View a markdown version of this page

Habilitando a autenticação multifatorial para AWS Microsoft AD gerenciado - AWS Directory Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitando a autenticação multifatorial para AWS Microsoft AD gerenciado

Você pode ativar a autenticação multifator (MFA) para seu diretório AWS gerenciado do Microsoft AD para aumentar a segurança quando seus usuários especificarem suas credenciais do AD para acessar aplicativos Amazon Enterprise compatíveis. Quando você habilita a MFA, os usuários inserem nome de usuário e senha (primeiro fator) normalmente, depois inserem um código de autenticação (segundo fator) obtido pela sua solução de MFA virtual ou de hardware. Esses fatores juntos proporcionam segurança adicional, impedindo o acesso aos seus aplicativos empresariais da Amazon, a menos que os usuários informem credenciais válidas e um código válido de MFA.

Para habilitar a MFA, é necessário ter uma solução de MFA que seja um servidor Remote Authentication Dial-in User Service (RADIUS) ou MFA, ou ter um plug-in MFA para um servidor RADIUS já implementado na sua infraestrutura on-premises. A solução de MFA deve implementar Senhas únicas (OTP) que os usuários conseguem pelo dispositivo de hardware ou por um software em execução em um dispositivo, como telefone celular.

O RADIUS é um client/server protocolo padrão do setor que fornece gerenciamento de autenticação, autorização e contabilidade para permitir que os usuários se conectem aos serviços de rede. AWS O Microsoft AD gerenciado inclui um cliente RADIUS que se conecta ao servidor RADIUS no qual você implementou sua solução de MFA. Seu servidor RADIUS valida o nome de usuário e código OTP. Se o servidor RADIUS validar com êxito o usuário, o Managed AWS Microsoft AD autenticará o usuário no Active Directory. Depois da autenticação bem-sucedida no Active Directory, os usuários podem acessar a aplicação da AWS . A comunicação entre o cliente Microsoft AD RADIUS AWS gerenciado e seu servidor RADIUS exige que você configure grupos de AWS segurança que permitam a comunicação pela porta 1812.

Você pode habilitar a autenticação multifator para seu diretório AWS gerenciado do Microsoft AD executando o procedimento a seguir. Para obter mais informações sobre como configurar seu servidor RADIUS para funcionar com Directory Service e MFA, consulte Multi-factor pré-requisitos de autenticação.

Considerações

Confira estas considerações sobre a autenticação multifator no AWS Managed Microsoft AD:

Habilite a autenticação multifatorial para AWS Microsoft AD gerenciado

O procedimento a seguir mostra como habilitar a autenticação multifator para o AWS Managed Microsoft AD.

  1. Identifique o endereço IP do seu servidor RADIUS MFA e seu diretório AWS gerenciado do Microsoft AD.

  2. Edite seus grupos de segurança da Virtual Private Cloud (VPC) para permitir a comunicação pela porta 1812 entre seus endpoints IP gerenciados AWS do Microsoft AD e seu servidor RADIUS MFA.

  3. No painel de navegação do console do AWS Directory Service selecione Diretórios.

  4. Escolha o link da ID do diretório para seu diretório AWS gerenciado do Microsoft AD.

  5. Na página Detalhes do diretório, siga um destes procedimentos:

    • Se você tiver várias regiões exibidas em Multi-Regionreplicação, selecione a região em que deseja habilitar a MFA e, em seguida, escolha a guia Rede e segurança. Para obter mais informações, consulte Regiões principais versus adicionais.

    • Se você não tiver nenhuma região exibida em Multi-Regionreplicação, escolha a guia Rede e segurança.

  6. Na seção Multi-factor Autenticação, escolha Ações e, em seguida, selecione Habilitar.

  7. Na página Habilitar a autenticação multifator (MFA), forneça os seguintes valores:

    Rótulo de exibição

    Forneça um nome de rótulo.

    Nome de DNS ou endereços IP do servidor RADIUS

    O load balancer dos endpoints do servidor RADIUS ou do endereço IP do servidor RADIUS. Você pode inserir vários endereços IP separando-os com uma vírgula (por exemplo, 192.0.0.0,192.0.0.12 ou2001:db8::1,2001:db8::2).

    Importante

    Os diretórios criados após 7 de outubro de 2025 exigem que os servidores RADIUS usados para autenticação multifatorial sejam roteáveis por meio da configuração de rede da sua VPC. Se seu servidor RADIUS não estiver acessível por meio das tabelas de roteamento, grupos de segurança e ACLs de rede da VPC, a autenticação multifator falhará durante as verificações de autenticação multifator. Para resolver esse problema, certifique-se de que:

    • Roteamento de rede: suas tabelas de rotas de VPC permitem que o tráfego chegue ao seu servidor RADIUS a partir das sub-redes nas quais AWS suas instâncias de diretório gerenciadas do Microsoft AD estão implantadas.

    • ACLs de rede: suas ACLs de rede de sub-rede permitem tráfego bidirecional em seu servidor RADIUS. to/from

    • Internet Gateway/NAT: se seu servidor RADIUS estiver voltado para a Internet, certifique-se de que sua VPC tenha uma configuração apropriada de gateway de Internet ou gateway NAT para as sub-redes do diretório. Se seu tipo de rede for IPv4, você precisará ter o NAT e o gateway de internet configurados com sua VPC.

    nota

    O RADIUS MFA é aplicável somente para autenticar Console de gerenciamento da AWS o acesso aos aplicativos e serviços da Amazon Enterprise WorkSpaces, como Amazon Quick ou Amazon Chime. Os aplicativos e serviços da Amazon Enterprise só são suportados na região primária se a Multi-Region replicação estiver configurada para seu Microsoft AD AWS gerenciado. Ele não fornece MFA para cargas de trabalho do Windows em execução em instâncias do EC2 nem para login em uma instância do EC2. Directory Service não oferece suporte à Challenge/Response autenticação RADIUS.

    Os usuários devem ter o código de MFA no momento em que inserem o nome de usuário e a senha. Como alternativa, você deve usar uma solução que execute MFA out-of-band, como o envio de uma notificação push ou de uma senha de uso único do autenticador (OTP) para o usuário. Em soluções de MFA out-of-band, é necessário definir o valor de tempo limite do RADIUS de forma adequada para sua solução. Ao usar uma solução de MFA out-of-band, a página de login solicitará ao usuário um código de MFA. Nesse caso, os usuários devem inserir a senha no campo de senha e no campo de MFA.

    Porta

    A porta que o servidor RADIUS está usando para comunicações. Sua rede local deve permitir tráfego de entrada pela porta padrão do servidor RADIUS (UDP:1812) dos servidores. Directory Service

    Shared secret code (Código secreto compartilhado)

    O código secreto compartilhado que foi especificado quando os endpoints do RADIUS foram criados.

    Confirm shared secret code (Confirmar código secreto compartilhado)

    Confirme o código secreto compartilhado para os endpoints do RADIUS.

    Protocolo

    Selecione o protocolo que foi especificado quando os endpoints do RADIUS foram criados.

    Tempo limite do servidor (em segundos)

    O tempo de espera, em segundos, para o servidor RADIUS responder. Esse valor deve estar entre 1 e 50.

    nota

    Recomendamos configurar o tempo limite do servidor RADIUS para 20 segundos ou menos. Se o tempo limite exceder 20 segundos, o sistema não poderá tentar novamente com outro servidor RADIUS, o que poderá resultar em uma falha de tempo limite.

    Máximo de novas tentativas de solicitação RADIUS

    O número de tentativas de comunicação com o servidor RADIUS. Esse valor deve estar entre 0 e 10.

    Multi-factor a autenticação está disponível quando o status RADIUS muda para Ativado.

  8. Escolha Habilitar.