Como posso usar o Okta com meu AWS Managed Microsoft AD para fornecer autenticação multifator para usuários finais que se conectam a um endpoint do AWS Client VPN?

Breve descrição

O AWS Client VPN oferece suporte aos seguintes tipos de autenticação de usuário final:

• Autenticação mútua
• Autenticação Microsoft Active Directory
• Autenticação dupla (autenticação mútua e baseada no Microsoft Active Directory)

O serviço de MFA deve estar ativado para o AWS Managed Microsoft AD (não diretamente na VPN do cliente). Certifique-se de que seu tipo de AWS Managed Microsoft AD ofereça suporte à MFA. A funcionalidade de MFA é suportada por VPNs de cliente novas e existentes.

Para configurar a MFA para usuários finais que estão se conectando a um endpoint VPN do cliente usando o Okta:

1. Conclua as tarefas de configuração do administrador de TI para configurar os serviços necessários.
2. Em seguida, faça com que cada usuário final conclua as tarefas de configuração do usuário final para estabelecer sua conexão segura com o endpoint VPN do cliente.

Resolução

Observação: as tarefas a seguir devem ser concluídas pelos administradores de TI, exceto a última seção, que deve ser concluída pelos usuários finais.

Crie e configure um AWS Managed Microsoft AD

1.    Crie um diretório do AWS Managed Microsoft AD.

2.    Junte uma instância do Windows EC2 ao AWS Managed Microsoft AD.

Essa instância é usada para instalar serviços no AWS Managed Microsoft AD e gerenciar usuários e grupos no AWS Managed Microsoft AD. Ao iniciar a instância, certifique-se de que a instância esteja associada ao AWS Managed Microsoft AD. Além disso, não se esqueça de adicionar um perfil do AWS Identity and Access Management (IAM) com as políticas “AmazonSSMManagedInstanceCore” e “AmazonSSMDirectoryServiceAcces” anexadas.

3.    Instale os serviços do AWS Managed Microsoft AD. Em seguida, configure os usuários e grupos do AWS Managed Microsoft AD.

Primeiro, faça login na (ou use uma Conexão de Área de Trabalho Remota para se conectar) na instância que você criou na etapa 2 usando o comando a seguir. Certifique-se de substituir Sua senha de administrador pela senha de administrador que você criou na etapa 1.

User name: Admin@ad_DNS_name
Password: Your Admin password

Em seguida, instale os seguintes serviços usando o PowerShell (no modo Admin):

install-windowsfeature rsat-ad-tools, rsat-ad-admincenter, gpmc, rsat-dns-server -confirm:$false

Em seguida, crie usuários do Microsoft AD e grupos do Microsoft AD. Depois, adicione seus usuários aos grupos apropriados do Microsoft AD.

Observação: esses usuários são os mesmos usuários finais que se conectarão ao serviço Client VPN. Ao criar usuários no AWS Managed Microsoft AD, certifique-se de fornecer o nome e o sobrenome. Caso contrário, o Okta pode não importar usuários do AWS Managed Microsoft AD.

Por fim, use o comando a seguir para obter o SID para seus grupos do Microsoft AD. Certifique-se de substituir o Your-AD-group-name pelo nome do seu grupo do Microsoft AD.

Get-ADGroup -Identity <Your-AD-group-name>

Observação: você precisa do SID para autorizar os usuários do Microsoft AD desse grupo ao configurar as regras de autorização do Client VPN.

Instalar e configurar o Okta

1.    Cadastre-se em uma conta Okta usando seu endereço de e-mail profissional. Você receberá um e-mail de autorização com os seguintes detalhes:

Okta organization name
Okta homepage URL
Username (Admin_email)
Temporary Password

2.    Faça login usando o URL da página inicial do Okta e altere a senha temporária.

3.    Instale o Okta Verify no dispositivo móvel do administrador de TI. Siga as instruções no aplicativo para verificar sua identidade.

4.    Inicie outra instância do EC2 do Windows. Essa instância é usada para configurar e gerenciar o aplicativo Okta Radius. Certifique-se de que a instância esteja associada ao AWS Managed Microsoft AD, tenha o perfil do IAM correto e tenha acesso à Internet.

5.    Use a Área de Trabalho Remota para se conectar à instância. Em seguida, entre no Okta (**https://

.okta.com**) usando suas credenciais da etapa 1.

6.    Escolha Configurações e, em seguida, escolha Downloads. Depois, baixe o Okta Radius Server Agents e o AD Agent Installer em sua instância.

Para instalar Okta RADIUS Server Agents:

• Forneça a chave secreta compartilhada RADIUS e a porta RADIUS. Não se esqueça de anotar esses valores, pois você os usará posteriormente para ativar a MFA em seu AWS Managed Microsoft AD.
• (Opcional) Configure o proxy do Atendente RADIUS, se aplicável.
• Para registrar esse atendente com seu domínio, insira o domínio personalizado que você registrou no Okta.

sub-domain: company_name
(from https:// <company_name>.okta.com)

• Após a autenticação, você será solicitado a permitir o acesso ao Atendente RADIUS da Okta. Escolha Permitir para concluir o processo de instalação.

Para instalar o Okta AD Agent Installer:

• Escolha o domínio que você planeja gerenciar com esse atendente. Certifique-se de usar o mesmo domínio do seu domínio do Microsoft AD.
• Selecione um usuário que faça parte do seu Microsoft AD (ou crie um novo usuário). Certifique-se de que esse usuário faça parte do grupo de administradores em seu Microsoft AD. O atendente Okta Microsoft AD é executado como esse usuário.
• Depois de inserir as credenciais, você será encaminhado a autenticar e a instalar o atendente Microsoft AD.
• (Opcional) Configure o proxy do Atendente RADIUS, se aplicável.
• Para registrar esse atendente com seu domínio, insira o domínio personalizado que você registrou no Okta.

sub-domain: company_name
(from https:// <company_name>.okta.com)

7.    Na mesma instância do Windows EC2, escolha Serviços. Em seguida, verifique se o Okta Radius Server Agents e o AD Agent Installer estão instalados e no estado de Em execução.

Importe usuários do AD do seu AWS Managed Microsoft AD para o Okta

1.    Faça login na sua conta Okta usando o URL e as credenciais da página inicial do Okta:

2.    Na barra de navegação superior do Okta, escolha Diretório e, em seguida, Integrações de diretórios.

3.    Selecione seu AWS Managed Microsoft AD e, em seguida, ative o diretório. Depois de ativado, escolha Importar, Importar agora e, em seguida, Importação completa.

4.    Selecione os usuários e grupos do Microsoft AD que você deseja importar do seu AWS Managed Microsoft AD para o Okta.

5.    Escolha Confirmar atribuições e selecione Ativar usuários automaticamente após a confirmação.

6.    Em seu diretório, verifique o status dos usuários importados em Pessoas. Todos os seus usuários devem estar no estado Ativo. Caso contrário, selecione cada usuário individual e ative-o manualmente.

Instale o aplicativo Radius e atribua-o aos seus usuários do Microsoft AD

1.    Na página inicial do Okta, escolha Aplicativos, Adicionar aplicativo. Procure o Aplicativo Radius e escolha Adicionar.

2.    Em Opções de login, certifique-se de que Okta realiza a autenticação primária não esteja selecionado. Em Porta UDP, escolha a porta que você selecionou durante a instalação do Okta Radius Server Agents. Em Chave secreta, escolha a chave que você selecionou durante a instalação do Okta Radius Server Agents.

3.    Em Formato de nome de usuário do aplicativo, escolha nome da conta AD SAM.

4.    Atribua o aplicativo Radius aos seus usuários e grupos do Microsoft AD. Escolha Atribuir. Em seguida, escolha Atribuir a pessoas ou Atribuir a grupos (dependendo do seu caso de uso). Selecione todos os nomes dos usuários ou grupos desejados do Microsoft AD. Escolha Concluído.

Ative a MFA para seus usuários

1.    Na página inicial do Okta, escolha Segurança, Multifator e Tipos de fatores.

2.    Em Okta Verify, escolha Okta Verify com Push.

3.    Escolha Cadastro de fatores e, em seguida, escolha Adicionar regra.

4.    Para atribuir essa regra de MFA ao aplicativo Radius, escolha Aplicativos, Aplicativo Radius, Política de login e Adicionar Regra.

5.    Em Condições, confirme se a regra se aplica aos Usuários atribuídos a este aplicativo. Em Ações, escolha Solicitar fator.

Modificar a configuração do grupo de segurança

1. Faça login no AWS Management Console.

2.    Escolha Grupos de segurança.

3.    Selecione o grupo de segurança para os controladores de diretório.

4.    Edite a regra de saída para o grupo de segurança do Microsoft AD para permitir o UDP 1812 (ou a porta de serviço Radius) para o endereço IP de destino (endereço IP privado) do seu Radius Server. Ou você pode permitir todo o tráfego, se seu caso de uso permitir.

Ative a MFA em seu AWS Microsoft Managed AD

1. Abra o console do AWS Directory Service.

2.    Escolha Serviço de Diretório e, em seguida, escolha Diretórios.

2.    Selecione seu diretório.

3.    Em Rede e segurança, escolha Autenticação multifator. Em seguida, escolha Ações, Habilitar.

4.    Especifique o seguinte:

• Nome DNS ou endereços IP do servidor RADIUS: Insira o endereço IP privado da instância do EC2 Radius.
• Exibir rótulo: Insira um nome de rótulo.
• Porta: Insira a porta que você selecionou durante a instalação do Okta Radius Server Agents.
• Código secreto compartilhado: Escolha a chave que você selecionou ao instalar o Okta Radius Server Agents.
• Protocolo: Escolha PAP.
• Tempo limite do servidor: Defina o valor desejado.
• Máximo de tentativas de solicitação RADIUS: Defina o valor desejado.

Crie o endpoint do Client VPN

1.    Depois que o AWS Microsoft Managed AD e a MFA forem configurados, crie o endpoint do Client VPN usando o Microsoft AD para o qual a MFA está ativado.

2.    Baixe o novo arquivo de configuração do cliente e distribua-o para seus usuários finais.
Observação: você pode baixar o arquivo de configuração do cliente no Console de Gerenciamento da AWS, na AWS Command Line Interface (AWS CLI) ou no comando da API.

3.    Confirme se o arquivo de configuração do cliente inclui os seguintes parâmetros:

auth-user-pass
static-challenge "Enter MFA code " 1

Observação: se você estiver usando autenticação dupla (por exemplo, autenticação mútua + autenticação baseada no AD), não se esqueça de adicionar o cliente e o arquivo de configuração.

Tarefas de configuração do usuário final

1.    Certifique-se de que o aplicativo móvel Okta Verify esteja instalado em seu dispositivo móvel.

2.    Faça login na página inicial do Okta usando as seguintes credenciais:

OKTA homepage URL: https:// <company_name>.okta.com
Username: End user's AD name
Password: End user's AD password

3.    Siga as instruções fornecidas para configurar a MFA.

4.    Instale a ferramenta AWS Client VPN for Desktop.
Observação: você também pode se conectar ao endpoint do Client VPN usando qualquer outra ferramenta padrão de cliente baseada em OpenVPN.

5.    Crie um perfil usando o arquivo de configuração do cliente fornecido pelo administrador de TI.

6.    Para se conectar ao endpoint do Client VPN, insira suas credenciais de usuário do Microsoft AD quando solicitado. Em seguida, insira o código de MFA gerado pelo seu aplicativo Okta Verify.

---