AWS Managed Microsoft AD で Okta を使用して、AWS Client VPN エンドポイントに接続するエンドユーザーに多要素認証を提供するにはどうすればよいですか?

最終更新日: 2020 年 11 月 11 日

Microsoft Active Directory 向けの AWS Directory Service で Okta を使用して、AWS Client VPN エンドポイントに接続しているエンドユーザーに多要素認証 (MFA) を提供するにはどうすればよいですか?

簡単な説明

AWS Client VPN は、次のタイプのエンドユーザー認証をサポートしています。

  • 相互認証
  • Microsoft Active Directory 認証
  • 二重認証 (相互認証および Microsoft Active Directory ベースの認証)

MFA サービスは、(Client VPN で直接有効にするのではなく) AWS Managed Microsoft AD で有効にする必要があります。ご利用の AWS Managed Microsoft AD タイプが MFA をサポートしていることを確認してください。MFA 機能は、新規および既存の Client VPN のどちらでもサポートされています。

Duo を使用して Client VPN エンドポイントに接続しているエンドユーザー向けに MFA を設定するには、以下の手順に従ってください。

  1. IT 管理者の設定タスクを完了して、必要なサービスをセットアップします。
  2. 次に、各エンドユーザーにエンドユーザー設定タスクを完了させて、Client VPN エンドポイントへの安全な接続を確立します。

解決方法

注: 次のタスクは、エンドユーザーが完了する必要がある最後のセクションを除いて、IT 管理者が完了する必要があります。

AWS Managed Microsoft AD を作成して設定する

1.    AWS Managed Microsoft AD ディレクトリを作成します

2.    Windows EC2 インスタンスを AWS Managed Microsoft AD に参加させます

このインスタンスは、AWS Managed Microsoft AD にサービスをインストールし、AWS Managed Microsoft AD でユーザーとグループを管理するために使用されます。インスタンスを起動するときは、インスタンスが AWS Managed Microsoft AD に関連付けられていることを確認してください。また、「AmazonSSMManagedInstanceCore」ポリシーと「AmazonSSMDirectoryServiceAcces」ポリシーがアタッチされた AWS Identity and Access Management (IAM) ロールを必ず追加してください。

3.    AWS Managed Microsoft AD サービスをインストールします。次に、AWS Managed Microsoft AD ユーザーとグループを設定します。

まず、次のコマンドを使用して、手順 2 で作成したインスタンスにログインします (またはリモートデスクトップ接続を使用して接続します)。 必ず管理者パスワードを手順 1 で作成した管理者パスワードに置き換えてください。

User name: Admin@ad_DNS_name
Password: Your Admin password

次に、(管理者モードで) PowerShell を用いて次のサービスをインストールします。

install-windowsfeature rsat-ad-tools, rsat-ad-admincenter, gpmc, rsat-dns-server -confirm:$false

そして、Microsoft AD ユーザーMicrosoft AD グループを作成します。さらにユーザーを適切な Microsoft AD グループに追加します

注: これらのユーザーは、Client VPN サービスに接続するエンドユーザーと同じです。AWS Managed Microsoft AD でユーザーを作成するときは、必ず姓と名の両方を指定してください。そのように指定しないと、Okta が AWS Managed Microsoft AD からユーザーをインポートしない可能性があります。

最後に、次のコマンドを使用して、Microsoft AD グループの SID を取得します。必ず Your-AD-group-name を Microsoft AD グループ名に置き換えてください。

Get-ADGroup -Identity <Your-AD-group-name>

注: Client VPN 承認ルールを設定するときに、このグループの Microsoft AD ユーザーを承認するには SID が必要です。

Okta をインストールして設定する

1.    仕事用の E メールアドレスを使用して Okta アカウントにサインアップします。次の詳細が記載された承認 E メールが届きます。

Okta organization name
Okta homepage URL
Username (Admin_email) 
Temporary Password

2.    Okta ホームページの URL を使用してログインしてから、一時パスワードを変更します。

3.    IT 管理者のモバイルデバイスに Okta Verify をインストールします。アプリ内プロンプトに従って、本人確認を行います。

4.    別の EC2 Windows インスタンスを起動します。このインスタンスは、Okta Radius アプリケーションを設定および管理するために使用します。インスタンスが AWS Managed Microsoft AD に関連付けられており、正しい IAM ロールを持ち、インターネットにアクセスできることを確認してください。

5.    リモートデスクトップを使用してインスタンスに接続します。次に、手順 1 の認証情報を使って Okta (https://<company_name>.okta.com) にログインします。

6.    [Settings] を選択してから、[Downloads] をクリックします。次に、Okta Radius Server Agents および AD Agent Installer をインスタンスにダウンロードします。

Okta RADIUS Server Agents をインストールするには、次の手順に従ってください。

  • RADIUS 共有シークレットキーRADIUS ポートを指定します。これらの値は後で AWS Managed Microsoft AD で MFA を有効にするために使用するため、必ず書き留めておいてください。
  • (オプション) 必要に応じて、RADIUS エージェントプロキシを設定します。
  • このエージェントをドメインに登録するには、Okta に登録したカスタムドメインを入力します。
sub-domain: company_name 
(from https:// <company_name>.okta.com)
  • 認証後、Okta RADIUS Agent へのアクセスを許可するように求められます。[Allow] を選択してインストールプロセスを完了します。

Okta AD Agent Installer をインストールするには、次の手順に従ってください。

  • このエージェントで管理する予定のドメインを選択します。必ず Microsoft AD のドメインと同じドメインを使用してください。
  • Microsoft AD の一部であるユーザーを選択します (または新しいユーザーを作成します)。このユーザーが Microsoft AD 内の管理者グループの一部であることを確認してください。Okta Microsoft AD エージェントはこのユーザーとして実行されます。
  • 認証情報を入力すると、Microsoft AD エージェントを認証するように促され、そのインストールに進みます。
  • (オプション) 必要に応じて、RADIUS エージェントプロキシを設定します。
  • このエージェントをドメインに登録するには、Okta に登録したカスタムドメインを入力します。
sub-domain: company_name 
(from https:// <company_name>.okta.com)

7.    同じ WindowsEC2 インスタンスで、[Services] を選択します。次に、Okta Radius Server AgentsAD Agent Installer がどちらもインストールされ、Running 状態になっていることを確認します。

AD ユーザーを AWS Managed Microsoft AD から Okta にインポートする

1.    Okta ホームページの URL と認証情報を使用して Okta アカウントにログインします。

2.    Okta の上部のナビゲーションバーから、[Directory] を選択してから、[Directory Integrations] をクリックします。

3.    AWS Managed Microsoft AD を選択してから、ディレクトリをアクティブ化します。アクティブ化した後、[Import]、[Import Now]、[Full Import] の順に選択します。

4.    AWS Managed Microsoft AD から Okta にインポートする Microsoft AD ユーザーとグループを選択します。

5.    [Confirm Assignments] を選択し、[Auto-activate users after confirmation] をクリックします。

6.    ディレクトリで、インポートされたユーザーのステータスを People で確認します。ユーザーは全員 Active 状態である必要があります。全員がその状態にない場合は、個々のユーザーを選択して手動でアクティブ化します。

Radius アプリケーションをインストールし、Microsoft AD ユーザーに割り当てます

1.    Okta ホームページで、[Applications]、[Add Application] の順に選択します。 「Radius Application」を検索し、[Add] を選択します。

2.    [Sign-On Options] で、[Okta performs primary authentication] が選択されていないことを確認します。[UDP Port] では、Okta Radius Server Agents のインストール時に選択したポートを選択します。[Secret Key] では、Okta Radius Server Agents のインストール時に選択したキーを選択します。

3.    [Application username format] では、[AD SAM account name] を選択します。

4.    Radius アプリケーションを Microsoft AD ユーザーおよびグループに割り当てます。[Assign] を選択します。次に、 (ユースケースに応じて) [Assign to People] または [Assign to Groups] を選択します。目的の Microsoft AD ユーザーまたはグループの名前をすべて選択します。[Done] をクリックします。

ユーザーのために MFA を有効にする

1.    Okta ホームページで、[Security]、[Multifactor]、[Factor Types] の順に選択します。

2.    [Okta Verify] では、[Okta Verify with Push] を選択します。

3.    [Factor Enrollment] を選択してから、[Add Rule] をクリックします。

4.    この MFA ルールを Radius アプリケーションに割り当てるには、[Applications]、[Radius Application]、[Sign On Policy]、[Add Rule] の順に選択します。

5.    [Conditions] で、ルールがこのアプリを割り当てられたユーザーに適用されることを確認します。[Actions] では、[Prompt for factor] を選択します。

セキュリティグループの設定を変更する

1.    AWS マネジメントコンソールにログインします。

2.    [セキュリティグループ] を選択します。

3.    ディレクトリコントローラーのセキュリティグループを選択します。

4.    Microsoft AD のセキュリティグループのアウトバウンドルールを編集して、Radius サーバーの送信先 IP アドレス (プライベート IP アドレス) に UDP 1812 (または Radius サービスポート) を許可します。または、ユースケースで許可されている場合は、すべてのトラフィックを許可できます。

AWS Microsoft Managed AD で MFA を有効にする

1.    AWS Directory Service コンソールを開きます。

2.    [Directory Service] を選択してから、[ディレクトリ] を選択します。

2.    ご利用のディレクトリを選択します。

3.    [ネットワークとセキュリティ] で、[多要素認証] を選択します。次に、[アクション]、[有効] の順に選択します。

4.    以下を指定します。

  • RADIUS サーバーの DNS 名または IP アドレス: EC2 Radius インスタンスのプライベート IP アドレスを入力します。
  • 表示ラベル: ラベル名を入力します。
  • ポート: Okta Radius Server Agents のインストール時に選択したポートを入力します。
  • 共有シークレットコード: Okta Radius Server Agents のインストール時に選択したキーを選択します。
  • プロトコル: PAP を選択します。
  • サーバータイムアウト: 目的の値を設定します。
  • RADIUS リクエストの最大再試行回数: 目的の値を設定します。

Client VPN エンドポイントを作成する

1.    AWS Microsoft Managed AD と MFA をセットアップした後、MFA が有効になっている Microsoft AD を使用して Client VPN エンドポイントを作成します。

2.    新しいクライアント設定ファイルをダウンロードして、エンドユーザーに配布します。
注: クライアント設定ファイルは、AWS マネジメントコンソールAWS コマンドラインインターフェイス (AWS CLI) 、または API コマンドからダウンロードできます。

3.    クライアント設定ファイルに次のパラメータが含まれていることを確認します。

auth-user-pass
static-challenge "Enter MFA code " 1

注: 二重認証 (相互認証 および AD ベースの認証など) を使用している場合は、設定ファイルに必ずクライアント <cert> および <key> も追加してください

エンドユーザー設定タスク

1.    Okta Verify モバイルアプリケーションがモバイルデバイスにインストールされていることを確認してください。

2.    次の認証情報を使用して Okta ホームページにログインします。

OKTA homepage URL: https:// <company_name>.okta.com
Username: End user's AD name
Password: End user's AD password

3.    示された指示に従って MFA を設定します。

4.    AWS Client VPN for Desktop ツールをインストールします。
注: 他の標準の OpenVPN ベースのクライアントツールを使って Client VPN エンドポイントに接続することもできます。

5.    IT 管理者から提供されたクライアント設定ファイルを使用してプロファイルを作成します。

6.    Client VPN エンドポイントに接続するには、プロンプトが表示されたら Microsoft AD ユーザーの認証情報を入力します。次に、Okta Verify アプリケーションによって生成された MFA コードを入力します。</p


この記事は役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?