As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Habilitando a autenticação multifatorial para AWS Microsoft AD gerenciado
Você pode ativar a autenticação multifator (MFA) para seu diretório AWS gerenciado do Microsoft AD para aumentar a segurança quando seus usuários especificarem suas credenciais do AD para acessar aplicativos Amazon Enterprise compatíveis. Quando você habilita a MFA, os usuários inserem nome de usuário e senha (primeiro fator) normalmente, depois inserem um código de autenticação (segundo fator) obtido pela sua solução de MFA virtual ou de hardware. Esses fatores juntos proporcionam segurança adicional, impedindo o acesso aos seus aplicativos empresariais da Amazon, a menos que os usuários informem credenciais válidas e um código válido de MFA.
Para habilitar a MFA, é necessário ter uma solução de MFA que seja um servidor Remote Authentication Dial-in User Service
O RADIUS é um client/server protocolo padrão do setor que fornece gerenciamento de autenticação, autorização e contabilidade para permitir que os usuários se conectem aos serviços de rede. AWS O Microsoft AD gerenciado inclui um cliente RADIUS que se conecta ao servidor RADIUS no qual você implementou sua solução de MFA. Seu servidor RADIUS valida o nome de usuário e código OTP. Se o servidor RADIUS validar com êxito o usuário, o Managed AWS Microsoft AD autenticará o usuário no Active Directory. Depois da autenticação bem-sucedida no Active Directory, os usuários podem acessar a aplicação da AWS . A comunicação entre o cliente Microsoft AD RADIUS AWS gerenciado e seu servidor RADIUS exige que você configure grupos de AWS segurança que permitam a comunicação pela porta 1812.
Você pode habilitar a autenticação multifator para seu diretório AWS gerenciado do Microsoft AD executando o procedimento a seguir. Para obter mais informações sobre como configurar seu servidor RADIUS para funcionar com Directory Service e MFA, consulte Multi-factor pré-requisitos de autenticação.
Considerações
Confira estas considerações sobre a autenticação multifator no AWS Managed Microsoft AD:
-
Multi-factor a autenticação não está disponível para o Simple AD. No entanto, o MFA pode ser habilitado para seu diretório do AD Connector. Para obter mais informações, consulte Como habilitar a autenticação multifator para o AD Connector.
-
O MFA é um recurso regional do Managed AWS Microsoft AD. Se você estiver usando Multi-Region a replicação, só poderá usar o MFA na região primária do seu Microsoft AD AWS gerenciado.
-
Se você pretende usar o Microsoft AD AWS gerenciado para comunicações externas, recomendamos que você configure um Gateway de Internet de Tradução de Endereços de Rede (NAT) ou um Gateway de Internet fora da AWS rede para essas comunicações.
-
Se você deseja oferecer suporte a comunicações externas entre seu Microsoft AD AWS gerenciado e seu servidor RADIUS hospedado na AWS rede, entre em contato com Suporte
.
-
-
Todos os aplicativos de TI da Amazon Enterprise WorkSpaces WorkDocs, incluindo Amazon WorkMail, Amazon Quick e acesso Centro de Identidade do AWS IAM e Console de gerenciamento da AWS são suportados ao usar o Microsoft AD AWS gerenciado e o AD Connector com MFA. Esses AWS aplicativos que usam MFA não são suportados em várias regiões.
Para obter mais informações, consulte Como habilitar a autenticação multifator para AWS serviços usando o Microsoft AD AWS gerenciado e credenciais locais
. -
Para obter informações sobre como configurar o acesso básico do usuário aos aplicativos Amazon Enterprise, AWS Single Sign-On and the Console de gerenciamento da AWS using Directory Service, consulte Acesso a AWS aplicativos e serviços do seu AWS Microsoft AD gerenciado Habilitando Console de gerenciamento da AWS o acesso com credenciais AWS gerenciadas do Microsoft AD e.
-
Veja a seguir esta postagem do Blog de AWS Segurança para saber como habilitar o MFA para WorkSpaces usuários da Amazon em seu AWS Microsoft AD gerenciado, como habilitar a autenticação multifator para AWS serviços usando o AWS Microsoft AD gerenciado
e credenciais locais
-
Habilite a autenticação multifatorial para AWS Microsoft AD gerenciado
O procedimento a seguir mostra como habilitar a autenticação multifator para o AWS Managed Microsoft AD.
-
Identifique o endereço IP do seu servidor RADIUS MFA e seu diretório AWS gerenciado do Microsoft AD.
-
Edite seus grupos de segurança da Virtual Private Cloud (VPC) para permitir a comunicação pela porta 1812 entre seus endpoints IP gerenciados AWS do Microsoft AD e seu servidor RADIUS MFA.
-
No painel de navegação do console do AWS Directory Service
selecione Diretórios. -
Escolha o link da ID do diretório para seu diretório AWS gerenciado do Microsoft AD.
-
Na página Detalhes do diretório, siga um destes procedimentos:
-
Se você tiver várias regiões exibidas em Multi-Regionreplicação, selecione a região em que deseja habilitar a MFA e, em seguida, escolha a guia Rede e segurança. Para obter mais informações, consulte Regiões principais versus adicionais.
-
Se você não tiver nenhuma região exibida em Multi-Regionreplicação, escolha a guia Rede e segurança.
-
-
Na seção Multi-factor Autenticação, escolha Ações e, em seguida, selecione Habilitar.
-
Na página Habilitar a autenticação multifator (MFA), forneça os seguintes valores:
- Rótulo de exibição
-
Forneça um nome de rótulo.
- Nome de DNS ou endereços IP do servidor RADIUS
-
O load balancer dos endpoints do servidor RADIUS ou do endereço IP do servidor RADIUS. Você pode inserir vários endereços IP separando-os com uma vírgula (por exemplo,
192.0.0.0,192.0.0.12ou2001:db8::1,2001:db8::2).Importante
Os diretórios criados após 7 de outubro de 2025 exigem que os servidores RADIUS usados para autenticação multifatorial sejam roteáveis por meio da configuração de rede da sua VPC. Se seu servidor RADIUS não estiver acessível por meio das tabelas de roteamento, grupos de segurança e ACLs de rede da VPC, a autenticação multifator falhará durante as verificações de autenticação multifator. Para resolver esse problema, certifique-se de que:
-
Roteamento de rede: suas tabelas de rotas de VPC permitem que o tráfego chegue ao seu servidor RADIUS a partir das sub-redes nas quais AWS suas instâncias de diretório gerenciadas do Microsoft AD estão implantadas.
-
ACLs de rede: suas ACLs de rede de sub-rede permitem tráfego bidirecional em seu servidor RADIUS. to/from
-
Internet Gateway/NAT: se seu servidor RADIUS estiver voltado para a Internet, certifique-se de que sua VPC tenha uma configuração apropriada de gateway de Internet ou gateway NAT para as sub-redes do diretório. Se seu tipo de rede for IPv4, você precisará ter o NAT e o gateway de internet configurados com sua VPC.
nota
O RADIUS MFA é aplicável somente para autenticar Console de gerenciamento da AWS o acesso aos aplicativos e serviços da Amazon Enterprise WorkSpaces, como Amazon Quick ou Amazon Chime. Os aplicativos e serviços da Amazon Enterprise só são suportados na região primária se a Multi-Region replicação estiver configurada para seu Microsoft AD AWS gerenciado. Ele não fornece MFA para cargas de trabalho do Windows em execução em instâncias do EC2 nem para login em uma instância do EC2. Directory Service não oferece suporte à Challenge/Response autenticação RADIUS.
Os usuários devem ter o código de MFA no momento em que inserem o nome de usuário e a senha. Como alternativa, você deve usar uma solução que execute MFA out-of-band, como o envio de uma notificação push ou de uma senha de uso único do autenticador (OTP) para o usuário. Em soluções de MFA out-of-band, é necessário definir o valor de tempo limite do RADIUS de forma adequada para sua solução. Ao usar uma solução de MFA out-of-band, a página de login solicitará ao usuário um código de MFA. Nesse caso, os usuários devem inserir a senha no campo de senha e no campo de MFA.
-
- Porta
-
A porta que o servidor RADIUS está usando para comunicações. Sua rede local deve permitir tráfego de entrada pela porta padrão do servidor RADIUS (UDP:1812) dos servidores. Directory Service
- Shared secret code (Código secreto compartilhado)
-
O código secreto compartilhado que foi especificado quando os endpoints do RADIUS foram criados.
- Confirm shared secret code (Confirmar código secreto compartilhado)
-
Confirme o código secreto compartilhado para os endpoints do RADIUS.
- Protocolo
-
Selecione o protocolo que foi especificado quando os endpoints do RADIUS foram criados.
- Tempo limite do servidor (em segundos)
-
O tempo de espera, em segundos, para o servidor RADIUS responder. Esse valor deve estar entre 1 e 50.
nota
Recomendamos configurar o tempo limite do servidor RADIUS para 20 segundos ou menos. Se o tempo limite exceder 20 segundos, o sistema não poderá tentar novamente com outro servidor RADIUS, o que poderá resultar em uma falha de tempo limite.
- Máximo de novas tentativas de solicitação RADIUS
-
O número de tentativas de comunicação com o servidor RADIUS. Esse valor deve estar entre 0 e 10.
Multi-factor a autenticação está disponível quando o status RADIUS muda para Ativado.
-
Escolha Habilitar.