Configurer Amazon WorkSpaces
AWS WorkSpaces (WS) prend RADIUS en charge pour la MFA.
L'application Amazon WorkSpaces permet d'utiliser l'agent RADIUS Okta dans le cadre de l'authentification multifacteur sur Amazon WorkSpaces. Les utilisateurs finaux peuvent se connecter à Amazon WorkSpaces à l'aide de facteurs enregistrés avec Okta. L'intégration enseigne comment configurer AWS WorkSpaces à l'aide d'Active Directory afin de prendre en charge l'authentification avec la MFA Okta et Okta Verify Push.
Avant de commencer
Respectez les exigences suivantes en matière de connectivité réseau avant d'installer l'agent RADIUS Okta :
| Source | Destination | Port/Protocole | Description |
|---|---|---|---|
| Agent RADIUS Okta | Okta Identity Cloud | TCP/443 HTTP |
Configuration et trafic d'authentification. |
| Passerelle client | Agent RADIUSOkta | RADIUS UDP/1812 (il s'agit de la valeur par défaut, elle peut être modifiée lors de l'installation et de la configuration de l'application RADIUS) | Trafic RADIUS entre la passerelle (le client) et l'agent RADIUS (le serveur). |
En outre, vous devez configurer Amazon Web Services ainsi :
| En outre, vous devez configurer Amazon Web Services ainsi : |
|---|
|
Instances Amazon Web Services configurées ainsi :
|
| L'instance AWS Directory Service est configurée et indique l'instance A, qui exécute Active Directory. Vous devez disposer de l'ID de répertoire d'AWS Directory Service. L'ID de répertoire sert à déterminer le nom du groupe de sécurité. AWS Directory Service requiert une adresse IP privée de l'instance B pour déléguer le test de l'authentification multifacteur dans RADIUS. Si cette IP privée est modifiée, alors la configuration de la MFA AWS Directory doit être mise à jour pour rendre compte de la nouvelle IP privée. |
Limitations
Seul un appareil Okta Verify unique doit être inscrit. L'ajout d'autres appareils Okta Verify peut entraîner un comportement indéfini ou inattendu.
Si vous avez migré une org configurée avec RADIUS depuis Classic Engine et que vous configurez l'authentificateur Okta Verify avec la vérification par nombre, la vérification peut être présentée aux utilisateurs RADIUS même si elle n'est pas prise en charge. Pour éviter cela, activez la fonctionnalité en accès anticipé Désactiver la vérification de la correspondance des numéros pour RADIUS. Consultez Activer les fonctionnalités en libre-service.
Authentificateurs pris en charge
WorkSpaces prend en charge les authentificateurs suivants :
| Duo
L'authentification multifacteur Duo avec notification Push/SMS/Appel n'est pas prise en charge pour Amazon WorkSpaces avec RADIUS. Lorsqu'un utilisateur final inscrit à Okta avec l'authentification multifacteur Duo tente d'accéder à une instance d'Amazon WorkSpaces configurée avec RADIUS, il doit fournir le code secret à six chiffres de l'authentification multifacteur affiché sur l'application mobile DUO (en plus de son mot de passe principal). |
| Google Authenticator |
| Okta Verify (TOTP et PUSH) |
| Authentification par SMS et par voix |
Workflow classique
|
Tâche |
Description |
|---|---|
| Configurer AWS | Préconfigurez les instances Amazon WS avec Active Directory, EC2 et l'espace de travail nécessaire. |
| Télécharger et installer l'agent RADIUS | Téléchargez et installez l'agent RADIUS Okta sur l'instance B. Pour les considérations relatives au débit ou à la disponibilité, entre autres, consultez la section Meilleures pratiques relatives au déploiement de l'agent du serveur RADIUS Okta. |
| Créez des règles AWS entrantes | Créez des règles entrantes pour permettre à l'agent de RADIUS de communiquer avec une instance AWS Directory Service. |
| Configurer l'application | Dans votre organisation Okta, configurez l'application Amazon WorkSpaces et les facteurs requis. |
| Configurer Amazon WorkSpaces pour l'authentification multifacteur (MFA) | Amazon WorkSpaces doit être configuré pour l'authentification multifacteur. |
| Approvisionner les utilisateurs | Les utilisateurs AWS WorkSpaces sont gérés au sein d'Active Directory, mais ils doivent être approvisionnés dans Okta. |