Comment puis-je utiliser Okta avec mon annuaire AWS Managed Microsoft AD afin de configurer l'authentification multifacteur pour les utilisateurs finaux se connectant à un point de terminaison AWS Client VPN ?

Lecture de 10 minute(s)
0

Comment puis-je utiliser Okta avec mon AWS Directory Service for Microsoft Active Directory afin de configurer l'authentification multifacteur (MFA) pour les utilisateurs finaux se connectant à un point de terminaison AWS Client VPN ?

Brève description

AWS Client VPN prend en charge les types d'authentification suivants :

  • Authentification mutuelle
  • Authentification Microsoft Active Directory
  • Authentification double (authentification mutuelle + authentification basée sur Microsoft Active Directory)

L'authentification MFA doit être activée sur AWS Managed Microsoft AD (et pas directement sur AWS Client VPN). Assurez-vous que votre type d'AWS Managed Microsoft AD prend en charge l'authentification multifacteur (MFA). L'authentification multifacteur (MFA) est prise en charge par les versions nouvelles et existantes d'AWS Client VPN.

Pour configurer l'authentification MFA pour les utilisateurs finaux se connectant à un point de terminaison AWS Client VPN à l'aide d'Okta :

  1. Effectuez les tâches de configuration de l'administrateur informatique pour configurer les services requis.
  2. Ensuite, demandez à chaque utilisateur d'effectuer sa propre configuration pour établir une connexion sécurisée au point de terminaison AWS Client VPN.

Résolution

Remarque : les tâches suivantes doivent être exécutées par les administrateurs informatiques, à l'exception de la dernière section qui doit être effectuée par les utilisateurs finaux.

Créer et configurer un AWS Managed Microsoft AD

1.    Créez un annuaire AWS Managed Microsoft AD.

2.    Associez une instance EC2 Windows à l'annuaire AWS Managed Microsoft AD.

Cette instance est utilisée pour installer des services dans l'annuaire AWS Managed Microsoft AD et pour gérer les utilisateurs et les groupes dans l'annuaire AWS Managed Microsoft AD. Lors du lancement de l'instance, assurez-vous qu'elle est associée à l'annuaire AWS Managed Microsoft AD. Veillez également à ajouter un rôle AWS Identity and Access Management (IAM) avec les stratégies « AmazonSSMManagedInstanceCore » et « AmazonSSMDirectoryServiceAcces » jointes.

3.    Installez les services AWS Managed Microsoft AD. Ensuite, configurez les utilisateurs et les groupes AWS Managed Microsoft AD.

Pour commencer, connectez-vous à l'instance que vous avez créée à l'étape 2 à l'aide de la commande suivante (ou via une connexion Bureau à distance). Assurez-vous de remplacer Votre mot de passe administrateur par le mot de passe administrateur que vous avez créé à l'étape 1.

User name: Admin@ad_DNS_name
Password: Your Admin password

Ensuite, installez les services suivants à l'aide de PowerShell (en mode Administrateur) :

install-windowsfeature rsat-ad-tools, rsat-ad-admincenter, gpmc, rsat-dns-server -confirm:$false

Ensuite, créez des utilisateurs de Microsoft AD et des groupes de Microsoft AD. Puis ajoutez les utilisateurs aux groupes de Microsoft AD appropriés.

Remarque : ces utilisateurs sont ceux qui se connecteront au service AWS Client VPN. Lors de la création d'utilisateurs dans AWS Managed Microsoft AD, veillez à fournir à la fois les prénoms et les noms de famille. Sinon, Okta pourrait ne pas importer d'utilisateurs à partir d'AWS Managed Microsoft AD.

Enfin, utilisez la commande suivante pour obtenir le SID pour vos groupes Microsoft AD. Veillez à remplacer Your-AD-group-name par le nom de votre groupe Microsoft AD.

Get-ADGroup -Identity <Your-AD-group-name>

Remarque : vous devez disposer du SID pour autoriser les utilisateurs de Microsoft AD de ce groupe lorsque vous configurez les règles d'autorisation d'AWS Client VPN.

Installation et configuration d'Okta

1.    Créez un compte Okta à l'aide de votre adresse e-mail professionnelle. Un e-mail d'autorisation contenant les détails suivants vous sera ensuite envoyé :

Okta organization name
Okta homepage URL
Username (Admin_email) 
Temporary Password

2.    Connectez-vous à votre page d'accueil Okta, puis modifiez le mot de passe temporaire.

3.    Installez Okta Verify sur l'appareil mobile de l'administrateur informatique. Suivez les indications de l'application pour vérifier votre identité.

4.    Lancez une autre instance EC2 Windows. Cette instance est utilisée pour configurer et gérer l'application Okta RADIUS. Assurez-vous que l'instance est associée à l'annuaire AWS Managed Microsoft AD et qu'elle dispose du rôle IAM approprié et d'un accès Internet.

5.    Utilisez la « Connexion Bureau à distance » pour vous connecter à l'instance. Ensuite, connectez-vous à Okta (à l'adresse **https://

.okta.com** ) à l'aide des informations d'identification créées à l'étape 1.

6.    Choisissez Paramètres, puis Téléchargements. Téléchargez ensuite les agents de serveur Okta RADIUS et le programme d'installation de l'agent AD sur votre instance.

Pour installer les agents de serveur Okta RADIUS :

  • Spécifiez la clé secrète partagée RADIUS et le port RADIUS. Prenez note de ces éléments, car vous les utiliserez ultérieurement pour activer l'authentification MFA sur votre annuaire AWS Managed Microsoft AD.
  • Facultatif : configurez le proxy de l'agent RADIUS, le cas échéant.
  • Pour enregistrer cet agent auprès de votre domaine, spécifiez le domaine personnalisé que vous avez enregistré avec Okta.
sub-domain: company_name 
(from https:// <company_name>.okta.com)
  • Après l'authentification, vous êtes invité à autoriser l'accès à l'agent Okta RADIUS. Sélectionnez Autoriser pour terminer le processus d'installation.

Pour installer le programme d'installation de l'agent Okta AD :

  • Sélectionnez le domaine que vous souhaitez gérer avec cet agent. Assurez-vous d'utiliser le même domaine que celui de votre annuaire Microsoft AD.
  • Sélectionnez un utilisateur qui fait partie de votre annuaire Microsoft AD (ou créez un nouvel utilisateur). Assurez-vous que cet utilisateur fait partie du groupe Administration de votre annuaire Microsoft AD. L'agent Okta Microsoft AD s'exécute en tant qu'utilisateur.
  • Une fois que vous avez saisi les identifiants, vous pouvez dès lors vous authentifier et continuer à installer l'agent Microsoft AD.
  • Facultatif : configurez le proxy de l'agent RADIUS, le cas échéant.
  • Pour enregistrer cet agent auprès de votre domaine, spécifiez le domaine personnalisé que vous avez enregistré avec Okta.
sub-domain: company_name 
(from https:// <company_name>.okta.com)

7.    Dans la même instance EC2 Windows, sélectionnez Services. Ensuite, vérifiez que les agents de serveur Okta RADIUS et le programme d'installation de l'agent AD sont installés et en cours d'exécution.

Importer des utilisateurs AD de votre annuaire AWS Managed Microsoft AD vers Okta

1.    Connectez-vous à votre compte Okta à l'aide de l'URL et des identifiants permettant d'accéder à votre page d'accueil Okta :

2.    Dans la barre de navigation supérieure d'Okta, sélectionnez Répertoire, puis Intégrations de répertoires.

3.    Sélectionnez votre AWS Managed Microsoft AD, puis activez le. Une fois qu'il est activé, sélectionnez Importer, Importer maintenant, puis Importation intégrale.

4.    Sélectionnez les utilisateurs et groupes Microsoft AD que vous souhaitez importer depuis AWS Managed Microsoft AD vers Okta.

5.    Sélectionnez Confirmer les affectations, puis Activer automatiquement les utilisateurs après confirmation.

6.    Dans votre annuaire, vérifiez le statut des utilisateurs importés sous Personnes. Les utilisateurs doivent tous être associés à l'état Actif. Si ce n'est pas le cas, sélectionnez chaque utilisateur et activez-le manuellement.

Installation de l'application RADIUS et attribution de celle-ci à vos utilisateurs Microsoft AD

1.    Sur votre page d'accueil Okta, sélectionnez Applications, puis Ajouter une application. Recherchez l'option Application RADIUS, puis sélectionnez Ajouter.

2.    Sous Options de connexion, assurez-vous que l'option Okta procède à l'authentification principale n'est pas sélectionnée. Dans le champ Port UDP, choisissez le port que vous avez sélectionné lors de l'installation des agents de serveur Okta RADIUS. Dans le champ Clé secrète, choisissez la clé que vous avez sélectionnée lors de l'installation des agents de serveur Okta RADIUS.

3.    Dans le champ Format du nom d'utilisateur, sélectionnez Nom de compte SAM AD.

4.    Attribuez l'application RADIUS à vos utilisateurs et groupes Microsoft AD. Sélectionnez Attribuer. Sélectionnez Attribuer aux personnes ou Attribuer aux groupes, en fonction de la situation. Sélectionnez tous les noms des utilisateurs ou groupes Microsoft AD souhaités. Choisissez Terminé.

Activer l'authentification multifacteur (MFA) pour les utilisateurs

1.    Sur votre page d'accueil Okta, sélectionnez Sécurité, Multi-facteur, Types de facteur.

2.    Dans la section Vérification Okta, sélectionnez Vérification Okta avec notification Push.

3.    Sélectionnez Inscription du facteur, puis Ajouter la règle.

4.    Pour attribuer cette règle MFA à l'application RADIUS, sélectionnez Applications, Application RADIUS, Méthode de connexion, puis Ajouter la règle.

5.    Sous Conditions, vérifiez que la règle s'applique aux utilisateurs auxquels l'application a été attribuée. Dans la section Actions, sélectionnez Demander le facteur.

Modifier la configuration du groupe de sécurité

  1. Connectez-vous à la console de gestion AWS.

2.    Sélectionnez Groupes de sécurité.

3.    Sélectionnez le groupe de sécurité associé aux contrôleurs d'annuaire.

4.    Modifiez la règle sortante pour le groupe de sécurité de l'annuaire Microsoft AD, afin d'ouvrir le port UDP 1812 (ou le port de service Radius) de l'adresse IP de destination (ou l'adresse IP privée) de votre serveur Radius. Vous pouvez également autoriser l'intégralité du trafic, si votre cas d'utilisation le permet.

Activer l'authentification MFA sur votre AWS Microsoft Managed AD

  1. Ouvrez la console AWS Directory Service.

2.    Sélectionnez Service d'annuaire, puis Annuaires.

2.    Sélectionnez votre annuaire.

3.    Sous Mise en réseau et sécurité, sélectionnez Authentification multi-facteur. Ensuite, sélectionnez Actions, puis Activer.

4.    Indiquez les informations suivantes :

  • Adresses IP ou nom DNS du serveur RADIUS : saisissez l'adresse IP privée de l'instance EC2 RADIUS.
  • Étiquette d'affichage : entrez un nom d'étiquette.
  • Port : spécifiez le port que vous avez sélectionné lors de l'installation des agents de serveur Okta RADIUS.
  • Code secret partagé : choisissez la clé que vous avez sélectionnée lors de l'installation des agents de serveur Okta RADIUS.
  • Protocole : sélectionnez PAP.
  • Délai d'expiration du serveur : spécifiez la valeur souhaitée.
  • Nombre maximal de nouvelles tentatives RADIUS : spécifiez la valeur souhaitée.

Création du point de terminaison AWS Client VPN

1.    Une fois AWS Microsoft Managed AD et l'authentification multifacteur (MFA) configurés, créez le point de terminaison Client VPN à l'aide du Microsoft AD pour lequel l'authentification MFA est activée.

2.    Téléchargez le nouveau fichier de configuration et envoyez-le aux utilisateurs finaux.
Remarque : vous pouvez télécharger le fichier de configuration à partir de l'AWS Management Console ou de l'interface en ligne de commande AWS (AWS CLI), ou à l'aide de la commande API.

3.    Vérifiez que le fichier de configuration du client inclut les paramètres suivants :

auth-user-pass
static-challenge "Enter MFA code " 1

Remarque : si vous optez pour l'authentification double (authentification mutuelle et authentification AD), assurez-vous également d'ajouter le client et au fichier de configuration.

Tâches de configuration par les utilisateurs finaux

1.    Assurez-vous que l'application mobile Okta Verify est installée sur votre appareil mobile.

2.    Connectez-vous à la page d'accueil Okta à l'aide des identifiants suivants :

OKTA homepage URL: https:// <company_name>.okta.com
Username: End user's AD name
Password: End user's AD password

3.    Suivez les instructions fournies pour configurer le MFA.

4.    Installez l'outil AWS Client VPN for Desktop.
Remarque : vous pouvez également vous connecter au point de terminaison Client VPN à l'aide de n'importe quel autre outil OpenVPN standard.

5.    Créez un profil à l'aide du fichier de configuration fourni par votre administrateur informatique.

6.    Pour vous connecter au point de terminaison Client VPN, saisissez vos informations d'identification utilisateur Microsoft AD lorsque cela vous est demandé. Saisissez ensuite le code MFA généré par votre application Okta Verify.


AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 ans