Requisitos previos - AWS Directory Service
Requisitos del certificado de CARequisitos del certificado de usuarioProceso de comprobación de la revocación de certificadosOtras consideraciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos

Para habilitar la autenticación mutua de Transport Layer Security (mTLS) basada en certificados mediante tarjetas inteligentes para el WorkSpaces cliente de Amazon, necesita una infraestructura de tarjetas inteligentes operativa integrada en su sistema autogestionado. Active Directory Para obtener más información sobre cómo configurar la autenticación con tarjeta inteligente con Amazon WorkSpaces Active Directory, consulta la Guía de WorkSpaces administración de Amazon.

Antes de activar la autenticación con tarjeta inteligente WorkSpaces, revise las siguientes consideraciones:

Requisitos del certificado de CA

Conector AD requiere un certificado de entidad de certificación (CA), que representa al emisor de los certificados de usuario, para la autenticación con tarjeta inteligente. Conector AD hace coincidir los certificados de CA con los certificados presentados por los usuarios con sus tarjetas inteligentes. Tenga en cuenta los siguientes requisitos de los certificados de CA:

  • Antes de registrar un certificado de CA, deben quedar más de 90 días para que caduque.

  • Los certificados de CA deben estar en formato Privacy-Enhanced Mail ()PEM. Si exporta los certificados de CA desde Active Directory, elija X.509 () codificado en Base64 (. CER) como formato de archivo de exportación.

  • Para que la autenticación con tarjeta inteligente se haga correctamente, se deben cargar todos los certificados de CA raíz e intermediaria que van desde la CA emisora hasta los certificados de usuario.

  • Se puede almacenar un máximo de 100 certificados de entidad de certificación por directorio del Conector AD.

  • AD Connector no admite el algoritmo de PSS firma RSASSA - para los certificados de CA.

  • Compruebe que el servicio de propagación de certificados esté configurado como Automático y en ejecución.

Requisitos del certificado de usuario

Los siguientes son algunos de los requisitos del certificado de usuario:

  • El certificado de tarjeta inteligente del usuario tiene un nombre alternativo del sujeto (SAN) del usuario userPrincipalName (UPN).

  • El certificado de tarjeta inteligente del usuario tiene un uso de claves mejorado al iniciar sesión con la tarjeta inteligente (1.3.6.1.4.1.311.20.2.2). Autenticación del cliente (1.3.6.1.5.5.7.3.2).

  • La información del Protocolo de estado de los certificados en línea () para el certificado de tarjeta inteligente del usuario debe ser Método de acceso = Protocolo de estado del certificado en línea (1.3.6.1.5.5.7.48.1OCSP) en el Authority Information Access.

Para obtener más información sobre los requisitos de autenticación de AD Connector y tarjetas inteligentes, consulta los requisitos de la Guía de WorkSpaces administración de Amazon. Para obtener ayuda para solucionar WorkSpaces problemas de Amazon, como iniciar sesión WorkSpaces, restablecer la contraseña o conectarse a WorkSpaces, consulta Solución de problemas con los WorkSpaces clientes en la Guía WorkSpaces del usuario de Amazon.

Proceso de comprobación de la revocación de certificados

Para realizar la autenticación con tarjeta inteligente, AD Connector debe comprobar el estado de revocación de los certificados de usuario mediante el Protocolo de estado de certificados en línea (OCSP). Para realizar la comprobación de la revocación de certificados, el OCSP respondedor URL debe tener acceso a Internet. Si usa un DNS nombre, el OCSP respondedor URL debe usar un dominio de nivel superior que se encuentre en la base de datos de la zona raíz de la Autoridad de Números Asignados de Internet (Internet Assigned Numbers AuthorityIANA).

La comprobación de revocación de certificados del Conector AD utiliza el siguiente proceso:

  • AD Connector debe comprobar la extensión Authority Information Access (AIA) en el certificado de usuario de un OCSP respondedor yURL, a continuación, AD Connector la utiliza URL para comprobar la revocación.

  • Si AD Connector no puede resolver lo URL que se encuentra en la AIA extensión del certificado de usuario o no encuentra un OCSP respondedor URL en el certificado de usuario, AD Connector utiliza la opción que se OCSP URL proporciona durante el registro del certificado de CA raíz.

    Si la URL AIA extensión del certificado de usuario se resuelve pero no responde, se produce un error en la autenticación del usuario.

  • Si el OCSP respondedor URL proporcionado durante el registro del certificado de CA raíz no se puede resolver, no responde o no se proporcionó ningún OCSP respondedor, URL se producirá un error en la autenticación del usuario.

  • El OCSP servidor debe cumplir con la norma RFC6960. Además, el OCSP servidor debe admitir las solicitudes que utilicen el GET método para las solicitudes que tengan un total de 255 bytes o menos.

nota

AD Connector requiere una HTTPURLpara el OCSP respondedorURL.

Otras consideraciones

Antes de habilitar la autenticación con tarjeta inteligente en Conector AD, tenga en cuenta lo siguiente:

  • AD Connector utiliza la autenticación mutua de seguridad de la capa de transporte (mutuaTLS) basada en certificados para autenticar a los usuarios en Active Directory mediante certificados de tarjetas inteligentes basados en hardware o software. Por el momento, solo se admiten las tarjetas de acceso común (CAC) y las tarjetas de verificación de identidad personal (PIV). Es posible que funcionen otros tipos de tarjetas inteligentes basadas en hardware o software, pero no se ha probado su uso con el Protocolo de WorkSpaces transmisión.

  • La autenticación con tarjeta inteligente sustituye a la autenticación por nombre de usuario y contraseña por WorkSpaces.

    Si tiene otras AWS aplicaciones configuradas en el directorio de AD Connector con la autenticación con tarjeta inteligente habilitada, esas aplicaciones seguirán presentando la pantalla de introducción de nombre de usuario y contraseña.

  • Al habilitar la autenticación con tarjeta inteligente, se limita la duración de la sesión del usuario a la duración máxima de los tickets de servicio de Kerberos. Puede configurar esta opción mediante una política de grupo (de forma predeterminada, está configurada en 10 horas). Para obtener más información sobre esta configuración, consulte la documentación de Microsoft.

  • El tipo de cifrado Kerberos compatible con la cuenta de servicio del Conector AD debe coincidir con todos los tipos de cifrado Kerberos compatibles con el controlador de dominio.