AWS Managed Microsoft AD で Okta を使用して、AWS Client VPN エンドポイントに接続するエンドユーザーに多要素認証を提供する方法を教えてください。

最終更新日: 2020 年 4 月 8 日

AWS Managed Microsoft AD ディレクトリで Okta を使用して、AWS Client VPN エンドポイントに接続するエンドユーザーに多要素認証 (MFA) を提供する方法を教えてください。

簡単な説明

AWS Client VPN では、次のタイプのエンドユーザー認証をサポートしています。

  • 相互認証
  • Active Directory (AD) 認証
  • デュアル認証(相互認証 + AD ベースの認証)

MFA サービスは (Client VPN 上で直接ではなく) AD 上で有効にする必要があります。AD タイプが MFA をサポートしていることを確認してください。MFA 機能は、新しい Client VPN と既存の Client VPN の両方でサポートされています。

Duo を使用して Client VPN エンドポイントに接続するエンドユーザーの MFA をセットアップするには。

  • まず、IT 管理者設定タスクを完了し、必要なサービスをセットアップします。
  • 次に、各エンドユーザーにエンドユーザー設定タスクを完了させ、Client VPN エンドポイントへのセキュアな接続を確立するようにします。

解決方法

IT 管理者の設定タスク:

AWS Managed Microsoft AD の作成と設定

1.    AWS Managed Microsoft AD ディレクトリを作成します

2.    Windows EC2 インスタンスを AWS Managed Microsoft AD ディレクトリに結合します

このインスタンスは、AD にサービスをインストールし、AD でユーザーとグループを管理するために使用されます。インスタンスを起動するときは、インスタンスが AD に関連付けられていることを確認してください。また、必ず「AmazonEC2RoleforSSM」ポリシーを添付した IAM ロールを追加してください。

3.    AD サービスをインストールし、AD ユーザーとグループを設定します。

まず、次のコマンドを使用して、ステップ 2 で作成したインスタンスにログインします (または、リモートデスクトップ接続を使用してに接続します)。<Your Admin password> をステップ 1 で AD 用に作成した管理者パスワードに置き換えてください。

User name: Admin@ad_DNS_name
Password: <Your Admin password> 

次に、PowerShell (管理モード) を使用して、以下のサービスをインストールします。

install-windowsfeature rsat-ad-tools, rsat-ad-admincenter, gpmc, rsat-dns-server -confirm:$false

次に、AD ユーザーAD グループを作成します。その後、ユーザーを適切な AD グループに追加します

注: これらの AD ユーザーは、Client VPN サービスに接続するエンドユーザーと同じです。したがって、AD でユーザーを作成するときは、必ず姓と名の両方を指定してください。そうしないと、Okta は AD からユーザーをインポートしない可能性があります。

最後に、次のコマンドを使用して AD グループの SID を取得します。<Your-AD-group-name> を AD グループ名に置き換えてください。

Get-ADGroup -Identity <Your-AD-group-name>

注: Client VPN 認証ルールを設定するときに、このグループの AD ユーザーを認証する SID が必要です。

Okta をインストールして設定する

1.    仕事用 E メールアドレスを使用して Okta アカウントにサインアップします。以下の詳細が記載された承認 E メールが届きます。

Okta organization name

Okta homepage URL

Username (Admin_email) 

Temporary Password

2.    Okta ホームページ URL からログインし、一時パスワードを変更します。

3.    IT 管理者のモバイルデバイスに Okta Verify をインストールします。アプリ内プロンプトに従って、ID を確認します。

4.    別の EC2 Windows インスタンスを起動します。このインスタンスは、Okta Radius アプリケーションを設定および管理するために使用されます。インスタンスが AD に関連付けられ、正しい IAM ロールを持ち、インターネットにアクセスできることを確認してください。

5.    リモートデスクトップを使ってインスタンスに接続します。次に、ステップ 1 の認証情報を使用して Okta (https://<company_name>.okta.com) にログインします。

6.    [設定]、[ダウンロード] の順にクリックします。次に、Okta Radius Server Agents と AD Agent Installer をインスタンスにダウンロードします。

Okta RADIUS Server Agents をインストールするには。

  • RADIUS 共有秘密キーと RADIUS ポートを指定します。これらの値は、後で AD で MFA を有効にするために使用するため、書き留めておきます。
  • (オプション) 該当する場合は、RADIUS Agent プロキシを設定します。
  • このエージェントをドメインに登録するには、Okta に登録したカスタムドメインを入力します。
sub-domain: company_name 
(from https:// <company_name>.okta.com)

認証後、Okta RADIUS Agent へのアクセスを許可するように求められます。[許可] をクリックして、インストールプロセスを完了します。

Okta AD Agent Installer をインストールするには。

  • このエージェントで管理するドメインを選択します。AD のドメインと同じドメインを使用してください。
  • AD の一部であるユーザーを選択します (または、新しいユーザーを作成します)。このユーザーが AD 内の管理グループに属していることを確認します。Okta AD Agent を、このユーザーとして実行します。
  • 認証情報を入力すると、認証に昇格し、AD Agent のインストールに進みます。
  • (オプション) 該当する場合は、RADIUS Agent プロキシを設定します。
  • このエージェントをドメインに登録するには、Okta に登録したカスタムドメインを入力します。
sub-domain: company_name 
(from https:// <company_name>.okta.com)

7.    同じ Windows EC2 インスタンスで、[サービス] をクリックします。次に、Okta Radius Server AgentsAD Agent Installer の両方がインストールされており、実行状態であることを確認します。

AD から Okta へ AD ユーザーをインポートする

Okta ホームページ URL と認証情報を使用して、Okta アカウントにログインします。

1.    Okta の上部ナビゲーションバーで、[ディレクトリ]、[ディレクトリ統合] の順にクリックします。

2.    AD を選択し、ディレクトリをアクティブ化します。アクティブ化したら、[インポート]、[今すぐインポート]、[すべてをインポート] の順でクリックします。

3.    AD から Okta にインポートする AD ユーザーとグループを選択します。

4.    [割り当てを確認する] を選択し、[確認後にユーザーの自動アクティブ化] をクリックします。

5.    ディレクトリで、[] でインポートしたユーザーのステータスを確認します。ユーザーは、すべてアクティブ状態である必要があります。そうでない場合は、個々のユーザーを選択し、手動でアクティブ化します。

Radius アプリケーションをインストールし、AD ユーザーに割り当てる

1.    Okta ホームページで、[アプリケーション]、[アプリケーションを追加する] の順にクリックします。Radius アプリケーションを検索し、[追加する] をクリックします。

2.    [サインオンのオプション] で、次の操作を行います。

  • [Okta がプライマリ認証を実行する] が選択されていないことを確認します。
  • [UDP ポート] で、Okta Radius Server Agents のインストール時に選択したポートをクリックします。
  • [秘密キー] で、Okta Radius Server Agents のインストール時に選択したキーをクリックします。

3.    [アプリケーションユーザー名の形式] で、[AD SAM アカウント名] を選択します。

4.    AD ユーザーとグループに Radius アプリケーションを割り当てます。

  • [割り当てる] をクリックします。
  • (ユースケースに応じて) [人に割り当てる] または [グループに割り当てる] をクリックします。
  • 任意の AD ユーザーまたはグループの名前をすべて選択します。
  • [完了] をクリックします。

ユーザーのために MFA を有効化する

1.    Okta ホームページで、[セキュリティ]、[多要素]、[要素タイプ] の順にクリックします。

2.    [Okta Verify] で、[Okta Verify with Push] を選択します。

3.    [要素の登録] をクリックし、[ルールを追加する] を選択します。

4.    この MFA ルールを Radius アプリケーションに割り当てるには、[アプリケーション]、[Radius アプリケーション]、[サインオンポリシー]、[ルールを追加する] の順にクリックします。

5.    [条件] で、ルールがこのアプリに割り当てられたユーザーに適用されることを確認します。[アクション] で、[要素を確認] をクリックします。

セキュリティグループ設定を変更する

1.    AWS マネジメントコンソールにログインします

2.    [セキュリティグループ] をクリックします。

3.    ディレクトリコントローラーのセキュリティグループを選択します。

4.    AD のセキュリティグループのアウトバウンドルールを編集して、Radius Server の送信先 IP (プライベート IP) の UDP 1812 (または Radius サービスポート) を許可します。または、ユースケースで許可されている場合は、すべてのトラフィックを許可できます。

AWS Microsoft Managed AD で MFA を有効にする

1.    [ディレクトリサービス]、[ディレクトリ] の順にクリックします。

2.    ディレクトリを選択します。

3.    [ネットワーキングとセキュリティ] で、[多要素認証] をクリックします。次に、[アクション]、[有効にする] の順にクリックします。

4.    以下を指定してください。

  • RADIUS サーバーの DNS 名または IP アドレス: EC2 Radius インスタンスのプライベート IP アドレスを入力します。
  • ポート: Okta Radius Server Agents のインストール時に選択したポートを入力します。
  • 共有シークレットコード: Okta Radius Server Agents のインストール時に選択したキーを選択します。
  • プロトコル: PAP を選択します。
  • サーバータイムアウト: 任意の値を設定します。
  • RADIUS リクエストの最大再試行回数: 任意の値を設定します。

Client VPN エンドポイントを作成する

1.    AWS Microsoft Managed AD と MFA を設定したら、MFA が有効になっている AD を使用して Client VPN エンドポイントを作成します

2.    新しいクライアント設定ファイルをダウンロードし、エンドユーザーに配信します。注: クライアント設定ファイルは、AWS マネジメントコンソールAWS CLI、または API コマンドからダウンロードできます。

3.    クライアント設定ファイルに以下のパラメータが含まれていることを確認してください。

auth-user-pass
static-challenge "Enter MFA code " 1   

注: デュアル認証 (相互認証 + AD ベースの認証など) を使用している場合は、必ずクライアント <cert><key> を設定ファイルに追加してください。

エンドユーザー設定タスク:

1.    Okta Verify モバイルアプリケーションがモバイルデバイスにインストールされていることを確認します。

2.    次の認証情報を使用して Okta ホームページにログインします。

OKTA homepage URL: https:// <company_name>.okta.com
Username: End user's AD name
Password: End user's AD password

3.    表示される手順に従って、多要素認証をセットアップします。

4.    AWS Client VPN for Desktop ツールをインストールします。
注: 他の標準的な OpenVPN ベースのクライアントツールを使用して、Client VPN エンドポイントに接続することも可能です。

5.    IT 管理者が提供したクライアント設定ファイルを使用して、プロファイルを作成します。

6.    プロンプトが表示されたら AD ユーザーの認証情報を入力し、Client VPN エンドポイントに接続します。次に、Okta Verify アプリケーションが作成した MFA コードを入力します。


この記事はお役に立ちましたか?

改善できることはありますか?


さらにサポートが必要な場合