Exigences relatives aux certificats de CA Exigences relatives aux certificats utilisateur Processus de vérification de la révocation des certificats Autres considérations

Prérequis

Pour activer l'authentification mutuelle de type Transport Layer Security (mTLS) basée sur des certificats à l'aide de cartes à puce pour le WorkSpaces client Amazon, vous avez besoin d'une infrastructure de cartes à puce opérationnelle intégrée à votre infrastructure autogérée. Active Directory Pour plus d'informations sur la configuration de l'authentification par carte à puce avec Amazon WorkSpaces Active Directory, consultez le guide d' WorkSpaces administration Amazon.

Avant d'activer l'authentification par carte à puce pour WorkSpaces, veuillez prendre en compte les points suivants :

Exigences relatives aux certificats de CA
Exigences relatives aux certificats utilisateur
Processus de vérification de la révocation des certificats
Autres considérations

Exigences relatives aux certificats de CA

AD Connector nécessite un certificat d'autorité de certification (CA), qui représente l'émetteur de vos certificats utilisateur, pour l'authentification par carte à puce. AD Connector associe les certificats CA aux certificats présentés par vos utilisateurs avec leurs cartes à puce. Notez les exigences suivantes relatives aux certificats d'autorité de certification :

Avant de pouvoir enregistrer un certificat CA, celui-ci doit expirer dans plus de 90 jours.
Les certificats CA doivent être au format Privacy-Enhanced Mail ()PEM. Si vous exportez des certificats CA depuis Active Directory, choisissez X.509 codé en Base64 (. CER) comme format de fichier d'exportation.
Pour que l'authentification par carte à puce réussisse, tous les certificats CA racine et intermédiaire qui relient une CA émettrice aux certificats utilisateur doivent être téléchargés.
Cent (100) certificats CA au maximum peuvent être stockés par l'annuaire AD Connector.
AD Connector ne prend pas en charge l'algorithme de PSS signature RSASSA - pour les certificats CA.
Vérifiez que le service de propagation des certificats est défini sur Automatique et qu'il est en cours d'exécution.

Exigences relatives aux certificats utilisateur

Voici certaines des exigences relatives au certificat utilisateur :

Le certificat de carte à puce de l'utilisateur possède un autre nom d'objet (SAN) identique à celui de l'utilisateur userPrincipalName (UPN).
Le certificat de carte à puce de l'utilisateur comporte une utilisation améliorée des clés en tant que connexion par carte à puce (1.3.6.1.4.1.311.20.2.2) Authentification du client (1.3.6.1.5.5.7.3.2).
Les informations du protocole d'état du certificat en ligne (OCSP) pour le certificat de carte à puce de l'utilisateur doivent être Access Method = On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) dans le champ Authority Information Access.

Pour plus d'informations sur les exigences relatives à l'AD Connector et à l'authentification par carte à puce, consultez la section Exigences du guide d' WorkSpaces administration Amazon. Pour obtenir de l'aide pour résoudre WorkSpaces les problèmes liés à Amazon, tels que la connexion WorkSpaces, la réinitialisation du mot de passe ou la connexion à Amazon WorkSpaces, consultez la section Résoudre les problèmes liés aux WorkSpaces clients dans le guide de WorkSpaces l'utilisateur Amazon.

Processus de vérification de la révocation des certificats

Pour effectuer l'authentification par carte à puce, AD Connector doit vérifier l'état de révocation des certificats utilisateur à l'aide du protocole d'état des certificats en ligne (OCSP). Pour vérifier la révocation des certificats, un OCSP répondeur URL doit être accessible par Internet. S'il utilise un DNS nom, le OCSP répondeur URL doit utiliser un domaine de premier niveau figurant dans la base de données de la zone racine de l'Internet Assigned Numbers Authority (IANA).

La vérification de la révocation des certificats AD Connector se déroule de la manière suivante :

AD Connector doit vérifier l'extension Authority Information Access (AIA) dans le certificat utilisateur d'un OCSP répondeurURL, puis AD Connector l'utilise URL pour vérifier la révocation.
Si AD Connector ne parvient pas à résoudre le problème URL trouvé dans l'AIAextension du certificat utilisateur ou à trouver un OCSP répondant URL dans le certificat utilisateur, AD Connector utilise l'option OCSP URL fournie lors de l'enregistrement du certificat de l'autorité de certification racine.

Si l'URLAIAextension du certificat utilisateur est résolue mais ne répond pas, l'authentification de l'utilisateur échoue.
Si le OCSP répondeur URL fourni lors de l'enregistrement du certificat de l'autorité de certification racine ne peut pas être résolu, s'il ne répond pas ou si aucun OCSP répondeur n'URLa été fourni, l'authentification de l'utilisateur échoue.
Le OCSP serveur doit être conforme à la norme RFC6960. En outre, le OCSP serveur doit prendre en charge les demandes utilisant la GET méthode pour les demandes dont la valeur totale est inférieure ou égale à 255 octets.

Note

AD Connector nécessite un HTTPURLpour le OCSP répondeur. URL

Autres considérations

Avant d'activer l'authentification par carte à puce dans AD Connector, tenez compte des points suivants :

AD Connector utilise l'authentification mutuelle basée sur des certificats (mutuelleTLS) pour authentifier les utilisateurs auprès d'Active Directory à l'aide de certificats de carte à puce matériels ou logiciels. Seules les cartes d'accès courantes (CAC) et les cartes de vérification d'identité personnelles (PIV) sont prises en charge pour le moment. D'autres types de cartes à puce matérielles ou logicielles peuvent fonctionner mais leur utilisation avec le protocole de WorkSpaces streaming n'a pas été testée.
L'authentification par carte à puce remplace l'authentification par nom d'utilisateur et mot de passe par WorkSpaces.

Si d'autres AWS applications sont configurées sur votre annuaire AD Connector avec l'authentification par carte à puce activée, ces applications présentent toujours l'écran de saisie du nom d'utilisateur et du mot de passe.
L'activation de l'authentification par carte à puce limite la durée de session utilisateur à la durée de vie maximale des tickets de service Kerberos. Vous pouvez configurer ce paramètre à l'aide d'une politique de groupe, qui est fixé par défaut à 10 heures. Pour plus d'informations sur ce paramètre, veuillez consulter la documentation Microsoft.
Le type de chiffrement Kerberos pris en charge par le compte de service AD Connector doit correspondre à chacun des types de chiffrement Kerberos pris en charge par le contrôleur de domaine.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Activer TLS l'authentification m dans AD Connector pour une utilisation avec des cartes à puce

Activer l'authentification par carte à puce