¿Cómo puedo utilizar Okta con mi Microsoft AD administrado por AWS para proporcionar autenticación multifactor a los usuarios finales que se conectan a un punto de conexión de AWS Client VPN?

10 minutos de lectura
0

¿Cómo puedo utilizar Okta con mi AWS Directory Service para Microsoft Active Directory para proporcionar autenticación multifactor (MFA) a los usuarios finales que se conectan a un punto de conexión de AWS Client VPN?

Descripción breve

AWS Client VPN admite los siguientes tipos de autenticación para usuarios finales:

  • Autenticación mutua
  • Autenticación basada en Microsoft Active Directory
  • Autenticación doble (autenticación mutua y autenticación basada en Microsoft Active Directory)

El servicio de MFA debe estar activado en AWS Managed Microsoft AD (no directamente en Client VPN). Asegúrese de que su tipo de AWS Managed Microsoft AD sea compatible con la MFA. La funcionalidad de MFA es compatible con las Client VPN nuevas y existentes.

Para configurar la MFA para los usuarios finales que se conectan a un punto de conexión de Client VPN mediante Okta:

  1. Complete las tareas de configuración del administrador de TI para configurar los servicios necesarios.
  2. A continuación, pida a cada usuario final que complete las tareas de configuración de usuario final para establecer su conexión segura con el punto de conexión de Client VPN.

Resolución

Nota: Los administradores de TI deben completar las tareas siguientes, excepto la última sección, que debe ser completada por los usuarios finales.

Crear y configurar un AWS Managed Microsoft AD

  1. Crear un directorio de AWS Managed Microsoft AD.

  2. Unir a una instancia de EC2 a AWS Managed Microsoft AD.

Esta instancia se utiliza para instalar servicios en AWS Managed Microsoft AD y para administrar usuarios y grupos en AWS Managed Microsoft AD. Al lanzar la instancia, asegúrese de que esté asociada a AWS Managed Microsoft AD. Además, asegúrese de añadir un rol de AWS Identity and Access Management (IAM) con las políticas «AmazonSSMManagedInstanceCore» y «AmazonSSMDirectoryServiceAccess» adjuntas.

  1. Instale los servicios de AWS Managed Microsoft AD. A continuación, configure los usuarios y grupos de AWS Managed Microsoft AD.

En primer lugar, inicie sesión en la instancia que creó en el paso 2 (o utilice una conexión de escritorio remoto para conectarse a ella) con el comando siguiente. Asegúrese de reemplazar su contraseña de administrador por la contraseña de administrador que creó en el paso 1.

User name: Admin@ad_DNS_name
Password: Your Admin password

A continuación, instale los siguientes servicios mediante PowerShell (en modo de administrador):

install-windowsfeature rsat-ad-tools, rsat-ad-admincenter, gpmc, rsat-dns-server -confirm:$false

Después, cree usuarios de Microsoft AD y grupos de Microsoft AD. A continuación, añada los usuarios a los grupos de Microsoft AD pertinentes.

Nota: Estos usuarios son los mismos usuarios finales que se conectarán al servicio de Client VPN. Al crear usuarios en AWS Managed Microsoft AD, asegúrese de proporcionar sus nombres y apellidos. De lo contrario, es posible que Okta no importe usuarios de AWS Managed Microsoft AD.

Por último, utilice el siguiente comando para obtener el SID de sus grupos de Microsoft AD. Asegúrese de reemplazar Your-AD-group-name por el nombre de su grupo de Microsoft AD.

Get-ADGroup -Identity <Your-AD-group-name>

Nota: Necesita el SID para autorizar a los usuarios de Microsoft AD de este grupo al configurar las reglas de autorización de Client VPN.

Instalar y configurar Okta

  1. Regístrese para una cuenta de Okta con su dirección de correo electrónico profesional. Recibirá un correo electrónico de autorización con los detalles siguientes:
Okta organization name
Okta homepage URL
Username (Admin_email)
Temporary Password
  1. Inicie sesión con la URL de la página de inicio de Okta y, a continuación, cambie la contraseña temporal.

  2. Instale Okta Verify en el dispositivo móvil del administrador de TI. Siga las instrucciones de la aplicación para verificar su identidad.

  3. Lance otra instancia de EC2 de Windows. Esta instancia se usa para configurar y administrar la aplicación Okta Radius. Asegúrese de que la instancia está asociada a AWS Managed Microsoft AD, que tiene el rol de IAM correcto y que tiene acceso a Internet.

  4. Utilice el escritorio remoto para conectarse a la instancia. A continuación, inicie sesión en Okta (**https://

.okta.com**) mediante sus credenciales del paso 1.

  1. Seleccione Configuración y, a continuación, Descargas. A continuación, descargue los agentes de servidor de Okta Radius y el instalador del agente de AD en su instancia.

Para instalar los agentes de servidor de Okta RADIUS:

  • Proporcione la clave secreta compartida de RADIUS y el puerto de RADIUS. Asegúrese de anotar estos valores, ya que los utilizará más adelante para activar la MFA en su AWS Managed Microsoft AD.
  • (Opcional) Configure el proxy del agente de RADIUS, si corresponde.
  • Para registrar este agente con su dominio, introduzca el dominio personalizado que registró en Okta.
sub-domain: company_name
(from https:// <company_name>.okta.com)
  • Tras la autenticación, se le solicitará que permita el acceso al agente de Okta RADIUS. Seleccione Permitir para completar el proceso de instalación.

Para instalar el instalador del agente de Okta AD:

  • Elija el dominio que piensa administrar con este agente. Asegúrese de utilizar el mismo dominio que el dominio de Microsoft AD.
  • Seleccione un usuario que forme parte de su Microsoft AD (o cree un usuario nuevo). Asegúrese de que este usuario forme parte del grupo de administradores de su Microsoft AD. El agente de Okta Microsoft AD se ejecuta como este usuario.
  • Tras introducir las credenciales, se le solicitará que se autentique y que continúe con la instalación del agente de Microsoft AD.
  • (Opcional) Configure el proxy del agente de RADIUS, si corresponde.
  • Para registrar este agente con su dominio, introduzca el dominio personalizado que registró en Okta.
sub-domain: company_name
(from https:// <company_name>.okta.com)
  1. En la misma instancia de Windows EC2, elija Servicios. A continuación, compruebe que tanto los agentes de servidor de Okta Radius como el instalador del agente de AD estén instalados y en el estado En ejecución.

Importar usuarios de AD de su AWS Managed Microsoft AD a Okta

  1. Inicie sesión en su cuenta de Okta mediante la URL de la página de inicio de Okta y sus credenciales:

  2. En la barra de navegación superior de Okta, seleccione Directorio y, a continuación, Integraciones de directorios.

  3. Seleccione su AWS Managed Microsoft AD y, a continuación, active el directorio. Una vez activado, seleccione Importar, Importar ahora y, a continuación, Importar completo.

  4. Seleccione los usuarios y grupos de Microsoft AD que desee importar de su AWS Managed Microsoft AD a Okta.

  5. Elija Confirmar asignaciones y, a continuación, seleccione Activar automáticamente usuarios tras la confirmación.

  6. En el directorio, compruebe el estado de los usuarios importados en Gente. Todos sus usuarios deben estar en estado Activo. De lo contrario, seleccione cada usuario individual y actívelos manualmente.

Instalar la aplicación Radius y asignarla a sus usuarios de Microsoft AD

  1. En la página de inicio de Okta, seleccione Aplicaciones, Añadir aplicación. Busque la aplicación Radius y, a continuación, seleccione Añadir.

  2. En Opciones de inicio de sesión, asegúrese de que la opción Okta realiza la autenticación principal no esté seleccionada. En Puerto UDP, elija el puerto que seleccionó durante la instalación de los agentes de servidor de Okta Radius. En Clave secreta, elija la clave que seleccionó durante la instalación de los agentes de servidor de Okta Radius.

  3. En formato de nombre de usuario de aplicación, elija nombre de cuenta de AD SAM.

  4. Asigne la aplicación Radius a sus usuarios y grupos de Microsoft AD. Elija Asignar. A continuación, elija Asignar a Gente o Asignar a Grupos (según su caso de uso). Seleccione todos los nombres de los usuarios o grupos de Microsoft AD que desea. Seleccione Listo.

Activar la MFA para los usuarios

  1. En su página de inicio de Okta, seleccione Seguridad, Multifactor, y Tipos de factor.

  2. En Comprobar Okta, elija Comprobar Okta con Pulsar.

  3. Elija Inscripción de factor y, a continuación, Añadir regla.

  4. Para asignar esta regla de MFA a la aplicación Radius, seleccione Aplicaciones, Aplicación Radius, Política de inicio de sesión, y Añadir regla.

  5. En Condiciones, confirme que la regla se aplica a los Usuarios asignaron esta aplicación. En Acciones, elija Pedir factor.

Modificar la configuración del grupo de seguridad

  1. Inicie sesión en la consola de administración de AWS.

  2. Elija Grupos de seguridad.

  3. Seleccione el grupo de seguridad para los controladores de directorio.

  4. Edite la regla de salida del grupo de seguridad de Microsoft AD para permitir UDP 1812 (o el puerto de servicio de Radius) para la dirección IP de destino (dirección IP privada) de su servidor de Radius. Si su caso de uso lo permite, también puede permitir todo el tráfico.

Activar la MFA en AWS Managed Microsoft AD

  1. Abra la consola de AWS Directory Service.

  2. Elija Servicio de directorios y, a continuación, Directorios.

  3. Seleccione su directorio.

  4. En Redes y seguridad, seleccione Autenticación multifactor. A continuación, elija Acciones, Habilitar.

  5. Especifique lo siguiente:

  • Nombre de DNS o direcciones IP del servidor RADIUS: introduzca la dirección IP privada de la instancia de Radius de EC2.
  • Desplegar etiqueta: introduzca el nombre de una etiqueta.
  • Puerto: introduzca el puerto que seleccionó durante la instalación de los agentes de servidor de Okta Radius.
  • Código secreto compartido: elija la clave que seleccionó al instalar los agentes de servidor de Okta Radius.
  • Protocolo: elija PAP.
  • Tiempo de espera del servidor: defina el valor deseado.
  • Número máximo de reintentos de solicitud de RADIUS: defina el valor deseado.

Crear el punto de conexión de Client VPN

  1. Una vez configurados AWS Managed Microsoft AD y la MFA, cree el punto de conexión de Client VPN mediante el Microsoft AD para el que está activada la MFA.

  2. Descargue el nuevo archivo de configuración del cliente y distribúyalo entre sus usuarios finales.
    Nota: Puede descargar el archivo de configuración del cliente desde la consola de administración de AWS, la interfaz de la línea de comandos de AWS (AWS CLI), o el comando de la API.

  3. Confirme que el archivo de configuración del cliente incluye los parámetros siguientes:

auth-user-pass
static-challenge "Enter MFA code " 1

Nota: Si utiliza la autenticación doble (por ejemplo, la autenticación mutua y la autenticación basada en AD), asegúrese también de añadir el cliente al archivo de configuración.

Tareas de configuración para el usuario final

  1. Asegúrese de que la aplicación móvil Okta Verify esté instalada en su dispositivo móvil.

  2. Inicie sesión en la página de inicio de Okta con las credenciales siguientes:

OKTA homepage URL: https:// <company_name>.okta.com
Username: End user's AD name
Password: End user's AD password
  1. Siga las instrucciones proporcionadas para configurar la MFA.

  2. Instale la herramienta AWS Client VPN para Desktop.
    Nota: También puede conectarse al punto de conexión de Client VPN mediante cualquier otra herramienta de cliente estándar basada en OpenVPN.

  3. Cree un perfil mediante el archivo de configuración del cliente proporcionado por su administrador de TI.

  4. Para conectarse al punto de conexión de Client VPN, introduzca sus credenciales de usuario de Microsoft AD cuando se le solicite. A continuación, introduzca el código de MFA generado por la aplicación Okta Verify.


OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 2 años