RADIUS経由でOktaと相互運用するようにAmazon WS Workspaceを設定する

AWS WorkSpaces(AWSW)はRADIUSでのMFA認証をサポートします。

Amazon WorkSpaceアプリでは、Amazon WorkSpacesでの多要素認証にOkta RADIUSエージェントを使用できます。エンドユーザーはOktaに登録された要素を使用してAmazon WorkSpacesにサインインできます。この統合では、Active Directoryを使ってAWS WorkSpacesを構成し、Okta MFAとOkta Verify Pushを使用した認証をサポートする方法が示されます。

トピック

開始する前に

Okta RADIUS Agentをインストールする前に、ネットワーク接続に関する次の最小要件を満たしていることを確認してください。

ソース 宛先 ポート/プロトコル 説明
Okta RADIUS Agent Okta Identity Cloud TCP/443
HTTP		 構成および認証トラフィック
クライアント・ゲートウェイ Okta RADIUS Agent UDP/1812 RADIUS (デフォルト、RADIUSアプリのインストールと構成で変更される場合があります) ゲートウェイ(クライアント)とRADIUSエージェント(サーバー)間のRADIUSトラフィック

さらに、Amazon Web Servicesを次のように構成する必要があります。

さらに、Amazon Web Servicesを次のように構成する必要があります。

Amazon Web Servicesインスタンスを以下として構成します。

  • インスタンスA-Amazon Directory Service仮想マシン・インスタンスを表します。
  • インスタンスB-Okta RADIUSエージェントがインストールされるWindows 2012r2ホストを表します。
    AWS Directory Serviceでは、RADIUS経由でMFAチャレンジを委任するためにインスタンスBのプライベートIPアドレスが必要です。
AWS Directory Serviceインスタンス。構成済みでインスタンスAを指し、Active Directoryを実行します。
:AWS Directory ServiceのディレクトリーIDが必要です。ディレクトリーIDは、セキュリティー・グループの名前を特定するために使用されます。

: AWS Directory Serviceでは、RADIUS経由でMFAチャレンジを委任するためにインスタンスBのプライベートIPアドレスが必要です。プライベートIPが変更された場合、その新しいプライベートIPを反映するようにAWS Directory MFA構成を更新する必要があります。

サポートされている要素

AWSWSでは以下のMFA要素がサポートされています。

Duo
重要な注意事項

プッシュ/SMS/通話を使うDUO MFAは、RADIUSを使用するAmazon Workspacesではサポートされません。
DUO MFAを使用してOktaに登録しているエンド・ユーザーがRADIUSで構成されたAmazon Workspacesにアクセスしようとすると、プライマリ・パスワードに加えて、DUOモバイル・アプリに表示される6桁のMFAパスコードを指定する必要があります。
Google Authenticator

Okta Verify(TOTPおよびPUSH)

SMS認証

音声通話

典型的なワークフロー

タスク

説明

AWSを構成する
RADIUSエージェントをダウンロードしてインストールする
受信AWSルールを作成する
アプリケーションを構成する
MFA用にAmazon WorkSpacesを構成する
ユーザーをプロビジョニングする

関連項目

  • MFAを備えたAmazon WorkSpacesのユーザー・エクスペリエンス
  • SAMLとRADIUSの相互運用性
  • Windowsまたは LinuxにOkta RADIUS Agentをインストールします。