Okta MFAでWorkSpacesを作成してみた。

2022.08.24

概要

Amazon WorkSpaces はマネージド クラウド デスクトップ サービスです。Okta Multi-Factor Authentication は人気のある MFA ソリューションです。この記事で、Amazon WorkSpaces と Okta MFA を統合してみました。

作成するリソース:

  • EC2 Windows インスタンス :
    • ADInstance : Windows Active Directoryをインストールします。
    • OktaInstance :
      • Windows Active Directory に参加します。
      • Okta RADIUS Agentをインストールします。
      • Okta AD Agent Managerをインストールします。
  • Directory Service : AD Connectorを作成します。
  • AWS WorkSpaces

 

やってみた

前提条件

  • EC2 Windows インスタンスを作成して、インスタンスに Windows Active Directory をインストールしておきます。(ADInstance)
  • EC2 インスタンスにインストールされた Windows Active Directory 用の AD Connectorを作成しておきます。
  • AD Connector を使用して WorkSpacesを作成しておきます。
  • Okta サイトでアカウントを作成しておきます。
  • EC2 Windows インスタンスをもう 1 つ作成して、Windows Active Directory に参加しておきます。(OktaInstance)
    • Reference:Windows Active Directory に インスタンスを参加する方法
    • OktaInstanceのセキュリティ グループに次のインバウンドルールを追加しておきます。
      • TCP : port 1812 : source - AD Connectorのセキュリティ グループ ID 。
      • UDP : port 1812 : source - AD Connectorのセキュリティ グループ ID 。
    • インスタンスに接続して、Windows ファイアウォールで同様のインバウンドルールを追加しておきます。
      • [Windows Defender Firewall with Advanced Security]を開き、[Inbound Rules]を選択して、[New Rules] をクリックして、TCP および UDP-1812 のルールを作成しておきます。

 

 

OktaInstanceOkta RADIUS Server Agentをインストールする。

  • OktaInstance に接続して、ブラウザから Okta アカウントにログインしておきます。
  • Okta 管理コンソールに移動して、[Settings] を選択して、[Downloads] をクリックしておきます。
  • [Okta RADIUS Server Agent(EXE)]を検索して、[Download Latest]をクリックしておきます。

 

 

  • exeファイルをクリックしてインストールを開始します。[Next]をクリックしておきます。

 

  • [Installation options] ページまで [Next] をクリックし、[Install] をクリックしておきます。

 

  • インストール後、プロキシサーバーを設定できる[Okta RADIUS Agent Proxy Configuration]ウィンドウが表示されます。デフォルトのままにして、[Next] をクリックしておきます。

 

  • Okta のOrganization URL を入力しておきます。

 

  • Okta アカウントにサインインしておきます。

 

  • サインイン後、[Allow Access] をクリックしておきます。

 

  • これでOkta RADIUS Agentのインストールは完了です。

 

OktaInstanceOkta AD Agentをインストールする。

  • Okta 管理コンソールのDirectoryで[Directory Integrations] を選択して、Add Directoryをクリックして、[Add Active Directory]を選択しておきます。

 

 

  • [Set Up Active Directory]をクリックしておきます。

 

  • [Download Agent]をクリックしてエージェントをダウンロードしておきます。Okta AD Agentのインストール中に、このページの詳細を使用します。

 

  • exeファイルをクリックしてインストールを開始します。[Next]をクリックしておきます。

 

  • [Installation options] ページまで [Next] をクリックし、[Install] をクリックしておきます。
  • インストール後、AD ドメインを選択して [Next] をクリックしておきます。

 

  • [Okta AD Agent Windows Service Account]をデフォルトのままにして、[Next] をクリックしておきます。

 

  • サービス アカウントのパスワードを入力しておきます。

 

  • [Okta AD Agent Proxy Configuration]をデフォルトのままにして、[Next] をクリックしておきます。
  • Okta のOrganization URL を入力して、Okta アカウントにサインインしておきます。

 

 

  • サインイン後、[Allow Access] をクリックしておきます。

 

  • これでOkta AD Agentのインストールは完了です。

 

  • ブラウザのOkta ページに戻ります。エージェントが起動していることを確認できます。

 

  • [Set up Active Directory]で、4番目のステップまで[Next]をクリックして、[Done]をクリックしておきます。これにより、Active Directory が Okta に追加されます。

 

Okta で Amazon WorkSpaces アプリを構成する

  • Okta 管理コンソールのApplicationsで [Applications]を選択して、[Browse App Catalog]をクリックしておきます。

 

  • [WorkSpaces]を検索して、Amazon WorkSpaces を選択しておきます。

 

  • [Add Integration]をクリックしておきます。

 

  • 必要に応じて[Application label]を変更して、[Next] をクリックしておきます。

 

  • UDP PortとSecret Keyを入力して、[Done]をクリックしておきます。これにより、アプリの統合が作成されます。

 

AD ConnectorでMFAを有効にする

  • WorkSpaces コンソールで、ディレクトリを選択して、[Actions]で [Update Details]を選択しておきます。
  • [Multi-Factor Authentication]で、次の設定でMFAを有効にしておきます。
    • RADIUS server IP : OktaInstance のプライベート IP アドレスを入力します。
    • Port : 1812
    • Shared secret code : アプリの統合中に構成したSecret Keyを入力します。
    • Protocol : PAP
    • Server timeout : 30
    • Max retries : 3

 

 

Okta MFA の構成

  • Okta 管理コンソールで、[Security] -> [Authenticators] -> [Enrollment] -> [Add a policy]をクリックしておきます。
  • 次の設定でポリシーを作成しておきます。
    • Policy name : ポリシー名を入力します。
    • Assign to groups : Everyone
    • Okta Verify : Required
    • Password : Required

 

  • ルール名を入力して、ルールを作成しておきます。

 

ユーザーを Okta にインポートする

  • Okta 管理コンソールで、[Directory] -> [Directory Integrations] -> 前の手順で追加した Active Directory をクリックしておきます。
  • [Import] タブで [Import Now] をクリックしておきます。インポート タイプに[Full import]を選択しておきます。

 

 

  • Active Directory ユーザーが読み込まれました。[OK]をクリックしておきます。

 

  • ユーザーを選択して、[Confirm Assignments]をクリックしておきます。これにより、AD ユーザーが Okta にインポートされます。

 

  • ユーザーをインポートした後、WorkSpaces アプリケーションにユーザーをアサインしておきます。
  • Okta 管理コンソールのApplicationsで [Applications]を選択して、WorkSpacesをクリックして、[Assign to People]を選択しておきます。
  • インポート ユーザーの [Assign] をクリックしておきます。

 

 

  • ユーザー名を確認して保存します。

 

ユーザーをアクティベートする

  • Okta 管理コンソールのDirectoryで [People]を選択して、ユーザーの[Activate]をクリックしておきます。

 

  • ユーザーはアクティベーション メールを受け取ります。メールを開いて[Activate Okta Account]をクリックしておきます。
  • 手順に従い、ユーザーをアクティベートしておきます。

 

確認する

  • WorkSpaces を開き、AD ユーザー名、パスワード、および MFA を使用してログインしておきます。

 

  • これで WorkSpaces に接続されます。

 

まとめ

Okta MFAでWorkSpacesを作成してみました。Okta MFA を Amazon WorkSpaces と統合すると、セキュリティが強化されます。

Reference : Integrating Okta MFA with Amazon WorkSpaces