Comment puis-je utiliser Okta avec mon annuaire AWS Managed Microsoft AD afin de configurer l'authentification multi-facteur pour les utilisateurs se connectant à un point de terminaison AWS Client VPN ?

Dernière mise à jour : 08/04/2020

Comment puis-je utiliser Okta avec mon annuaire AWS Managed Microsoft AD afin de configurer l'authentification multi-facteur pour les utilisateurs se connectant à un point de terminaison AWS Client VPN ?

Brève description

AWS Client VPN prend en charge les types d'authentification suivants :

  • Authentification mutuelle
  • Authentification Active Directory (AD)
  • Authentification double (authentification mutuelle et authentification AD)

L'authentification multi-facteur doit être activée sur l'annuaire AD (et pas directement sur AWS Client VPN). Assurez-vous que votre annuaire AD prend en charge l'authentification multi-facteur. L'authentification multi-facteur est prise en charge par les versions nouvelles et existantes d'AWS Client VPN.

Pour configurer l'authentification multi-facteur des utilisateurs se connectant à un point de terminaison AWS Client VPN à l'aide de Duo :

  • Tout d'abord, configurez les services requis en tant qu'administrateur.
  • Ensuite, demandez à chaque utilisateur d'effectuer sa propre configuration pour établir une connexion sécurisée au point de terminaison AWS Client VPN.

Solution

Configuration des services requis en tant qu'administrateur

Création et configuration d'un annuaire AWS Managed Microsoft AD

1.    Créez un annuaire AWS Managed Microsoft AD.

2.    Associez une instance EC2 Windows à l'annuaire AWS Managed Microsoft AD.

Cette instance est utilisée pour installer des services sur l'annuaire AD, et y gérer des utilisateurs et des groupes. Lors du lancement de l'instance, assurez-vous qu'elle est associée à l'annuaire AD. Veillez également à ajouter un rôle IAM associé à la stratégie « AmazonEC2RoleforSSM ».

3.    Installez les services AD, puis configurez les utilisateurs et les groupes AD.

Connectez-vous à l'instance que vous avez créée à l'étape 2 à l'aide de la commande suivante (ou via une connexion Bureau à distance). Veillez à remplacer <Your Admin password> par le mot de passe que vous avez créé à l'étape 1.

User name: Admin@ad_DNS_name
Password: <Your Admin password> 

Ensuite, installez les services suivants à l'aide de PowerShell (en mode Administrateur) :

install-windowsfeature rsat-ad-tools, rsat-ad-admincenter, gpmc, rsat-dns-server -confirm:$false

Créez des utilisateurs AD et des groupes AD. Puis ajoutez les utilisateurs aux groupes AD appropriés.

Remarque : ces utilisateurs AD sont ceux qui se connecteront au service AWS Client VPN. Par conséquent, lors de leur création, indiquez le prénom et le nom. Dans le cas contraire, il est possible qu'ils ne soient pas importés par Okta.

Enfin, utilisez la commande suivante pour obtenir le SID de vos groupes AD. Veillez à remplacer <Your-AD-group-name> par le nom de votre groupe AD.

Get-ADGroup -Identity <Your-AD-group-name>

Remarque : vous devez disposer du SID pour autoriser les utilisateurs AD de ce groupe lorsque vous configurez les règles d'autorisation d'AWS Client VPN.

Installation et configuration d'Okta

1.    Créez un compte Okta à l'aide de votre adresse e-mail professionnelle. Un e-mail d'autorisation contenant les détails suivants vous sera ensuite envoyé :

Okta organization name

Okta homepage URL

Username (Admin_email) 

Temporary Password

2.    Connectez-vous à votre page d'accueil Okta, puis modifiez le mot de passe temporaire.

3.    Installez Okta Verify sur l'appareil mobile de l'administrateur informatique. Suivez les indications de l'application pour vérifier votre identité.

4.    Lancez une autre instance EC2 Windows. Cette instance est utilisée pour configurer et gérer l'application Okta RADIUS. Assurez-vous que l'instance est associée à l'annuaire AD et qu'elle dispose du rôle IAM approprié et d'un accès Internet.

5.    Utilisez le service « Connexion Bureau à distance » pour vous connecter à l'instance. Ensuite, connectez-vous à Okta (à l'adresse https://<nom_entreprise>.okta.com) à l'aide des identifiants créés à l'étape 1.

6.    Choisissez Paramètres, puis Téléchargements. Téléchargez ensuite les agents de serveur Okta RADIUS et le programme d'installation de l'agent AD sur votre instance.

Pour installer les agents de serveur Okta RADIUS :

  • Spécifiez la clé secrète partagée RADIUS et le port RADIUS. Prenez note de ces éléments, car vous les utiliserez ultérieurement pour activer l'authentification multi-facteur sur votre annuaire AD.
  • Facultatif : configurez le proxy de l'agent RADIUS, le cas échéant.
  • Pour enregistrer cet agent auprès de votre domaine, spécifiez le domaine personnalisé que vous avez enregistré avec Okta.
sub-domain: company_name 
(from https:// <company_name>.okta.com)

Après l'authentification, vous êtes invité à autoriser l'accès à l'agent Okta RADIUS. Sélectionnez Autoriser pour terminer le processus d'installation.

Pour installer le programme d'installation de l'agent Okta AD :

  • Sélectionnez le domaine que vous souhaitez gérer avec cet agent. Assurez-vous d'utiliser le même domaine que celui de votre annuaire AD.
  • Sélectionnez un utilisateur faisant partie de votre annuaire AD (ou créez-en un). Assurez-vous que cet utilisateur fait partie du groupe Administration de votre annuaire AD. L'agent Okta AD s'exécute via ce même utilisateur.
  • Une fois que vous avez saisi les identifiants, vous pouvez dès lors vous authentifier et continuer à installer l'agent AD.
  • Facultatif : configurez le proxy de l'agent RADIUS, le cas échéant.
  • Pour enregistrer cet agent auprès de votre domaine, spécifiez le domaine personnalisé que vous avez enregistré avec Okta.
sub-domain: company_name 
(from https:// <company_name>.okta.com)

7.    Dans la même instance EC2 Windows, sélectionnez Services. Ensuite, vérifiez que les agents de serveur Okta RADIUS et le programme d'installation de l'agent AD sont installés et en cours d'exécution.

Importation, dans Okta, d'utilisateurs depuis votre annuaire AD

Connectez-vous à votre compte Okta à l'aide de l'URL et des identifiants permettant d'accéder à votre page d'accueil Okta :

1.    Dans la barre de navigation supérieure d'Okta, sélectionnez Annuaire, puis Intégrations d'annuaire.

2.    Sélectionnez votre annuaire AD, puis activez-le. Une fois qu'il est activé, sélectionnez Importer, Importer maintenant, puis Importation intégrale.

3.    Sélectionnez les utilisateurs et groupes AD que vous souhaitez importer dans Okta.

4.    Sélectionnez Confirmer les affectations, puis Activer automatiquement les utilisateurs après confirmation.

5.    Dans votre annuaire, vérifiez le statut des utilisateurs importés sous Personnes. Les utilisateurs doivent tous être associés à l'état Actif. Si ce n'est pas le cas, sélectionnez chaque utilisateur et activez-le manuellement.

Installation de l'application RADIUS et attribution de celle-ci à vos utilisateurs AD

1.    Sur votre page d'accueil Okta, sélectionnez Applications, puis Ajouter une application. Recherchez l'option Application RADIUS, puis sélectionnez Ajouter.

2.    Sous Options d'authentification :

  • Assurez-vous que l'option Okta procède à l'authentification principale n'est PAS sélectionnée.
  • Dans le champ Port UDP, choisissez le port que vous avez sélectionné lors de l'installation des agents de serveur Okta RADIUS.
  • Dans le champ Clé secrète, choisissez la clé que vous avez sélectionnée lors de l'installation des agents de serveur Okta RADIUS.

3.    Dans le champ Format du nom d'utilisateur, sélectionnez Nom de compte SAM AD.

4.    Attribuez l'application RADIUS à vos utilisateurs et groupes AD :

  • Sélectionnez Attribuer.
  • Sélectionnez Attribuer aux personnes ou Attribuer aux groupes, en fonction de la situation.
  • Sélectionnez tous les noms des utilisateurs ou groupes AD souhaités.
  • Sélectionnez Terminé.

Activation de l'authentification multi-facteur pour les utilisateurs

1.    Sur votre page d'accueil Okta, sélectionnez SécuritéMulti-facteurTypes de facteur.

2.    Dans la section Vérification Okta, sélectionnez Vérification Okta avec notification Push.

3.    Sélectionnez Inscription du facteur, puis Ajouter la règle.

4.    Pour attribuer cette règle à l'application RADIUS, sélectionnez Applications, Application RADIUS, Méthode de connexion, puis Ajouter la règle.

5.    Sous Conditions, vérifiez que la règle s'applique aux utilisateurs auxquels l'application a été attribuée. Dans la section Actions, sélectionnez Demander le facteur.

Modification de la configuration du groupe de sécurité

1.    Connectez-vous à l'AWS Management Console.

2.    Sélectionnez Groupes de sécurité.

3.    Sélectionnez le groupe de sécurité associé aux contrôleurs d'annuaire.

4.    Modifiez la règle sortante pour le groupe de sécurité de l'annuaire AD, afin d'ouvrir le port UDP 1812 (ou le port de service RADIUS) de l'adresse IP de destination (ou l'adresse IP privée) de votre serveur Radius. Vous pouvez également autoriser l'intégralité du trafic, si cela est possible.

Activation de l'authentification multi-facteur sur votre annuaire AWS Microsoft Managed AD

1.    Sélectionnez Service d'annuaire, puis Annuaires.

2.    Sélectionnez votre annuaire.

3.    Sous Mise en réseau et sécurité, sélectionnez Authentification multi-facteur. Ensuite, sélectionnez Actions, puis Activer.

4.    Indiquez les informations suivantes :

  • Adresses IP ou nom DNS du serveur RADIUS : saisissez l'adresse IP privée de l'instance EC2 RADIUS.
  • Port : spécifiez le port que vous avez sélectionné lors de l'installation des agents de serveur Okta RADIUS.
  • Code secret partagé : choisissez la clé que vous avez sélectionnée lors de l'installation des agents de serveur Okta RADIUS.
  • Protocole : sélectionnez PAP.
  • Délai d'expiration du serveur : spécifiez la valeur souhaitée.
  • Nombre maximal de nouvelles tentatives RADIUS : spécifiez la valeur souhaitée.

Création du point de terminaison AWS Client VPN

1.    Une fois l'annuaire AWS Microsoft Managed AD et l'authentification multi-facteur configurés, créez le point de terminaison AWS Client VPN à l'aide de l'annuaire pour lequel l'authentification multi-facteur a été activée.

2.    Téléchargez le nouveau fichier de configuration et fournissez-le aux utilisateurs finaux. Remarque : vous pouvez télécharger le fichier de configuration à partir de l'AWS Management Console ou de l'interface en ligne de commande AWS, ou à l'aide de la commande API.

3.    Vérifiez que le fichier de configuration inclut les paramètres suivants :

auth-user-pass
static-challenge "Enter MFA code " 1   

Remarque : si vous optez pour l'authentification double (authentification mutuelle et authentification AD), assurez-vous également d'ajouter le client <cert> et <key> au fichier de configuration.

Configuration par les utilisateurs finaux

1.    Assurez-vous que l'application mobile Okta Verify est installée sur votre appareil mobile.

2.    Connectez-vous à la page d'accueil Okta à l'aide des identifiants suivants :

OKTA homepage URL: https:// <company_name>.okta.com
Username: End user's AD name
Password: End user's AD password

3.    Suivez les instructions pour configurer l'authentification multi-facteur.

4.    Installez l'outil AWS Client VPN for Desktop.
Remarque : vous pouvez également vous connecter au point de terminaison AWS Client VPN à l'aide de n'importe quel autre outil OpenVPN standard.

5.    Créez un profil à l'aide du fichier de configuration fourni par votre administrateur informatique.

6.    Pour vous connecter au point de terminaison AWS Client VPN, saisissez vos identifiants AD lorsque vous y êtes invité. Saisissez ensuite le code généré par l'application Okta Verify.


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d’aide ?