亚马逊AWS官方博客
利用Azure MFA 认证者电话应用程序认证Amazon WorkSpaces用户登录
Amazon WorkSpaces 是一个托管的虚拟桌面即服务(DaaS)解决方案。用户可以使用Amazon WorkSpaces来配置Windows或Linux虚拟桌面。
Multi Factor Authentication通过要求用户输入由您的虚拟或硬件MFA解决方案提供的验证码(第二个因素),为用户名和密码(第一个“因素”)增加了一层额外的保护。除非用户提供有效的MFA代码,否则这些因素将通过阻止对AWS服务的访问来提供额外的安全性。
Azure MFA是一种流行的多因素身份验证解决方案,通常是多步骤身份验证MFA的一部分。
Azure MFA提供以下验证形式:
- Microsoft Authenticator 电话应用程序(通知或应用程序代码)
- OATH硬件令牌
- 短信
- 语音通话
在我们的方案中,将Azure MFA与Microsoft Authenticator 应用程序一起使用将提供带外身份验证机制。在这篇文章中,我们将讨论有关配置Aws工作区以用作另一个身份验证因素(一个因素将是AD用户密码),以及使用组织拥有的MS Active Directory目录服务(AD DS)和Microsoft Authenticator 电话应用程序通知来通知Azure MFA的信息。 )。
在执行本文章中详述的任何步骤之前,请确保已部署并配置了“先决条件”下列出的所有要求。
先决条件
- 具有一个或多个域控制器的现有MS Active Directory域。
- 现有的Azure AD。
- 现有的Azure AD Connect将所需的用户帐户同步到Azure AD。
- 用户在手机上下载了MS Authenticator 应用程序的电话(Android / iOS)。
- 启用Azure MFA 和 Authenticator 应用程序推送通知。
- Amazon WorkSpaces 使用Aws ADConnector 将身份验证代理到AD域中。
- 已加入域的NPS服务器与安装的Azure MFA扩展一起充当客户拥有的RADIUS服务器。
配置NPS Radius服务器:将Aws目录连接器IP添加为Radius客户端
从Amazon WorkSpaces控制台转到Directories,然后展开您需要MFA的目录。请注意从目录IP地址字段中的两个目录IP地址。
使用您的随机密码生成器来生成一个随机秘码。这将用作Radius客户端(Aws)与NPS Radius服务器之间的共享密钥。当Radius客户端与Radius服务器对话时,Radius共享秘码用于所有需要隐藏数据的操作。
1. 登录NPS控制台, 在NPS控制台上, 右键单击“ RADIUS客户端和新建”。
2. 输入一个友好的名称,这将帮助您识别Radius客户端。
3.在“ Aws Directory IP地址”字段中输入您先前记下的第一个IP。
4.对于共享机密,请选择“手动”,并提供先前生成的共享机密。
5.单击确定。
6.对先前在“ Aws目录IP地址”字段中记下的辅助IP重复相同的步骤,以添加第二个Radius客户端。
启用WorkSpaces多重身份验证
1.从Amazon WorkSpaces控制台转到Directories,然后选择需要MFA的Directory,然后展开“Actions”菜单,然后单击“Update Details”。
2.选中“启用多重身份验证”复选框以启用它。
3.输入以下:
-
- 您的NPS服务器IP地址(如果多个)用逗号隔开。
- 添加用于Radius客户端的NPS上的共享机密。
- 对于协议,在编写时有四个选择:默认为PAP。
- 对于服务器超时(以秒为单位),您可以将其增加到最大50(允许的值在1到50之间,这是Aws等待RADIUS服务器响应的时间)。由于使用了超出范围的MFA,因此会增加超时,因此用户将需要一点时间来批准其手机应用程序上的请求,这意味着Radius服务器响应将被延迟。
- 对于“最大RADIUS请求重试次数”,您可以在0到10之间选择。值1、2或3将起作用。这指定与Radius服务器进行通信尝试的次数。
- 选择更新或更新并退出。当RADIUS状态更改为“已完成”(Aws测试凭据使用不带密码的用户名(awsfaketestuser),Aws希望Radius服务器发出“拒绝”消息)时,多因素身份验证可用。
PAP支持Azure MFA的所有身份验证方法:电话,单向短信,移动应用程序通知,OATH硬件令牌和移动应用程序验证代码。CHAPV2和EAP支持电话和移动应用通知。
配置NPS Radius服务器:添加连接请求策略
连接请求处理在充当Radius服务器的NPS服务器上进行。该策略将指示它如何识别来自Aws Radius客户端的请求,并在此特定策略下对其进行处理。
该策略还将决定是否执行主要因素身份验证(AD用户凭据)。
1.首先,我们将禁用默认的连接请求和网络策略(以确保它们不与我们自己的重叠)。
2.现在,我们添加策略。在NPS控制台上,在“ NPS(Local)”>“Policies”上,右键单击“Connection and Request Policies and New”。
3.指定策略名称。
4.在“指定条件”下,向下滚动至“ Radius客户端属性”并添加客户端IPv4Address。此处输入的IP地址将是您先前在Aws Directory IP地址字段中记下的第一个IP。
5.在“指定连接请求转发”上,选择“接受用户而不验证凭据”。
6.重复相同的步骤,为您先前在Aws Directory IP地址字段中记录的辅助IP添加另一个策略。
测试WorkSpaces MFA
1.现在,与测试用户建立联系。在我们的测试中,使用的客户端将是Windows客户端版本。WorkSpaces 登录页面将提示用户输入MFA代码。用户在此字段中再次输入其AD密码。
2.给它几秒钟,您的手机应该会收到通知。从那您可以批准登录。
通过MFA身份验证后,WorkSpaces 客户端将让您登录到桌面。
总结
在此博客中,我们为您提供了有关如何设置Amazon WorkSpaces MFA电话身份验证的示例。身份验证有很多不同的类型,电话身份验证就是其中之一。我们建议客户启用MFA for WorkSpaces以提供附加的安全桌面访问。