Amazon Workspacesを構成する
AWS WorkSpaces(WS)はRADIUSでのMFA認証をサポートします。
Amazon WorkSpaceアプリでは、Amazon WorkSpacesでの多要素認証にOkta RADIUSエージェントを使用できます。エンドユーザーはOktaに登録された要素を使用してAmazon WorkSpacesにサインインできます。この統合では、Okta MFAとOkta Verify Pushを使用した認証をサポートするために、Active Directoryを使用してAWS WorkSpacesを構成する方法が示されます。
はじめに
Okta RADIUSエージェントをインストールする前に、以下のネットワーク接続要件を満たしてください。
ソース | 宛先 | ポート/プロトコル | 説明 |
---|---|---|---|
Okta RADIUSエージェント | Okta Identity Cloud | TCP/443 HTTP |
構成および認証トラフィック。 |
クライアントゲートウェイ | Okta RADIUSエージェント | UDP/1812 RADIUS(デフォルト。RADIUSアプリをインストールおよび構成する際に変更できます) | ゲートウェイ(クライアント)とRADIUSエージェント(サーバー)間のRADIUSトラフィック。 |
さらに、Amazon Web Servicesを次のように構成する必要があります。
さらに、Amazon Web Servicesを次のように構成する必要があります。 |
---|
Amazon Web Servicesインスタンス。以下として構成します。
|
AWS Directory Serviceインスタンス。構成済みでインスタンスAを指し、Active Directoryを実行します。AWS Directory ServiceのディレクトリIDが必要です。ディレクトリIDは、セキュリティグループの名前を特定するために使用されます。 AWS Directoryサービスでは、RADIUS経由でMFAチャレンジを委任するためにインスタンスBのプライベートIPアドレスが必要です。プライベートIPが変更された場合、その新しいプライベートIPを反映するようにAWS Directory MFA構成を更新する必要があります。 |
サポートされる要素
WorkSpacesでは以下のMFA要素がサポートされています。
Duo
プッシュ/SMS/通話を使うDUO MFAは、RADIUSを使用するAmazon Workspacesではサポートされません。DUO MFAを使用してOktaに登録しているエンドユーザーがRADIUSで構成されたAmazon Workspacesにアクセスしようとすると、プライマリパスワードに加えて、DUOモバイルアプリに表示される6桁のMFAパスコードを指定する必要があります。 |
Google Authenticator |
Okta Verify(TOTPおよびPUSH) |
SMS認証 |
通話 |
一般的なワークフロー
タスク |
説明 |
---|---|
AWSを構成する | 必要なActive Directory、EC2、ワークスペースを使用してAmazon WSインスタンスを事前構成します。 |
RADIUSエージェントをダウンロードしてインストールする | インスタンスBにOkta RADIUSエージェントをダウンロードしてインストールします。 スループット、可用性、その他の考慮事項については、「Okta RADIUS Server Agentのデプロイメントに関するベストプラクティス」を参照してください。 |
受信AWSルールを作成する | 受信ルールを作成して、RADIUSエージェントがAWS Directory Serviceインスタンスと通信できるようにします。 |
アプリケーションを構成する | Okta orgでAmazon WorkSpacesアプリケーションを構成し、さらに必要な要素も構成します |
MFA用にAmazon WorkSpacesを構成する | Amazon WorkSpacesをMFA用に構成する必要があります。 |
ユーザーをプロビジョニングする | AWS WorkSpaceユーザーはActive Directoryで管理されますが、Oktaでプロビジョニングする必要があります。 |