Amazon WorkSpacesとAzure MFA Serverの連携

2018/02/09

初めまして。情報システム部の上堂薗です。

各種DaaSの中で、Amazon WorkSpacesは標準の機能として多要素認証を構成することが出来ます。Amazon WorkSpacesで多要素認証を構成するには別途RADIUSサーバーが必要となります。

各種IDaaSではオンプレミスのRADIUSサーバー・RADIUSプロキシーサーバーを用意しているので、表題にあるとおりAzure MFA Serverと連携させてみようと試みるわけですが、色々と苦労した内容について説明します。

構成手順

Azure MFA Serverが構成済みで、VPCがオンプレミスADとAzure MFA Serverへ接続出来る環境になっていることを前提とします。

  1. AWSコンソール上で、WorkSpaces管理画面でAD Connectorをセットアップします。
  2. 一通りWorkSpaceの作成、接続を試して疎通出来るかを確認します。
  3. 上記構成したAD Connectorのディレクトリ設定で、ディレクトリIPアドレスを控えます。
  4. Azure MFA Server上で、上記ディレクトリIPからRADIUS認証を受け付けるためのRADIUSクライアントを登録します。
    RADIUSクライアント(ディレクトリIP)毎に共有鍵は同じ値で設定します。

  5. WorkSpace管理画面からMFA認証の箇所でAzure MFA ServerのIPアドレス・共有鍵・タイムアウト等を設定します。
  6. MFAの構成を実施してステータスがCompletedになると、WorkSpaceクライアントでUIが変更されて多要素認証を必要とするように構成が完了します。

構成後のWorkSpacesクライアントには標準のユーザー名・パスワード以外にMFAコードの入力欄が追加されます。
このように表示されるので、MFAコードの入力欄にはMicrosoft Authenticatorに表示されるコードを入力するものだと思います。

ですが、認証が成功することはありません多要素認証が要求されることもありません

色々とトラブルシュートした結果、パスワードとMFAコードに同じパスワード(ドメインアカウントのパスワード)を入力すると認証が通り、多要素認証を要求される正しい挙動となりました。

また、多要素認証として利用できる認証方式としては

  • SMS (Two wayのみ、One wayでは不可)
  • 電話
  • モバイルアプリ

の3方式で認証出来ることを確認しました。

これを執筆した時点(2018/02/08)では本件改善されていませんが、今後改善されることに期待したいです。

補足

あくまで、Azure MFA Serverで多要素認証を構成した場合に限りこのような動きになっています。別のRADIUSサーバーで構成した際では、MFAコードはその名の通りのコードを入力することで多要素認証が動作します。