Comment puis-je utiliser Okta avec mon annuaire AWS Managed Microsoft AD afin de configurer l'authentification multi-facteur pour les utilisateurs se connectant à un point de terminaison AWS Client VPN ?

Date de la dernière mise à jour : 11/11/2020

Comment puis-je utiliser Okta avec mon AWS Directory Service pour Microsoft Active Directory afin de configurer l'authentification multi-facteur (MFA) pour les utilisateurs se connectant à un point de terminaison AWS Client VPN ?

Brève description

AWS Client VPN prend en charge les types d'authentification suivants :

  • Authentification mutuelle
  • Authentification Microsoft Active Directory
  • Authentification double (authentification mutuelle + authentification basée sur Microsoft Active Directory)

L'authentification multi-facteur (MFA)doit être activée sur l'annuaire AWS Managed Microsoft AD (et pas directement sur AWS Client VPN). Assurez-vous que votre type d'annuaire AWS Managed Microsoft AD prend en charge l'authentification multi-facteur (MFA). L'authentification multi-facteur (MFA) est prise en charge par les versions nouvelles et existantes d'AWS Client VPN.

Pour configurer l'authentification multi-facteur (MFA) des utilisateurs se connectant à un point de terminaison AWS Client VPN à l'aide de Duo :

  1. Effectuez les tâches de configuration de l'administrateur informatique pour configurer les services requis.
  2. Ensuite, demandez à chaque utilisateur d'effectuer sa propre configuration pour établir une connexion sécurisée au point de terminaison AWS Client VPN.

Résolution

Remarque : les tâches suivantes doivent être exécutées par les administrateurs informatiques, à l'exception de la dernière section qui doit être effectuée par les utilisateurs finaux.

Création et configuration d'un annuaire AWS Managed Microsoft AD

1.    Créez un annuaire AWS Managed Microsoft AD.

2.    Associez une instance EC2 Windows à l'annuaire AWS Managed Microsoft AD.

Cette instance est utilisée pour installer des services dans l'annuaire AWS Managed Microsoft AD et pour gérer les utilisateurs et les groupes dans l'annuaire AWS Managed Microsoft AD. Lors du lancement de l'instance, assurez-vous qu'elle est associée à l'annuaire AWS Managed Microsoft AD. Veillez également à ajouter un rôle AWS Identity and Access Management (IAM) avec les stratégies « AmazonSSMManagedInstanceCore » et « AmazonSSMDirectoryServiceAcces » jointes.

3.    Installez les services AWS Managed Microsoft AD. Ensuite, configurez les utilisateurs et groupes AWS Managed Microsoft AD.

Connectez-vous à l'instance que vous avez créée à l'étape 2 à l'aide de la commande suivante (ou via une connexion Bureau à distance). Assurez-vous de remplacer Your Admin password par le mot de passe administrateur que vous avez créé à l'étape 1.

User name: Admin@ad_DNS_name
Password: Your Admin password

Ensuite, installez les services suivants à l'aide de PowerShell (en mode Administrateur) :

install-windowsfeature rsat-ad-tools, rsat-ad-admincenter, gpmc, rsat-dns-server -confirm:$false

Ensuite, créez des utilisateurs de Microsoft AD et des groupes de Microsoft AD. Puis ajoutez les utilisateurs aux groupes de Microsoft AD appropriés.

Remarque : ces utilisateurs sont ceux qui se connecteront au service AWS Client VPN. Lors de la création d'utilisateurs dans AWS Managed Microsoft AD, veillez à fournir à la fois les prénoms et les noms de famille. Sinon, Okta pourrait ne pas importer d'utilisateurs à partir d'AWS Managed Microsoft AD.

Enfin, utilisez la commande suivante pour obtenir le SID pour vos groupes Microsoft AD. Veillez à remplacer Your-AD-group-name par le nom de votre groupe Microsoft AD.

Get-ADGroup -Identity <Your-AD-group-name>

Remarque : vous devez disposer du SID pour autoriser les utilisateurs de Microsoft AD de ce groupe lorsque vous configurez les règles d'autorisation d'AWS Client VPN.

Installation et configuration d'Okta

1.    Créez un compte Okta à l'aide de votre adresse e-mail professionnelle. Un e-mail d'autorisation contenant les détails suivants vous sera ensuite envoyé :

Okta organization name
Okta homepage URL
Username (Admin_email) 
Temporary Password

2.    Connectez-vous à votre page d'accueil Okta, puis modifiez le mot de passe temporaire.

3.    Installez Okta Verify sur l'appareil mobile de l'administrateur informatique. Suivez les indications de l'application pour vérifier votre identité.

4.    Lancez une autre instance EC2 Windows. Cette instance est utilisée pour configurer et gérer l'application Okta RADIUS. Assurez-vous que l'instance est associée à l'annuaire AWS Managed Microsoft AD et qu'elle dispose du rôle IAM approprié et d'un accès Internet.

5.    Utilisez le service « Connexion Bureau à distance » pour vous connecter à l'instance. Ensuite, connectez-vous à Okta (à l'adresse https://<nom_entreprise>.okta.com) à l'aide des identifiants créés à l'étape 1.

6.    Choisissez Paramètres, puis Téléchargements. Téléchargez ensuite les agents de serveur Okta RADIUS et le programme d'installation de l'agent AD sur votre instance.

Pour installer les agents de serveur Okta RADIUS :

  • Spécifiez la clé secrète partagée RADIUS et le port RADIUS. Prenez note de ces éléments, car vous les utiliserez ultérieurement pour activer l'authentification multi-facteur (MFA) sur votre annuaire AWS Managed Microsoft AD.
  • Facultatif : configurez le proxy de l'agent RADIUS, le cas échéant.
  • Pour enregistrer cet agent auprès de votre domaine, spécifiez le domaine personnalisé que vous avez enregistré avec Okta.
sub-domain: company_name 
(from https:// <company_name>.okta.com)
  • Après l'authentification, vous êtes invité à autoriser l'accès à l'agent Okta RADIUS. Sélectionnez Autoriser pour terminer le processus d'installation.

Pour installer le programme d'installation de l'agent Okta AD :

  • Sélectionnez le domaine que vous souhaitez gérer avec cet agent. Assurez-vous d'utiliser le même domaine que celui de votre annuaire Microsoft AD.
  • Sélectionnez un utilisateur qui fait partie de votre annuaire Microsoft AD (ou créez un nouvel utilisateur). Assurez-vous que cet utilisateur fait partie du groupe Administration de votre annuaire Microsoft AD. L'agent Okta Microsoft AD s'exécute en tant qu'utilisateur.
  • Une fois que vous avez saisi les identifiants, vous pouvez dès lors vous authentifier et continuer à installer l'agent Microsoft AD.
  • Facultatif : configurez le proxy de l'agent RADIUS, le cas échéant.
  • Pour enregistrer cet agent auprès de votre domaine, spécifiez le domaine personnalisé que vous avez enregistré avec Okta.
sub-domain: company_name 
(from https:// <company_name>.okta.com)

7.    Dans la même instance EC2 Windows, sélectionnez Services. Ensuite, vérifiez que les agents de serveur Okta RADIUS et le programme d'installation de l'agent AD sont installés et en cours d'exécution.

Importer des utilisateurs AD de votre annuaire AWS Managed Microsoft AD vers Okta

1.    Connectez-vous à votre compte Okta à l'aide de l'URL et des identifiants permettant d'accéder à votre page d'accueil Okta :

2.    Dans la barre de navigation supérieure d'Okta, sélectionnez Annuaire, puis Intégrations d'annuaire.

3.    Sélectionnez votre annuaire AWS Managed Microsoft AD, puis activez le. Une fois qu'il est activé, sélectionnez Importer, Importer maintenant, puis Importation intégrale.

4.    Sélectionnez les utilisateurs et groupes Microsoft AD que vous souhaitez importer depuis AWS Managed Microsoft AD vers Okta.

5.    Sélectionnez Confirmer les affectations, puis Activer automatiquement les utilisateurs après confirmation.

6.    Dans votre annuaire, vérifiez le statut des utilisateurs importés sous Personnes. Les utilisateurs doivent tous être associés à l'état Actif. Si ce n'est pas le cas, sélectionnez chaque utilisateur et activez-le manuellement.

Installation de l'application RADIUS et attribution de celle-ci à vos utilisateurs Microsoft AD

1.    Sur votre page d'accueil Okta, sélectionnez Applications, puis Ajouter une application. Recherchez l'option Application RADIUS, puis sélectionnez Ajouter.

2.    Sous Options de connexion, assurez-vous que l'option Okta procède à l'authentification principale n'est pas sélectionnée. Dans le champ Port UDP, choisissez le port que vous avez sélectionné lors de l'installation des agents de serveur Okta RADIUS. Dans le champ Clé secrète, choisissez la clé que vous avez sélectionnée lors de l'installation des agents de serveur Okta RADIUS.

3.    Dans le champ Format du nom d'utilisateur, sélectionnez Nom de compte SAM AD.

4.    Attribuez l'application RADIUS à vos utilisateurs et groupes Microsoft AD. Sélectionnez Attribuer. Sélectionnez Attribuer aux personnes ou Attribuer aux groupes, en fonction de la situation. Sélectionnez tous les noms des utilisateurs ou groupes Microsoft AD souhaités. Choisissez Done (Terminé).

Activation de l'authentification multi-facteur (MFA) pour les utilisateurs

1.    Sur votre page d'accueil Okta, sélectionnez Sécurité, Multi-facteur, Types de facteur.

2.    Dans la section Vérification Okta, sélectionnez Vérification Okta avec notification Push.

3.    Sélectionnez Inscription du facteur, puis Ajouter la règle.

4.    Pour attribuer cette règle MFA à l'application RADIUS, sélectionnez Applications, Application RADIUS, Méthode de connexion, puis Ajouter la règle.

5.    Sous Conditions, vérifiez que la règle s'applique aux utilisateurs auxquels l'application a été attribuée. Dans la section Actions, sélectionnez Demander le facteur.

Modifier la configuration du groupe de sécurité

1.    Connectez-vous à l'AWS Management Console.

2.    Sélectionnez Groupes de sécurité.

3.    Sélectionnez le groupe de sécurité associé aux contrôleurs d'annuaire.

4.    Modifiez la règle sortante pour le groupe de sécurité de l'annuaire Microsoft AD, afin d'ouvrir le port UDP 1812 (ou le port de service Radius) de l'adresse IP de destination (ou l'adresse IP privée) de votre serveur Radius. Vous pouvez également autoriser l'intégralité du trafic, si cela est possible.

Activation de l'authentification multi-facteur sur votre annuaire AWS Microsoft Managed AD

1.    Ouvrez la console AWS Directory Service.

2.    Sélectionnez Service d'annuaire, puis Annuaires.

2.    Sélectionnez votre annuaire.

3.    Sous Mise en réseau et sécurité, sélectionnez Authentification multi-facteur. Ensuite, sélectionnez Actions, puis Activer.

4.    Indiquez les informations suivantes :

  • Adresses IP ou nom DNS du serveur RADIUS : saisissez l'adresse IP privée de l'instance EC2 RADIUS.
  • Étiquette d'affichage : entrez un nom d'étiquette.
  • Port : spécifiez le port que vous avez sélectionné lors de l'installation des agents de serveur Okta RADIUS.
  • Code secret partagé : choisissez la clé que vous avez sélectionnée lors de l'installation des agents de serveur Okta RADIUS.
  • Protocole : sélectionnez PAP.
  • Délai d'expiration du serveur : spécifiez la valeur souhaitée.
  • Nombre maximal de nouvelles tentatives RADIUS : spécifiez la valeur souhaitée.

Création du point de terminaison AWS Client VPN

1.    Une fois l'annuaire AWS Microsoft Managed AD et l'authentification multi-facteur (MFA) configurés, créez le point de terminaison AWS Client VPN à l'aide de l'annuaire Microsoft AD pour lequel l'authentification multi-facteur a été activée.

2.    Téléchargez le nouveau fichier de configuration et envoyez-le aux utilisateurs finaux.
Remarque : vous pouvez télécharger le fichier de configuration à partir de l'AWS Management Console ou de l'interface en ligne de commande AWS (AWS CLI), ou à l'aide de la commande API.

3.    Vérifiez que le fichier de configuration inclut les paramètres suivants :

auth-user-pass
static-challenge "Enter MFA code " 1

Remarque : si vous optez pour l'authentification double (authentification mutuelle et authentification AD), assurez-vous également d'ajouter le client <cert> et <key> au fichier de configuration.

Configuration par les utilisateurs finaux

1.    Assurez-vous que l'application mobile Okta Verify est installée sur votre appareil mobile.

2.    Connectez-vous à la page d'accueil Okta à l'aide des identifiants suivants :

OKTA homepage URL: https:// <company_name>.okta.com
Username: End user's AD name
Password: End user's AD password

3.    Suivez les instructions fournies pour configurer le MFA.

4.    Installez l'outil AWS Client VPN for Desktop.
Remarque : vous pouvez également vous connecter au point de terminaison AWS Client VPN à l'aide de n'importe quel autre outil OpenVPN standard.

5.    Créez un profil à l'aide du fichier de configuration fourni par votre administrateur informatique.

6.    Pour vous connecter au point de terminaison AWS Client VPN, saisissez vos identifiants Microsoft AD lorsque vous y êtes invité. Saisissez ensuite le code MFA généré par l'application Okta Verify.</p


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?