利用Azure MFA 认证者电话应用程序认证Amazon WorkSpaces用户登录

Amazon WorkSpaces 是一个托管的虚拟桌面即服务（DaaS）解决方案。用户可以使用Amazon WorkSpaces来配置Windows或Linux虚拟桌面。

Multi Factor Authentication通过要求用户输入由您的虚拟或硬件MFA解决方案提供的验证码（第二个因素），为用户名和密码（第一个“因素”）增加了一层额外的保护。除非用户提供有效的MFA代码，否则这些因素将通过阻止对AWS服务的访问来提供额外的安全性。

Azure MFA是一种流行的多因素身份验证解决方案，通常是多步骤身份验证MFA的一部分。

Azure MFA提供以下验证形式：

Microsoft Authenticator 电话应用程序（通知或应用程序代码）
OATH硬件令牌
短信
语音通话

在我们的方案中，将Azure MFA与Microsoft Authenticator 应用程序一起使用将提供带外身份验证机制。在这篇文章中，我们将讨论有关配置Aws工作区以用作另一个身份验证因素（一个因素将是AD用户密码），以及使用组织拥有的MS Active Directory目录服务（AD DS）和Microsoft Authenticator 电话应用程序通知来通知Azure MFA的信息。）。

在执行本文章中详述的任何步骤之前，请确保已部署并配置了“先决条件”下列出的所有要求。

先决条件

具有一个或多个域控制器的现有MS Active Directory域。
现有的Azure AD。
现有的Azure AD Connect将所需的用户帐户同步到Azure AD。
用户在手机上下载了MS Authenticator 应用程序的电话（Android / iOS）。
启用Azure MFA 和 Authenticator 应用程序推送通知。
Amazon WorkSpaces 使用Aws ADConnector 将身份验证代理到AD域中。
已加入域的NPS服务器与安装的Azure MFA扩展一起充当客户拥有的RADIUS服务器。

配置NPS Radius服务器：将Aws目录连接器IP添加为Radius客户端

从Amazon WorkSpaces控制台转到Directories，然后展开您需要MFA的目录。请注意从目录IP地址字段中的两个目录IP地址。

使用您的随机密码生成器来生成一个随机秘码。这将用作Radius客户端（Aws）与NPS Radius服务器之间的共享密钥。当Radius客户端与Radius服务器对话时，Radius共享秘码用于所有需要隐藏数据的操作。

1. 登录NPS控制台, 在NPS控制台上, 右键单击“ RADIUS客户端和新建”。

2. 输入一个友好的名称，这将帮助您识别Radius客户端。

3.在“ Aws Directory IP地址”字段中输入您先前记下的第一个IP。

4.对于共享机密，请选择“手动”，并提供先前生成的共享机密。

5.单击确定。

6.对先前在“ Aws目录IP地址”字段中记下的辅助IP重复相同的步骤，以添加第二个Radius客户端。

启用WorkSpaces多重身份验证

1.从Amazon WorkSpaces控制台转到Directories，然后选择需要MFA的Directory，然后展开“Actions”菜单，然后单击“Update Details”。

2.选中“启用多重身份验证”复选框以启用它。

3.输入以下:

- 您的NPS服务器IP地址（如果多个）用逗号隔开。
- 添加用于Radius客户端的NPS上的共享机密。
- 对于协议，在编写时有四个选择：默认为PAP。
- 对于服务器超时（以秒为单位），您可以将其增加到最大50（允许的值在1到50之间，这是Aws等待RADIUS服务器响应的时间）。由于使用了超出范围的MFA，因此会增加超时，因此用户将需要一点时间来批准其手机应用程序上的请求，这意味着Radius服务器响应将被延迟。
- 对于“最大RADIUS请求重试次数”，您可以在0到10之间选择。值1、2或3将起作用。这指定与Radius服务器进行通信尝试的次数。
- 选择更新或更新并退出。当RADIUS状态更改为“已完成”（Aws测试凭据使用不带密码的用户名（awsfaketestuser），Aws希望Radius服务器发出“拒绝”消息）时，多因素身份验证可用。

PAP支持Azure MFA的所有身份验证方法：电话，单向短信，移动应用程序通知，OATH硬件令牌和移动应用程序验证代码。CHAPV2和EAP支持电话和移动应用通知。