Amazon Workspacesを構成する
AWS WorkSpaces(WS)はRADIUSでのMFA認証をサポートします。
Amazon WorkSpaceアプリでは、Amazon WorkSpacesでの多要素認証にOkta RADIUS Agentを使用できます。エンドユーザーはOktaに登録された要素を使用してAmazon WorkSpacesにサインインできます。この統合では、Okta MFAとOkta Verify Pushを使用した認証をサポートするために、Active Directoryを使用してAWS WorkSpacesを構成する方法が示されます。
開始する前に
Okta RADIUS agentをインストールする前に、以下のネットワーク接続要件を満たしてください。
ソース | 宛先 | ポート/プロトコル | 説明 |
---|---|---|---|
Okta RADIUS Agent | Okta Identity Cloud | TCP/443 HTTP |
構成および認証トラフィック。 |
クライアントゲートウェイ | Okta RADIUS Agent | UDP/1812 RADIUS(デフォルト。RADIUSアプリをインストールおよび構成する際に変更できます) | ゲートウェイ(クライアント)とRADIUS Agent(サーバー)間のRADIUSトラフィック。 |
さらに、Amazon Web Servicesを次のように構成する必要があります。
さらに、Amazon Web Servicesを次のように構成する必要があります。 |
---|
Amazon Web Servicesインスタンス。以下として構成します。
|
AWS Directory Serviceインスタンス。構成済みでインスタンスAを指し、Active Directoryを実行します。 注:AWS Directory ServiceのディレクトリIDが必要です。ディレクトリIDは、セキュリティグループの名前を特定するために使用されます。 注:AWS Directory Serviceでは、RADIUS経由でMFAチャレンジを委任するためにインスタンスBのプライベートIPアドレスが必要です。プライベートIPが変更された場合、その新しいプライベートIPを反映するようにAWS Directory MFA構成を更新する必要があります。 |
サポートされる要素
WorkSpacesでは以下のMFA要素がサポートされています。
Duo
プッシュ/SMS/通話を使うDUO MFAは、RADIUSを使用するAmazon Workspacesではサポートされません。 |
Google認証システム |
SMS認証 |
一般的なワークフロー
タスク |
説明 |
---|---|
AWSを構成する |
|
RADIUS Agentをダウンロードしてインストールする |
|
受信AWSルールを作成する |
|
アプリケーションの構成 |
|
MFA用にAmazon WorkSpacesを構成する |
|
ユーザーをプロビジョニングする |
|