Okta를 AWS Managed Microsoft AD와 함께 사용하여 AWS Client VPN 엔드포인트에 연결하는 최종 사용자에게 멀티 팩터 인증을 제공하려면 어떻게 해야 합니까?

간략한 설명

AWS Client VPN은 다음과 같은 유형의 최종 사용자 인증을 지원합니다.

• 상호 인증
• Microsoft Active Directory 인증
• 이중 인증(상호 + Microsoft Active Directory 기반 인증)

MFA 서비스는 AWS Managed Microsoft AD(Client VPN에서 직접 활성화되지 않음)에서 활성화되어야 합니다. AWS Managed Microsoft AD 유형이 MFA를 지원하는지 확인하세요. MFA 기능은 신규 및 기존 Client VPN에서 모두 지원됩니다.

Okta를 사용하여 Client VPN 엔드포인트에 연결하는 최종 사용자의 MFA를 설정하려면 다음을 수행합니다.

1. IT 관리자 구성 작업을 완료하여 필요한 서비스를 설정합니다.
2. 그런 다음 각 최종 사용자가 최종 사용자 구성 작업을 완료하여 Client VPN 엔드포인트에 대한 보안 연결을 설정하도록 합니다.

해결 방법

참고: 최종 사용자가 완료해야 하는 마지막 섹션을 제외하고 IT 관리자가 다음 작업을 완료해야 합니다.

AWS Managed Microsoft AD 생성 및 구성

1.    AWS Managed Microsoft AD 디렉터리를 생성합니다.

2.    Windows EC2 인스턴스를 AWS Managed Microsoft AD에 연결합니다.

이 인스턴스는 AWS Managed Microsoft AD에 서비스를 설치하고 AWS Managed Microsoft AD에서 사용자 및 그룹을 관리하는 데 사용됩니다. 인스턴스를 시작할 때 인스턴스가 AWS Managed Microsoft AD와 연결되어 있어야 합니다. 또한 “AmazonSSMManagedInstanceCore” 및 “AmazonSSMDirectoryServiceAcces” 정책이 연결된 AWS Identity and Access Management(IAM) 역할을 추가해야 합니다.

3.    AWS Managed Microsoft AD 서비스를 설치합니다. 그런 다음 AWS Managed Microsoft AD 사용자 및 그룹을 구성합니다.

먼저 다음 명령을 사용하여 2단계에서 생성한 인스턴스에 로그인합니다(또는 원격 데스크톱 연결을 사용하여 연결). **관리자 암호(Your Admin password)**를 1단계에서 생성한 관리자 암호로 바꿔야 합니다.

User name: Admin@ad_DNS_name
Password: Your Admin password

그런 다음 PowerShell을 사용하여 관리자 모드에서 다음 서비스를 설치합니다.

install-windowsfeature rsat-ad-tools, rsat-ad-admincenter, gpmc, rsat-dns-server -confirm:$false

그런 다음 Microsoft AD 사용자 및 Microsoft AD 그룹을생성합니다. 그런 다음,적절한 Microsoft AD 그룹에 사용자를 추가합니다.

**참고:**이러한 사용자는 Client VPN 서비스에 연결할 최종 사용자와 동일합니다. AWS Managed Microsoft AD에서 사용자를 생성하는 동안 이름과 성을 모두 제공해야 합니다. 그렇지 않으면 Okta가 AWS Managed Microsoft AD에서 사용자를 가져오지 못할 수 있습니다.

마지막으로 다음 명령을 사용하여 Microsoft AD 그룹의 SID를 가져옵니다. Your-AD-group-name을 Microsoft AD 그룹 이름으로 바꿔야 합니다.

Get-ADGroup -Identity <Your-AD-group-name>

참고: Client VPN 권한 부여 규칙을 구성할 때 이 그룹의 Microsoft AD 사용자에게 권한을 부여하려면 SID가 필요합니다.

Okta 설치 및 구성

1.    회사 이메일 주소를 사용하여 Okta 계정에 가입합니다. 다음 세부 정보가 포함된 권한 부여 이메일을 받게 됩니다.

Okta organization name
Okta homepage URL
Username (Admin_email) 
Temporary Password

2.    Okta 홈페이지 URL을 사용하여 로그인한 다음 임시 암호를 변경합니다.

3.    IT 관리자의 모바일 디바이스에 Okta Verify를 설치합니다. 인앱 프롬프트를 따라 자격 증명을 확인합니다.

4.    다른 EC2 Windows 인스턴스를 시작합니다. 이 인스턴스는 Okta Radius 애플리케이션을 구성하고 관리하는 데 사용됩니다. 인스턴스가 AWS Managed Microsoft AD와 연결되어 있고, 올바른 IAM 역할이 지정되어 있으며, 인터넷에 액세스할 수 있는지 확인합니다.

5.    원격 데스크톱을 사용하여 인스턴스에 연결합니다. 그런 다음 1단계의 자격 증명을 사용하여 Okta(**https://

.okta.com** )에 로그인합니다.

6.    [설정(Settings)]을 선택한 다음 [다운로드(Downloads)]를 선택합니다. 그런 다음, 인스턴스에서 Okta Radius 서버 에이전트 및 AD 에이전트 설치 관리자를 다운로드합니다.

Okta RADIUS 서버 에이전트를 설치하려면 다음을 수행합니다.

• RADIUS 공유 보안 키 및 RADIUS 포트를 제공합니다. 나중에 AWS Managed Microsoft AD에서 MFA를 활성화하는 데 사용하기 때문에 이러한 값을 기록해 두십시오.
• (선택 사항) RADIUS 에이전트 프록시를 구성합니다(해당되는 경우).
• 도메인에 이 에이전트를 등록하려면 Okta에 등록한 사용자 지정 도메인을 입력합니다.

sub-domain: company_name 
(from https:// <company_name>.okta.com)

• 인증 후 Okta RADIUS 에이전트에 대한 액세스를 허용하라는 메시지가 표시됩니다. [허용(Allow)]을 선택하여 설치 프로세스를 완료합니다.

Okta AD 에이전트 설치 관리자를 설치하려면 다음을 수행합니다.

• 이 에이전트로 관리할 도메인을 선택합니다. Microsoft AD 도메인과 동일한 도메인을 사용해야 합니다.
• Microsoft AD의 일부인 사용자를 선택하거나 새 사용자를 만듭니다. 이 사용자가 Microsoft AD 내 Admin 그룹의 일부인지 확인합니다. Okta Microsoft AD 에이전트는 이 사용자로 실행됩니다.
• 자격 증명을 입력하면 인증과 Microsoft AD 에이전트 설치를 진행하도록 승격됩니다.
• (선택 사항) RADIUS 에이전트 프록시를 구성합니다(해당되는 경우).
• 도메인에 이 에이전트를 등록하려면 Okta에 등록한 사용자 지정 도메인을 입력합니다.

sub-domain: company_name 
(from https:// <company_name>.okta.com)

7.    동일한 Windows EC2 인스턴스에서 [서비스(Services)]를 선택합니다. 그런 다음 Okta Radius 서버 에이전트 및 AD 에이전트 설치 관리자가 모두 설치되어 있고 실행 중 상태인지 확인합니다.

AWS Managed Microsoft AD에서 Okta로 AD 사용자 가져오기

1.    Okta 홈페이지 URL 및 자격 증명을 사용하여 Okta 계정에 로그인합니다.

2.    Okta의 상단 탐색 모음에서 [디렉터리(Directory)]를 선택한 다음**[디렉터리 통합(Directory Integrations)]**을 선택합니다.

3.    AWS Managed Microsoft AD를 선택한 다음 디렉터리를 활성화합니다. 활성화한 후 [가져오기(Import)], [지금 가져오기(Import Now)], [전체 가져오기(Full Import)]를 선택합니다.

4.    AWS Managed Microsoft AD에서 Okta로 가져올 AWS Managed Microsoft AD 사용자 및 그룹을 선택합니다.

5.    [할당 확인(Confirm Assignments)]을 선택한 다음 [확인 후 사용자 자동 활성화(Auto-activate users after confirmation)]를 선택합니다.

6.    디렉터리의 [직원(People)]에서 가져온 사용자의 상태를 확인합니다. 사용자는 모두 [활성(Active)] 상태여야 합니다. 그렇지 않은 경우 개별 사용자를 선택하고 수동으로 활성화합니다.

Radius 애플리케이션을 설치하고 Microsoft AD 사용자에게 할당

1.    Okta 홈페이지에서 [애플리케이션(Applications)], [애플리케이션 추가(Add Application)]를 선택합니다. Radius 애플리케이션을 검색한 다음 [추가(Add)]를 선택합니다.

2.    로그인 옵션에서, [Okta에서 기본 인증 수행(Okta performs primary authentication)]이 선택되지 않았는지 확인합니다. UDP 포트에서 Okta Radius 서버 에이전트 설치 도중 선택한 포트를 선택합니다. 보안 키에서 Okta Radius 서버 에이전트 설치 도중 선택한 키를 선택합니다.

3.    애플리케이션 사용자 이름 형식에서 [AD SAM 계정 이름(AD SAM account name)]을 선택합니다.

4.    Radius 애플리케이션을 Microsoft AD 사용자 및 그룹에 할당합니다. [할당(Assign)]을 선택합니다. [직원에 할당(Assign to People)] 또는 [그룹에 할당(Assign to Groups)]을 선택합니다(사용 사례에 따라 다름). 원하는 Microsoft AD 사용자 또는 그룹의 이름을 모두 선택합니다. [완료(Done)]를 선택합니다.

사용자를 위한 MFA 활성화

1.    Okta 홈페이지에서 [보안(Security)], [멀티 팩터(Multifactor)], [팩터 유형(Factor Types)]을 선택합니다.

2.    Okta Verify에서 [푸시를 사용한 Okta Verify(Okta Verify with Push)]를 선택합니다.

3.    [팩터 등록(Factor Enrollment)]을 선택한 다음 [규칙 추가(Add Rule)]를 선택합니다.

4.    이 MFA 규칙을 Radius 애플리케이션에 할당하려면 [애플리케이션(Applications)], [Radius 애플리케이션(Radius Application)], [로그인 정책(Sign On Policy)], [규칙 추가(Add Rule)]를 선택합니다.

5.    [조건(Conditions)]에서 규칙이 이 앱에 할당된 사용자에게 적용되는지 확인합니다. [작업(Actions)]에서 [팩터에 대한 프롬프트(Prompt for factor)]를 선택합니다.

보안 그룹 구성 수정

1. AWS 관리 콘솔로 로그인합니다.

2.    [보안 그룹(Security groups)]을 선택합니다.

3.    디렉터리 컨트롤러에 대한 보안 그룹을 선택합니다.

4.    Microsoft AD 그룹에 대한 아웃바운드 규칙을 편집하여 Radius 서버의 대상 IP 주소(프라이빗 IP 주소)에 대해 UDP 1812(또는 Radius 서비스 포트)를 허용합니다. 또는 사용 사례에서 허용하는 경우 모든 트래픽을 허용할 수 있습니다.

AWS Microsoft Managed AD에서 MFA 활성화

1. AWS Directory Service 콘솔을 엽니다.

2.    [디렉터리 서비스(Directory Service)]를 선택한 다음 [디렉터리(Directory)]를 선택합니다.

2.    [디렉터리]를 선택합니다.

3.    네트워킹 및 보안에서 [멀티 팩터 인증(Multi-factor authentication)]을 선택합니다. 그런 다음 [작업(Actions)], [활성화(Enable)]를 선택합니다.

4.    다음을 지정합니다.

• **RADIUS 서버 DNS 이름 또는 IP 주소:**EC2 Radius 인스턴스의 프라이빗 IP 주소를 입력합니다.
• 레이블 표시: 레이블 이름을 입력합니다.
• **포트:**Okta Radius 서버 에이전트 설치 도중 선택한 포트를 입력합니다.
• 공유 보안 코드: Okta Radius 서버 에이전트 설치 도중 선택한 키를 선택합니다.
• 프로토콜:****PAP를 선택합니다.
• 서버 제한 시간: 원하는 값을 설정합니다.
• 최대 RADIUS 요청 재시도: 원하는 값을 설정합니다.

Client VPN 엔드포인트 생성

1.    AWS Microsoft Managed AD 및 MFA를 설정한 후 MFA가 활성화된 Microsoft AD를 사용하여 Client VPN 엔드포인트를 생성합니다.

2.    새 클라이언트 구성 파일을 다운로드하여 최종 사용자에게 배포합니다.
참고: AWS Management Console, AWS 명령줄 인터페이스(AWS CLI), 또는 API 명령에서 클라이언트 구성 파일을 다운로드할 수 있습니다.

3.    클라이언트 구성 파일에 다음 파라미터가 포함되어 있는지 확인합니다.

auth-user-pass
static-challenge "Enter MFA code " 1

**참고:**이중 인증(예: 상호 인증 + AD 기반 인증)을 사용하는 경우 구성 파일에 클라이언트 및 을(를) 추가해야 합니다.

최종 사용자 구성 태스크

1.    Okta Verify 모바일 애플리케이션이 모바일 디바이스에 설치되어 있는지 확인합니다.

2.    다음 자격 증명을 사용하여 Okta 홈페이지에 로그인합니다.

OKTA homepage URL: https:// <company_name>.okta.com
Username: End user's AD name
Password: End user's AD password

3.    제공된 지침에 따라 MFA를 설정합니다.

4.    데스크톱용 AWS Client VPN 도구를 설치합니다.
**참고:**다른 표준 OpenVPN 기반 클라이언트 도구를 사용하여 Client VPN 엔드포인트에 연결할 수도 있습니다.

5.    IT 관리자가 제공한 클라이언트 구성 파일을 사용하여 프로파일을 생성합니다.

6.    Client VPN 엔드포인트에 연결하려면 메시지가 표시될 때 Microsoft AD 사용자 자격 증명을 입력합니다. 그런 다음 Okta Verify 애플리케이션에서 생성한 MFA 코드를 입력합니다.

---