Client VPN 中的 Active Directory 身份验证

Client VPN 通过与 Directory Service 集成来提供 Active Directory 支持 借助 Active Directory 身份验证，客户端可对照现有 Active Directory 组进行身份验证。使用 Directory Service，Client VPN 可以连接到在 AWS 中或您的本地网络中预置的现有 Active Directory。这样，您就可以使用您的现有客户端身份验证基础结构。如果您使用的是本地 Active Directory，并且没有现有的 AWS Managed Microsoft AD，则必须配置 Active Directory Connector (AD Connector)。您可以使用一个 Active Directory 服务器对用户进行身份验证。有关 Active Directory 集成的更多信息，请参阅 AWS Directory Service 管理指南。

为 AWS 托管的 Microsoft AD 或 AD Connector 启用多重身份验证（MFA）后，Client VPN 支持多重身份验证（MFA）。如果启用了 MFA，客户端在连接到 Client VPN 端点时必须输入用户名、密码和 MFA 代码。有关启用 MFA 的更多信息，请参阅 AWS Directory Service 管理指南中的为 AWS 托管的 Microsoft AD 启用多重身份验证和为 AD Connector 启用多重身份验证。

有关在 Active Directory 中配置用户和组的配额和规则，请参阅用户和组配额。