Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Voraussetzungen
Führen Sie die folgenden Schritte aus, bevor Sie die zertifikatbasierte Authentifizierung aktivieren.
-
Konfigurieren Sie Ihr WorkSpaces Pools-Verzeichnis mit SAML 2.0-Integration für die Verwendung der zertifikatsbasierten Authentifizierung. Weitere Informationen finden Sie unter SAML2.0 konfigurieren und ein WorkSpaces Pools-Verzeichnis erstellen.
Anmerkung
Aktivieren Sie die Smartcard-Anmeldung nicht in Ihrem Poolverzeichnis, wenn Sie die zertifikatsbasierte Authentifizierung verwenden möchten.
-
Konfigurieren Sie das
userPrincipalNameAttribut in Ihrer SAML Assertion. Weitere Informationen finden Sie unter Schritt 7: Erstellen Sie Assertionen für die Authentifizierungsantwort SAML. -
(Optional) Konfigurieren Sie das
ObjectSidAttribut in Ihrer SAML Assertion. Sie können dieses Attribut verwenden, um eine starke Zuordnung mit dem Active-Directory-Benutzer durchzuführen. Die zertifikatsbasierte Authentifizierung schlägt fehl, wenn dasObjectSidAttribut nicht mit der Active Directory-Sicherheitskennung (SID) für den im _Subject angegebenen Benutzer übereinstimmt. SAMLNameIDWeitere Informationen finden Sie unter Schritt 7: Erstellen Sie Assertionen für die Authentifizierungsantwort SAML. -
Fügen Sie die
sts:TagSessionBerechtigung zur IAM Rollenvertrauensrichtlinie hinzu, die Sie mit Ihrer SAML 2.0-Konfiguration verwenden. Weitere Informationen finden Sie unter Übergeben von Sitzungs-Tags in AWS STS im AWS Identity and Access Management -Benutzerhandbuch. Diese Berechtigung ist erforderlich, um die zertifikatsbasierte Authentifizierung zu verwenden. Weitere Informationen finden Sie unter Schritt 5: Erstellen Sie eine SAML IAM 2.0-Verbundrolle. -
Erstellen Sie eine private Zertifizierungsstelle (CA) mithilfe von AWS Private CA, falls Sie keine mit Ihrem Active Directory konfiguriert haben. AWS Eine private Zertifizierungsstelle ist erforderlich, um die zertifikatsbasierte Authentifizierung zu verwenden. Weitere Informationen finden Sie im AWS Private Certificate Authority Benutzerhandbuch unter Planung Ihrer AWS Private CA Bereitstellung. Die folgenden Einstellungen für AWS private Zertifizierungsstellen sind für viele Anwendungsfälle der zertifikatsbasierten Authentifizierung üblich:
-
Optionen für den CA-Typ
-
CA-Verwendungsmodus für kurzlebige Zertifikate – empfohlen, wenn Sie die CA nur zur Ausstellung von Endbenutzerzertifikaten für die zertifikatsbasierte Authentifizierung verwenden.
-
Einstufige Hierarchie mit einer Stammzertifizierungsstelle –Wählen Sie eine untergeordnete Zertifizierungsstelle aus, wenn Sie eine Integration in eine bestehende Zertifizierungsstellenhierarchie vornehmen möchten.
-
-
Wichtige Algorithmusoptionen — 2048 RSA
-
Optionen für den definierten Namen des Antragstellers – Verwenden Sie eine möglichst geeignete Kombination von Optionen, um diese Zertifizierungsstelle in Ihrem Active-Directory-Speicher für vertrauenswürdige Stammzertifizierungsstellen zu identifizieren.
-
Optionen für den Widerruf von Zertifikaten — Verteilung CRL
Anmerkung
Für die zertifikatsbasierte Authentifizierung ist ein CRL Online-Verteilungspunkt erforderlich, auf den sowohl von den WorkSpaces internen WorkSpaces Pools als auch vom Domänencontroller aus zugegriffen werden kann. Dies erfordert einen nicht authentifizierten Zugriff auf den Amazon S3 S3-Bucket, der für AWS private CRL CA-Einträge konfiguriert ist, oder eine CloudFront Distribution mit Zugriff auf den Amazon S3 S3-Bucket, falls dieser den öffentlichen Zugriff blockiert. Weitere Informationen zu diesen Optionen finden Sie unter Planung einer Zertifikatssperrliste (CRL) im AWS Private Certificate Authority Benutzerhandbuch.
-
-
Kennzeichnen Sie Ihre private Zertifizierungsstelle mit einem Schlüssel, mit dem
euc-private-cadie Zertifizierungsstelle für die Verwendung mit der zertifikatsbasierten WorkSpaces Pools-Authentifizierung bestimmt werden kann. Dieser Schlüssel benötigt keinen Wert. Weitere Informationen finden Sie im Benutzerhandbuch unter Tags für Ihre private Zertifizierungsstelle verwalten.AWS Private Certificate Authority -
Bei der zertifikatsbasierten Authentifizierung werden virtuelle Smartcards für die Anmeldung verwendet. Weitere Informationen finden Sie unter Richtlinien für die Aktivierung der Smartcard-Anmeldung bei Zertifizierungsstellen von Drittanbietern
. Dazu gehen Sie wie folgt vor: -
Konfigurieren Sie Domaincontroller mit einem Domaincontrollerzertifikat, um Smartcard-Benutzer zu authentifizieren. Wenn Sie in Ihrem Active Directory eine Unternehmenszertifizierungsstelle für Active-Directory-Zertifikatsdienste konfiguriert haben, werden Domaincontroller automatisch mit Zertifikaten registriert, um die Smartcard-Anmeldung zu ermöglichen. Wenn Sie nicht über Active-Directory-Zertifikatsdienste verfügen, finden Sie weitere Informationen unter Anforderungen für Domaincontrollerzertifikate von einer Drittanbieter-Zertifizierungsstelle
. Sie können ein Domänencontroller-Zertifikat mit AWS Private CA erstellen. Verwenden Sie in diesem Fall keine private Zertifizierungsstelle, die für kurzlebige Zertifikate konfiguriert ist. Anmerkung
Wenn Sie AWS Managed Microsoft AD verwenden, können Sie Certificate Services auf einer EC2 Amazon-Instance konfigurieren, die die Anforderungen für Domain-Controller-Zertifikate erfüllt. Weitere Informationen finden Sie unter Bereitstellen von Active Directory in einer neuen Amazon Virtual Private Cloud, z. B. Bereitstellungen von AWS Managed Microsoft AD, konfiguriert mit Active Directory-Zertifikatsdiensten.
Bei AWS Managed Microsoft AD und Active Directory Certificate Services müssen Sie auch Regeln für ausgehenden Datenverkehr von der VPC Sicherheitsgruppe des Controllers zur EC2 Amazon-Instance erstellen, auf der Certificate Services ausgeführt wird. Sie müssen der Sicherheitsgruppe Zugriff auf TCP Port 135 und die Ports 49152 bis 65535 gewähren, um die automatische Zertifikatsregistrierung zu aktivieren. Die EC2 Amazon-Instance muss auch eingehenden Zugriff auf dieselben Ports von Domain-Instances, einschließlich Domain-Controllern, zulassen. Weitere Informationen zum Auffinden der Sicherheitsgruppe für AWS Managed Microsoft AD finden Sie unter Konfigurieren Ihrer VPC Subnetze und Sicherheitsgruppen.
-
Exportieren Sie das AWS private CA-Zertifikat auf der privaten CA-Konsole SDK oder CLI mit der Taste oder. Weitere Informationen finden Sie unter Exportieren eines privaten Zertifikats.
-
Veröffentlichen Sie die private CA in Active Directory. Melden Sie sich an einem Domaincontroller oder einem Computer an, der Domainmitglied ist. Kopieren Sie das private CA-Zertifikat in einen beliebigen
<path>\<file>. certutil -dspublish -f<path>\<file> RootCAcertutil -dspublish -f<path>\<file> NTAuthCAStellen Sie sicher, dass die Befehle erfolgreich ausgeführt wurden. Entfernen Sie dann die private Zertifikatsdatei. Abhängig von Ihren Active Directory-Replikationseinstellungen kann es mehrere Minuten dauern, bis die CA auf Ihren Domänencontrollern und WorkSpaces in WorkSpaces Pools veröffentlicht wird.
Anmerkung
Active Directory muss die Zertifizierungsstelle automatisch an die vertrauenswürdigen Stammzertifizierungsstellen und NTAuth Unternehmensspeicher WorkSpaces in WorkSpaces Pools verteilen, wenn diese der Domäne beitreten.
Anmerkung
Active-Directory-Domain-Controller müssen sich im Kompatibilitätsmodus befinden, damit die strenge Durchsetzung von Zertifikaten die zertifikatsbasierte Authentifizierung unterstützt. Weitere Informationen finden Sie unter KB5014754 — Änderungen der zertifikatsbasierten Authentifizierung auf Windows-Domänencontrollern
in der Microsoft-Supportdokumentation. Wenn Sie AWS Managed Microsoft AD verwenden, finden Sie weitere Informationen unter Konfigurieren von Verzeichnissicherheitseinstellungen.
-
