如何將 Okta 與我的 AWS Managed Microsoft AD 搭配使用,為連線到 AWS Client VPN 端點的終端使用者提供多重要素驗證?

4 分的閱讀內容
0

如何將 Okta 與我的 AWS Directory Service for Microsoft Active Directory 搭配使用,為連線到 AWS Client VPN 端點的終端使用者提供多重要素驗證 (MFA)?

簡短描述

AWS Client VPN 支援下列類型的終端使用者身份驗證:

  • 相互身分驗證
  • Microsoft Active Directory 身分驗證
  • 雙重身分驗證 (相互 + Microsoft Active Directory 型身分驗證)

必須為 AWS Managed Microsoft AD 開啟 MFA 服務 (而非直接在 Client VPN 上)。請確定您的 AWS Managed Microsoft AD 類型支援 MFA。新的和現有的 Client VPN 都支援 MFA 功能。

若要為使用 Okta 連線至 Client VPN 端點的使用者設定 MFA:

  1. 完成 IT 管理員組態工作以設定必要的服務。
  2. 然後,讓每位終端使用者完成終端使用者組態工作,以建立與 Client VPN 端點的安全連線。

解決方法

**注意:**下列工作必須由 IT 管理員完成,除了最後一個區段必須由終端使用者完成以外。

建立和設定 AWS Managed Microsoft AD

  1. 建立 AWS Managed Microsoft AD 目錄

  2. 將 Windows EC2 執行個體加入 AWS Managed Microsoft AD

此執行個體用於在 AWS Managed Microsoft AD 中安裝服務,以及管理 AWS Managed Microsoft AD 中的使用者和群組。啟動執行個體時,請確定執行個體與 AWS Managed Microsoft AD 相關聯。此外,請務必新增 AWS 身分和存取管理 (IAM) 角色,以及附加「AmazonSSMManagedInstanceCore」和「AmazonSSMDirectoryServiceAcces」政策。

  1. 安裝 AWS Managed Microsoft AD 服務。然後,設定 AWS Managed Microsoft AD 使用者和群組。

首先,使用下列命令登入您在步驟 2 中建立的執行個體 (或使用「遠端桌面連線」進行連線)。將「 您的管理員密碼 」取代為您在步驟 1 中建立的管理員密碼。

User name: Admin@ad_DNS_name
Password: Your Admin password

然後,使用 PowerShell (在管理員模式下) 安裝以下服務:

install-windowsfeature rsat-ad-tools, rsat-ad-admincenter, gpmc, rsat-dns-server -confirm:$false

接下來,建立「 Microsoft AD 使用者 」和「 Microsoft AD 群組」。然後,將您的使用者新增至適當的 Microsoft AD 群組

**注意:**這些使用者與將連線至 Client VPN 服務的終端使用者相同。在 AWS Managed Microsoft AD 中建立使用者時,請務必同時提供名字和姓氏。否則,Okta 可能無法從 AWS Managed Microsoft AD 匯入使用者。

最後,使用下列命令來取得您的 Microsoft AD 群組的 SID。請務必將「 Your-AD-group-name 」取代為您的 Microsoft AD 群組名稱。

Get-ADGroup -Identity <Your-AD-group-name>

**注意:**當您設定 Client VPN 授權規則時,您需要 SID 來授權此群組的 Microsoft AD 使用者。

安裝與設定 Okta

  1. 使用您的公司電子郵件地址「 註冊 」Okta 帳戶。您將收到一封包含以下詳細資訊的授權電子郵件:
Okta organization name
Okta homepage URL
Username (Admin_email)
Temporary Password
  1. 使用您的 Okta 首頁 URL 登入,然後變更臨時密碼。

  2. 在 IT 管理員的行動裝置上安裝「 Okta Verify 」。依照應用程式內提示驗證您的身分。

  3. 啟動另一個 EC2 Windows 執行個體。此執行個體用於設定和管理 Okta Radius 應用程式。請確定執行個體與 AWS Managed Microsoft AD 相關聯、具有正確的 IAM 角色,而且可以存取網際網路。

  4. 使用「遠端桌面」連線至執行個體。然後,使用您在步驟 1 中取得的憑據登入 Okta (**https://

.okta.com**)使用您從步驟 1 中獲得的憑據。

  1. 選擇「 設定」,然後選擇 「 下載」。然後,在執行個體上下載「 Okta Radius 伺服器代理程式 」和「 AD 代理程式安裝程式 」。

若要安裝 Okta RADIUS 伺服器代理程式:

  • 請提供 RADIUS 共用密鑰RADIUS 連接埠。請務必注意這些值,因為您稍後會在 AWS Managed Microsoft AD 上使用這些值來開啟 MFA。
  • (選擇性) 設定 RADIUS 代理程式 proxy (如果適用的話)。
  • 若要向您的網域註冊此代理程式,請輸入您在 Okta 註冊的自訂網域。
sub-domain: company_name
(from https:// <company_name>.okta.com)
  • 驗證後,系統會提示您允許存取 Okta RADIUS 代理程式。選擇 「 允許 」 以完成安裝程序。

若要安裝 Okta AD 代理程式安裝程式:

  • 選擇您計劃使用此代理程式管理的網域。請務必使用與您的 Microsoft AD 網域相同的網域。
  • 選取屬於您 Microsoft AD 一部分的使用者 (或建立新使用者)。請確定此使用者是 Microsoft AD 中管理員群組的一部分。Okta Microsoft AD 代理程式會以此使用者身份執行。
  • 輸入憑證之後,系統會提示您進行驗證,並繼續安裝 Microsoft AD 代理程式。
  • (選擇性) 設定 RADIUS 代理程式 proxy (如果適用的話)。
  • 若要向您的網域註冊此代理程式,請輸入您在 Okta 註冊的自訂網域。
sub-domain: company_name
(from https:// <company_name>.okta.com)
  1. 在相同的 Windows EC2 執行個體中,選擇 「 服務」。然後,確認 Okta Radius 伺服器代理程式AD 代理程式安裝程式 都已安裝且處於 「 執行中 」狀態。

將 AD 使用者從您的 AWS Managed Microsoft AD 匯入 Okta

  1. 使用您的 Okta 首頁 URL 和憑證登入您的 Okta 帳戶:

  2. 在 Okta 的頂端導覽列中,選擇 「 目錄」,然後選擇 「 目錄整合」。

  3. 選取您的 AWS Managed Microsoft AD,然後啟用該目錄。啟用後,選擇 「 匯入」、「 立即匯入」,然後選取 「 完整匯入」。

  4. 選取您要從 AWS Managed Microsoft AD 匯入到 Okta 的 Microsoft AD 使用者和群組。

  5. 選擇 「 確認指派」,然後選取 「 確認後自動啟用使用者」。

  6. 在您的目錄中,於 「 人員」下確認已匯入使用者的狀態。您的使用者都應該處於「 作用中 」狀態。如果不是,請選擇每位個別使用者並以手動方式啟動。

安裝 Radius 應用程式,並將其指派給您的 Microsoft AD 使用者

  1. 在 Okta 首頁上,選擇 「 應用程式」,「**新增應用程式」。**搜尋 「Radius應用程式」,然後選擇「 新增」。

  2. 在 「登入選項下,確定未選取 「Okta 執行主要驗證 」。針對 「 UDP 連接埠」,請選擇您在 Okta Radius 伺服器代理程式安裝期間選取的連接埠。針對 「 秘密金鑰」,請選擇您在 Okta Radius 伺服器代理程式安裝期間選取的金鑰。

  3. 針對 「 應用程式使用者名稱格式」,選擇「 AD SAM 帳戶名稱」。

  4. 將 Radius 應用程式指派給您的 Microsoft AD 使用者和群組。選擇 「 指派」。然後,選擇 「 指派給人員 」或「 指派到群組 」(視您的使用案例而定)。選取所需 Microsoft AD 使用者或群組的所有名稱。選擇「 完成」。

為您的使用者開啟 MFA

  1. 在 Okta 首頁上,選擇 「 安全性」、「 多重要素」、「 因素類型」。

  2. 針對「 Okta 驗證」,請選擇 「 使用推送進行 Okta 驗證」。

  3. 選擇「 因子註冊」,然後選擇「 新增規則」。

  4. 若要將此 MFA 規則指派給 Radius 應用程式,請選擇「 應用程式」、「 Radius 應用程式」、「 登入原則」和「 新增規則」。

  5. 在 「 條件下,確認規則適用於 「 指派此應用程式的使用者」。針對「 動作,選擇「 提示輸入因子」。

修改安全群組組態

  1. 登入 「 AWS 管理主控台」。

  2. 選擇 「 安全群組」。

  3. 選取目錄控制器的安全群組。

  4. 編輯 Microsoft AD 安全群組的傳出規則,以允許 Radius 伺服器的目標 IP 地址 (私有 IP 地址) UDP 1812 (或 Radius 服務連接埠)。或者,如果您的使用案例允許,則可以允許所有流量。

在 AWS Microsoft Managed AD 上開啟 MFA

  1. 開啟 「 AWS 目錄服務主控台」。

  2. 選擇 「 目錄服務,然後選擇「 目錄服務」。

  3. 選取您的目錄。

  4. 在「 網路與安全性」下,選擇 「 多重要素驗證」。然後,選擇 「動作」、「啟用」。

  5. 指定下列項目:

  • RADIUS 伺服器 DNS 名稱或 IP 地址: 輸入 EC2 Radius 執行個體的私有 IP 地址。

  • 顯示標籤: 輸入標籤名稱。

  • 連接埠: 輸入您在 Okta Radius 伺服器代理程式安裝期間選取的連接埠。

  • **共用密碼:**選擇您在安裝 Okta Radius 伺服器代理程式時選取的金鑰。

  • 通訊協定: 選擇「 PAP」。

  • 伺服器逾時: 設定所需的值。

  • Max RADIUS 請求重試次數上限: 設定所需的值。

建立 Client VPN 端點

  1. 設定 AWS Microsoft Managed AD 和 MFA 之後,請使用已開啟 MFA 的 Microsoft AD 建立Client VPN 端點

  2. 下載新的用戶端組態檔案,並將其分發給終端使用者。
    **注意:**您可以從 AWS 管理主控台AWS Command Line Interface (AWS CLI)API 命令下載用戶端組態檔案。

  3. 確認用戶端組態檔案包含下列參數:

auth-user-pass
static-challenge "Enter MFA code " 1

**注意:**如果您使用的是雙重驗證(例如,相互驗證 + 廣告型身分驗證),也請務必將用戶端和新增到組態檔案中。

終端使用者組態工作

  1. 請確認您的行動裝置上安裝了 Okta Verify 行動應用程式

  2. 使用下列憑證登入 Okta 首頁:

OKTA homepage URL: https:// <company_name>.okta.com
Username: End user's AD name
Password: End user's AD password
  1. 依照提供的指示設定 MFA。

  2. 安裝 適用於桌面的 AWS Client VPN 工具。
    **注意:**您也可以使用任何其他標準 OpenVPN 型用戶端工具連線到 Client VPN 端點。

  3. 使用 IT 管理員提供的用戶端組態檔建立設定檔。

  4. 若要連線到 Client VPN 端點,請在出現提示時輸入您的 Microsoft AD 使用者憑證。然後,輸入您的 Okta Verify 應用程式產生的 MFA 代碼。


AWS 官方
AWS 官方已更新 2 年前