亚马逊AWS官方博客

利用Azure MFA 认证者电话应用程序认证Amazon WorkSpaces用户登录

Amazon WorkSpaces是一个托管的虚拟桌面即服务(DaaS)解决方案。用户可以使用Amazon WorkSpaces来配置Windows或Linux虚拟桌面。

Multi Factor Authentication通过要求用户输入由您的虚拟或硬件MFA解决方案提供的验证码(第二个因素),为用户名和密码(第一个“因素”)增加了一层额外的保护。除非用户提供有效的MFA代码,否则这些因素将通过阻止对AWS服务的访问来提供额外的安全性。

Azure MFA是一种流行的多因素身份验证解决方案,通常是多步骤身份验证MFA的一部分。

Azure MFA提供以下验证形式:

  • Microsoft Authenticator电话应用程序(通知或应用程序代码)
  • OATH硬件令牌
  • 短信
  • 语音通话

在我们的方案中,将Azure MFA与Microsoft Authenticator应用程序一起使用将提供带外身份验证机制。在这篇文章中,我们将讨论有关配置Aws工作区以用作另一个身份验证因素(一个因素将是AD用户密码),以及使用组织拥有的MS Active Directory目录服务(AD DS)和Microsoft Authenticator电话应用程序通知来通知Azure MFA的信息。 )。

在执行本文章中详述的任何步骤之前,请确保已部署并配置了“先决条件”下列出的所有要求。

 

先决条件

  • 具有一个或多个域控制器的现有MS Active Directory域。
  • 现有的Azure AD。
  • 现有的Azure AD Connect将所需的用户帐户同步到Azure AD。
  • 用户在手机上下载了MS Authenticator应用程序的电话(Android / iOS)。
  • 启用Azure MFA 和 Authenticator应用程序推送通知。
  • Amazon WorkSpaces 使用Aws ADConnector将身份验证代理到AD域中。
  • 已加入域的NPS服务器与安装的Azure MFA扩展一起充当客户拥有的RADIUS服务器。

 

配置NPS Radius务器:将Aws录连接器IP添加Radius户端

从Amazon WorkSpaces控制台转到Directories,然后展开您需要MFA的目录。请注意从目录IP地址字段中的两个目录IP地址。

 

使用您的随机密码生成器来生成一个随机秘码。这将用作Radius客户端(Aws)与NPS Radius服务器之间的共享密钥。当Radius客户端与Radius服务器对话时,Radius共享秘码用于所有需要隐藏数据的操作。

  • 登录NPS控制台, 在NPS控制台上, 右键单击“ RADIUS客户端和新建”。

  • 输入一个友好的名称,这将帮助您识别Radius客户端。
  • 在“ Aws Directory IP地址”字段中输入您先前记下的第一个IP。
  • 对于共享机密,请选择“手动”,并提供先前生成的共享机密。
  • 单击确定。
  • 对先前在“ Aws目录IP地址”字段中记下的辅助IP重复相同的步骤,以添加第二个Radius客户端。

 

启用WorkSpaces多重身份验证

  • 从Amazon WorkSpaces控制台转到Directories,然后选择需要MFA的Directory,然后展开“Actions”菜单,然后单击“Update Details”。

  • 选中“启用多重身份验证”复选框以启用它。
  • 输入以下:
    • 您的NPS服务器IP地址(如果多个)用逗号隔开。
    • 添加用于Radius客户端的NPS上的共享机密。
    • 对于协议,在编写时有四个选择:默认为PAP。
    • 对于服务器超时(以秒为单位),您可以将其增加到最大50(允许的值在1到50之间,这是Aws等待RADIUS服务器响应的时间)。由于使用了超出范围的MFA,因此会增加超时,因此用户将需要一点时间来批准其手机应用程序上的请求,这意味着Radius服务器响应将被延迟。
    • 对于“最大RADIUS请求重试次数”,您可以在0到10之间选择。值1、2或3将起作用。这指定与Radius服务器进行通信尝试的次数。
    • 选择更新或更新并退出。当RADIUS状态更改为“已完成”(Aws测试凭据使用不带密码的用户名(awsfaketestuser),Aws希望Radius服务器发出“拒绝”消息)时,多因素身份验证可用。
  • PAP支持Azure MFA的所有身份验证方法:电话,单向短信,移动应用程序通知,OATH硬件令牌和移动应用程序验证代码。CHAPV2和EAP支持电话和移动应用通知。

 

配置NPS Radius务器:添加连接请求策略

连接请求处理在充当Radius服务器的NPS服务器上进行。该策略将指示它如何识别来自Aws Radius客户端的请求,并在此特定策略下对其进行处理。

该策略还将决定是否执行主要因素身份验证(AD用户凭据)。

  • 首先,我们将禁用默认的连接请求和网络策略(以确保它们不与我们自己的重叠)。
  • 现在,我们添加策略。在NPS控制台上,在“ NPS(Local)”>“Policies”上,右键单击“Connection and Request Policies and New”。
  • 指定策略名称。
  • 在“指定条件”下,向下滚动至“ Radius客户端属性”并添加客户端IPv4Address。此处输入的IP地址将是您先前在Aws Directory IP地址字段中记下的第一个IP。

 

  • 在“指定连接请求转发”上,选择“接受用户而不验证凭据”。
  • 重复相同的步骤,为您先前在Aws Directory IP地址字段中记录的辅助IP添加另一个策略。

 

测试WorkSpaces MFA

  • 现在,与测试用户建立联系。在我们的测试中,使用的客户端将是Windows客户端版本。WorkSpaces登录页面将提示用户输入MFA代码。用户在此字段中再次输入其AD密码。

 

    • 给它几秒钟,您的手机应该会收到通知。从那您可以批准登录。

 

 

  • 通过MFA身份验证后,WorkSpaces客户端将让您登录到桌面。

 

总结

在此博客中,我们为您提供了有关如何设置Amazon WorkSpaces MFA电话身份验证的示例。身份验证有很多不同的类型,电话身份验证就是其中之一。我们建议客户启用MFA for WorkSpaces以提供附加的安全桌面访问。

 

本篇作者

徐欣蕾

Amazon Web Services公司专业服务团队WorkSpaces顾问。