我正在运行 Amazon Workspaces,并希望使用基于 RADIUS 的 MFA 进行登录。MFA 将由 Okta 提供。
我有一个 AWS Managed AD,其中 AD Connector 与之连接。(我认为这是多余的,但试图复制本地环境将使用的内容——AD Connector 与连接到实际 AD)。
我已经安装了 Okta RADIUS 代理,并且它似乎可以通过 Radius 应用程序正确地与 Okta 通信,因为我在亚马逊端有它的绿色状态。
我已经在与 bob 位于同一域的机器上安装了 Okta AD 代理,并且能够将用户导入 Okta 人员。
我唯一没有设置的是委托身份验证,但我已使用相同的密码以 bob 的身份登录 AD 和 Okta,所以我知道它们使用的是相同的密码。不确定我是否仍然需要委托身份验证才能正常工作?
当我尝试通过 Workspaces 客户端登录时,我获得了用户、密码、MFA 字段(使用 Okta Verify 进行 MFA)。但是当我填写所有内容时,访问被拒绝。
如果我在工作区中的目录配置上禁用 radius,则即使不启用 MFA,它也可以正常工作。
在我的 Windows 事件日志中,如果我通过 Okta 仪表板以用户身份登录,我会看到:
但是,当我通过目录配置上的 Okta Radius 服务器启用 MFA 时,我无法登录,而是在事件日志中收到此错误:
我假设魔鬼就在失败登录的帐户名中,其中失败的是完全合格的主体名称,而在成功登录时,它只是前缀。
我尝试过混合搭配 Okta Radius 应用程序和 Okta Amazon Workspaces 应用程序用户名格式,但无法让它只发送前缀名称。我甚至不确定这是否是问题所在,但似乎是确凿的证据。
如果有人能做到这一点,如果他们能分享他们的 Okta App 配置或其他建议,将不胜感激。