Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Conditions préalables
<a name="certificate-based-authentication-prereq"></a>

Effectuez les étapes suivantes avant d’utiliser l’authentification par certificat.

1. Configurez une flotte jointe à un domaine et configurez SAML 2.0. Assurez-vous d’utiliser le format `username@domain.com` `userPrincipalName` pour la valeur SAML\$1Subject `NameID`. Pour plus d’informations, consultez [Etape 5 : Créer des assertions pour la réponse de l'authentification SAML](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions).
**Note**  
N’activez pas la **connexion par carte à puce pour Active Directory** dans votre pile si vous souhaitez utiliser l’authentification par certificat. Pour de plus amples informations, veuillez consulter [Cartes à puce](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards). 

1. Utilisez la version 10-13-2022 ou ultérieure de l'agent WorkSpaces Applications avec votre image. Pour de plus amples informations, veuillez consulter [Conservez l'image de vos WorkSpaces applications Amazon Up-to-Date](keep-image-updated.md).

1. Configurez l'attribut `ObjectSid` dans votre assertion SAML. Vous pouvez utiliser cet attribut pour effectuer un mappage fort avec l’utilisateur Active Directory. L’authentification par certificat échoue si l’attribut `ObjectSid` ne correspond pas à l’identifiant de sécurité (SID) Active Directory de l’utilisateur spécifié dans la valeur SAML\$1Subject `NameID`. Pour de plus amples informations, veuillez consulter [Etape 5 : Créer des assertions pour la réponse de l'authentification SAML](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions). `ObjectSid`Il est obligatoire pour l'authentification basée sur des certificats après le 10 septembre 2025. Pour plus d'informations, voir [KB5014754: Modifications de l'authentification basée sur les certificats sur les contrôleurs de domaine Windows](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16).

1. Ajoutez l’autorisation `sts:TagSession` à la politique de confiance des rôles IAM que vous utilisez avec votre configuration SAML 2.0. Pour plus d’informations, consultez [Transmission des balises de session dans AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html.html). Cette autorisation est requise pour utiliser l’authentification par certificat. Pour de plus amples informations, veuillez consulter [Étape 2 : créer un rôle IAM Fédération SAML 2.0](external-identity-providers-setting-up-saml.md#external-identity-providers-grantperms).

1. Créez une autorité de certification (CA) AWS privée à l'aide de l'autorité de certification privée, si aucune n'est configurée avec votre Active Directory. AWS Une autorité de certification privée est requise pour utiliser l'authentification basée sur des certificats. Pour de plus amples informations, consultez [Planification du déploiement de votre AWS CA privée](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html). Les paramètres AWS Private CA suivants sont courants dans de nombreux cas d'utilisation de l'authentification basée sur des certificats :
   + **Options de type de CA**
     + **Mode d’utilisation de l’autorité de certification de courte durée** : recommandé si l’autorité de certification émet uniquement des certificats d’utilisateur final pour l’authentification par certificat.
     + **Hiérarchie à un seul niveau avec une autorité de certification racine** : choisissez une autorité de certification subordonnée pour l’intégrer à une hiérarchie d’autorités de certification existante.
   + **Options de l’algorithme de clé** : RSA 2048
   + **Options de nom unique de l’objet** : utilisez les options les plus appropriées pour identifier cette autorité de certification dans votre magasin Active Directory Autorités de certification racine de confiance.
   + **Options de révocation des certificats :** distribution de CRL
**Note**  
L'authentification basée sur des certificats nécessite un point de distribution CRL en ligne accessible à la fois depuis l'instance du parc d' WorkSpaces applications et le contrôleur de domaine. Cela nécessite un accès non authentifié au compartiment Amazon S3 configuré pour les entrées AWS privées de la CA CRL, ou une CloudFront distribution avec accès au compartiment Amazon S3 s'il bloque l'accès public. Pour plus d’informations sur ces options, consultez [Planification d’une liste de révocation de certificats (CRL)](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html).

1. Marquez votre autorité de certification privée avec une clé habilitée `euc-private-ca` à désigner l'autorité de certification à utiliser avec l'authentification basée sur WorkSpaces les certificats des applications. Cette clé ne nécessite aucune valeur. Pour plus d’informations, consultez [Gestion des balises pour votre autorité de certification privée](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html). Pour plus d'informations sur les politiques AWS gérées utilisées avec WorkSpaces les applications pour accorder des autorisations aux ressources de votre ordinateur Compte AWS, consultez[AWS Politiques gérées requises pour accéder aux ressources WorkSpaces des applications](managed-policies-required-to-access-appstream-resources.md).

1. L’authentification par certificat utilise des cartes à puce virtuelles pour la connexion. Pour plus d’informations, consultez [Recommandations pour l’activation de l’ouverture de session par carte à puce auprès d’autorités de certification tierces](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities). Procédez comme suit :

   1. Configurez les contrôleurs de domaine avec un certificat de contrôleur de domaine pour authentifier les utilisateurs de carte à puce. Si une autorité de certification d’entreprise des services de certificats Active Directory est configurée dans votre Active Directory, elle inscrit automatiquement les contrôleurs de domaine avec des certificats qui permettent l’ouverture de session par carte à puce. Si vous ne disposez pas des services de certificats Active Directory, consultez la section [Exigences relatives aux certificats de contrôleur de domaine délivrés par une autorité de certification tierce](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller). AWS recommande aux autorités de certification Active Directory d'entreprise de gérer automatiquement l'inscription aux certificats de contrôleur de domaine.
**Note**  
Si vous utilisez AWS Managed Microsoft AD, vous pouvez configurer les services de certificats sur une instance Amazon EC2 qui répond aux exigences relatives aux certificats de contrôleur de domaine. Consultez la section [Déployer Active Directory sur un nouvel Amazon Virtual Private Cloud](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html) pour des exemples de déploiements de Microsoft AD AWS gérés configurés avec les services de certificats Active Directory.  
Avec AWS Managed Microsoft AD et Active Directory Certificate Services, vous devez également créer des règles sortantes depuis le groupe de sécurité VPC du contrôleur vers l'instance Amazon EC2 exécutant les services de certificats. Vous devez fournir au groupe de sécurité l’accès au port TCP 135 et aux ports 49152 à 65535 pour permettre l’inscription automatique aux certificats. L’instance Amazon EC2 doit également autoriser l’accès entrant sur ces mêmes ports depuis les instances de domaine, y compris les contrôleurs de domaine. Pour plus d'informations sur la localisation du groupe de sécurité pour AWS Managed Microsoft AD, voir [Configurer vos sous-réseaux et groupes de sécurité VPC](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc).

   1. Sur la console de l'autorité de certification AWS privée, ou à l'aide du SDK ou de la CLI, exportez le certificat de l'autorité de certification privée. Pour plus d’informations, consultez [Exportation d’un certificat privé](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html).

   1. Publiez l’autorité de certification privée dans Active Directory. Connectez-vous à un contrôleur de domaine ou à une machine jointe à un domaine. Copiez le certificat de l’autorité de certification privée dans n’importe quel `<path>\<file>` et exécutez les commandes suivantes en tant qu’administrateur de domaine. Vous pouvez également utiliser la stratégie de groupe et le Microsoft PKI Health Tool (PKIView) pour publier l'autorité de certification. Pour plus d’informations, consultez [Instructions de configuration](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions).

      ```
      certutil -dspublish -f <path>\<file> RootCA
      ```

      ```
      certutil -dspublish -f <path>\<file> NTAuthCA
      ```

      Assurez-vous que les commandes s’exécutent correctement, puis supprimez le fichier du certificat de l’autorité de certification privée. En fonction de vos paramètres de réplication Active Directory, la publication sur vos contrôleurs de domaine et instances de parc d' WorkSpaces applications par l'autorité de certification peut prendre plusieurs minutes.
**Note**  
Active Directory doit distribuer automatiquement l'autorité de certification aux autorités de certification racine fiables et aux NTAuth magasins d'entreprise pour les instances du parc d' WorkSpaces applications lorsqu'elles rejoignent le domaine.

Pour les systèmes d'exploitation Windows, la distribution de l'autorité de certification (CA) s'effectue automatiquement. Toutefois, pour Rocky Linux et Red Hat Enterprise Linux, vous devez télécharger le ou les certificats de l'autorité de certification racine depuis l'autorité de certification utilisée par votre Configuration du répertoire d' WorkSpaces applications. Si vos certificats d'autorité de certification racine KDC sont différents, vous devez également les télécharger. Avant d'utiliser l'authentification basée sur les certificats, il est nécessaire d'importer ces certificats sur une image ou un instantané.

Sur l'image, il doit y avoir un fichier nommé/`etc/sssd/pki/sssd_auth_ca_db.pem`. Il devrait se présenter comme suit :

```
-----BEGIN CERTIFICATE-----
Base64-encoded certificate chain from ACM Private CA 
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate body from ACM private CA
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded root CA KDC certificate chain
-----END CERTIFICATE-----
```

**Note**  
Lorsque vous copiez une image entre des régions ou des comptes, ou que vous associez à nouveau une image à un nouvel Active Directory, ce fichier doit être reconfiguré avec les certificats appropriés sur un générateur d'images et capturé à nouveau avant utilisation.

Vous trouverez ci-dessous des instructions pour télécharger les certificats de l'autorité de certification racine :

1. Dans le générateur d'images, créez un fichier nommé`/etc/sssd/pki/sssd_auth_ca_db.pem`.

1. Ouvrez la [console AWS Private CA](https://console.aws.amazon.com/acm-pca/).

1. Choisissez le certificat privé utilisé avec votre Configuration du répertoire d' WorkSpaces applications.

1. Choisissez l'onglet **Certificat CA**.

1. Copiez la chaîne de certificats et le corps du certificat dans `/etc/sssd/pki/sssd_auth_ca_db.pem` le générateur d'images.

Si les certificats de l'autorité de certification racine utilisés par le KDCs sont différents du certificat de l'autorité de certification racine utilisé par votre configuration du répertoire d' WorkSpaces applications, suivez ces exemples d'étapes pour les télécharger :

1. Connectez-vous à une instance Windows associée au même domaine que votre générateur d'images.

1. Ouvrir `certlm.msc`.

1. Dans le volet de gauche, choisissez **Trusted Root Certificate Authorities**, puis sélectionnez **Certificates**.

1. Pour chaque certificat CA racine, ouvrez le menu contextuel (clic droit).

1. Choisissez **Toutes les tâches**, sélectionnez **Exporter** pour ouvrir l'assistant d'exportation de certificats, puis cliquez sur **Suivant**.

1. **Choisissez **X.509 (.CER) codé en Base64**, puis Next.**

1. Choisissez **Parcourir**, entrez un nom de fichier, puis cliquez sur **Suivant**.

1. Choisissez **Finish** (Terminer).

1. Ouvrez le certificat exporté dans un éditeur de texte.

1. Copiez le contenu du fichier dans `/etc/sssd/pki/sssd_auth_ca_db.pem` le générateur d'images.