View a markdown version of this page

启用多因素身份验证 AWS 微软 AD 托管 - AWS Directory Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用多因素身份验证 AWS 微软 AD 托管

您可以为 AWS 托管 Microsoft AD 目录启用多重身份验证 (MFA),以便在用户指定其 AD 凭证访问支持的亚马逊企业应用程序时提高安全性。启用 MFA 后,您的用户如常输入其用户名和密码 (第一安全要素),它们还必须输入通过您的虚拟或硬件 MFA 解决方案获取的身份验证代码 (第二安全要素)。除非用户提供有效的用户凭证和 MFA 代码,否则这些安全要素将通过阻止对您的 Amazon 企业应用程序的访问来提高安全性。

要启用 MFA,您必须具有属于远程身份验证拨入用户服务(RADIUS)服务器的 MFA 解决方案,或已在本地基础设施中实现的 RADIUS 服务器必须具有 MFA 插件。您的 MFA 解决方案应实施一次性密码 (OTP),用户可从硬件设备或在设备(如手机)上运行的软件来获取此密码。

RADIUS 是一种行业标准 client/server 协议,它提供身份验证、授权和记账管理,使用户能够连接到网络服务。 AWS 托管 Microsoft AD 包括一个 RADIUS 客户端,该客户端可连接到你实施了 MFA 解决方案的 RADIUS 服务器。您的 RADIUS 服务器将验证用户名和 OTP 代码。如果你的 RADIUS 服务器成功验证了用户,Microsoft AD 就会 AWS 根据 Active Directory 对用户进行身份验证。Active Directory 身份验证成功后,用户之后可访问 AWS 应用程序。 AWS 托管的 Microsoft AD RADIUS 客户端与你的 RADIUS 服务器之间的通信需要你配置允许通过端口 1812 进行通信 AWS 的安全组。

您可以通过执行以下步骤为 AWS 托管 Microsoft AD 目录启用多因素身份验证。有关如何配置 RADIUS 服务器以使用 Directory Service 和 MFA 的更多信息,请参阅Multi-factor 身份验证先决条件

注意事项

以下是对 AWS Managed Microsoft AD 进行多重身份验证时的一些注意事项:

启用多因素身份验证 AWS 微软 AD 托管

以下过程介绍如何为 AWS Managed Microsoft AD 启用多重身份验证。

  1. 识别你的 RADIUS MFA 服务器的 IP 地址和你的托管 M AWS icrosoft AD 目录。

  2. 编辑您的虚拟私有云 (VPC) 安全组,以启用 AWS 托管的微软 AD IP 端点和 RADIUS MFA 服务器之间通过端口 1812 进行通信。

  3. AWS Directory Service 控制台导航窗格中,选择目录

  4. 为您的 AWS 托管 Microsoft AD 目录选择目录 ID 链接。

  5. 报告详细信息页面上,执行以下操作之一:

    • 如果您在Multi-Region复制下显示了多个区域,请选择要启用 MFA 的区域,然后选择网络和安全选项卡。有关更多信息,请参阅 主区域与其他区域

    • 如果您在Multi-Region复制下没有显示任何区域,请选择网络和安全选项卡。

  6. Multi-factor 身份验证部分,选择操作,然后选择启用

  7. 启用多重身份验证(MFA)页面上,提供以下值:

    显示标签

    提供标签名称。

    RADIUS 服务器 DNS 名称或 IP 地址

    您的 RADIUS 服务器终端节点的 IP 地址或者您的 RADIUS 服务器负载均衡器的 IP 地址。您可以输入多个 IP 地址,方法是用逗号分隔它们(例如,192.0.0.0,192.0.0.122001:db8::1,2001:db8::2)。

    重要

    2025 年 10 月 7 日之后创建的目录要求用于多因素身份验证的 RADIUS 服务器可通过您的 VPC 的网络配置进行路由。如果无法通过 VPC 的路由表、安全组和网络 ACL 访问您的 RADIUS 服务器,则在多因素身份验证检查期间,多因素身份验证将失败。要解决此问题,请确保:

    • 网络路由:您的 VPC 路由表允许流量从部署 AWS 托管 Microsoft AD 目录实例的子网到达您的 RADIUS 服务器。

    • 网络 ACL:您的子网网络 ACL 允许 to/from 您的 RADIUS 服务器进行双向流量。

    • 互联网 Gateway/NAT:如果您的 RADIUS 服务器面向互联网,请确保您的 VPC 为目录子网配置了适当的互联网网关或 NAT 网关。如果您的网络类型为 IPv4,则需要在您的 VPC 中配置 NAT 和互联网网关。

    注意

    RADIUS MFA 仅适用于对亚马逊企业应用程序和服务(例如 Amazon Quick 或 Ama WorkSpaces zon Chime)的访问权限进行身份验证。 AWS 管理控制台只有为 AWS 托管的 Microsoft AD 配置了 Multi-Region 复制,主区域才支持亚马逊企业应用程序和服务。它不为在 EC2 实例上运行的 Windows 工作负载提供 MFA,也不会为登录 EC2 实例提供 MFA。 Directory Service 不支持 RADIUS Challenge/Response 身份验证。

    用户在输入其用户名和密码时必须拥有 MFA 代码。或者,必须使用一种能够执行带外 MFA 的解决方案,例如提供给用户的推送通知或身份验证器一次性密码(OTP)。在带外 MFA 解决方案中,必须确保为您的解决方案设置适当的 RADIUS 超时值。使用带外 MFA 解决方案时,登录页面将提示用户输入 MFA 代码。在这种情况下,用户必须在密码字段和 MFA 字段中均输入密码。

    端口

    RADIUS 服务器用来通信的端口。您的本地网络必须允许服务器通过默认 RADIUS 服务器端口 (UDP:1812) 的 Directory Service 入站流量。

    Shared secret code

    在创建 RADIUS 终端节点时指定的共享密码。

    Confirm shared secret code (确认共享密码)

    确认您的 RADIUS 终端节点的共享密码。

    协议

    选择在创建 RADIUS 终端节点时指定的协议。

    服务器超时(以秒为单位)

    等待 RADIUS 服务器响应的时间长度 (以秒为单位)。此值必须介于 1 和 50 之间。

    注意

    我们建议将 RADIUS 服务器超时配置为 20 秒或更短。如果超时超过 20 秒,则系统无法使用其他 RADIUS 服务器重试,并可能导致超时失败。

    RADIUS 请求最大重试次数

    将尝试与 RADIUS 服务器通信的次数。此值必须介于 0 和 10 之间。

    Multi-factor 当 RADIUS 状态更改为启用” 时,身份验证可用

  8. 请选择启用