Amazon WorkSpaces是一個托管的虛擬桌面即服務(wù)(DaaS)解決方案。用戶可以使用Amazon WorkSpaces來配置Windows或Linux虛擬桌面���。
Amazon WorkSpaces是一個托管的虛擬桌面即服務(wù)(DaaS)解決方案��。用戶可以使用Amazon WorkSpaces來配置Windows或Linux虛擬桌面�。
Multi Factor Authentication通過要求用戶輸入由您的虛擬或硬件MFA解決方案提供的驗證碼(第二個因素)���,為用戶名和密碼(第一個“因素”)增加了一層額外的保護����。除非用戶提供有效的MFA代碼���,否則這些因素將通過阻止對AWS服務(wù)的訪問來提供額外的安全性��。
Azure MFA是一種流行的多因素身份驗證解決方案��,通常是多步驟身份驗證MFA的一部分�����。
Azure MFA提供以下驗證形式:
·Microsoft Authenticator電話應(yīng)用程序(通知或應(yīng)用程序代碼)
·OATH硬件令牌
·短信
·語音通話
在我們的方案中�,將Azure MFA與Microsoft Authenticator應(yīng)用程序一起使用將提供帶外身份驗證機制���。在這篇文章中���,我們將討論有關(guān)配置Aws工作區(qū)以用作另一個身份驗證因素(一個因素將是AD用戶密碼),以及使用組織擁有的MS Active Directory目錄服務(wù)(AD DS)和Microsoft Authenticator電話應(yīng)用程序通知來通知Azure MFA的信息�。)。
在執(zhí)行本文章中詳述的任何步驟之前����,請確保已部署并配置了“先決條件”下列出的所有要求。
先決條件
·具有一個或多個域控制器的現(xiàn)有MS Active Directory域�����。
·現(xiàn)有的Azure AD����。
·現(xiàn)有的Azure AD Connect將所需的用戶帳戶同步到Azure AD。
·用戶在手機上下載了MS Authenticator應(yīng)用程序的電話(Android/iOS)���。
·啟用Azure MFA和Authenticator應(yīng)用程序推送通知�����。
·Amazon WorkSpaces使用Aws ADConnector將身份驗證代理到AD域中�����。
·已加入域的NPS服務(wù)器與安裝的Azure MFA擴展一起充當客戶擁有的RADIUS服務(wù)器�����。
配置NPS Radius服務(wù)器:將Aws目錄連接器IP添加為Radius客戶端
從Amazon WorkSpaces控制臺轉(zhuǎn)到Directories����,然后展開您需要MFA的目錄。請注意從目錄IP地址字段中的兩個目錄IP地址��。
使用您的隨機密碼生成器來生成一個隨機秘碼�。這將用作Radius客戶端(Aws)與NPS Radius服務(wù)器之間的共享密鑰。當Radius客戶端與Radius服務(wù)器對話時���,Radius共享秘碼用于所有需要隱藏數(shù)據(jù)的操作����。
·登錄NPS控制臺,在NPS控制臺上,右鍵單擊“RADIUS客戶端和新建”����。
·輸入一個友好的名稱,這將幫助您識別Radius客戶端�。
·在“Aws Directory IP地址”字段中輸入您先前記下的第一個IP���。
·對于共享機密,請選擇“手動”���,并提供先前生成的共享機密����。
·單擊確定��。
·對先前在“Aws目錄IP地址”字段中記下的輔助IP重復相同的步驟��,以添加第二個Radius客戶端����。
啟用WorkSpaces多重身份驗證
·從Amazon WorkSpaces控制臺轉(zhuǎn)到Directories�,然后選擇需要MFA的Directory,然后展開“Actions”菜單���,然后單擊“Update Details”�����。
·選中“啟用多重身份驗證”復選框以啟用它����。
·輸入以下:
您的NPS服務(wù)器IP地址(如果多個)用逗號隔開。
添加用于Radius客戶端的NPS上的共享機密�。
對于協(xié)議,在編寫時有四個選擇:默認為PAP�����。
對于服務(wù)器超時(以秒為單位)�,您可以將其增加到最大50(允許的值在1到50之間,這是Aws等待RADIUS服務(wù)器響應(yīng)的時間)��。由于使用了超出范圍的MFA�����,因此會增加超時����,因此用戶將需要一點時間來批準其手機應(yīng)用程序上的請求,這意味著Radius服務(wù)器響應(yīng)將被延遲���。
對于“最大RADIUS請求重試次數(shù)”���,您可以在0到10之間選擇�。值1�、2或3將起作用。這指定與Radius服務(wù)器進行通信嘗試的次數(shù)��。
選擇更新或更新并退出���。當RADIUS狀態(tài)更改為“已完成”(Aws測試憑據(jù)使用不帶密碼的用戶名(awsfaketestuser)�,Aws希望Radius服務(wù)器發(fā)出“拒絕”消息)時�����,多因素身份驗證可用����。
·PAP支持Azure MFA的所有身份驗證方法:電話��,單向短信�����,移動應(yīng)用程序通知���,OATH硬件令牌和移動應(yīng)用程序驗證代碼�����。CHAPV2和EAP支持電話和移動應(yīng)用通知�����。
配置NPS Radius服務(wù)器:添加連接請求策略
連接請求處理在充當Radius服務(wù)器的NPS服務(wù)器上進行���。該策略將指示它如何識別來自Aws Radius客戶端的請求�����,并在此特定策略下對其進行處理�����。
該策略還將決定是否執(zhí)行主要因素身份驗證(AD用戶憑據(jù))��。
·首先�,我們將禁用默認的連接請求和網(wǎng)絡(luò)策略(以確保它們不與我們自己的重疊)�。
·現(xiàn)在,我們添加策略�。在NPS控制臺上,在“NPS(Local)”>“Policies”上,右鍵單擊“Connection and Request Policies and New”���。
·指定策略名稱����。
·在“指定條件”下���,向下滾動至“Radius客戶端屬性”并添加客戶端IPv4Address�����。此處輸入的IP地址將是您先前在Aws Directory IP地址字段中記下的第一個IP�����。
·在“指定連接請求轉(zhuǎn)發(fā)”上,選擇“接受用戶而不驗證憑據(jù)”�����。
·重復相同的步驟�����,為您先前在Aws Directory IP地址字段中記錄的輔助IP添加另一個策略。
測試WorkSpaces MFA
·現(xiàn)在�,與測試用戶建立聯(lián)系。在我們的測試中�����,使用的客戶端將是Windows客戶端版本��。WorkSpaces登錄頁面將提示用戶輸入MFA代碼��。用戶在此字段中再次輸入其AD密碼����。
給它幾秒鐘,您的手機應(yīng)該會收到通知���。從那您可以批準登錄�����。
·通過MFA身份驗證后�����,WorkSpaces客戶端將讓您登錄到桌面��。
總結(jié)
在此博客中�,我們?yōu)槟峁┝擞嘘P(guān)如何設(shè)置Amazon WorkSpaces MFA電話身份驗證的示例。身份驗證有很多不同的類型��,電話身份驗證就是其中之一��。我們建議客戶啟用MFA for WorkSpaces以提供附加的安全桌面訪問���。
立即登錄�����,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于亞馬遜AWS官方博客��,本站不擁有所有權(quán)�,不承擔相關(guān)法律責任。文章內(nèi)容系作者個人觀點�,不代表快出海對觀點贊同或支持。如有侵權(quán)�,請聯(lián)系管理員(zzx@kchuhai.com)刪除�����!
閩公網(wǎng)安備 35010202001226號
