Amazon Workspacesを構成する

AWS WorkSpaces(WS)はRADIUSでのMFA認証をサポートします。

Amazon WorkSpaceアプリでは、Amazon WorkSpacesでの多要素認証にOkta RADIUSエージェントを使用できます。エンドユーザーはOktaに登録された要素を使用してAmazon WorkSpacesにサインインできます。この統合では、Okta MFAとOkta Verify Pushを使用した認証をサポートするために、Active Directoryを使用してAWS WorkSpacesを構成する方法が示されます。

はじめに

Okta RADIUSエージェントをインストールする前に、以下のネットワーク接続要件を満たしてください。

ソース 宛先 ポート/プロトコル 説明
Okta RADIUSエージェント Okta Identity Cloud TCP/443

HTTP

構成および認証トラフィック。
クライアントゲートウェイ Okta RADIUSエージェント UDP/1812 RADIUS(デフォルト。RADIUSアプリをインストールおよび構成する際に変更できます) ゲートウェイ(クライアント)とRADIUSエージェント(サーバー)間のRADIUSトラフィック。

さらに、Amazon Web Servicesを次のように構成する必要があります。

さらに、Amazon Web Servicesを次のように構成する必要があります。

Amazon Web Servicesインスタンス。以下として構成します。

  • インスタンスA:Amazon Directory Service仮想マシンインスタンスを表します。
  • インスタンスB:Okta RADIUSエージェントがインストールされるWindows 2012r2ホストを表します。

    AWS Directory Serviceでは、RADIUS経由でMFAチャレンジを委任するためにインスタンスBのプライベートIPアドレスが必要です。

AWS Directory Serviceインスタンス。構成済みでインスタンスAを指し、Active Directoryを実行します。AWS Directory ServiceのディレクトリIDが必要です。ディレクトリIDは、セキュリティグループの名前を特定するために使用されます。

AWS Directoryサービスでは、RADIUS経由でMFAチャレンジを委任するためにインスタンスBのプライベートIPアドレスが必要です。プライベートIPが変更された場合、その新しいプライベートIPを反映するようにAWS Directory MFA構成を更新する必要があります。

制限事項

1つのOkta Verifyデバイスのみ登録します。それより多くのOkta Verifyを追加すると、未定義の、または予期しない動作が発生する可能性があります。

RADIUSが構成されたorgをClassic Engineから移行し、番号チャレンジを使用するOkta Verify Authenticatorを構成した場合、このチャレンジはサポートされていないにもかかわらずRADIUSユーザーに提示されます。これを防ぐには、早期アクセス機能の[RADIUSの番号一致チャレンジを無効にする]を有効にします。「セルフサービス機能を有効にする」を参照してください。

サポートされるAuthenticator

WorkSpacesでは、次のAuthenticatorがサポートされます。

Duo

プッシュ/SMS/通話を使うDUO MFAは、RADIUSを使用するAmazon Workspacesではサポートされません。DUO MFAを使用してOktaに登録しているエンドユーザーがRADIUSで構成されたAmazon Workspacesにアクセスしようとすると、プライマリパスワードに加えて、DUOモバイルアプリに表示される6桁のMFAパスコードを指定する必要があります。


Google Authenticator
Okta Verify(TOTPおよびPUSH)
SMSと音声認証

一般的なワークフロー

タスク

説明

AWSを構成する 必要なActive Directory、EC2、ワークスペースを使用してAmazon WSインスタンスを事前構成します
RADIUSエージェントをダウンロードしてインストールする インスタンスBにOkta RADIUSエージェントをダウンロードしてインストールします

スループット、可用性、その他の考慮事項については、「Okta RADIUS Server Agentのデプロイメントに関するベストプラクティス」を参照してください。

受信AWSルールを作成する 受信ルールを作成して、RADIUSエージェントがAWS Directory Serviceインスタンスと通信できるようにします。
アプリケーションを構成する Okta orgでAmazon WorkSpacesアプリケーションを構成し、さらに必要な要素も構成します
MFA用にAmazon WorkSpacesを構成する Amazon WorkSpacesをMFA用に構成する必要があります。
ユーザーをプロビジョニングする AWS WorkSpaceユーザーはActive Directoryで管理されますが、Oktaでプロビジョニングする必要があります。

関連項目