Come posso usare Okta con il mio Microsoft AD gestito da AWS per fornire l'autenticazione a più fattori per gli utenti finali che si connettono a un endpoint VPN Client di AWS?

Breve descrizione

VPN Client di AWS supporta i seguenti tipi di autenticazione degli utenti finali:

• Autenticazione reciproca
• Autenticazione Microsoft Active Directory
• Doppia autenticazione (reciproca + autenticazione basata su Microsoft Active Directory)

Il servizio di autenticazione a più fattori (MFA) deve essere attivato per Microsoft AD gestito da AWS (non direttamente su Client VPN). Assicurati che il tuo tipo di Microsoft AD gestito da AWS supporti l'autenticazione a più fattori. La funzionalità MFA è supportata sia dai Client VPN nuovi che da quelli esistenti.

Per configurare l'autenticazione a più fattori per gli utenti finali che si connettono a un endpoint Client VPN utilizzando Okta:

1. Completa le attività di configurazione dell'amministratore IT per configurare i servizi richiesti.
2. Quindi, chiedi a ciascun utente finale di completare le attività di configurazione dell'utente finale per stabilire la propria connessione sicura all'endpoint Client VPN.

Soluzione

Nota: Le seguenti attività devono essere completate dagli amministratori IT, ad eccezione dell'ultima sezione, che deve essere completata dagli utenti finali.

Crea e configura un Microsoft AD gestito da AWS

1.    Crea una directory di Microsoft AD gestito da AWS.

2.    Unisci un'istanza Windows EC2 a Microsoft AD gestito da AWS.

Questa istanza viene utilizzata per installare servizi in Microsoft AD gestito da AWS e per gestire utenti e gruppi in Microsoft AD gestito da AWS. Quando avvii l'istanza, assicurati che sia associata a Microsoft AD gestito da AWS. Inoltre, assicurati di aggiungere un ruolo AWS Identity and Access Management (IAM) con le policy "AmazonSSMManagedInstanceCore" e "AmazonSSMDirectoryServiceAcces" allegate.

3.    Installa i servizi di Microsoft AD gestito da AWS. Quindi, configura gli utenti e i gruppi di Microsoft AD gestito da AWS.

Innanzitutto, accedi (o usa una connessione desktop remoto per connetterti) all'istanza che hai creato nel passaggio 2 utilizzando il seguente comando. Assicurati di sostituire la tua password di amministratore con la password di amministratore che hai creato nel passaggio 1.

User name: Admin@ad_DNS_name
Password: Your Admin password

Quindi, installa i seguenti servizi utilizzando PowerShell (in modalità amministratore):

install-windowsfeature rsat-ad-tools, rsat-ad-admincenter, gpmc, rsat-dns-server -confirm:$false

Quindi, crea utenti Microsoft AD e gruppi Microsoft AD. Quindi, aggiungi gli utenti ai gruppi Microsoft AD appropriati.

Nota: Questi utenti sono gli stessi utenti finali che si connetteranno al servizio Client VPN. Durante la creazione di utenti in Microsoft AD gestito da AWS, assicurati di fornire sia il nome che il cognome. Altrimenti, Okta potrebbe non importare utenti da Microsoft AD gestito da AWS.

Infine, usa il seguente comando per ottenere il SID per i tuoi gruppi Microsoft AD. Assicurati di sostituire Your-AD-group-name con il nome del tuo gruppo Microsoft AD.

Get-ADGroup -Identity <Your-AD-group-name>

Nota: È necessario il SID per autorizzare gli utenti Microsoft AD di questo gruppo quando si configurano le regole di autorizzazione Client VPN.

Installa e configura Okta

1.    Crea un account Okta utilizzando il tuo indirizzo e-mail di lavoro. Riceverai un'e-mail di autorizzazione con i seguenti dettagli:

Okta organization name
Okta homepage URL
Username (Admin_email)
Temporary Password

2.    Accedi utilizzando l'URL della tua home page di Okta, quindi modifica la password temporanea.

3.    Installa Okta Verify sul dispositivo mobile dell'amministratore IT. Segui le istruzioni in-app per verificare la tua identità.

4.    Avvia un'altra istanza EC2 per Windows. Questa istanza viene utilizzata per configurare e gestire l'applicazione Okta Radius. Assicurati che l'istanza sia associata a Microsoft AD gestito da AWS, abbia il ruolo IAM corretto e abbia accesso a Internet.

5.    Usa Remote Desktop per connetterti all'istanza. Quindi, accedi a Okta (**https://

.okta.com**) utilizzando le tue credenziali del passaggio 1.

6.    Scegli Impostazioni, quindi scegli Download. Quindi, scarica Okta Radius Server Agents e AD Agent Installer sulla tua istanza.

Per installare Okta RADIUS Server Agents:

• Fornisci la chiave segreta condivisa RADIUS e la porta RADIUS. Tieni presente questi valori, perché li utilizzerai in seguito per attivare l'autenticazione a più fattori su Microsoft AD gestito da AWS.
• (Facoltativo) Configura il proxy RADIUS Agent, se applicabile.
• Per registrare questo agente con il tuo dominio, inserisci il dominio personalizzato che hai registrato con Okta.

sub-domain: company_name
(from https:// <company_name>.okta.com)

• Dopo l'autenticazione, ti viene richiesto di consentire l'accesso all'agente Okta RADIUS. Scegli Consenti per completare il processo di installazione.

Per installare Okta AD Agent Installer:

• Scegli il dominio che intendi gestire con questo agente. Assicurati di utilizzare lo stesso dominio del tuo dominio Microsoft AD.
• Seleziona un utente che fa parte di Microsoft AD (o crea un nuovo utente). Assicurati che questo utente faccia parte del gruppo di amministratori all'interno di Microsoft AD. L'agente Okta Microsoft AD viene eseguito come utente.
• Dopo aver inserito le credenziali, verrai promosso all'autenticazione e procederai all'installazione dell'agente Microsoft AD.
• (Facoltativo) Configura il proxy RADIUS Agent, se applicabile.
• Per registrare questo agente con il tuo dominio, inserisci il dominio personalizzato che hai registrato con Okta.

sub-domain: company_name
(from https:// <company_name>.okta.com)

7.    Nella stessa istanza di Windows EC2, scegli Servizi. Quindi, verifica che sia Okta Radius Server Agent che AD Agent Installer siano installati e siano nello stato In esecuzione.

Importa utenti AD da Microsoft AD gestito da AWS a Okta

1.    Accedi al tuo account Okta utilizzando l'URL e le credenziali della home page di Okta:

2.    Dalla barra di navigazione superiore di Okta, scegli Directory, quindi scegli Integrazioni directory.

3.    Seleziona il tuo Microsoft AD gestito da AWS, quindi attiva la directory. Dopo l'attivazione, scegli Importa, ** Importa ora** e quindi Importazione completa.

4.    Seleziona gli utenti e i gruppi Microsoft AD che vuoi importare da Microsoft AD gestito da AWS a Okta.

5.    Scegli Conferma assegnazioni, quindi seleziona Attiva automaticamente gli utenti dopo la conferma.

6.    Nella tua directory, verifica lo stato degli utenti importati in Persone. Gli utenti devono essere tutti nello stato Attivo. In caso contrario, seleziona ogni singolo utente e attivalo manualmente.

Installa l'applicazione Radius e assegnala agli utenti di Microsoft AD

1.    Nella tua home page di Okta, scegli Applicazioni, **Aggiungi applicazione.**Cerca Applicazione Radius, quindi scegli Aggiungi.

2.    In Opzioni di accesso, assicurati che Okta esegue l'autenticazione primaria non sia selezionato. Per Porta UDP, scegli la porta selezionata durante l'installazione di Okta Radius Server Agents. Per Chiave segreta, scegli la chiave selezionata durante l'installazione di Okta Radius Server Agents.

3.    Per il formato del nome utente dell'applicazione, scegli il nome dell'account AD SAM.

4.    Assegna l'applicazione Radius agli utenti e ai gruppi di Microsoft AD. Scegli Assegna. Quindi, scegli Assegna a persone o Assegna a gruppi (a seconda del tuo caso d'uso). Seleziona tutti i nomi degli utenti o dei gruppi Microsoft AD desiderati. Scegli Fine.

Attiva l'autenticazione a più fattori per i tuoi utenti

1.    Nella tua home page di Okta, scegli Sicurezza, Più fattori, **Tipi di fattori **.

2.    Per Okta Verify, scegli Okta Verify con notifiche push.

3.    Scegli Registrazione fattori, quindi scegli ** Aggiungi regola**.

4.    Per assegnare questa regola MFA all'applicazione Radius, scegli Applicazioni, Applicazione Radius, Policy di accesso e Aggiungi regola.

5.    In Condizioni, conferma che la regola si applica agli utenti assegnati a questa app. Per Azioni, scegli Richiedi fattore.

Modifica la configurazione del gruppo di sicurezza

1. Accedi alla Console di gestione AWS.

2.    Scegli Gruppi di sicurezza.

3.    Seleziona il gruppo di sicurezza per i controller di directory.

4.    Modifica la regola in uscita per il gruppo di sicurezza di Microsoft AD per consentire UDP 1812 (o la porta del servizio Radius) per l'indirizzo IP di destinazione (indirizzo IP privato) del tuo server Radius. In alternativa, puoi consentire tutto il traffico, se il tuo caso d'uso lo consente.

Attiva l'autenticazione a più fattori su Microsoft AD gestito da AWS

1. Apri la console del servizio di directory AWS.

2.    Scegli Servizio di directory, quindi scegli Directory.

2.    Seleziona la tua directory.

3.    In Rete e sicurezza, scegli Autenticazione a più fattori. Quindi, scegli Azioni, Abilita.

4.    Specifica quanto segue:

• **Nome o indirizzi IP DNS del server RADIUS:**Inserisci l'indirizzo IP privato dell'istanza EC2 Radius.
• Etichetta visualizzata: Inserisci un nome per l'etichetta.
• Porta: Inserisci la porta selezionata durante l'installazione di Okta Radius Server Agents.
• Codice segreto condiviso: Scegli la chiave selezionata durante l'installazione di Okta Radius Server Agents.
• Protocollo: Scegli PAP.
• Timeout del server: Imposta il valore desiderato.
• Numero massimo di tentativi per le richieste RADIUS: Imposta il valore desiderato.

Crea l'endpoint Client VPN

1.    Dopo aver configurato Microsoft AD gestito da AWS e MFA, crea l'endpoint Client VPN utilizzando Microsoft AD per cui è attivata la MFA.

2.    Scarica il nuovo file di configurazione del client e distribuiscilo agli utenti finali.
Nota: Puoi scaricare il file di configurazione del client dalla Console di gestione AWS, dall'Interfaccia della linea di comando AWS (AWS CLI) o dal comando API.

3.    Verifica che il file di configurazione del client includa i seguenti parametri:

auth-user-pass
static-challenge "Enter MFA code " 1

Nota: Se utilizzi la doppia autenticazione (ad esempio, autenticazione reciproca e autenticazione basata su AD), assicurati di aggiungere anche il client e di aggiungerla al file di configurazione.

Attività di configurazione dell'utente finale

1.    Assicurati che l'applicazione mobile Okta Verify sia installata sul tuo dispositivo mobile.

2.    Accedi alla home page di Okta utilizzando le seguenti credenziali:

OKTA homepage URL: https:// <company_name>.okta.com
Username: End user's AD name
Password: End user's AD password

3.    Segui le istruzioni fornite per configurare l'autenticazione a più fattori.

4.    Installa lo strumento AWS Client VPN for Desktop.
Nota: Puoi anche connetterti all'endpoint Client VPN utilizzando qualsiasi altro strumento client standard basato su OpenVPN.

5.    Crea un profilo utilizzando il file di configurazione del client fornito dal tuo amministratore IT.

6.    Per connetterti all'endpoint Client VPN, inserisci le tue credenziali utente Microsoft AD quando richiesto. Quindi, inserisci il codice MFA generato dalla tua applicazione Okta Verify.

---