Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Single Sign-On für AWS Managed Microsoft AD aktivieren
AWS Directory Service bietet die Möglichkeit, Ihren Benutzern den Zugriff auf Amazon WorkDocs von einem Computer aus zu ermöglichen, der mit dem Verzeichnis verbunden ist, ohne ihre Anmeldeinformationen separat eingeben zu müssen.
Bevor Sie Single Sign-On aktivieren, müssen Sie zusätzliche Schritte durchführen, um die Webbrowser Ihrer Benutzer zur Unterstützung von Single Sign-On vorzubereiten. Benutzer müssen eventuell ihre Web-Browser-Einstellungen ändern, um Single Sign-On zu ermöglichen.
Anmerkung
Single Sign-On funktioniert nur mit einem Computer, der dem AWS Directory Service -Verzeichnis beigetreten ist. Es kann nicht auf Computern verwendet werden, die nicht an das Verzeichnis angebunden sind.
Wenn es sich bei Ihrem Verzeichnis um ein AD Connector-Verzeichnis handelt und das AD Connector-Servicekonto nicht über die Berechtigung zum Hinzufügen oder Entfernen des Service-Prinzipalnamensattributs verfügt, stehen Ihnen für die folgenden Schritte 5 und 6 zwei Optionen zur Verfügung:
Sie können fortfahren und werden zur Eingabe des Benutzernamens und des Passworts für einen Verzeichnisbenutzer aufgefordert, der über diese Berechtigung zum Hinzufügen oder Entfernen des Service-Prinzipalnamensattributs für das AD Connector-Servicekonto verfügt. Diese Anmeldeinformationen werden nur verwendet, um Single Sign-On zu aktivieren, und werden nicht vom Service gespeichert. Die Berechtigungen des AD Connector-Servicekontos werden nicht geändert.
Sie können Berechtigungen delegieren, um es dem AD Connector Connector-Dienstkonto zu ermöglichen, das Dienstprinzipalnamenattribut für sich selbst hinzuzufügen oder zu entfernen. Sie können die folgenden PowerShell Befehle von einem Computer aus ausführen, der mit einer Domäne verbunden ist, und verwenden dabei ein Konto, das über die Berechtigungen für das AD Connector Connector-Dienstkonto verfügt. Der folgende Befehl gibt dem AD Connector-Servicekonto die Möglichkeit, ein Service-Prinzipalnamenattribut nur für sich selbst hinzuzufügen und zu entfernen.
$AccountName = 'ConnectorAccountName' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module 'ActiveDirectory' $RootDse = Get-ADRootDSE [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID # Getting AD Connector service account Information. $AccountProperties = Get-ADUser -Identity $AccountName $AclPath = $AccountProperties.DistinguishedName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value # Getting ACL settings for AD Connector service account. $ObjectAcl = Get-ACL -Path "AD:\$AclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself $AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None' $ObjectAcl.AddAccessRule($AddAccessRule) Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
Um Single Sign-On bei Amazon zu aktivieren oder zu deaktivieren WorkDocs
-
Wählen Sie im Navigationsbereich der AWS Directory Service -Konsole
Verzeichnisse. -
Wählen Sie auf der Seite Directories (Verzeichnisse) Ihre Verzeichnis-ID aus.
-
Wählen Sie auf der Seite Directory details (Verzeichnisdetails) die Registerkarte Application Management (Anwendungsverwaltung) aus.
Wählen Sie im URL Abschnitt Anwendungszugriff die Option Aktivieren aus, um Single Sign-On für Amazon WorkDocs zu aktivieren.
Wenn Sie die Schaltfläche „Aktivieren“ nicht sehen, müssen Sie möglicherweise zuerst einen Zugriff erstellen, URL bevor diese Option angezeigt wird. Weitere Informationen zum Erstellen eines Zugriffs URL finden Sie unterZugriff URL für AWS Managed Microsoft AD erstellen.
-
Wählen Sie im Dialogfeld Single Sign-On für dieses Verzeichnis aktivieren die Option Aktivieren. Single Sign-On ist für das Verzeichnis aktiviert.
-
Wenn Sie Single Sign-On mit Amazon zu einem späteren Zeitpunkt deaktivieren möchten WorkDocs, wählen Sie Deaktivieren und dann im Dialogfeld Single Sign-On für dieses Verzeichnis deaktivieren erneut Deaktivieren aus.
Single Sign-On für IE und Chrome
Damit die Browser Microsoft Internet Explorer (IE) und Google Chrome Single Sign-On unterstützen, müssen auf dem Client-Computer die folgenden Aufgaben durchgeführt werden:
-
Fügen Sie Ihren Zugang hinzu URL (z. B. https://
<alias>
.awsapps.com) zur Liste der zugelassenen Websites für Single Sign-On. -
Aktivieren Sie Active Scripting (). JavaScript
-
Erlauben Sie die automatische Anmeldung.
-
Aktivieren Sie die integrierte Authentifizierung.
Sie oder Ihre Benutzer können diese Aufgaben manuell ausführen, oder Sie können diese Einstellungen mithilfe von Gruppenrichtlinieneinstellungen ändern.
Themen
Manuelles Update für Single Sign-On in Windows
Um Single Sign-On in einem Windows-Computer manuell zu aktivieren, führen Sie die folgenden Schritte auf dem Client-Computer aus. Einige dieser Einstellungen können bereits korrekt eingestellt sein.
Single Sign-On für Internet Explorer und Chrome unter Windows manuell aktivieren
-
Um das Dialogfeld Internet Properties zu öffnen, wählen Sie das Start-Menü, geben
Internet Options
in das Suchfeld ein, und wählen Internet Options. -
Fügen Sie Ihren Zugriff URL zur Liste der zugelassenen Websites für Single Sign-On hinzu, indem Sie die folgenden Schritte ausführen:
-
Wählen Sie im Dialogfeld Internet Properties die Registerkarte Security.
-
Wählen Sie Local intranet und Sites.
-
Wählen Sie im Dialogfeld Local intranet die Option Advanced.
-
Fügen Sie Ihren Zugang URL zur Liste der Websites hinzu und wählen Sie Schließen.
-
Wählen Sie im Dialogfeld Local intranet OK.
-
-
Zum Aktivieren der aktiven Skripts, führen Sie die folgenden Schritte aus:
-
Wählen Sie auf der Registerkarte Security im Dialogfeld Internet Properties die Option Custom level.
-
Scrollen Sie im Dialogfeld Security Settings - Local Intranet Zone nach unten bis Scripting und wählen Sie Enable unter Active scripting.
-
Wählen Sie im Dialogfeld Security Settings - Local Intranet Zone OK.
-
-
Zum Aktivieren der automatischen Anmeldung, führen Sie die folgenden Schritte aus:
-
Wählen Sie auf der Registerkarte Security im Dialogfeld Internet Properties die Option Custom level.
-
Scrollen Sie im Dialogfeld Security Settings - Local Intranet Zone nach unten bis User Authentication und wählen Sie Automatic logon only in Intranet zone unter Logon.
-
Wählen Sie im Dialogfeld Security Settings - Local Intranet Zone OK.
-
Wählen Sie im Dialogfeld Security Settings - Local Intranet Zone OK.
-
-
Zum Aktivieren der integrierten Authentifizierung, führen Sie die folgenden Schritte aus:
-
Wählen Sie im Dialogfeld Internet Properties die Registerkarte Advanced.
-
Scrollen Sie nach unten bis Security, und wählen Sie Enable Integrated Windows Authentication.
-
Wählen Sie im Dialogfeld Internet Properties OK.
-
-
Schließen Sie den Browser und öffnen Sie ihn erneut, damit diese Änderungen wirksam werden.
Manuelles Update für Single Sign-On in OS X
Um manuell Single Sign-On für Chrome in OS X zu aktivieren, führen Sie die folgenden Schritte aus. Sie benötigen Administratorrechte auf Ihrem Computer, um diese Schritte ausführen zu können.
Single Sign-On für Chrome auf OS X manuell aktivieren
-
Fügen Sie Ihren Zugriff URL zur AuthServerAllowlist
Richtlinie hinzu, indem Sie den folgenden Befehl ausführen: defaults write com.google.Chrome AuthServerAllowlist "https://
<alias>
.awsapps.com" -
Öffnen Sie System Preferences, wechseln Sie in den Bereich Profiles und löschen Sie das Profil
Chrome Kerberos Configuration
. -
Starten Sie Chrome neu und öffnen Sie chrome://policy in Chrome, um zu bestätigen, dass die neuen Einstellungen vorhanden sind.
Gruppenrichtlinieneinstellungen für Single Sign-On
Der Domain-Administrator kann Gruppenrichtlinieneinstellungen implementieren, um die Single-Sign-On-Änderungen auf Client-Computern durchzuführen, die mit der Domain verbunden sind.
Anmerkung
Wenn Sie die Chrome-Webbrowser auf den Computern in Ihrer Domain mit Chrome-Richtlinien verwalten, müssen Sie Ihren Zugriff URL zur AuthServerAllowlist
Single Sign-On für Internet Explorer und Chrome mit Gruppenrichtlinieneinstellungen aktivieren
-
Erstellen Sie ein neues Gruppenrichtlinienobjekt, indem Sie die folgenden Schritte ausführen:
-
Öffnen Sie das Tool für die Gruppenrichtlinienverwaltung, navigieren Sie zu Ihrer Domain und wählen Sie Group Policy Objects.
-
Wählen Sie im Hauptmenü Action und dann New.
-
Geben Sie im GPO Dialogfeld „Neu“ einen aussagekräftigen Namen für das Gruppenrichtlinienobjekt ein, z. B.
IAM Identity Center Policy
, und lassen Sie Source Starter auf (none) GPO eingestellt. Klicken Sie auf OK.
-
-
Fügen Sie den Zugriff URL zur Liste der zugelassenen Websites für Single Sign-On hinzu, indem Sie die folgenden Schritte ausführen:
-
Navigieren Sie im Gruppenrichtlinien-Verwaltungstool zu Ihrer Domäne, wählen Sie Gruppenrichtlinienobjekte aus, öffnen Sie das Kontextmenü (Rechtsklick) für Ihre IAM Identity Center-Richtlinie und wählen Sie Bearbeiten aus.
-
Navigieren Sie in der Richtlinien-Baumstruktur zu User Configuration > Preferences > Windows Settings.
-
Öffnen Sie in der Liste Windows Settings das Kontextmenü (Rechtsklick) für Registry und wählen Sie New registry item.
-
Geben Sie im Dialogfeld New Registry Properties die folgenden Einstellungen ein, und wählen Sie OK:
- Action (Aktion)
-
Update
- Hive
-
HKEY_CURRENT_USER
- Pfad
-
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\
<alias>
Der Wert für
<alias>
wird aus Ihrem Zugriff abgeleitetURL. Wenn Ihr Zugriff URL isthttps://examplecorp.awsapps.com
examplecorp
, ist der Alias und der Registrierungsschlüssel istSoftware\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp
. - Wertname
-
https
- Werttyp
-
REG_DWORD
- Wertdaten
-
1
-
-
Zum Aktivieren der aktiven Skripts, führen Sie die folgenden Schritte aus:
-
Navigieren Sie im Gruppenrichtlinien-Verwaltungstool zu Ihrer Domäne, wählen Sie Gruppenrichtlinienobjekte aus, öffnen Sie das Kontextmenü (Rechtsklick) für Ihre IAM Identity Center-Richtlinie und wählen Sie Bearbeiten aus.
-
Navigieren Sie in der Richtlinien-Baumstrukturzu Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone.
-
Öffnen Sie in der Liste Intranet Zone das Kontextmenü (Rechtsklick) für Allow active scripting und wählen Sie Edit.
-
Geben Sie im Dialogfeld Allow active scripting die folgenden Einstellungen ein, und wählen Sie OK:
-
Wählen Sie das Optionsfeld Enabled.
-
Setzen Sie unter Options die Option Allow active scripting auf Enable.
-
-
-
Zum Aktivieren der automatischen Anmeldung, führen Sie die folgenden Schritte aus:
-
Navigieren Sie im Gruppenrichtlinien-Verwaltungstool zu Ihrer Domäne, wählen Sie Gruppenrichtlinienobjekte aus, öffnen Sie das Kontextmenü (Rechtsklick) für Ihre SSO Richtlinie und wählen Sie Bearbeiten aus.
-
Navigieren Sie in der Richtlinien-Baumstrukturzu Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone.
-
Öffnen Sie in der Liste Intranet Zone das Kontextmenü (Rechtsklick) für Logon options und wählen Sie Edit.
-
Geben Sie im Dialogfeld Logon options die folgenden Einstellungen ein, und wählen Sie OK:
-
Wählen Sie das Optionsfeld Enabled.
-
Setzen Sie unter Options die Logon options auf Automatic logon only in Intranet zone.
-
-
-
Zum Aktivieren der integrierten Authentifizierung, führen Sie die folgenden Schritte aus:
-
Navigieren Sie im Gruppenrichtlinienverwaltungstool zu Ihrer Domäne, wählen Sie Gruppenrichtlinienobjekte aus, öffnen Sie das Kontextmenü (Rechtsklick) für Ihre IAM Identity Center-Richtlinie und wählen Sie Bearbeiten aus.
-
Navigieren Sie in der Richtlinien-Baumstruktur zu User Configuration > Preferences > Windows Settings.
-
Öffnen Sie in der Liste Windows Settings das Kontextmenü (Rechtsklick) für Registry und wählen Sie New registry item.
-
Geben Sie im Dialogfeld New Registry Properties die folgenden Einstellungen ein, und wählen Sie OK:
- Action (Aktion)
-
Update
- Hive
-
HKEY_CURRENT_USER
- Pfad
-
Software\Microsoft\Windows\CurrentVersion\Internet Settings
- Wertname
-
EnableNegotiate
- Werttyp
-
REG_DWORD
- Wertdaten
-
1
-
-
Schließen Sie das Fenster Group Policy Management Editor, falls es noch geöffnet ist.
-
Weisen Sie die neue Richtlinie Ihrer Domain zu, indem Sie die folgenden Schritte ausführen:
-
Öffnen Sie in der Gruppenrichtlinien-Verwaltungsstruktur das Kontextmenü (Rechtsklick) für Ihre Domäne und wählen Sie Mit vorhandenem verknüpfen ausGPO.
-
Wählen Sie in der Liste der Gruppenrichtlinienobjekte Ihre IAM Identity Center-Richtlinie aus und klicken Sie auf OK.
-
Diese Änderungen werden nach dem nächsten Gruppenrichtlinien-Update auf dem Client wirksam, oder wenn sich der Benutzer das nächste Mal anmeldet.
Single Sign-On für Firefox
Damit der Mozilla Firefox-Browser Single Sign-On unterstützt, fügen Sie Ihren Zugang hinzu URL (z. B. https://<alias>
.awsapps.com) zur Liste der zugelassenen Websites für Single Sign-On. Dies kann manuell oder automatisiert durch ein Skript erfolgen.
Manuelles Update für Single Sign-On
Um Ihren Zugriff manuell URL zur Liste der zugelassenen Websites in Firefox hinzuzufügen, führen Sie die folgenden Schritte auf dem Client-Computer aus.
Um Ihren Zugriff manuell URL zur Liste der zugelassenen Websites in Firefox hinzuzufügen
-
Öffnen Sie Firefox und öffnen Sie die Seite
about:config
. -
Öffnen Sie die
network.negotiate-auth.trusted-uris
Einstellung und fügen Sie Ihren Zugriff URL zur Liste der Websites hinzu. Verwenden Sie ein Komma (,), um mehrere Einträge zu trennen.
Automatisches Update für Single Sign-On
Als Domain-Administrator können Sie ein Skript verwenden, um Ihren Zugriff auf allen Computern in Ihrem Netzwerk URL zur network.negotiate-auth.trusted-uris
Firefox-Benutzereinstellung hinzuzufügen. Weitere Informationen finden Sie auf https://support.mozilla. org/en-US/questions/939037