宮澤です。
今回は、OneLoginとWorkSpacesを組み合わせて、2段階認証を実現する手順を紹介します。
紹介する手順は、事項の前提条件が構築、設定されている必要があります。
前提条件
- Active DirectoryとAWS Directry ServiceのAD Conectorが連携している
- AD ConnectorがNATゲートウェイなどを利用して外部に通信が可能
- Active DirectoryにOneLoginのADコネクタがインストールされて連携設定が完了している
- OneLogin上のユーザーにOneLogin Protectを使った2段階認証が設定されている
OneLoginの設定
OneLoginに管理者でログインして”SETTINGS > RADIUS”へ移動し”NEW CONFIGURATION”を押します。
“Secret”の項目に、AWSのAD Connectorと連携するためのキーを設定します。
次の”IP Address”にVPC上に設定された、NATゲートウェイのEIPを設定します。
最後に、Attributesの項目を以下のように設定します。
- User-Name → SAMAccountName
- User-Password → OTP
AD Connectorの設定
AWSアカウントにログインし、該当するAD Connectorを選択し、”多要素認証”タブを開きます。
その後、多要素認証の有効化にチェックを入れて、RADIUSサーバーIPアドレスに、以下のURLに記載されれているIPアドレスを記入します。
https://onelogin.service-now.com/support?id=kb_article&sys_id=cbd99143db109700d5505eea4b96195d
そして、共有シークレートコードには、先程、OneLoginで設定した”Secret”を入力します。
最後に、サーバータイム愛とと最大試行回数を適切に設定し”ディレクトリの更新”を押します。
設定が完了するとRADIUSステータスが”完了済み”になります。
失敗する場合は”Secret”の設定やネットワークの疎通を確認しましょう。
動作確認
接続確認をするために、WorkSpacesのクライアントアプリを起動します。
多要素認証が有効になっていると、以下のように”MFAコード”の入力項目が追加されます。
今回の設定が完了している場合、MFAコードにOneLogin ProtectのMFAアプリに表示されている数字6桁を入力することで、WorkSpacesへのログインが可能になります。
