View a markdown version of this page

Activation de l'authentification multifactorielle pour AD Connector - AWS Directory Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation de l'authentification multifactorielle pour AD Connector

Vous pouvez activer l'authentification multifactorielle pour AD Connector lorsque Active Directory s'exécute sur site ou dans des instances Amazon EC2. Pour plus d'informations sur l'utilisation de l'authentification multifactorielle avec Directory Service, consultezConditions préalables requises pour AD Connector.

Note

Multi-factor l'authentification n'est pas disponible pour Simple AD. Toutefois, le MFA peut être activé pour votre annuaire AWS Microsoft AD géré. Pour de plus amples informations, veuillez consulter Activation de l'authentification multifactorielle pour AWS Microsoft AD géré.

Pour activer l'authentification multifactorielle pour AD Connector
  1. Dans le volet de navigation de la console AWS Directory Service, sélectionnez Directories (Annuaires).

  2. Choisissez le lien de l'ID correspondant à votre annuaire AD Connector.

  3. Sur la page Directory details (Détails de l'annuaire), sélectionnez l'onglet Networking & security (Mise en réseau et sécurité).

  4. Dans la section Multi-factor d'authentification, choisissez Actions, puis sélectionnez Activer.

  5. Dans la page Activer l'authentification multifactorielle (MFA), indiquez les valeurs suivantes :

    Afficher l'étiquette

    Indiquez un nom d'étiquette.

    Nom DNS ou adresses IP du serveur RADIUS

    Adresses IP des points de terminaison de votre serveur RADIUS ou adresse IP de l'équilibreur de charge de votre serveur RADIUS. Vous pouvez saisir plusieurs adresses IP en les séparant par une virgule (par exemple, 192.0.0.0,192.0.0.12 ou2001:db8::1,2001:db8::2).

    Important

    Les annuaires créés après le 7 octobre 2025 nécessitent que les serveurs RADIUS utilisés pour l'authentification multifactorielle soient routables via la configuration réseau de votre VPC. Si votre serveur RADIUS n'est pas accessible via les tables de routage, les groupes de sécurité et les ACL réseau de votre VPC, l'authentification multifactorielle échouera lors des vérifications d'authentification multifactorielle. Pour résoudre ce problème, assurez-vous que :

    • Routage réseau : vos tables de routage VPC permettent au trafic d'atteindre votre serveur RADIUS depuis les sous-réseaux sur lesquels vos instances d'annuaire AD Connector sont déployées.

    • ACL réseau : les ACL de votre sous-réseau autorisent le trafic bidirectionnel vers to/from votre serveur RADIUS.

    Note

    La MFA RADIUS s'applique uniquement pour authentifier l' AWS Management Console accès aux applications et services Amazon Enterprise tels qu'Amazon Quick ou WorkSpaces Amazon Chime ou à ceux-ci. Il ne fournit pas de MFA aux charges de travail Windows exécutées sur des instances EC2 ou pour la connexion à une instance EC2. Directory Service ne prend pas en charge Challenge/Response l'authentification RADIUS.

    Les utilisateurs doivent disposer de leur code MFA au moment d'entrer leur nom d'utilisateur et leur mot de passe. Sinon, vous pouvez utiliser une solution qui effectue une authentification MFA hors bande comme une vérification par SMS pour l'utilisateur. Dans les solutions MFA hors bande, vous devez veiller à définir la valeur de délai d'attente RADIUS de manière adéquate en fonction de votre solution. Lorsque vous utilisez une solution MFA hors bande, la page de connexion invite l'utilisateur à saisir un code MFA. Dans ce cas, la bonne pratique consiste à entrer son mot de passe dans la zone de mot de passe et dans la zone MFA.

    Port

    Port que votre serveur RADIUS utilise pour les communications. Votre réseau local doit autoriser le trafic entrant via le port du serveur RADIUS par défaut (UDP:1812) en provenance des Directory Service serveurs.

    Shared secret code

    Code secret partagé qui a été spécifié lorsque vos points de terminaison RADIUS ont été créés.

    Confirmer le code secret partagé

    Confirmez le code secret partagé pour vos points de terminaison RADIUS.

    Protocole

    Sélectionnez le protocole qui a été spécifié lorsque vos points de terminaison RADIUS ont été créés.

    Délai d'attente du serveur (en secondes)

    Durée, en secondes, d'attente de la réponse du serveur RADIUS. La valeur doit être comprise entre 1 et 50.

    Nombre maximal de tentatives RADIUS

    Nombre de tentatives de communication avec le serveur RADIUS. La valeur doit être comprise entre 0 et 10.

    Multi-factor l'authentification est disponible lorsque le statut RADIUS passe à Activé.

  6. Sélectionnez Activer.