Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Otentikasi Berbasis Sertifikat
<a name="certificate-based-authentication"></a>

Anda dapat menggunakan otentikasi berbasis sertifikat dengan armada WorkSpaces Aplikasi yang bergabung dengan Microsoft Active Directory. Ini menghapus prompt pengguna untuk kata sandi domain Direktori Aktif saat pengguna masuk. Dengan menggunakan otentikasi berbasis sertifikat dengan domain Active Directory, Anda dapat:
+ Andalkan penyedia identitas SAMP 2.0 Anda untuk mengautentikasi pengguna dan memberikan pernyataan SAMP agar sesuai dengan pengguna di Active Directory.
+ Buat pengalaman masuk masuk tunggal dengan lebih sedikit permintaan pengguna.
+ Aktifkan alur otentikasi tanpa kata sandi menggunakan penyedia identitas SAMP 2.0 Anda.

Otentikasi berbasis sertifikat menggunakan sumber daya AWS Private Certificate Authority (AWS Private CA) di situs Anda. Akun AWS Dengan AWS Private CA, Anda dapat membuat hierarki otoritas sertifikat pribadi (CA), termasuk root dan bawahan CAs. Anda juga dapat membuat hierarki CA Anda sendiri dan mengeluarkan sertifikat darinya yang mengautentikasi pengguna internal. Untuk informasi lebih lanjut, lihat [Apa itu AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html).

Bila Anda menggunakan AWS Private CA untuk autentikasi berbasis sertifikat, WorkSpaces Aplikasi meminta sertifikat untuk pengguna Anda secara otomatis pada reservasi sesi untuk setiap WorkSpaces instance armada Aplikasi. Ini mengautentikasi pengguna ke Active Directory dengan kartu pintar virtual yang disediakan dengan sertifikat.

Otentikasi berbasis sertifikat (CBA) didukung pada armada yang bergabung dengan domain WorkSpaces Aplikasi (baik armada sesi tunggal dan multi-sesi) yang menjalankan instance Windows. Untuk mengaktifkan CBA pada armada multi-sesi, Anda harus menggunakan gambar WorkSpaces Aplikasi yang menggunakan agen WorkSpaces Aplikasi yang dirilis pada atau setelah 02-07-2025. Atau, gambar Anda harus menggunakan pembaruan gambar WorkSpaces Aplikasi terkelola yang dirilis pada atau setelah 02-11-2025. 

**Topics**
+ [Prasyarat](certificate-based-authentication-prereq.md)
+ [Aktifkan Otentikasi Berbasis Sertifikat](certificate-based-authentication-enable.md)
+ [Mengelola Otentikasi Berbasis Sertifikat](certificate-based-authentication-manage.md)
+ [Aktifkan Berbagi PCA Lintas Akun](pca-sharing.md)

# Prasyarat
<a name="certificate-based-authentication-prereq"></a>

Selesaikan langkah-langkah berikut sebelum Anda menggunakan otentikasi berbasis sertifikat.

1. Siapkan armada yang bergabung dengan domain dan konfigurasikan SAMP 2.0. Pastikan Anda menggunakan `username@domain.com` `userPrincipalName` format untuk `NameID` SAML\$1subject. Untuk informasi selengkapnya, lihat [Langkah 5: Buat Pernyataan untuk Respons Otentikasi SAMP](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions).
**catatan**  
Jangan aktifkan **login kartu pintar untuk Active Directory** di tumpukan Anda jika Anda ingin menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat [Kartu Pintar](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards). 

1. Gunakan agen WorkSpaces Aplikasi versi 10-13-2022 atau yang lebih baru dengan gambar Anda. Untuk informasi selengkapnya, lihat [Simpan Gambar WorkSpaces Aplikasi Amazon Anda Up-to-Date](keep-image-updated.md).

1. Konfigurasikan `ObjectSid` atribut dalam pernyataan SAMP Anda. Anda dapat menggunakan atribut ini untuk melakukan pemetaan yang kuat dengan pengguna Active Directory. Autentikasi berbasis sertifikat gagal jika `ObjectSid` atribut tidak cocok dengan pengenal keamanan Direktori Aktif (SID) untuk pengguna yang ditentukan dalam SAML\$1subject. `NameID` Untuk informasi selengkapnya, lihat [Langkah 5: Buat Pernyataan untuk Respons Otentikasi SAMP](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions). `ObjectSid`Ini wajib untuk otentikasi berbasis sertifikat setelah 10 September 2025. Untuk informasi selengkapnya, lihat [KB5014754: Perubahan autentikasi berbasis sertifikat pada](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16) pengontrol domain Windows.

1. Tambahkan `sts:TagSession` izin ke kebijakan kepercayaan peran IAM yang Anda gunakan dengan konfigurasi SAMP 2.0 Anda. Untuk informasi selengkapnya, lihat [Melewati tag sesi di AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html.html). Izin ini diperlukan untuk menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat [Langkah 2: Buat Peran IAM Federasi SAMP 2.0](external-identity-providers-setting-up-saml.md#external-identity-providers-grantperms).

1. Buat otoritas sertifikat pribadi (CA) menggunakan AWS Private CA, jika Anda tidak memiliki satu dikonfigurasi dengan Active Directory Anda. AWS CA pribadi diperlukan untuk menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat [Merencanakan AWS Private CA penerapan Anda](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html). Pengaturan AWS Private CA berikut adalah umum untuk banyak kasus penggunaan otentikasi berbasis sertifikat:
   + **Opsi tipe CA**
     + **Mode penggunaan CA sertifikat berumur pendek** — Direkomendasikan jika CA hanya mengeluarkan sertifikat pengguna akhir untuk otentikasi berbasis sertifikat.
     + **Hirarki tingkat tunggal dengan Root CA** — Pilih CA bawahan untuk mengintegrasikannya dengan hierarki CA yang ada.
   + **Opsi algoritma kunci** - RSA 2048
   + **Pilihan nama subjek yang dibedakan — Gunakan opsi** yang paling tepat untuk mengidentifikasi CA ini di toko Otoritas Sertifikasi Root Tepercaya Direktori Aktif Anda.
   + **Opsi pencabutan sertifikat** - Distribusi CRL
**catatan**  
Otentikasi berbasis sertifikat memerlukan titik distribusi CRL online yang dapat diakses dari instance armada WorkSpaces Aplikasi dan pengontrol domain. Ini memerlukan akses tidak terautentikasi ke bucket Amazon S3 yang dikonfigurasi AWS untuk entri CRL CA Pribadi, atau distribusi CloudFront dengan akses ke bucket Amazon S3 jika memblokir akses publik. Untuk informasi selengkapnya tentang opsi ini, lihat [Merencanakan daftar pencabutan sertifikat (CRL](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html)).

1. Tandai CA pribadi Anda dengan kunci yang berhak menunjuk CA `euc-private-ca` untuk digunakan dengan otentikasi berbasis sertifikat WorkSpaces Aplikasi. Kunci ini tidak memerlukan nilai. Untuk informasi selengkapnya, lihat [Mengelola tag untuk CA pribadi Anda](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html). Untuk informasi selengkapnya tentang kebijakan AWS terkelola yang digunakan dengan WorkSpaces Aplikasi untuk memberikan izin ke sumber daya di Anda Akun AWS, lihat[AWS Kebijakan Terkelola yang Diperlukan untuk Mengakses Sumber Daya WorkSpaces Aplikasi](managed-policies-required-to-access-appstream-resources.md).

1. Otentikasi berbasis sertifikat menggunakan kartu pintar virtual untuk masuk. Untuk informasi selengkapnya, lihat [Pedoman untuk mengaktifkan logon kartu pintar dengan otoritas sertifikasi pihak ketiga](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities). Ikuti langkah-langkah ini:

   1. Konfigurasikan pengontrol domain dengan sertifikat pengontrol domain untuk mengautentikasi pengguna kartu pintar. Jika Anda memiliki CA perusahaan Layanan Sertifikat Direktori Aktif yang dikonfigurasi di Direktori Aktif Anda, maka secara otomatis akan mendaftarkan pengontrol domain dengan sertifikat yang mengaktifkan logon kartu pintar. Jika Anda tidak memiliki Layanan Sertifikat Direktori Aktif, lihat [Persyaratan untuk sertifikat pengontrol domain dari CA pihak ketiga](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller). AWS merekomendasikan otoritas sertifikat perusahaan Active Directory untuk secara otomatis mengelola pendaftaran untuk sertifikat pengontrol domain.
**catatan**  
Jika Anda menggunakan Microsoft AD AWS Terkelola, Anda dapat mengonfigurasi Layanan Sertifikat pada instans Amazon EC2 yang memenuhi persyaratan untuk sertifikat pengontrol domain. Lihat [Menerapkan Direktori Aktif ke Amazon Virtual Private Cloud baru](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html) misalnya penerapan AWS Microsoft AD Terkelola yang dikonfigurasi dengan Layanan Sertifikat Direktori Aktif.  
Dengan Microsoft AD dan Layanan Sertifikat Direktori Aktif AWS Terkelola, Anda juga harus membuat aturan keluar dari grup keamanan VPC pengontrol ke instans Amazon EC2 yang menjalankan Layanan Sertifikat. Anda harus memberikan akses grup keamanan ke port TCP 135, dan port 49152 hingga 65535 untuk mengaktifkan pendaftaran otomatis sertifikat. Instans Amazon EC2 juga harus mengizinkan akses masuk pada port yang sama ini dari instance domain, termasuk pengontrol domain. Untuk informasi selengkapnya tentang menemukan grup keamanan untuk Microsoft AD AWS Terkelola, lihat [Mengonfigurasi subnet dan grup keamanan VPC Anda](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc).

   1. Di konsol CA AWS Pribadi, atau dengan SDK atau CLI, ekspor sertifikat CA pribadi. Untuk informasi selengkapnya, lihat [Mengekspor sertifikat pribadi](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html).

   1. Publikasikan CA pribadi ke Active Directory. Masuk ke pengontrol domain atau mesin yang bergabung dengan domain. Salin sertifikat CA pribadi ke salah satu `<path>\<file>` dan jalankan perintah berikut sebagai administrator domain. Anda juga dapat menggunakan Kebijakan Grup dan Alat Kesehatan Microsoft PKI (PKIView) untuk mempublikasikan CA. Untuk informasi selengkapnya, lihat [Petunjuk konfigurasi](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions).

      ```
      certutil -dspublish -f <path>\<file> RootCA
      ```

      ```
      certutil -dspublish -f <path>\<file> NTAuthCA
      ```

      Pastikan perintah berhasil diselesaikan, lalu hapus file sertifikat CA pribadi. Bergantung pada pengaturan replikasi Direktori Aktif Anda, CA dapat mengambil beberapa menit untuk mempublikasikan ke pengontrol domain dan instance armada WorkSpaces Aplikasi Anda.
**catatan**  
Active Directory harus mendistribusikan CA ke Otoritas Sertifikasi Root Tepercaya dan NTAuth toko Perusahaan secara otomatis untuk instance armada WorkSpaces Aplikasi saat mereka bergabung dengan domain.

Untuk sistem operasi Windows, distribusi CA (Certificate Authority) terjadi secara otomatis. Namun, untuk Rocky Linux dan Red Hat Enterprise Linux, Anda harus mengunduh sertifikat CA root dari CA yang digunakan oleh WorkSpaces Applications Directory Config Anda. Jika sertifikat CA root KDC Anda berbeda, Anda juga harus mengunduhnya. Sebelum menggunakan otentikasi berbasis sertifikat, Anda perlu mengimpor sertifikat ini ke gambar atau snapshot.

Pada gambar, harus ada file bernama/`etc/sssd/pki/sssd_auth_ca_db.pem`. Seharusnya terlihat seperti berikut:

```
-----BEGIN CERTIFICATE-----
Base64-encoded certificate chain from ACM Private CA 
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate body from ACM private CA
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded root CA KDC certificate chain
-----END CERTIFICATE-----
```

**catatan**  
Saat menyalin gambar di seluruh wilayah atau akun, atau mengaitkan ulang gambar dengan Direktori Aktif baru, file ini perlu dikonfigurasi ulang dengan sertifikat yang relevan pada pembuat gambar dan diambil kembali sebelum digunakan.

Di bawah ini adalah petunjuk untuk mengunduh sertifikat CA root:

1. Pada pembuat gambar, buat file bernama`/etc/sssd/pki/sssd_auth_ca_db.pem`.

1. Buka [konsol AWS Private CA](https://console.aws.amazon.com/acm-pca/).

1. Pilih sertifikat pribadi yang digunakan dengan WorkSpaces Applications Directory Config Anda.

1. Pilih tab **sertifikat CA**.

1. Salin rantai sertifikat dan badan sertifikat ke `/etc/sssd/pki/sssd_auth_ca_db.pem` pembuat gambar.

Jika sertifikat CA root yang KDCs digunakan berbeda dari sertifikat CA root yang digunakan oleh WorkSpaces Applications Directory Config Anda, ikuti langkah-langkah berikut untuk mengunduhnya:

1. Connect ke instance Windows yang bergabung dengan domain yang sama dengan pembuat gambar Anda.

1. Buka `certlm.msc`.

1. Di panel kiri, pilih **Otoritas Sertifikat Root Tepercaya**, lalu pilih **Sertifikat..**

1. Untuk setiap sertifikat CA root, buka menu konteks (klik kanan).

1. Pilih **Semua Tugas**, pilih **Ekspor** untuk membuka Wisaya Ekspor Sertifikat, lalu pilih **Berikutnya**.

1. **Pilih **Base64-encoded X.509 (.CER**), dan pilih Berikutnya.**

1. Pilih **Browse**, masukkan nama file, dan pilih **Berikutnya**.

1. Pilih **Selesai**.

1. Buka sertifikat yang diekspor dalam editor teks.

1. Salin isi file `/etc/sssd/pki/sssd_auth_ca_db.pem` ke pembuat gambar.

# Aktifkan Otentikasi Berbasis Sertifikat
<a name="certificate-based-authentication-enable"></a>

Selesaikan langkah-langkah berikut untuk mengaktifkan otentikasi berbasis sertifikat.

**Untuk mengaktifkan otentikasi berbasis sertifikat**

1. Buka konsol WorkSpaces Aplikasi di [https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2).

1. Di panel navigasi, pilih **Konfigurasi Direktori**. Pilih konfigurasi direktori yang ingin Anda konfigurasi, dan pilih **Edit**.

1. Pilih **Aktifkan Otentikasi Berbasis Sertifikat**.

1. Konfirmasikan bahwa CA ARN pribadi Anda terkait dalam daftar. Untuk muncul dalam daftar, Anda harus menyimpan CA pribadi di tempat yang sama Akun AWS dan Wilayah AWS. Anda juga harus menandai CA pribadi dengan kunci bernama`euc-private-ca`.

1. Konfigurasikan log direktori di fallback. Dengan Fallback, pengguna dapat masuk dengan kata sandi domain AD mereka jika otentikasi berbasis sertifikat tidak berhasil. Ini direkomendasikan hanya dalam kasus di mana pengguna mengetahui kata sandi domain mereka. Ketika fallback dimatikan, sesi dapat memutuskan koneksi pengguna jika layar kunci atau log off Windows terjadi. Jika fallback diaktifkan, sesi akan meminta pengguna untuk kata sandi domain AD mereka.

1. Pilih **Simpan Perubahan**.

1. Otentikasi berbasis sertifikat sekarang diaktifkan. Ketika pengguna mengautentikasi dengan SAMP 2.0 ke tumpukan WorkSpaces Aplikasi menggunakan armada yang bergabung dengan domain dari klien web WorkSpaces Aplikasi atau klien untuk Windows (versi 1.1.1099 dan yang lebih baru), mereka tidak akan lagi menerima prompt untuk kata sandi domain. Pengguna akan melihat “Menghubungkan dengan otentikasi berbasis sertifikat...” pesan saat menghubungkan ke sesi yang diaktifkan untuk otentikasi berbasis sertifikat.

# Mengelola Otentikasi Berbasis Sertifikat
<a name="certificate-based-authentication-manage"></a>

Setelah Anda mengaktifkan otentikasi berbasis sertifikat, tinjau tugas-tugas berikut.

**Topics**
+ [Sertifikat CA Pribadi](certificate-based-authentication-manage-CA.md)
+ [Sertifikat Pengguna Akhir](certificate-based-authentication-manage-certs.md)
+ [Laporan Audit](certificate-based-authentication-manage-audit.md)
+ [Pembuatan Log dan Pemantauan](certificate-based-authentication-manage-logging.md)

# Sertifikat CA Pribadi
<a name="certificate-based-authentication-manage-CA"></a>

Dalam konfigurasi tipikal, sertifikat CA pribadi memiliki masa berlaku 10 tahun. Untuk informasi selengkapnya tentang mengganti CA privat dengan sertifikat kedaluwarsa, atau menerbitkan kembali CA privat dengan masa berlaku baru, lihat [Mengelola](https://docs.aws.amazon.com/privateca/latest/userguide/ca-lifecycle.html) siklus hidup CA pribadi 

# Sertifikat Pengguna Akhir
<a name="certificate-based-authentication-manage-certs"></a>

Sertifikat pengguna akhir yang dikeluarkan oleh AWS Private CA for WorkSpaces Applications autentikasi berbasis sertifikat tidak memerlukan perpanjangan atau pencabutan. Sertifikat ini berumur pendek. WorkSpaces Aplikasi secara otomatis mengeluarkan sertifikat baru untuk setiap sesi baru, atau setiap 24 jam untuk sesi dengan durasi yang lama. Sesi WorkSpaces Aplikasi mengatur penggunaan sertifikat pengguna akhir ini. Jika Anda mengakhiri sesi, WorkSpaces Aplikasi berhenti menggunakan sertifikat itu. Sertifikat pengguna akhir ini memiliki masa berlaku yang lebih pendek daripada distribusi CRL CA AWS Pribadi biasa. Akibatnya, sertifikat pengguna akhir tidak perlu dicabut dan tidak akan muncul di CRL. 

# Laporan Audit
<a name="certificate-based-authentication-manage-audit"></a>

Anda dapat membuat laporan audit untuk mencantumkan semua sertifikat yang telah dikeluarkan atau dicabut oleh CA privat Anda. Untuk informasi selengkapnya, lihat [Menggunakan laporan audit dengan CA pribadi Anda](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html).

# Pembuatan Log dan Pemantauan
<a name="certificate-based-authentication-manage-logging"></a>

Anda dapat menggunakan CloudTrail untuk merekam panggilan API ke CA pribadi oleh WorkSpaces Aplikasi. Untuk informasi lebih lanjut lihat [Apa itu AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) dan [menggunakan CloudTrail](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html). Dalam riwayat CloudTrail acara, Anda dapat melihat **GetCertificate**dan nama **IssueCertificate**acara dari sumber acara **acm-pca.amazonaws.com** yang dibuat oleh nama pengguna Aplikasi. WorkSpaces **EcmAssumeRoleSession** Peristiwa ini akan direkam untuk setiap permintaan WorkSpaces otentikasi berbasis sertifikat Aplikasi. Untuk informasi selengkapnya, lihat [Melihat peristiwa dengan Riwayat CloudTrail acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).

# Aktifkan Berbagi PCA Lintas Akun
<a name="pca-sharing"></a>

Berbagi lintas akun CA pribadi (PCA) menawarkan kemampuan untuk memberikan izin bagi akun lain untuk menggunakan CA terpusat. CA dapat menghasilkan dan menerbitkan sertifikat dengan menggunakan [AWS Resource Access Manager](https://aws.amazon.com/ram/) (RAM) untuk mengelola izin. Ini menghilangkan kebutuhan akan CA Pribadi di setiap akun. Berbagi lintas akun CA pribadi dapat digunakan dengan Otentikasi berbasis sertifikat WorkSpaces Aplikasi (CBA) dalam hal yang sama. Wilayah AWS

Untuk menggunakan sumber daya Private CA bersama dengan WorkSpaces Aplikasi CBA, selesaikan langkah-langkah berikut:

1. Konfigurasikan Private CA untuk CBA secara terpusat Akun AWS. Untuk informasi selengkapnya, lihat [Otentikasi Berbasis Sertifikat](certificate-based-authentication.md).

1. Bagikan CA Pribadi dengan sumber daya Akun AWS tempat sumber daya WorkSpaces Aplikasi memanfaatkan CBA. Untuk melakukannya, ikuti langkah-langkah di [Cara menggunakan AWS RAM untuk membagikan akun silang ACM Private CA](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/) Anda. Anda tidak perlu menyelesaikan langkah 3 untuk membuat sertifikat. Anda dapat berbagi CA Pribadi dengan individu Akun AWS, atau berbagi melalui AWS Organizations. Jika Anda berbagi dengan akun individual, Anda harus menerima CA Pribadi bersama di akun sumber daya Anda dengan menggunakan AWS Resource Access Manager konsol atau APIs. 

   Saat mengonfigurasi pembagian, konfirmasikan bahwa pembagian AWS Resource Access Manager sumber daya untuk CA Pribadi di akun sumber daya menggunakan templat izin `AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority` terkelola. Template ini sejajar dengan template PCA yang digunakan oleh peran layanan WorkSpaces Aplikasi saat menerbitkan sertifikat CBA.

1. Setelah pembagian berhasil, lihat CA Pribadi bersama dengan menggunakan konsol CA Pribadi di akun sumber daya.

1. Gunakan API atau CLI untuk mengaitkan Private CA ARN dengan CBA di Applications Directory Config Anda. WorkSpaces Pada saat ini, konsol WorkSpaces Aplikasi tidak mendukung pemilihan CA Pribadi bersama ARNs. Berikut ini adalah contoh perintah CLI:

   `aws appstream update-directory-config --directory-name <value> --certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>`