RADIUS経由でOktaと相互運用するようにAmazon WS Workspaceを設定する
AWS WorkSpaces(AWSW)はRADIUSでのMFA認証をサポートします。
Amazon WorkSpaceアプリでは、Amazon WorkSpacesでの多要素認証にOkta RADIUSエージェントを使用できます。エンドユーザーはOktaに登録された要素を使用してAmazon WorkSpacesにサインインできます。この統合では、Active Directoryを使ってAWS WorkSpacesを構成し、Okta MFAとOkta Verify Pushを使用した認証をサポートする方法が示されます。
トピック
開始する前に
Okta RADIUS Agentをインストールする前に、ネットワーク接続に関する次の最小要件を満たしていることを確認してください。
| ソース | 宛先 | ポート/プロトコル | 説明 |
|---|---|---|---|
| Okta RADIUS Agent | Okta Identity Cloud | TCP/443 HTTP |
構成および認証トラフィック |
| クライアント・ゲートウェイ | Okta RADIUS Agent | UDP/1812 RADIUS (デフォルト、RADIUSアプリのインストールと構成で変更される場合があります) | ゲートウェイ(クライアント)とRADIUSエージェント(サーバー)間のRADIUSトラフィック |
さらに、Amazon Web Servicesを次のように構成する必要があります。
| さらに、Amazon Web Servicesを次のように構成する必要があります。 |
|---|
|
Amazon Web Servicesインスタンスを以下として構成します。
|
| AWS Directory Serviceインスタンス。構成済みでインスタンスAを指し、Active Directoryを実行します。 注:AWS Directory ServiceのディレクトリーIDが必要です。ディレクトリーIDは、セキュリティー・グループの名前を特定するために使用されます。 注: AWS Directory Serviceでは、RADIUS経由でMFAチャレンジを委任するためにインスタンスBのプライベートIPアドレスが必要です。プライベートIPが変更された場合、その新しいプライベートIPを反映するようにAWS Directory MFA構成を更新する必要があります。 |
サポートされている要素
AWSWSでは以下のMFA要素がサポートされています。
Duo  プッシュ/SMS/通話を使うDUO MFAは、RADIUSを使用するAmazon Workspacesではサポートされません。 |
| Google Authenticator |
| SMS認証 |
典型的なワークフロー
タスク | 説明 |
|---|---|
| AWSを構成する |
|
| RADIUSエージェントをダウンロードしてインストールする |
|
| 受信AWSルールを作成する |
|
| アプリケーションを構成する |
|
| MFA用にAmazon WorkSpacesを構成する |
|
| ユーザーをプロビジョニングする |
|
関連項目
- MFAを備えたAmazon WorkSpacesのユーザー・エクスペリエンス
- SAMLとRADIUSの相互運用性
- Windowsまたは LinuxにOkta RADIUS Agentをインストールします。