Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Prérequis
Effectuez les étapes suivantes avant d’utiliser l’authentification par certificat.
-
Configurez votre répertoire WorkSpaces Pools avec l'intégration SAML 2.0 pour utiliser l'authentification basée sur des certificats. Pour de plus amples informations, veuillez consulter Configurer la SAML version 2.0 et créer un répertoire WorkSpaces Pools.
Note
N'activez pas la connexion par carte à puce dans le répertoire de votre pool si vous souhaitez utiliser l'authentification basée sur des certificats.
-
Configurez l'
userPrincipalNameattribut dans votre SAML assertion. Pour de plus amples informations, veuillez consulter Étape 7 : Création d'assertions pour la réponse SAML d'authentification. -
(Facultatif) Configurez l'
ObjectSidattribut dans votre SAML assertion. Vous pouvez utiliser cet attribut pour effectuer un mappage fort avec l’utilisateur Active Directory. L'authentification par certificat échoue si l'ObjectSidattribut ne correspond pas à l'identifiant de sécurité Active Directory (SID) de l'utilisateur spécifié dans le SAML _Subject.NameIDPour de plus amples informations, veuillez consulter Étape 7 : Création d'assertions pour la réponse SAML d'authentification. -
Ajoutez l'
sts:TagSessionautorisation à la politique de confiance des IAM rôles que vous utilisez avec votre configuration SAML 2.0. Pour plus d'informations, consultez Transmission des balises de session dans AWS STS, dans le Guide de l'utilisateur AWS Identity and Access Management . Cette autorisation est requise pour utiliser l’authentification par certificat. Pour de plus amples informations, veuillez consulter Étape 5 : Création d'un IAM rôle de fédération SAML 2.0. -
Créez une autorité de certification (CA) AWS privée à l'aide de l'autorité de certification privée, si aucune n'est configurée avec votre Active Directory. AWS Une autorité de certification privée est requise pour utiliser l'authentification basée sur des certificats. Pour plus d'informations, consultez la section Planification de votre AWS Private CA déploiement dans le guide de AWS Private Certificate Authority l'utilisateur. Les paramètres AWS Private CA suivants sont courants dans de nombreux cas d'utilisation de l'authentification basée sur des certificats :
-
Options de type de CA
-
Mode d’utilisation de l’autorité de certification de courte durée : recommandé si l’autorité de certification émet uniquement des certificats d’utilisateur final pour l’authentification par certificat.
-
Hiérarchie à un seul niveau avec une autorité de certification racine : choisissez une autorité de certification subordonnée pour l’intégrer à une hiérarchie d’autorités de certification existante.
-
-
Principales options de l'algorithme — RSA 2048
-
Options de nom unique de l’objet : utilisez les options les plus appropriées pour identifier cette autorité de certification dans votre magasin Active Directory Autorités de certification racine de confiance.
-
Options de révocation des certificats — distribution CRL
Note
L'authentification basée sur des certificats nécessite un point de CRL distribution en ligne accessible à la fois depuis les WorkSpaces pools WorkSpaces internes et le contrôleur de domaine. Cela nécessite un accès non authentifié au compartiment Amazon S3 configuré pour les CRL entrées de l'autorité de certification AWS privée, ou une CloudFront distribution avec accès au compartiment Amazon S3 s'il bloque l'accès public. Pour plus d'informations sur ces options, voir Planification d'une liste de révocation de certificats (CRL) dans le guide de l'AWS Private Certificate Authority utilisateur.
-
-
Marquez votre autorité de certification privée avec une clé habilitée
euc-private-caà désigner l'autorité de certification à utiliser avec l'authentification basée sur les certificats de WorkSpaces Pools. Cette clé ne nécessite aucune valeur. Pour plus d'informations, consultez la section Gestion des balises pour votre autorité de certification privée dans le guide de AWS Private Certificate Authority l'utilisateur. -
L’authentification par certificat utilise des cartes à puce virtuelles pour la connexion. Pour plus d’informations, consultez Recommandations pour l’activation de l’ouverture de session par carte à puce auprès d’autorités de certification tierces
. Procédez comme suit : -
Configurez les contrôleurs de domaine avec un certificat de contrôleur de domaine pour authentifier les utilisateurs de carte à puce. Si une autorité de certification d’entreprise des services de certificats Active Directory est configurée dans votre Active Directory, elle inscrit automatiquement les contrôleurs de domaine avec des certificats qui permettent l’ouverture de session par carte à puce. Si vous ne disposez pas des services de certificats Active Directory, consultez Configuration requise pour les certificats de contrôleur de domaine provenant d’une autorité de certification tierce
. Vous pouvez créer un certificat de contrôleur de domaine avec AWS Private CA. Dans ce cas, n’utilisez pas une autorité de certification privée configurée pour les certificats de courte durée. Note
Si vous utilisez AWS Managed Microsoft AD, vous pouvez configurer les services de certificats sur une EC2 instance Amazon qui répond aux exigences relatives aux certificats de contrôleur de domaine. Consultez la section Déployer Active Directory sur un nouvel Amazon Virtual Private Cloud pour des exemples de déploiements de Microsoft AD AWS gérés configurés avec les services de certificats Active Directory.
Avec AWS Managed Microsoft AD et Active Directory Certificate Services, vous devez également créer des règles sortantes depuis le groupe de VPC sécurité du contrôleur vers l'EC2instance Amazon exécutant les services de certificats. Vous devez fournir au groupe de sécurité l'accès au TCP port 135 et aux ports 49152 à 65535 pour permettre l'inscription automatique des certificats. L'EC2instance Amazon doit également autoriser l'accès entrant sur ces mêmes ports depuis les instances de domaine, y compris les contrôleurs de domaine. Pour plus d'informations sur la localisation du groupe de sécurité pour AWS Managed Microsoft AD, voir Configurer vos VPC sous-réseaux et groupes de sécurité.
-
Sur la console de l'autorité de certification AWS privée, ou avec le SDK ouCLI, exportez le certificat de l'autorité de certification privée. Pour plus d’informations, consultez Exportation d’un certificat privé.
-
Publiez l’autorité de certification privée dans Active Directory. Connectez-vous à un contrôleur de domaine ou à une machine jointe à un domaine. Copiez le certificat de l’autorité de certification privée dans n’importe quel
<path>\<file>. certutil -dspublish -f<path>\<file> RootCAcertutil -dspublish -f<path>\<file> NTAuthCAAssurez-vous que les commandes s’exécutent correctement, puis supprimez le fichier du certificat de l’autorité de certification privée. En fonction de vos paramètres de réplication Active Directory, la publication sur vos contrôleurs de domaine et WorkSpaces dans les WorkSpaces pools par l'autorité de certification peut prendre plusieurs minutes.
Note
Active Directory doit distribuer l'autorité de certification aux autorités de certification racine fiables et aux NTAuth magasins Enterprise automatiquement pour WorkSpaces les WorkSpaces Pools lorsqu'ils rejoignent le domaine.
Note
Les contrôleurs de domaine Active Directory doivent être en mode Compatibilité pour que l'application rigoureuse des certificats prenne en charge l'authentification par certificat. Pour plus d'informations, consultez la section KB5014754—Modifications de l'authentification basée sur les certificats sur les contrôleurs de domaine Windows dans la
documentation Microsoft Support. Si vous utilisez AWS Managed Microsoft AD, voir Configurer les paramètres de sécurité des annuaires pour plus d'informations.
-
