Amazon Workspacesを構成する
AWS WorkSpaces(WS)はRADIUSでのMFA認証をサポートします。
Amazon WorkSpaceアプリでは、Amazon WorkSpacesでの多要素認証にOkta RADIUSエージェントを使用できます。エンドユーザーはOktaに登録された要素を使用してAmazon WorkSpacesにサインインできます。この統合では、Okta MFAとOkta Verify Pushを使用した認証をサポートするために、Active Directoryを使用してAWS WorkSpacesを構成する方法が示されます。
はじめに
Okta RADIUSエージェントをインストールする前に、以下のネットワーク接続要件を満たしてください。
| ソース | 宛先 | ポート/プロトコル | 説明 |
|---|---|---|---|
| Okta RADIUSエージェント | Okta Identity Cloud | TCP/443 HTTP |
構成および認証トラフィック。 |
| クライアントゲートウェイ | Okta RADIUSエージェント | UDP/1812 RADIUS(デフォルト。RADIUSアプリをインストールおよび構成する際に変更できます) | ゲートウェイ(クライアント)とRADIUSエージェント(サーバー)間のRADIUSトラフィック。 |
さらに、Amazon Web Servicesを次のように構成する必要があります。
| さらに、Amazon Web Servicesを次のように構成する必要があります。 |
|---|
|
Amazon Web Servicesインスタンス。以下として構成します。
|
| AWS Directory Serviceインスタンス。構成済みでインスタンスAを指し、Active Directoryを実行します。AWS Directory ServiceのディレクトリIDが必要です。ディレクトリIDは、セキュリティグループの名前を特定するために使用されます。 AWS Directoryサービスでは、RADIUS経由でMFAチャレンジを委任するためにインスタンスBのプライベートIPアドレスが必要です。プライベートIPが変更された場合、その新しいプライベートIPを反映するようにAWS Directory MFA構成を更新する必要があります。 |
サポートされる要素
WorkSpacesでは以下のMFA要素がサポートされています。
| Duo
プッシュ/SMS/通話を使うDUO MFAは、RADIUSを使用するAmazon Workspacesではサポートされません。DUO MFAを使用してOktaに登録しているエンドユーザーがRADIUSで構成されたAmazon Workspacesにアクセスしようとすると、プライマリパスワードに加えて、DUOモバイルアプリに表示される6桁のMFAパスコードを指定する必要があります。 |
| Google Authenticator |
| Okta Verify(TOTPおよびPUSH) |
| SMS認証 |
| 通話 |
一般的なワークフロー
|
タスク |
説明 |
|---|---|
| AWSを構成する | 必要なActive Directory、EC2、ワークスペースを使用してAmazon WSインスタンスを事前構成します。 |
| RADIUSエージェントをダウンロードしてインストールする | インスタンスBにOkta RADIUSエージェントをダウンロードしてインストールします。 スループット、可用性、その他の考慮事項については、「Okta RADIUS Server Agentのデプロイメントに関するベストプラクティス」を参照してください。 |
| 受信AWSルールを作成する | 受信ルールを作成して、RADIUSエージェントがAWS Directory Serviceインスタンスと通信できるようにします。 |
| アプリケーションを構成する | Okta orgでAmazon WorkSpacesアプリケーションを構成し、さらに必要な要素も構成します |
| MFA用にAmazon WorkSpacesを構成する | Amazon WorkSpacesをMFA用に構成する必要があります。 |
| ユーザーをプロビジョニングする | AWS WorkSpaceユーザーはActive Directoryで管理されますが、Oktaでプロビジョニングする必要があります。 |