Okta를 AWS Managed Microsoft AD와 함께 사용하여 AWS 클라이언트 VPN 엔드포인트에 연결하는 최종 사용자에게 멀티 팩터 인증을 제공하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2020년 4월 8일

Okta를 AWS Managed Microsoft AD 디렉터리와 함께 사용하여 AWS 클라이언트 VPN 엔드포인트에 연결하는 최종 사용자에게 멀티 팩터 인증(MFA)을 제공하려면 어떻게 해야 합니까?

간략한 설명

AWS 클라이언트 VPN은 다음과 같은 유형의 최종 사용자 인증을 지원합니다.

  • 상호 인증
  • Active Directory(AD) 인증
  • 이중 인증(상호+AD 기반 인증)

MFA 서비스는 AD(클라이언트 VPN에서 직접 활성화되지 않음)에서 활성화되어야 합니다. AD 유형이 MFA를 지원하는지 확인합니다. MFA 기능은 신규 및 기존 클라이언트 VPN에서 모두 지원됩니다.

Duo를 사용하여 클라이언트 VPN 엔드포인트에 연결하는 최종 사용자의 MFA를 설정하려면 다음을 수행합니다.

  • 먼저 IT 관리자 구성 작업을 완료하여 필요한 서비스를 설정합니다.
  • 그런 다음 각 최종 사용자가 최종 사용자 구성 작업을 완료하여 클라이언트 VPN 엔드포인트에 대한 보안 연결을 설정하도록 합니다.

해결 방법

IT 관리자 구성 작업:

AWS Managed Microsoft AD 생성 및 구성

1.    AWS Managed Microsoft AD 디렉터리를 생성합니다.

2.    Windows EC2 인스턴스를 AWS Managed Microsoft AD 디렉터리에 조인합니다.

이 인스턴스는 AD에 서비스를 설치하고 AD에서 사용자 및 그룹을 관리하는 데 사용됩니다. 인스턴스를 시작할 때 인스턴스가 AD와 연결되어 있어야 합니다. 또한 "AmazonEC2RoleforSSM" 정책이 연결된 IAM 역할을 추가해야 합니다.

3.    AD 서비스를 설치한 다음 AD 사용자 및 그룹을 구성합니다.

먼저 다음 명령을 사용하여 2단계에서 생성한 인스턴스에 로그인합니다(또는 원격 데스크톱 연결을 사용하여 연결). <Your Admin password>를 1단계에서 AD에 대해 생성한 관리자 암호로 바꿔야 합니다.

User name: Admin@ad_DNS_name
Password: <Your Admin password> 

그런 다음 PowerShell을 사용하여 관리자 모드에서 다음 서비스를 설치합니다.

install-windowsfeature rsat-ad-tools, rsat-ad-admincenter, gpmc, rsat-dns-server -confirm:$false

다음으로 AD 사용자 및 AD 그룹을 생성합니다. 그런 다음 적절한 AD 그룹에 사용자를 추가합니다.

참고: 이러한 AD 사용자는 클라이언트 VPN 서비스에 연결할 최종 사용자와 동일합니다. 따라서 AD에서 사용자를 생성하는 동안 이름과 성을 모두 제공해야 합니다. 그렇지 않으면 Okta가 AD에서 사용자를 가져오지 못할 수 있습니다.

마지막으로 다음 명령을 사용하여 AD 그룹의 SID를 가져옵니다. <Your-AD-group-name>을 AD 그룹 이름으로 바꿔야 합니다.

Get-ADGroup -Identity <Your-AD-group-name>

참고: 클라이언트 VPN 권한 부여 규칙을 구성할 때 이 그룹의 AD 사용자에게 권한을 부여하려면 SID가 필요합니다.

Okta 설치 및 구성

1.    회사 이메일 주소를 사용하여 Okta 계정에 가입합니다. 다음 세부 정보가 포함된 권한 부여 이메일을 받게 됩니다.

Okta organization name

Okta homepage URL

Username (Admin_email) 

Temporary Password

2.    Okta 홈페이지 URL을 사용하여 로그인한 다음 임시 암호를 변경합니다.

3.    IT 관리자의 모바일 디바이스에 Okta Verify를 설치합니다. 인앱 프롬프트를 따라 자격 증명을 확인합니다.

4.    다른 EC2 Windows 인스턴스를 시작합니다. 이 인스턴스는 Okta Radius 애플리케이션을 구성하고 관리하는 데 사용됩니다. 인스턴스가 AD와 연결되어 있고, 올바른 IAM 역할이 지정되어 있으며, 인터넷에 액세스할 수 있는지 확인합니다.

5.    원격 데스크톱을 사용하여 인스턴스에 연결합니다. 그런 다음 1단계의 자격 증명을 사용하여 Okta(https:// <company_name>.okta.com)에 로그인합니다.

6.    [설정]을 선택한 다음 [다운로드]를 선택합니다. 그런 다음 인스턴스에서 Okta Radius 서버 에이전트 및 AD 에이전트 설치 관리자를 다운로드합니다.

Okta RADIUS 서버 에이전트를 설치하려면 다음을 수행합니다.

  • RADIUS 공유 보안 키 및 RADIUS 포트를 제공합니다. 나중에 AD에서 MFA를 활성화하는 데 사용하기 때문에 이러한 값을 기록해 두십시오.
  • (선택 사항) RADIUS 에이전트 프록시를 구성합니다(해당되는 경우).
  • 도메인에 이 에이전트를 등록하려면 Okta에 등록한 사용자 지정 도메인을 입력합니다.
sub-domain: company_name 
(from https:// <company_name>.okta.com)

인증 후 Okta RADIUS 에이전트에 대한 액세스를 허용하라는 메시지가 표시됩니다. [허용]을 선택하여 설치 프로세스를 완료합니다.

Okta AD 에이전트 설치 관리자를 설치하려면 다음을 수행합니다.

  • 이 에이전트로 관리할 도메인을 선택합니다. AD 도메인과 동일한 도메인을 사용해야 합니다.
  • AD의 일부인 사용자를 선택하거나 새 사용자를 생성합니다. 이 사용자가 AD 내 Admin 그룹의 일부인지 확인합니다. Okta AD 에이전트는 이 사용자로 실행됩니다.
  • 자격 증명을 입력하면 인증과 AD 에이전트 설치를 진행하도록 승격됩니다.
  • (선택 사항) RADIUS 에이전트 프록시를 구성합니다(해당되는 경우).
  • 도메인에 이 에이전트를 등록하려면 Okta에 등록한 사용자 지정 도메인을 입력합니다.
sub-domain: company_name 
(from https:// <company_name>.okta.com)

7.    동일한 Windows EC2 인스턴스에서 [서비스]를 선택합니다. 그런 다음 Okta Radius 서버 에이전트AD 에이전트 설치 관리자가 모두 설치되어 있고 [실행 중] 상태인지 확인합니다.

AD에서 Okta로 AD 사용자 가져오기

Okta 홈페이지 URL 및 자격 증명을 사용하여 Okta 계정에 로그인합니다.

1.    Okta의 상단 탐색 모음에서 [디렉터리]를 선택한 다음 [디렉터리 통합]을 선택합니다.

2.    AD를 선택한 다음 디렉터리를 활성화합니다. 활성화한 후 [가져오기], [지금 가져오기], [전체 가져오기]를 선택합니다.

3.    AD에서 Okta로 가져올 AD 사용자 및 그룹을 선택합니다.

4.    [할당 확인]을 선택한 다음 [확인 후 사용자 자동 활성화]를 선택합니다.

5.    디렉터리의 [직원]에서 가져온 사용자의 상태를 확인합니다. 사용자는 모두 [활성 상태여야 합니다. 그렇지 않은 경우 개별 사용자를 선택하고 수동으로 활성화합니다.

Radius 애플리케이션을 설치하고 AD 사용자에게 할당

1.    Okta 홈페이지에서 [애플리케이션], [애플리케이션 추가]를 선택합니다. Radius 애플리케이션을 검색한 다음 [추가]를 선택합니다.

2.    [로그인 옵션]에서 다음을 수행합니다.

  • [Okta에서 기본 인증 수행]이 선택되지 않았는지 확인합니다.
  • [UDP 포트]에서 Okta Radius 서버 에이전트 설치 도중 선택한 포트를 선택합니다.
  • [보안 키]에서 Okta Radius 서버 에이전트 설치 도중 선택한 키를 선택합니다.

3.    [애플리케이션 사용자 이름 형식]에서 [AD SAM 계정 이름]을 선택합니다.

4.    Radius 애플리케이션을 AD 사용자 및 그룹에 할당합니다.

  • [할당]을 선택합니다.
  • [직원에 할당] 또는 [그룹에 할당]을 선택합니다(사용 사례에 따라 다름).
  • 원하는 AD 사용자 또는 그룹의 이름을 모두 선택합니다.
  • [완료]를 선택합니다.

사용자를 위한 MFA 활성화

1.    Okta 홈페이지에서 [보안], [멀티 팩터], [팩터 유형]을 선택합니다.

2.    [Okta Verify]에서 [푸시를 사용한 Okta Verify]을 선택합니다.

3.    [팩터 등록]을 선택한 다음 [규칙 추가]를 선택합니다.

4.    이 MFA 규칙을 Radius 애플리케이션에 할당하려면 [애플리케이션], [Radius 애플리케이션], [로그인 정책], [규칙 추가]를 선택합니다.

5.    [조건]에서 규칙이 [이 앱에 할당된 사용자]에게 적용되는지 확인합니다. [작업]에서 [팩터에 대한 프롬프트]를 선택합니다.

보안 그룹 구성 수정

1.    AWS Management Console에 로그인

2.    [보안 그룹]을 선택합니다.

3.    디렉터리 컨트롤러에 대한 보안 그룹을 선택합니다.

4.    AD 보안 그룹에 대한 아웃바운드 규칙을 편집하여 Radius 서버의 대상 IP(프라이빗 IP)에 대해 UDP 1812(또는 Radius 서비스 포트)를 허용합니다. 또는 사용 사례에서 허용하는 경우 모든 트래픽을 허용할 수 있습니다.

AWS Microsoft Managed AD에서 MFA 활성화

1.    [디렉터리 서비스]를 선택한 다음 [디렉터리]를 선택합니다.

2.    [디렉터리]를 선택합니다.

3.    [네트워킹 및 보안]에서 [멀티 팩터 인증]을 선택합니다. 그런 다음 [작업], [활성화]를 선택합니다.

4.    다음을 지정합니다.

  • RADIUS 서버 DNS 이름 또는 IP 주소: EC2 Radius 인스턴스의 프라이빗 IP 주소를 입력합니다.
  • 포트: Okta Radius 서버 에이전트 설치 도중 선택한 포트를 입력합니다.
  • 공유 보안 코드: Okta Radius 서버 에이전트 설치 도중 선택한 키를 선택합니다.
  • 프로토콜: PAP를 선택합니다.
  • 서버 제한 시간: 원하는 값을 설정합니다.
  • 최대 RADIUS 요청 재시도: 원하는 값을 설정합니다.

클라이언트 VPN 엔드포인트 생성

1.    AWS Microsoft Managed AD 및 MFA를 설정한 후 MFA가 활성화된 AD를 사용하여 클라이언트 VPN 엔드포인트를 생성합니다.

2.    새 클라이언트 구성 파일을 다운로드하여 최종 사용자에게 배포합니다. 참고: AWS Management Console, AWS CLI 또는 API 명령에서 클라이언트 구성 파일을 다운로드할 수 있습니다.

3.    클라이언트 구성 파일에 다음 파라미터가 포함되어 있는지 확인합니다.

auth-user-pass
static-challenge "Enter MFA code " 1   

참고: 이중 인증(예: 상호 인증 + AD 기반 인증)을 사용하는 경우 구성 파일에 클라이언트 <cert><key> 를 추가해야 합니다.

최종 사용자 구성 작업:

1.    Okta Verify 모바일 애플리케이션이 모바일 디바이스에 설치되어 있는지 확인합니다.

2.    다음 자격 증명을 사용하여 Okta 홈페이지에 로그인합니다.

OKTA homepage URL: https:// <company_name>.okta.com
Username: End user's AD name
Password: End user's AD password

3.    제공된 지침에 따라 멀티 팩터 인증을 설정합니다.

4.    데스크톱용 AWS 클라이언트 VPN 도구를 설치합니다.
참고: 다른 표준 OpenVPN 기반 클라이언트 도구를 사용하여 클라이언트 VPN 엔드포인트에 연결할 수도 있습니다.

5.    IT 관리자가 제공한 클라이언트 구성 파일을 사용하여 프로파일을 생성합니다.

6.    클라이언트 VPN 엔드포인트에 연결하려면 메시지가 표시될 때 AD 사용자 자격 증명을 입력합니다. 그런 다음 Okta Verify 애플리케이션에서 생성한 MFA 코드를 입력합니다.


이 문서가 도움이 되었습니까?

AWS에서 개선해야 할 부분이 있습니까?


도움이 필요하십니까?