Wie kann ich Okta mit meinem AWS Managed Microsoft AD verwenden, um Endbenutzern, die eine Verbindung zu einem AWS-Client-VPN-Endpunkt herstellen, eine Multi-Faktor-Authentifizierung bereitzustellen?

Kurzbeschreibung

AWS Client VPN unterstützt die folgenden Arten der Endbenutzerauthentifizierung:

• Gegenseitige Authentifizierung
• Microsoft Active Directory-Authentifizierung
• Duale Authentifizierung (Gegenseitige Authentifizierung + Microsoft Active Directory-basierte Authentifizierung)

Der MFA-Service muss für das von AWS Managed Microsoft AD (nicht direkt im Client-VPN) aktiviert sein. Vergewissern Sie sich, dass Ihr von AWS verwalteter Microsoft AD-Typ MFA unterstützt. Die MFA-Funktionalität wird sowohl von neuen als auch von bestehenden Client-VPNs unterstützt.

So richten Sie MFA für Endbenutzer ein, die mithilfe von Okta eine Verbindung zu einem Client-VPN-Endpunkt herstellen:

1. Führen Sie die Konfigurationsaufgaben des IT-Administrators aus, um die erforderlichen Dienste einzurichten.
2. Lassen Sie dann jeden Endbenutzer die Konfigurationsaufgaben für den Endbenutzer ausführen, um seine sichere Verbindung zum Client-VPN-Endpunkt herzustellen.

Behebung

Hinweis: Die folgenden Aufgaben müssen von IT-Administratoren ausgeführt werden, mit Ausnahme des letzten Abschnitts, der von Endbenutzern ausgeführt werden muss.

Erstellen und konfigurieren Sie ein von AWS verwaltetes Microsoft AD

1.    Erstellen Sie ein von AWS verwaltetes Microsoft AD-Verzeichnis.

2.    Verbinden Sie eine Windows EC2-Instance mit dem AWS Managed Microsoft AD.

Diese Instance wird verwendet, um Dienste im AWS Managed Microsoft AD zu installieren und Benutzer und Gruppen im AWS Managed Microsoft AD zu verwalten. Stellen Sie beim Starten der Instance sicher, dass die Instance mit dem AWS Managed Microsoft AD verknüpft ist. Stellen Sie außerdem sicher, dass Sie eine AWS Identity and Access Management (IAM) -Rolle mit den angehängten Richtlinien „AmazonSSMManagedInstanceCore“ und „AmazonSSMDirectoryServiceAcces“ hinzufügen.

3.    Installieren Sie die von AWS Managed Microsoft AD Services. Konfigurieren Sie dann die AWS Managed Microsoft AD-Benutzer und -Gruppen.

Melden Sie sich zunächst mit dem folgenden Befehl bei der Instance an (oder verwenden Sie eine Remote-Desktop-Verbindung, um eine Verbindung herzustellen), die Sie in Schritt 2 erstellt haben. Achten Sie darauf, **Ihr Admin-Passwort **durch das Admin-Passwort zu ersetzen, das Sie in Schritt 1 erstellt haben.

User name: Admin@ad_DNS_name
Password: Your Admin password

Installieren Sie dann die folgenden Dienste mit PowerShell (im Admin-Modus):

install-windowsfeature rsat-ad-tools, rsat-ad-admincenter, gpmc, rsat-dns-server -confirm:$false

Erstellen Sie als Nächstes Microsoft AD-Benutzer und Microsoft AD-Gruppen. Fügen Sie dann Ihre Benutzer zu den entsprechenden Microsoft AD-Gruppen hinzu.

Hinweis: Bei diesen Benutzern handelt es sich um dieselben Endbenutzer, die eine Verbindung zum Client-VPN-Dienst herstellen. Achten Sie beim Erstellen von Benutzern im AWS Managed Microsoft AD darauf, sowohl den Vor- als auch den Nachnamen anzugeben. Andernfalls importiert Okta möglicherweise keine Benutzer aus dem AWS Managed Microsoft AD.

Verwenden Sie abschließend den folgenden Befehl, um die SID für Ihre Microsoft AD-Gruppen abzurufen. Achten Sie darauf, Ihren AD-Gruppennamen durch Ihren Microsoft AD-Gruppennamen zu ersetzen.

Get-ADGroup -Identity <Your-AD-group-name>

Hinweis: Sie benötigen die SID, um die Microsoft AD-Benutzer dieser Gruppe zu autorisieren, wenn Sie die Client-VPN-Autorisierungsregeln konfigurieren.

Installieren und konfigurieren Sie Okta

1.    Eröffnen Sie ein Okta-Konto mit Ihrer geschäftlichen E-Mail-Adresse. Sie erhalten eine Autorisierungs-E-Mail mit den folgenden Informationen:

Okta organization name
Okta homepage URL
Username (Admin_email)
Temporary Password

2.    Melden Sie sich mit Ihrer Okta-Homepage-URL an und ändern Sie dann das temporäre Passwort.

3.    Installieren Sie Okta Verify auf dem Mobilgerät des IT-Administrators. Folgen Sie den Anweisungen in der App, um Ihre Identität zu überprüfen.

4.    Starten Sie eine weitere EC2-Windows-Instance. Diese Instance wird verwendet, um die Okta Radius-Anwendung zu konfigurieren und zu verwalten. Stellen Sie sicher, dass die Instance mit dem AWS Managed Microsoft AD verknüpft ist, über die richtige IAM-Rolle verfügt und über Internetzugang verfügt.

5.    Verwenden Sie Remote Desktop, um eine Verbindung zur Instance herzustellen. Melden Sie sich dann bei Okta an (**https://

.okta.com**) mit Ihren Anmeldeinformationen aus Schritt 1.

6.    Wählen Sie Einstellungen und dann Downloads. Laden Sie dann die Okta Radius Server Agents und den AD Agent Installer auf Ihre Instance herunter.

So installieren Sie die Okta RADIUS Server Agents:

• Geben Sie den gemeinsamen geheimen RADIUS-Schlüssel und den **RADIUS-Port **an. Notieren Sie sich diese Werte, da Sie sie später verwenden werden, um MFA auf Ihrem AWS Managed Microsoft AD zu aktivieren.
• (Optional) Konfigurieren Sie den RADIUS-Agent-Proxy, falls zutreffend.
• Um diesen Agenten mit Ihrer Domain zu registrieren, geben Sie die benutzerdefinierte Domain ein, die Sie bei Okta registriert haben.

sub-domain: company_name
(from https:// <company_name>.okta.com)

• Nach der Authentifizierung werden Sie aufgefordert, den Zugriff auf den Okta RADIUS-Agenten zuzulassen. Wählen Sie Zulassen, um den Installationsvorgang abzuschließen.

So installieren Sie den Okta AD Agent Installer:

• Wählen Sie die Domain aus, die Sie mit diesem Agenten verwalten möchten. Stellen Sie sicher, dass Sie dieselbe Domain wie die Domain Ihres Microsoft AD verwenden.
• Wählen Sie einen Benutzer aus, der Teil Ihres Microsoft AD ist (oder erstellen Sie einen neuen Benutzer). Stellen Sie sicher, dass dieser Benutzer Teil der Admin-Gruppe in Ihrem Microsoft AD ist. Der Okta Microsoft AD-Agent wird als dieser Benutzer ausgeführt.
• Nachdem Sie die Anmeldeinformationen eingegeben haben, werden Sie aufgefordert, sich zu authentifizieren und mit der Installation des Microsoft AD-Agenten fortzufahren.
• (Optional) Konfigurieren Sie den RADIUS-Agent-Proxy, falls zutreffend.
• Um diesen Agenten mit Ihrer Domain zu registrieren, geben Sie die benutzerdefinierte Domain ein, die Sie bei Okta registriert haben.

sub-domain: company_name
(from https:// <company_name>.okta.com)

7.    Wählen Sie in derselben Windows EC2-Instance Services. Stellen Sie anschließend sicher, dass sowohl die Okta Radius Server Agents als auch der AD Agent Installer installiert sind und sich im Status Running befinden.

Importieren Sie AD-Benutzer aus Ihrem AWS Managed Microsoft AD nach Okta

1.    Melden Sie sich mit Ihrer Okta-Homepage-URL und Ihren Anmeldeinformationen bei Ihrem Okta-Konto an:

2.    Wählen Sie in der oberen Navigationsleiste in Okta Directory und dann Directory Integrations.

3.    Wählen Sie Ihr AWS Managed Microsoft AD aus und aktivieren Sie dann das Verzeichnis. Wählen Sie nach der Aktivierung Import, Jetzt importieren und dann Vollständiger Import.

4.    Wählen Sie die Microsoft AD-Benutzer und -Gruppen aus, die Sie aus Ihrem AWS Managed Microsoft AD nach Okta importieren möchten.

5.    Wählen Sie Zuweisungen bestätigen und dann Benutzer nach Bestätigung automatisch aktivieren.

6.    Überprüfen Sie in Ihrem Verzeichnis den Status Ihrer importierten Benutzer unter Personen. Ihre Benutzer sollten sich alle im Status Aktiv befinden. Wenn nicht, wählen Sie jeden einzelnen Benutzer aus und aktivieren Sie ihn manuell.

Installieren Sie die Radius-Anwendung und weisen Sie sie Ihren Microsoft AD-Benutzern zu

1.    Wählen Sie auf Ihrer Okta-Startseite Anwendungen und dann Anwendung hinzufügen. Suchen Sie nach Radius Application und wählen Sie dann Hinzufügen.

2.    Stellen Sie sicher, dass unter Anmeldeoptionen nicht die Option Okta führt primäre Authentifizierung durch aktiviert ist. Wählen Sie als UDP-Port den Port aus, den Sie bei der Installation der Okta Radius Server Agents ausgewählt haben. Wählen Sie für Secret Key den Schlüssel aus, den Sie bei der Installation der Okta Radius Server Agents ausgewählt haben.

3.    Wählen Sie für das Format des Anwendungsbenutzernamens den AD SAM-Kontonamen.

4.    Weisen Sie die Radius-Anwendung Ihren Microsoft AD-Benutzern und -Gruppen zu. Wählen Sie Zuweisen. Wählen Sie dann **Personen zuweisen **oder Gruppen zuweisen (je nach Anwendungsfall). Wählen Sie alle Namen der gewünschten Microsoft AD-Benutzer oder -Gruppen. Wählen Sie Fertig.

Schalten Sie MFA für Ihre Benutzer ein

1.    Wählen Sie auf Ihrer Okta-Startseite die Optionen Sicherheit, Multifaktor und Faktortypen.

2.    Wählen Sie für Okta Verify die Option Okta Verify with Push.

3.    Wählen Sie Factor Enrollment und dann Add Rule.

4.    Um diese MFA-Regel der Radius-Anwendung zuzuweisen, wählen Sie Anwendungen, Radius-Anwendung, Anmelderichtlinie und Regel hinzufügen.

5.    Bestätigen Sie unter Bedingungen, dass die Regel für Benutzer gilt, denen diese App zugewiesen wurde. Wählen Sie für Aktionen die Option Faktor anfordern.

Ändern Sie die Konfiguration der Sicherheitsgruppe

1. Melden Sie sich bei der AWS-Managementkonsole an.

2.    Wählen Sie Sicherheitsgruppen.

3.    Wählen Sie die Sicherheitsgruppe für die Verzeichniscontroller.

4.    Bearbeiten Sie die Regel für ausgehende Nachrichten für die Sicherheitsgruppe von Microsoft AD, um UDP 1812 (oder den Radius-Dienstport) für die Ziel-IP-Adresse (private IP-Adresse) Ihres Radius-Servers zuzulassen. Sie können auch den gesamten Datenverkehr zulassen, sofern Ihr Anwendungsfall dies zulässt.

Schalten Sie MFA auf Ihrem AWS Microsoft Managed AD ein

1. Öffnen Sie die AWS Directory Service-Konsole.

2.    Wählen Sie **Verzeichnisdienst **und dann Verzeichnisse.

2.    Wählen Sie Ihr Verzeichnis.

3.    Wählen Sie unter Netzwerk und Sicherheit die Option Multi-Faktor-Authentifizierung. Wählen Sie dann Aktionen, Aktivieren.

4.    Geben Sie Folgendes an:

• DNS-Name oder IP-Adressen des RADIUS-Servers: Geben Sie die private IP-Adresse der EC2 Radius-Instance ein.
• Etikett anzeigen: Geben Sie einen Labelnamen ein.
• Port: Geben Sie den Port ein, den Sie bei der Installation der Okta Radius Server Agents ausgewählt haben.
• Gemeinsamer Geheimcode: Wählen Sie den Schlüssel, den Sie bei der Installation der Okta Radius Server Agents ausgewählt haben.
• Protokoll: Wählen Sie PAP.
• Server-Timeout: Stellen Sie den gewünschten Wert ein.
• Max. Anzahl der Wiederholungen von RADIUS-Anfragen: Stellen Sie den gewünschten Wert ein.

Erstellen Sie den Client-VPN-Endpunkt

1.    Nachdem AWS Microsoft Managed AD und MFA eingerichtet sind, erstellen Sie den Client-VPN-Endpunkt mithilfe des Microsoft AD, für das MFA aktiviert ist.

2.    Laden Sie die neue Client-Konfigurationsdatei herunter und verteilen Sie sie an Ihre Endbenutzer.
Hinweis: Sie können die Client-Konfigurationsdatei von der AWS-Managementkonsole, der AWS-Befehlszeilenschnittstelle (AWS CLI) oder dem API-Befehl herunterladen.

3.    Vergewissern Sie sich, dass die Client-Konfigurationsdatei die folgenden Parameter enthält:

auth-user-pass
static-challenge "Enter MFA code " 1

Hinweis: Wenn Sie die duale Authentifizierung verwenden (z. B. gegenseitige Authentifizierung + AD-basierte Authentifizierung), stellen Sie außerdem sicher, dass Sie den Client und die Konfigurationsdatei hinzufügen.

Konfigurationsaufgaben für Endbenutzer

1.    Vergewissern Sie sich, dass die mobile Okta Verify-Anwendung auf Ihrem Mobilgerät installiert ist.

2.    Melden Sie sich mit den folgenden Anmeldeinformationen auf der Okta-Homepage an:

OKTA homepage URL: https:// <company_name>.okta.com
Username: End user's AD name
Password: End user's AD password

3.    Folgen Sie den bereitgestellten Anweisungen, um MFA einzurichten.

4.    Installieren Sie das AWS Client VPN for Desktop Werkzeug.
Hinweis: Sie können auch mit jedem anderen standardmäßigen OpenVPN-basierten Client-Tool eine Verbindung zum Client-VPN-Endpunkt herstellen.

5.    Erstellen Sie ein Profil mithilfe der von Ihrem IT-Administrator bereitgestellten Client-Konfigurationsdatei.

6.    Um eine Verbindung zum Client-VPN-Endpunkt herzustellen, geben Sie Ihre Microsoft AD-Benutzeranmeldeinformationen ein, wenn Sie dazu aufgefordert werden. Geben Sie dann den von Ihrer Okta Verify-Anwendung generierten MFA-Code ein.

---