Amazon Workspacesを構成する

AWS WorkSpaces(WS)はRADIUSでのMFA認証をサポートします。

Amazon WorkSpaceアプリでは、Amazon WorkSpacesでの多要素認証にOkta RADIUS Agentを使用できます。エンドユーザーはOktaに登録された要素を使用してAmazon WorkSpacesにサインインできます。この統合では、Okta MFAとOkta Verify Pushを使用した認証をサポートするために、Active Directoryを使用してAWS WorkSpacesを構成する方法が示されます。

開始する前に

Okta RADIUS agentをインストールする前に、以下のネットワーク接続要件を満たしてください。

ソース 宛先 ポート/プロトコル 説明
Okta RADIUS Agent Okta Identity Cloud TCP/443

HTTP

構成および認証トラフィック。
クライアントゲートウェイ Okta RADIUS Agent UDP/1812 RADIUS(デフォルト。RADIUSアプリをインストールおよび構成する際に変更できます) ゲートウェイ(クライアント)とRADIUS Agent(サーバー)間のRADIUSトラフィック。

さらに、Amazon Web Servicesを次のように構成する必要があります。

さらに、Amazon Web Servicesを次のように構成する必要があります。

Amazon Web Servicesインスタンス。以下として構成します。

  • インスタンスA-Amazon Directory Service仮想マシンインスタンスを表します。
  • インスタンスB-Okta RADIUS AgentがインストールされるWindows 2012r2ホストを表します。

    AWS Directory Serviceでは、RADIUS経由でMFAチャレンジを委任するためにインスタンスBのプライベートIPアドレスが必要です。

AWS Directory Serviceインスタンス。構成済みでインスタンスAを指し、Active Directoryを実行します。
注:AWS Directory ServiceのディレクトリIDが必要です。ディレクトリIDは、セキュリティグループの名前を特定するために使用されます。

注:AWS Directory Serviceでは、RADIUS経由でMFAチャレンジを委任するためにインスタンスBのプライベートIPアドレスが必要です。プライベートIPが変更された場合、その新しいプライベートIPを反映するようにAWS Directory MFA構成を更新する必要があります。

サポートされる要素

WorkSpacesでは以下のMFA要素がサポートされています。

Duo

プッシュ/SMS/通話を使うDUO MFAは、RADIUSを使用するAmazon Workspacesではサポートされません。
DUO MFAを使用してOktaに登録しているエンドユーザーがRADIUSで構成されたAmazon Workspacesにアクセスしようとすると、プライマリパスワードに加えて、DUOモバイルアプリに表示される6桁のMFAパスコードを指定する必要があります。


Google認証システム

Okta Verify(TOTPおよびPUSH)

SMS認証

音声通話

一般的なワークフロー

タスク

説明

AWSを構成する
RADIUS Agentをダウンロードしてインストールする
受信AWSルールを作成する
  • 受信ルールを作成して、RADIUS AgentがAWS Directory Serviceインスタンスと通信できるようにします。
アプリケーションの構成
MFA用にAmazon WorkSpacesを構成する
ユーザーをプロビジョニングする

関連項目