宮澤です。

今回は、OneLoginとWorkSpacesを組み合わせて、2段階認証を実現する手順を紹介します。
紹介する手順は、事項の前提条件が構築、設定されている必要があります。

前提条件

• Active DirectoryとAWS Directry ServiceのAD Conectorが連携している
  • http://blog.serverworks.co.jp/tech/2016/12/15/workspaces_adconnector/
• AD ConnectorがNATゲートウェイなどを利用して外部に通信が可能
• Active DirectoryにOneLoginのADコネクタがインストールされて連携設定が完了している
  • http://blog.serverworks.co.jp/tech/2017/04/12/onelogin_adconnector/
• OneLogin上のユーザーにOneLogin Protectを使った2段階認証が設定されている
  • https://support.serverworks.co.jp/hc/ja/articles/360019291053

OneLoginの設定

OneLoginに管理者でログインして"SETTINGS > RADIUS"へ移動し"NEW CONFIGURATION"を押します。

"Secret"の項目に、AWSのAD Connectorと連携するためのキーを設定します。
次の"IP Address"にVPC上に設定された、NATゲートウェイのEIPを設定します。
最後に、Attributesの項目を以下のように設定します。

• User-Name → SAMAccountName
• User-Password → OTP

AD Connectorの設定

AWSアカウントにログインし、該当するAD Connectorを選択し、"多要素認証"タブを開きます。
その後、多要素認証の有効化にチェックを入れて、RADIUSサーバーIPアドレスに、以下のURLに記載されれているIPアドレスを記入します。
https://onelogin.service-now.com/support?id=kb_article&sys_id=cbd99143db109700d5505eea4b96195d
そして、共有シークレートコードには、先程、OneLoginで設定した"Secret"を入力します。
最後に、サーバータイム愛とと最大試行回数を適切に設定し”ディレクトリの更新”を押します。

設定が完了するとRADIUSステータスが"完了済み"になります。
失敗する場合は"Secret"の設定やネットワークの疎通を確認しましょう。

動作確認

接続確認をするために、WorkSpacesのクライアントアプリを起動します。
多要素認証が有効になっていると、以下のように"MFAコード"の入力項目が追加されます。

今回の設定が完了している場合、MFAコードにOneLogin ProtectのMFAアプリに表示されている数字6桁を入力することで、WorkSpacesへのログインが可能になります。