxième facteur) qui leur est fourni par votre solution MFA matérielle ou virtuelle. Ensemble, ces facteurs offrent une sécurité supplémentaire en empêchant l'accès à vos applications d'entreprise Amazon si les utilisateurs ne sont pas en mesure d'indiquer des informations d'identification utilisateur valides et un code MFA valide.
Pour activer l'authentification MFA, vous devez posséder une solution MFA qui est un serveur Remote authentication dial-in user service
RADIUS est un client/server protocole standard qui assure l'authentification, l'autorisation et la gestion de la comptabilité afin de permettre aux utilisateurs de se connecter aux services réseau. AWS Managed Microsoft AD inclut un client RADIUS qui se connecte au serveur RADIUS sur lequel vous avez implémenté votre solution MFA. Votre serveur RADIUS valide le nom d'utilisateur et le code secret unique. Si votre serveur RADIUS valide correctement l'utilisateur, AWS Managed Microsoft AD authentifie ensuite l'utilisateur auprès d'Active Directory. Une fois l'authentification Active Directory réussie, les utilisateurs peuvent accéder à l' AWS application. La communication entre le client Microsoft AD RADIUS AWS géré et votre serveur RADIUS nécessite que vous configuriez des groupes AWS de sécurité qui permettent la communication via le port 1812.
Vous pouvez activer l'authentification multifactorielle pour votre annuaire Microsoft AD AWS géré en suivant la procédure suivante. Pour plus d'informations sur la configuration de votre serveur RADIUS pour être utilisé avec Directory Service et MFA, veuillez consulter Multi-factor prérequis d'authentification.
Considérations
Voici quelques considérations relatives à l'authentification multifactorielle pour votre Microsoft AD AWS géré :
-
Multi-factor l'authentification n'est pas disponible pour Simple AD. Toutefois, l'authentification MFA peut être activée pour votre annuaire AD Connector. Pour de plus amples informations, veuillez consulter Activation de l'authentification multifactorielle pour AD Connector.
-
Le MFA est une fonctionnalité régionale de Managed AWS Microsoft AD. Si vous utilisez Multi-Region la réplication, vous ne pourrez utiliser l'authentification MFA que dans la région principale de votre AWS Microsoft AD géré.
-
Si vous avez l'intention d'utiliser AWS Managed Microsoft AD pour les communications externes, nous vous recommandons de configurer une passerelle Internet ou une passerelle Internet de traduction d'adresses réseau (NAT) en dehors du AWS réseau pour ces communications.
-
Si vous souhaitez prendre en charge les communications externes entre votre Microsoft AD AWS géré et votre serveur RADIUS hébergé sur le AWS réseau, veuillez contacter Support
.
-
-
Toutes les applications informatiques Amazon Enterprise WorkSpaces, y compris Amazon, Amazon WorkMail Quick WorkDocs, ainsi que l'accès à AWS IAM Identity Center Managed Microsoft AD et AD Connector avec MFA, AWS Management Console sont prises en charge lors de l'utilisation de AWS Managed Microsoft AD et AD Connector. Ces AWS applications utilisant le MFA ne sont pas prises en charge dans plusieurs régions.
Pour plus d'informations, consultez Comment activer l'authentification multifactorielle pour les AWS services à l'aide de AWS Managed Microsoft AD et des informations d'identification locales
. -
Pour plus d'informations sur la configuration de l'accès utilisateur de base aux applications Amazon Enterprise, AWS Single Sign-On and AWS Management Console the using Directory Service, consultez Accès à AWS applications et services de votre AWS Microsoft AD géré etActivation de AWS Management Console l'accès avec les informations d'identification Microsoft AD AWS gérées.
-
Consultez ce billet de blog sur la AWS sécurité suivant pour savoir comment activer l'authentification MFA pour les WorkSpaces utilisateurs d'Amazon sur votre compte AWS Microsoft AD géré, comment activer l'authentification multifactorielle pour les AWS services à l'aide de Managed AWS Microsoft AD et d'
informations d'identification sur site
-
Activez l'authentification multifactorielle pour AWS Microsoft AD géré
La procédure suivante explique comment activer l'authentification multifactorielle pour AWS Managed Microsoft AD.
-
Identifiez l'adresse IP de votre serveur MFA RADIUS et de votre répertoire AWS Managed Microsoft AD.
-
Modifiez vos groupes de sécurité Virtual Private Cloud (VPC) pour permettre les communications via le port 1812 entre vos points de terminaison IP AWS Microsoft AD gérés et votre serveur MFA RADIUS.
-
Dans le volet de navigation de la console AWS Directory Service
, sélectionnez Directories (Annuaires). -
Choisissez le lien d'ID de répertoire pour votre annuaire Microsoft AD AWS géré.
-
Sur la page Détails de l'annuaire, procédez de l'une des manières suivantes :
-
Si plusieurs régions apparaissent sous Multi-Regionréplication, sélectionnez la région dans laquelle vous souhaitez activer la MFA, puis choisissez l'onglet Réseau et sécurité. Pour de plus amples informations, veuillez consulter Régions principales et régions supplémentaires.
-
Si aucune région n'apparaît sous Multi-Regionréplication, choisissez l'onglet Réseau et sécurité.
-
-
Dans la section Multi-factor d'authentification, choisissez Actions, puis sélectionnez Activer.
-
Dans la page Activer l'authentification multifactorielle (MFA), indiquez les valeurs suivantes :
- Afficher l'étiquette
-
Indiquez un nom d'étiquette.
- Nom DNS ou adresses IP du serveur RADIUS
-
Adresses IP des points de terminaison de votre serveur RADIUS ou adresse IP de l'équilibreur de charge de votre serveur RADIUS. Vous pouvez saisir plusieurs adresses IP en les séparant par une virgule (par exemple,
192.0.0.0,192.0.0.12ou2001:db8::1,2001:db8::2).Important
Les annuaires créés après le 7 octobre 2025 nécessitent que les serveurs RADIUS utilisés pour l'authentification multifactorielle soient routables via la configuration réseau de votre VPC. Si votre serveur RADIUS n'est pas accessible via les tables de routage, les groupes de sécurité et les ACL réseau de votre VPC, l'authentification multifactorielle échouera lors des vérifications d'authentification multifactorielle. Pour résoudre ce problème, assurez-vous que :
-
Routage réseau : vos tables de routage VPC permettent au trafic d'atteindre votre serveur RADIUS depuis les sous-réseaux sur lesquels vos instances d'annuaire AWS Microsoft AD gérées sont déployées.
-
ACL réseau : les ACL de votre sous-réseau autorisent le trafic bidirectionnel vers to/from votre serveur RADIUS.
-
Internet Gateway/NAT : si votre serveur RADIUS est connecté à Internet, assurez-vous que votre VPC dispose d'une configuration de passerelle Internet ou de passerelle NAT appropriée pour les sous-réseaux de répertoires. Si votre type de réseau est IPv4, vous devez configurer le NAT et la passerelle Internet avec votre VPC.
Note
La MFA RADIUS s'applique uniquement pour authentifier l' AWS Management Console accès aux applications et services Amazon Enterprise tels qu'Amazon Quick ou WorkSpaces Amazon Chime. Les applications et services Amazon Enterprise ne sont pris en charge dans la région principale que si la Multi-Region réplication est configurée pour votre Microsoft AD AWS géré. Il ne fournit pas de MFA aux charges de travail Windows exécutées sur des instances EC2 ou pour la connexion à une instance EC2. Directory Service ne prend pas en charge Challenge/Response l'authentification RADIUS.
Les utilisateurs doivent disposer de leur code MFA au moment d'entrer leurs noms d'utilisateur et leurs mots de passe. Vous devez également utiliser une solution qui exécute l'authentification MFA hors bande, telle que les notifications push ou les mots de passe à usage unique (OTP) d'authentification pour l'utilisateur. Dans les solutions MFA hors bande, vous devez veiller à définir la valeur de délai d'attente RADIUS de manière adéquate en fonction de votre solution. Lorsque vous utilisez une solution MFA hors bande, la page de connexion invite l'utilisateur à saisir un code MFA. Dans ce cas, les utilisateurs doivent entrer leurs mots de passe dans la zone de mot de passe et dans la zone MFA.
-
- Port
-
Port que votre serveur RADIUS utilise pour les communications. Votre réseau local doit autoriser le trafic entrant via le port du serveur RADIUS par défaut (UDP:1812) en provenance des Directory Service serveurs.
- Shared secret code
-
Code secret partagé qui a été spécifié lorsque vos points de terminaison RADIUS ont été créés.
- Confirmer le code secret partagé
-
Confirmez le code secret partagé pour vos points de terminaison RADIUS.
- Protocole
-
Sélectionnez le protocole qui a été spécifié lorsque vos points de terminaison RADIUS ont été créés.
- Délai d'attente du serveur (en secondes)
-
Durée, en secondes, d'attente de la réponse du serveur RADIUS. La valeur doit être comprise entre 1 et 50.
Note
Nous vous recommandons de configurer le délai d'attente de votre serveur RADIUS à 20 secondes ou moins. Si le délai d'attente est supérieur à 20 secondes, le système ne peut pas réessayer avec un autre serveur RADIUS, ce qui peut entraîner un échec lié au délai d'attente.
- Nombre maximal de tentatives RADIUS
-
Nombre de tentatives de communication avec le serveur RADIUS. La valeur doit être comprise entre 0 et 10.
Multi-factor l'authentification est disponible lorsque le statut RADIUS passe à Activé.
-
Sélectionnez Activer.