Como habilitar a autenticação multifator no AWS Managed Microsoft AD
Você pode habilitar a autenticação multifator (MFA) para o diretório do AWS Managed Microsoft AD e aumentar a segurança quando os usuários especificarem suas credenciais do AD para acessar aplicações com suporte da Amazon Enterprise. Quando você habilita a MFA, os usuários inserem nome de usuário e senha (primeiro fator) normalmente, depois inserem um código de autenticação (segundo fator) obtido pela sua solução de MFA virtual ou de hardware. Esses fatores juntos proporcionam segurança adicional, impedindo o acesso aos seus aplicativos empresariais da Amazon, a menos que os usuários informem credenciais válidas e um código válido de MFA.
Para habilitar a MFA, é necessário ter uma solução de MFA que seja um servidor Remote Authentication Dial-in User Service
O RADIUS é um protocolo de cliente/servidor padrão da indústria que fornece autenticação, autorização e gerenciamento de contas para que os usuários se conectem com serviços de rede. AWS O Managed Microsoft AD inclui um cliente RADIUS que se conecta ao servidor RADIUS em que você implementou sua solução de MFA. Seu servidor RADIUS valida o nome de usuário e código OTP. Se o servidor RADIUS validar o usuário com êxito, o AWS Managed Microsoft AD então autenticará o usuário no Active Directory. Depois da autenticação bem-sucedida no Active Directory, os usuários podem acessar a aplicação da AWS. A comunicação entre o cliente do RADIUS do AWS Managed Microsoft AD e o servidor RADIUS exige que você configure grupos de segurança da AWS que permitam a comunicação pela porta 1812.
Você pode habilitar a autenticação multifator para seu diretório do AWS Managed Microsoft AD executando o procedimento a seguir. Para obter mais informações sobre como configurar seu servidor RADIUS para funcionar com Directory Service e MFA, consulte Pré-requisitos da autenticação multifator.
Considerações
Confira estas considerações sobre a autenticação multifator no AWS Managed Microsoft AD:
-
A autenticação multifator não está disponível para o Simple AD. No entanto, o MFA pode ser habilitado para seu diretório do AD Connector. Para obter mais informações, consulte Como habilitar a autenticação multifator para o AD Connector.
-
O MFA é um recurso regional do AWS Managed Microsoft AD. Se você estiver usando a replicação de várias regiões, só poderá usar a MFA na região primária do AWS Managed Microsoft AD.
-
Se você pretende usar o AWS Managed Microsoft AD para comunicações externas, recomendamos configurar um gateway da internet de conversão de endereços de rede (NAT) ou um gateway da internet fora da rede da AWS para essas comunicações.
-
Se você deseja oferecer suporte a comunicações externas entre o AWS Managed Microsoft AD e o servidor RADIUS hospedado na rede da AWS, entre em contato com o Suporte
.
-
-
Todas as aplicações de TI da Amazon Enterprise, incluindo WorkSpaces, WorkDocs, Amazon WorkMail, Amazon Quick Suite, e o acesso a Console de gerenciamento da AWS e à AWS são válidos quando o AWS IAM Identity Center Managed Microsoft AD e o AD Connector são usados com a MFA. Essas aplicações da AWS que usam MFA não são suportadas em várias regiões.
Para obter mais informações, consulte Como habilitar a autenticação multifator para serviços da AWS usando o AWS Managed Microsoft AD e credenciais on-premises
-
Para obter informações sobre como configurar o acesso básico do usuário a aplicativos empresariais da Amazon, ao Logon único da AWS e ao Console de gerenciamento da AWS usando o Directory Service, consulte Acesso a aplicações e serviços da AWS no AWS Managed Microsoft AD e Como habilitar o acesso ao Console de gerenciamento da AWS com credenciais do AWS Managed Microsoft AD.
-
Confira esta postagem do blog de segurança da AWS para saber como habilitar a MFA para usuários do Amazon WorkSpaces no AWS Managed Microsoft AD: How to enable multi-factor authentication for AWS services by using AWS Managed Microsoft AD and on-premises credentials
-
Habilitar a autenticação multifator para o AWS Microsoft Managed AD
O procedimento a seguir mostra como habilitar a autenticação multifator para o AWS Managed Microsoft AD.
-
Identifique o endereço IP do servidor MFA RADIUS e o diretório do AWS Managed Microsoft AD.
-
Edite os grupos de segurança de sua Virtual Private Cloud (VPC) para permitir comunicações pela porta 1812 entre pontos finais de IP do AWS Managed Microsoft AD e seu servidor MFA RADIUS.
-
No painel de navegação do console do AWS Directory Service
selecione Diretórios. -
Escolha o link do ID do diretório do AWS Managed Microsoft AD.
-
Na página Detalhes do diretório, siga um destes procedimentos:
-
Se houver várias regiões exibidas em Replicação em várias regiões, selecione a região em que deseja habilitar a MFA e, em seguida, escolha a guia Rede e segurança. Para obter mais informações, consulte Regiões principais versus adicionais.
-
Se não houver nenhuma região exibida em Replicação em várias regiões, escolha a guia Rede e segurança.
-
-
Na seção Multi-factor authentication (Autenticação multifator), escolha Actions (Ações) e Enable (Habilitar).
-
Na página Habilitar a autenticação multifator (MFA), forneça os seguintes valores:
- Rótulo de exibição
-
Forneça um nome de rótulo.
- Nome de DNS ou endereços IP do servidor RADIUS
-
O load balancer dos endpoints do servidor RADIUS ou do endereço IP do servidor RADIUS. Você pode inserir vários endereços IP separados por vírgulas (por exemplo, )..,
192.0.0.0,192.0.0.12).nota
A MFA RADIUS é aplicável somente para autenticar o acesso ao Console de gerenciamento da AWS e a aplicações e serviços da Amazon Enterprise, como WorkSpaces, Amazon Quick Suite ou Amazon Chime. As aplicações e serviços da Amazon Enterprise têm suporte apenas na região primária se a replicação de várias regiões estiver configurada no AWS Managed Microsoft AD. Ele não fornece MFA para workloads do Windows em execução em instâncias do EC2 nem para login em uma instância do EC2. O Directory Service não é compatível com autenticação Desafio/Resposta do RADIUS.
Os usuários devem ter o código de MFA no momento em que inserem o nome de usuário e a senha. Como alternativa, você deve usar uma solução que execute MFA out-of-band, como o envio de uma notificação push ou de uma senha de uso único do autenticador (OTP) para o usuário. Em soluções de MFA out-of-band, é necessário definir o valor de tempo limite do RADIUS de forma adequada para sua solução. Ao usar uma solução de MFA out-of-band, a página de login solicitará ao usuário um código de MFA. Nesse caso, os usuários devem inserir a senha no campo de senha e no campo de MFA.
- Porta
-
A porta que o servidor RADIUS está usando para comunicações. Sua rede on-premises deve permitir tráfego de entrada pela porta do servidor RADIUS padrão (UDP: 1812) dos servidores do Directory Service.
- Shared secret code (Código secreto compartilhado
-
O código secreto compartilhado que foi especificado quando os endpoints do RADIUS foram criados.
- Confirm shared secret code (Confirmar código secreto compartilhado
-
Confirme o código secreto compartilhado para os endpoints do RADIUS.
- Protocolo
-
Selecione o protocolo que foi especificado quando os endpoints do RADIUS foram criados.
- Tempo limite do servidor (em segundos)
-
O tempo de espera, em segundos, para o servidor RADIUS responder. Esse valor deve estar entre 1 e 50.
nota
Recomendamos configurar o tempo limite do servidor RADIUS para 20 segundos ou menos. Se o tempo limite exceder 20 segundos, o sistema não poderá tentar novamente com outro servidor RADIUS, o que poderá resultar em uma falha de tempo limite.
- Máximo de novas tentativas de solicitação RADIUS
-
O número de tentativas de comunicação com o servidor RADIUS. Esse valor deve estar entre 0 e 10.
A autenticação multifator está disponível quando o Status RADIUS muda para Habilitado.
-
Escolha Habilitar.
