本記事は、ペンティオからOneLoginをご契約のお客様に向けてOneLogin RADIUSを利用したAmazon Workspaces 利用者認証の多要素認証対応に関する、設定手順ドキュメント等をご案内するガイドページです。
目的
この記事は,OneLogin RADIUSを利用したMFA認証(多要素認証)の下,エンドユーザーがAWS WorkSpacesでVDI(仮想デスクトップ)を実現するための環境構築に関する全体ガイドとなります.
前提条件
環境構築の手順を進めていく上で必要となる条件は以下の通りです.
- オンプレミスADとOneLoginがディレクトリ連携済み ※1
- Amazon VPCをサポートしているVPNルータ(記事ではヤマハ製のRTX830を使用しております)
- VPNルータの管理者権限
- 管理者権限を持つAWSユーザーアカウント
- 管理者権限を持つOneLoginユーザーアカウント
- WorkSpacesを利用するエンドユーザーのOneLoginアカウント
- MFA認証の認証要素をサポートするソフトウェア ※2
- WorkSpacesに参加するエンドユーザーのデバイス ※3
※1 事前にオンプレミスのActive DirectoryとOneLoginがディレクトリ連携され,WorkSpacesを利用するエンドユーザーが同期されている必要があります.連携がされていない場合は手順に進む前にセットアップして下さい.(参考記事:Active Directory - ADコネクタ(ADC)のインストール)
※2 本記事では認証要素としてOneLogin Protectを使用しております.そのため,iOSまたはAndroid向けに公開されている[OneLogin Protect]のアプリケーションの取得が必要です.詳細は④エンドユーザーのMFAセットアップ手順をご覧下さい.
また,認証要素はOneLogin Protectの他にもサードパーティー製の[Duo Security], [Authenticator]などもご利用できます.
※3 WorkSpacesによるVDIはWindows, iPad, MacOS X, Android Tablet, Chromebook, Fire Tablet, Linux, Web Access をサポートしております.本記事ではMacOS Xを使用しております.
設定手順
本環境構築は記事を①〜④までの4つに分割しております。以下、各記事へのリンク及び目次を記載しております。詳細な手順については各記事を参照してください.
①ヤマハ製VPNルータRTX830を用いた拠点ネットワークとAWS VPCのネットワークの統合手順
1.RTX830 ⇄ VPC 拠点間VPNのセットアップ
1-1.VPCの作成
1-2.カスタマーゲートウェイの作成
1-3.仮想プライベートゲートウェイの作成
1-4.VPN接続の準備
1-5.Amazon VPCとのVPN接続
2.OneLogin RADIUSサーバにアクセスするための設定
2-1.プライベートサブネットの作成
2-2a.拠点側グローバルIPアドレスを別のOneLogin RADIUS設定で使用していない場合のセットアップ
2-2a-1.プライベートサブネットのルートテーブル作成
2-2b.拠点側グローバルIPアドレスを既に別のOneLogin RADIUS設定で使用済みの場合のセットアップ
2-2b-1.パブリックサブネットの作成
2-2b-2.NATゲートウェイの作成
2-2b-3.インターネットゲートウェイの作成
2-2b-4.プライベートサブネットのルートテーブル作成
2-2b-5.パブリックサブネットのルートテーブル作成
2-3. 各サブネットへのルートテーブルの割り当て
2-3-1.プライベートサブネットへの関連付け(2-2a, 2-2b共通)
2-3-2.パブリックサブネットへの関連付け(2-2bのみ)
1.オンプレミスADとのAD Connector 連携
1-1.AD Connectorの設置
2.OneLogin RADIUS MFA連携
2-1.認証要素の有効化
2-2.ユーザーポリシーの作成と適用
2-3.RADIUS設定
2-4.MFAの有効化
1.ユーザーの追加
2.ユーザーの招待
1.OneLogin Protectを利用したMFA設定
2.エンドユーザーのWorkSpaces利用開始方法