利用Azure MFA認(rèn)證者電話應(yīng)用程序認(rèn)證Amazon WorkSpaces用戶登錄

Amazon WorkSpaces是一個(gè)托管的虛擬桌面即服務(wù)（DaaS）解決方案。用戶可以使用Amazon WorkSpaces來配置Windows或Linux虛擬桌面。

Multi Factor Authentication通過要求用戶輸入由您的虛擬或硬件MFA解決方案提供的驗(yàn)證碼（第二個(gè)因素），為用戶名和密碼（第一個(gè)“因素”）增加了一層額外的保護(hù)。除非用戶提供有效的MFA代碼，否則這些因素將通過阻止對(duì)AWS服務(wù)的訪問來提供額外的安全性。

Azure MFA是一種流行的多因素身份驗(yàn)證解決方案，通常是多步驟身份驗(yàn)證MFA的一部分。

Azure MFA提供以下驗(yàn)證形式：

·Microsoft Authenticator電話應(yīng)用程序（通知或應(yīng)用程序代碼）

·OATH硬件令牌

·短信

·語(yǔ)音通話

在我們的方案中，將Azure MFA與Microsoft Authenticator應(yīng)用程序一起使用將提供帶外身份驗(yàn)證機(jī)制。在這篇文章中，我們將討論有關(guān)配置Aws工作區(qū)以用作另一個(gè)身份驗(yàn)證因素（一個(gè)因素將是AD用戶密碼），以及使用組織擁有的MS Active Directory目錄服務(wù)（AD DS）和Microsoft Authenticator電話應(yīng)用程序通知來通知Azure MFA的信息。）。

在執(zhí)行本文章中詳述的任何步驟之前，請(qǐng)確保已部署并配置了“先決條件”下列出的所有要求。

先決條件

·具有一個(gè)或多個(gè)域控制器的現(xiàn)有MS Active Directory域。

·現(xiàn)有的Azure AD。

·現(xiàn)有的Azure AD Connect將所需的用戶帳戶同步到Azure AD。

·用戶在手機(jī)上下載了MS Authenticator應(yīng)用程序的電話（Android/iOS）。

·啟用Azure MFA和Authenticator應(yīng)用程序推送通知。

·Amazon WorkSpaces使用Aws ADConnector將身份驗(yàn)證代理到AD域中。

·已加入域的NPS服務(wù)器與安裝的Azure MFA擴(kuò)展一起充當(dāng)客戶擁有的RADIUS服務(wù)器。

配置NPS Radius服務(wù)器：將Aws目錄連接器IP添加為Radius客戶端

從Amazon WorkSpaces控制臺(tái)轉(zhuǎn)到Directories，然后展開您需要MFA的目錄。請(qǐng)注意從目錄IP地址字段中的兩個(gè)目錄IP地址。

使用您的隨機(jī)密碼生成器來生成一個(gè)隨機(jī)秘碼。這將用作Radius客戶端（Aws）與NPS Radius服務(wù)器之間的共享密鑰。當(dāng)Radius客戶端與Radius服務(wù)器對(duì)話時(shí)，Radius共享秘碼用于所有需要隱藏?cái)?shù)據(jù)的操作。

·登錄NPS控制臺(tái),在NPS控制臺(tái)上,右鍵單擊“RADIUS客戶端和新建”。

·輸入一個(gè)友好的名稱，這將幫助您識(shí)別Radius客戶端。

·在“Aws Directory IP地址”字段中輸入您先前記下的第一個(gè)IP。

·對(duì)于共享機(jī)密，請(qǐng)選擇“手動(dòng)”，并提供先前生成的共享機(jī)密。

·單擊確定。

·對(duì)先前在“Aws目錄IP地址”字段中記下的輔助IP重復(fù)相同的步驟，以添加第二個(gè)Radius客戶端。

啟用WorkSpaces多重身份驗(yàn)證

·從Amazon WorkSpaces控制臺(tái)轉(zhuǎn)到Directories，然后選擇需要MFA的Directory，然后展開“Actions”菜單，然后單擊“Update Details”。

·選中“啟用多重身份驗(yàn)證”復(fù)選框以啟用它。

·輸入以下:

您的NPS服務(wù)器IP地址（如果多個(gè)）用逗號(hào)隔開。

添加用于Radius客戶端的NPS上的共享機(jī)密。

對(duì)于協(xié)議，在編寫時(shí)有四個(gè)選擇：默認(rèn)為PAP。

對(duì)于服務(wù)器超時(shí)（以秒為單位），您可以將其增加到最大50（允許的值在1到50之間，這是Aws等待RADIUS服務(wù)器響應(yīng)的時(shí)間）。由于使用了超出范圍的MFA，因此會(huì)增加超時(shí)，因此用戶將需要一點(diǎn)時(shí)間來批準(zhǔn)其手機(jī)應(yīng)用程序上的請(qǐng)求，這意味著Radius服務(wù)器響應(yīng)將被延遲。

對(duì)于“最大RADIUS請(qǐng)求重試次數(shù)”，您可以在0到10之間選擇。值1、2或3將起作用。這指定與Radius服務(wù)器進(jìn)行通信嘗試的次數(shù)。

選擇更新或更新并退出。當(dāng)RADIUS狀態(tài)更改為“已完成”（Aws測(cè)試憑據(jù)使用不帶密碼的用戶名（awsfaketestuser），Aws希望Radius服務(wù)器發(fā)出“拒絕”消息）時(shí)，多因素身份驗(yàn)證可用。

·PAP支持Azure MFA的所有身份驗(yàn)證方法：電話，單向短信，移動(dòng)應(yīng)用程序通知，OATH硬件令牌和移動(dòng)應(yīng)用程序驗(yàn)證代碼。CHAPV2和EAP支持電話和移動(dòng)應(yīng)用通知。

配置NPS Radius服務(wù)器：添加連接請(qǐng)求策略

連接請(qǐng)求處理在充當(dāng)Radius服務(wù)器的NPS服務(wù)器上進(jìn)行。該策略將指示它如何識(shí)別來自Aws Radius客戶端的請(qǐng)求，并在此特定策略下對(duì)其進(jìn)行處理。

該策略還將決定是否執(zhí)行主要因素身份驗(yàn)證（AD用戶憑據(jù)）。

·首先，我們將禁用默認(rèn)的連接請(qǐng)求和網(wǎng)絡(luò)策略（以確保它們不與我們自己的重疊）。

·現(xiàn)在，我們添加策略。在NPS控制臺(tái)上，在“NPS（Local）”>“Policies”上，右鍵單擊“Connection and Request Policies and New”。

·指定策略名稱。

·在“指定條件”下，向下滾動(dòng)至“Radius客戶端屬性”并添加客戶端IPv4Address。此處輸入的IP地址將是您先前在Aws Directory IP地址字段中記下的第一個(gè)IP。

·在“指定連接請(qǐng)求轉(zhuǎn)發(fā)”上，選擇“接受用戶而不驗(yàn)證憑據(jù)”。

·重復(fù)相同的步驟，為您先前在Aws Directory IP地址字段中記錄的輔助IP添加另一個(gè)策略。

測(cè)試WorkSpaces MFA

·現(xiàn)在，與測(cè)試用戶建立聯(lián)系。在我們的測(cè)試中，使用的客戶端將是Windows客戶端版本。WorkSpaces登錄頁(yè)面將提示用戶輸入MFA代碼。用戶在此字段中再次輸入其AD密碼。

給它幾秒鐘，您的手機(jī)應(yīng)該會(huì)收到通知。從那您可以批準(zhǔn)登錄。

·通過MFA身份驗(yàn)證后，WorkSpaces客戶端將讓您登錄到桌面。

總結(jié)

在此博客中，我們?yōu)槟峁┝擞嘘P(guān)如何設(shè)置Amazon WorkSpaces MFA電話身份驗(yàn)證的示例。身份驗(yàn)證有很多不同的類型，電話身份驗(yàn)證就是其中之一。我們建議客戶啟用MFA for WorkSpaces以提供附加的安全桌面訪問。