Authentification basée sur des certificats et authentification personnelle WorkSpaces - Amazon WorkSpaces
PrérequisActivation de l'authentification par certificatGestion de l'authentification par certificatActiver le partage entre comptes PCA

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification basée sur des certificats et authentification personnelle WorkSpaces

Vous pouvez utiliser l'authentification basée sur des certificats WorkSpaces pour supprimer l'invite utilisateur à saisir le mot de passe du domaine Active Directory. En utilisant l’authentification par certificat avec votre domaine Active Directory, vous pouvez :

  • Fiez-vous à votre fournisseur d'identité SAML 2.0 pour authentifier l'utilisateur et fournir des SAML assertions correspondant à l'utilisateur dans Active Directory.

  • offrir une expérience d'authentification unique avec moins d'invites utilisateur ;

  • Activez les flux d'authentification sans mot de passe à l'aide de votre fournisseur d'identité SAML 2.0.

L'authentification par certificat utilise les AWS Private CA ressources de votre AWS compte. AWS Private CA permet de créer des hiérarchies d'autorités de certification (CA) privées, y compris racine et subordonnéeCAs. Vous pouvez ainsi créer votre propre hiérarchie d'autorités de certification et émettre des certificats à l'aide de celle-ci pour authentifier les utilisateurs internes. AWS Private CA Pour plus d’informations, consultez le AWS Private Certificate Authority Guide de l’utilisateur .

Lorsque vous utilisez AWS Private CA l'authentification basée sur des certificats, WorkSpaces vous demanderez automatiquement des certificats pour vos utilisateurs lors de l'authentification de session. Les utilisateurs sont authentifiés auprès d'Active Directory à l'aide d'une carte à puce virtuelle allouée avec les certificats.

L'authentification par certificat est prise en charge par Windows WorkSpaces sur DCV les offres groupées utilisant les dernières applications WorkSpaces clientes Web Access, Windows et macOS. Ouvrez les téléchargements d'Amazon WorkSpaces Client pour trouver les dernières versions :

  • Client Windows version 5.5.0 ou ultérieure

  • Client macOS version 5.6.0 ou ultérieure

Pour plus d'informations sur la configuration de l'authentification basée sur des certificats avec Amazon WorkSpaces, consultez Comment configurer l'authentification basée sur des certificats pour Amazon WorkSpaces et Considérations relatives à la conception dans des environnements hautement réglementés pour l'authentification basée sur des certificats avec 2.0 et. AppStream WorkSpaces

Prérequis

Effectuez les étapes suivantes avant d'activer l'authentification par certificat.

  1. Configurez votre WorkSpaces annuaire avec l'intégration SAML 2.0 pour utiliser l'authentification basée sur des certificats. Pour plus d'informations, consultez la section WorkSpacesIntégration à la SAML version 2.0.

  2. Configurez l'userPrincipalNameattribut dans votre SAML assertion. Pour plus d'informations, voir Créer des assertions pour la réponse SAML d'authentification.

  3. Configurez l'ObjectSidattribut dans votre SAML assertion. Cette étape facultative permet de consolider le mappage vers l'utilisateur Active Directory. L'authentification par certificat échouera si l'attribut ne correspond pas à l'identifiant de sécurité Active Directory (SID) de l'utilisateur spécifié dans le SAML _Subject. NameID Pour plus d'informations, voir Créer des assertions pour la réponse SAML d'authentification.

  4. Ajoutez l'TagSessionautorisation sts : à votre politique de confiance IAM dans les rôles utilisée avec votre configuration SAML 2.0 si elle n'est pas déjà présente. Cette autorisation est requise pour utiliser l’authentification par certificat. Pour plus d'informations, voir Créer un IAM rôle de fédération SAML 2.0.

  5. Créez une autorité de certification (CA) privée AWS Private CA si vous n'en avez pas configuré une avec votre Active Directory. AWS Private CA est obligatoire pour utiliser l'authentification basée sur des certificats. Pour plus d'informations, consultez la section Planification de votre AWS Private CA déploiement et suivez les instructions pour configurer une autorité de certification pour l'authentification basée sur des certificats. Les AWS Private CA paramètres suivants sont les plus courants pour les cas d'utilisation de l'authentification basée sur des certificats :

    1. Options de type de CA :

      1. Mode d'utilisation de la CA pour certificat de courte durée (recommandé si vous utilisez la CA uniquement afin d'émettre des certificats utilisateur final pour l'authentification par certificat)

      2. Hiérarchie de niveau unique avec CA racine (vous pouvez aussi choisir une CA subordonnée si vous souhaitez intégrer une hiérarchie de CA existante)

    2. Principales options de l'algorithme : RSA 2048

    3. Options de nom unique du sujet : utilisez n'importe quelle combinaison d'options pour identifier la CA dans votre magasin d'autorités de certification racines de confiance Active Directory.

    4. Options de révocation des certificats : distribution CRL

      Note

      L'authentification basée sur des certificats nécessite un point de CRL distribution en ligne accessible depuis les ordinateurs de bureau et le contrôleur de domaine. Cela nécessite un accès non authentifié au compartiment Amazon S3 configuré pour les CRL entrées de l'autorité de certification privée, ou une CloudFront distribution qui aura accès au compartiment S3 si celui-ci bloque l'accès public. Pour plus d'informations sur ces options, voir Planification d'une liste de révocation de certificats (CRL).

  6. Marquez votre autorité de certification privée avec une clé habilitée euc-private-ca à désigner l'autorité de certification à utiliser avec l'authentification EUC basée sur des certificats. La clé ne nécessite pas de valeur. Pour plus d'informations, consultez Gestion des balises pour votre CA privée.

  7. L'authentification par certificat utilise des cartes à puce virtuelles pour l'ouverture des sessions. En suivant les Recommandations pour l'activation de l'ouverture de session de carte à puce auprès d'autorités de certification tierces dans Active Directory, effectuez les opérations suivantes :

    • Configurez les contrôleurs de domaine avec un certificat de contrôleur de domaine pour authentifier les utilisateurs de cartes à puce. Si une CA d'entreprise provenant des services de certificats Active Directory est configurée dans Active Directory, les contrôleurs de domaine sont automatiquement inscrits avec des certificats pour permettre l'ouverture de session par carte à puce. Si vous ne disposez pas des services de certificats Active Directory, consultez Configuration requise pour les certificats de contrôleur de domaine provenant d'une autorité de certification tierce. Vous pouvez créer un certificat de contrôleur de domaine avec AWS Private CA. Dans ce cas, n'utilisez pas une CA privée configurée pour les certificats de courte durée.

      Note

      Si vous en utilisez AWS Managed Microsoft AD, vous pouvez configurer les services de certificats sur une EC2 instance afin de satisfaire aux exigences relatives aux certificats de contrôleur de domaine. Voir par AWS Launch Wizardexemple les déploiements de services de certificats AWS Managed Microsoft AD configurés avec Active Directory. AWS L'autorité de certification privée peut être configurée en tant que subordonnée à l'autorité de certification Active Directory Certificate Services, ou peut être configurée comme sa propre racine lors de l'utilisation AWS Managed Microsoft AD.

      Une tâche de configuration supplémentaire associée aux AWS Managed Microsoft AD services de certificats Active Directory consiste à créer des règles sortantes à partir du groupe de VPC sécurité des contrôleurs vers l'EC2instance exécutant les services de certificats, en autorisant les TCP ports 135 et 49152-65535 à activer l'inscription automatique des certificats. En outre, l'EC2instance en cours d'exécution doit autoriser l'accès entrant sur les mêmes ports depuis les instances de domaine, y compris les contrôleurs de domaine. Pour plus d'informations sur la localisation du groupe de sécurité, AWS Managed Microsoft AD voir Configurer vos VPC sous-réseaux et groupes de sécurité.

    • Sur la AWS Private CA console ou à l'aide du SDK ouCLI, sélectionnez votre autorité de certification et, sous le certificat d'autorité de certification, exportez le certificat privé de l'autorité de certification. Pour plus d'informations, consultez Exportation d'un certificat privé.

    • Publiez la CA dans Active Directory. Connectez-vous à un contrôleur de domaine ou à un poste associé à un domaine. Copiez le certificat privé de la CA à l'emplacement (<path>\<file>) de votre choix et exécutez les commandes suivantes en tant qu'administrateur de domaine. Vous pouvez également utiliser la stratégie de groupe et l'outil Microsoft PKI Health Tool (PKIView) pour publier l'autorité de certification. Pour plus d'informations, consultez Instructions de configuration.

      certutil -dspublish -f <path>\<file> RootCA
certutil -dspublish -f  <path>\<file> NTAuthCA

      Assurez-vous que les commandes s'exécutent correctement, puis supprimez le fichier de certificat privé. En fonction des paramètres de réplication Active Directory, la publication de la CA sur vos contrôleurs de domaine et instances de bureau peut prendre plusieurs minutes.

      Note

      • Active Directory doit distribuer automatiquement l'autorité de certification aux autorités de certification Trusted Root et aux NTAuth magasins Enterprise pour les WorkSpaces ordinateurs de bureau lorsqu'ils sont joints au domaine.

Activation de l'authentification par certificat

Procédez comme suit pour activer l’authentification par certificat.

  1. Ouvrez la WorkSpaces console à l'adressehttps://console.aws.amazon.com/workspaces.

  2. Dans le volet de navigation, choisissez Directories (Annuaires).

  3. Choisissez l'ID de répertoire pour votre WorkSpaces.

  4. Sous Authentification, cliquez sur Modifier.

  5. Cliquez sur Modifier l'authentification par certificat.

  6. Cochez la case Activer l'authentification par certificat.

  7. Vérifiez que votre autorité de certification privée ARN est associée dans la liste. L'autorité de certification privée doit se trouver dans le même AWS compte et Région AWS doit être étiquetée avec une clé habilitée euc-private-ca à apparaître dans la liste.

  8. Cliquez sur Save Changes (Enregistrer les modifications). L'authentification par certificat est désormais activée.

  9. Redémarrez Windows WorkSpaces on DCV Bundles pour que les modifications prennent effet. Pour plus d'informations, voir Redémarrer un WorkSpace.

  10. Après le redémarrage, lorsque les utilisateurs s'authentifient via la SAML version 2.0 à l'aide d'un client compatible, ils ne sont plus invités à saisir le mot de passe du domaine.

Note

Lorsque l'authentification basée sur des certificats est activée pour se connecter WorkSpaces, les utilisateurs ne sont pas invités à utiliser l'authentification multifactorielle (MFA), même si elle est activée dans le répertoire. Lorsque vous utilisez l'authentification basée sur des certificats, elle MFA peut être activée via votre fournisseur d'identité SAML 2.0. Pour plus d'informations sur AWS Directory Service MFA, voir Authentification multifactorielle (AD Connector) ou Activer l'authentification multifactorielle pour. AWS Managed Microsoft AD

Gestion de l'authentification par certificat

Certificat d'une autorité de certification (CA)

Dans une configuration typique, le certificat d'une CA privée a une durée de validité de 10 ans. Consultez Gestion du cycle de vie des CA privées pour plus d'informations sur le remplacement d'une CA privée dont le certificat a expiré, ou la réémission de la CA avec une nouvelle période de validité.

Certificats utilisateur final

Les certificats d'utilisateur final émis par AWS Private CA pour l'authentification WorkSpaces basée sur des certificats ne nécessitent pas de renouvellement ni de révocation. Ces certificats sont de courte durée. WorkSpacesémet automatiquement un nouveau certificat toutes les 24 heures. Ces certificats d'utilisateur final ont une période de validité plus courte qu'une AWS Private CA CRL distribution classique. Par conséquent, les certificats d'utilisateur final n'ont pas besoin d'être révoqués et n'apparaîtront pas dans unCRL.

Rapports d’audit

Vous pouvez créer un rapport d'audit pour répertorier tous les certificats émis ou révoqués par votre autorité de certification privée. Pour plus d’informations, consultez Utilisation de rapports d’audit avec votre autorité de certification privée.

Journalisation et surveillance

Vous pouvez l'utiliser AWS CloudTrailpour enregistrer API les appels à AWS Private CA by WorkSpaces. Pour plus d'informations, consultez la section Utilisation CloudTrail. Dans l'historique des CloudTrail événements, vous pouvez afficher GetCertificate les noms d'IssueCertificateacm-pca.amazonaws.comévénements provenant de la source d'événements créés par le nom WorkSpaces EcmAssumeRoleSession d'utilisateur. Ces événements seront enregistrés pour chaque demande d'authentification EUC basée sur un certificat.

Activer le partage entre comptes PCA

Lorsque vous utilisez le partage entre comptes d'une autorité de certification privée, vous pouvez autoriser d'autres comptes à utiliser une autorité de certification centralisée, ce qui évite d'avoir besoin d'une autorité de certification privée pour chaque compte. L'autorité de certification peut générer et émettre des certificats en utilisant AWS Resource Access Manager pour gérer les autorisations. Le partage entre comptes CA privés peut être utilisé avec l'authentification WorkSpaces basée sur des certificats (CBA) au sein d'une même région. AWS

Pour utiliser une ressource Private CA partagée avec WorkSpaces CBA

  1. Configurez l'autorité de certification privée pour CBA un AWS compte centralisé. Pour de plus amples informations, veuillez consulter Authentification basée sur des certificats et authentification personnelle WorkSpaces .

  2. Partagez l'autorité de certification privée avec les AWS comptes de ressources utilisés CBA par les WorkSpaces ressources en suivant les étapes de la section Comment utiliser AWS RAM pour partager vos comptes communs d'autorité de certification ACM privée. Il n'est pas nécessaire de suivre l'étape 3 pour créer un certificat. Vous pouvez partager l'autorité de certification privée avec des AWS comptes individuels ou par le biais d' AWS Organizations. Pour partager avec des comptes individuels, vous devez accepter l'autorité de certification privée partagée dans votre compte de ressources à l'aide de la console Resource Access Manager (RAM) ouAPIs. Lors de la configuration du partage, vérifiez que le partage de RAM ressources pour l'autorité de certification privée dans le compte de ressources utilise le modèle d'autorisation AWS RAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority gérée. Ce modèle s'aligne sur le PCA modèle utilisé par le rôle de WorkSpaces service lors de l'émission de CBA certificats.

  3. Une fois le partage réussi, vous devriez être en mesure de consulter l'autorité de certification privée partagée à l'aide de la console d'autorité de certification privée du compte de ressources.

  4. Utilisez le API ou CLI pour associer l'autorité de certification privée ARN CBA aux propriétés de votre WorkSpaces répertoire. À l'heure actuelle, la WorkSpaces console ne prend pas en charge la sélection d'une autorité de certification privée partagéeARNs. Exemples de CLI commandes :

    aws workspaces modify-certificate-based-auth-properties —resource-id <value> —certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>