Prasyarat - Amazon WorkSpaces

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat

Selesaikan langkah-langkah berikut sebelum Anda menggunakan otentikasi berbasis sertifikat.

  1. Konfigurasikan direktori WorkSpaces Pools Anda dengan integrasi SAML 2.0 untuk menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat Konfigurasikan SAML 2.0 dan buat direktori WorkSpaces Pools.

    catatan

    Jangan aktifkan kartu pintar masuk di direktori pool jika ingin menggunakan autentikasi berbasis sertifikat.

  2. Konfigurasikan userPrincipalName atribut dalam SAML pernyataan Anda. Untuk informasi selengkapnya, lihat Langkah 7: Buat pernyataan untuk respons otentikasi SAML.

  3. (Opsional) Konfigurasikan ObjectSid atribut dalam SAML pernyataan Anda. Anda dapat menggunakan atribut ini untuk melakukan pemetaan yang kuat dengan pengguna Active Directory. Autentikasi berbasis sertifikat gagal jika ObjectSid atribut tidak cocok dengan pengenal keamanan Direktori Aktif (SID) untuk pengguna yang ditentukan dalam _Subject. SAML NameID Untuk informasi selengkapnya, lihat Langkah 7: Buat pernyataan untuk respons otentikasi SAML.

  4. Tambahkan sts:TagSession izin ke kebijakan kepercayaan IAM peran yang Anda gunakan dengan konfigurasi SAML 2.0. Untuk informasi selengkapnya, lihat Melewati tag sesi AWS STS di Panduan AWS Identity and Access Management Pengguna. Izin ini diperlukan untuk menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat Langkah 5: Buat IAM peran federasi SAML 2.0.

  5. Buat otoritas sertifikat pribadi (CA) menggunakan AWS Private CA, jika Anda tidak memiliki satu dikonfigurasi dengan Active Directory Anda. AWS CA pribadi diperlukan untuk menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat Merencanakan AWS Private CA penerapan Anda di Panduan AWS Private Certificate Authority Pengguna. Pengaturan AWS Private CA berikut adalah umum untuk banyak kasus penggunaan otentikasi berbasis sertifikat:

    • Opsi tipe CA

      • Mode penggunaan CA sertifikat berumur pendek — Direkomendasikan jika CA hanya mengeluarkan sertifikat pengguna akhir untuk otentikasi berbasis sertifikat.

      • Hirarki tingkat tunggal dengan Root CA — Pilih CA bawahan untuk mengintegrasikannya dengan hierarki CA yang ada.

    • Opsi algoritma kunci - RSA 2048

    • Opsi nama subjek yang dibedakan — Gunakan opsi yang paling tepat untuk mengidentifikasi CA ini di toko Otoritas Sertifikasi Root Tepercaya Direktori Aktif Anda.

    • Opsi pencabutan sertifikat - distribusi CRL

      catatan

      Otentikasi berbasis sertifikat memerlukan titik CRL distribusi online yang dapat diakses dari WorkSpaces Pools WorkSpaces in dan pengontrol domain. Ini memerlukan akses tidak terautentikasi ke bucket Amazon S3 yang dikonfigurasi AWS untuk entri CRL CA Pribadi, atau distribusi CloudFront dengan akses ke bucket Amazon S3 jika memblokir akses publik. Untuk informasi selengkapnya tentang opsi ini, lihat Merencanakan daftar pencabutan sertifikat (CRL) di AWS Private Certificate Authority Panduan Pengguna.

  6. Tandai CA pribadi Anda dengan kunci yang berhak menunjuk CA euc-private-ca untuk digunakan dengan otentikasi berbasis sertifikat WorkSpaces Pools. Kunci ini tidak memerlukan nilai. Untuk informasi selengkapnya, lihat Mengelola tag untuk CA pribadi Anda di Panduan AWS Private Certificate Authority Pengguna..

  7. Otentikasi berbasis sertifikat menggunakan kartu pintar virtual untuk masuk. Untuk informasi selengkapnya, lihat Pedoman untuk mengaktifkan logon kartu pintar dengan otoritas sertifikasi pihak ketiga. Ikuti langkah-langkah ini:

    1. Konfigurasikan pengontrol domain dengan sertifikat pengontrol domain untuk mengautentikasi pengguna kartu pintar. Jika Anda memiliki CA perusahaan Layanan Sertifikat Direktori Aktif yang dikonfigurasi di Direktori Aktif Anda, maka secara otomatis akan mendaftarkan pengontrol domain dengan sertifikat yang mengaktifkan logon kartu pintar. Jika Anda tidak memiliki Layanan Sertifikat Direktori Aktif, lihat Persyaratan untuk sertifikat pengontrol domain dari CA pihak ketiga. Anda dapat membuat sertifikat pengontrol domain dengan AWS Private CA. Jika Anda melakukan ini, jangan gunakan CA pribadi yang dikonfigurasi untuk sertifikat berumur pendek.

      catatan

      Jika Anda menggunakan Microsoft AD AWS Terkelola, Anda dapat mengonfigurasi Layanan Sertifikat pada EC2 instans Amazon yang memenuhi persyaratan untuk sertifikat pengontrol domain. Lihat Menerapkan Direktori Aktif ke Amazon Virtual Private Cloud baru misalnya penerapan AWS Microsoft AD Terkelola yang dikonfigurasi dengan Layanan Sertifikat Direktori Aktif.

      Dengan Microsoft AD dan Layanan Sertifikat Direktori Aktif AWS Terkelola, Anda juga harus membuat aturan keluar dari grup VPC keamanan pengontrol ke EC2 instans Amazon yang menjalankan Layanan Sertifikat. Anda harus memberikan akses grup keamanan ke TCP port 135, dan port 49152 hingga 65535 untuk mengaktifkan pendaftaran otomatis sertifikat. EC2Instans Amazon juga harus mengizinkan akses masuk pada port yang sama ini dari instance domain, termasuk pengontrol domain. Untuk informasi selengkapnya tentang menemukan grup keamanan untuk Microsoft AD AWS Terkelola, lihat Mengonfigurasi VPC subnet dan grup keamanan Anda.

    2. Di konsol CA AWS Pribadi, atau dengan SDK atauCLI, ekspor sertifikat CA pribadi. Untuk informasi selengkapnya, lihat Mengekspor sertifikat pribadi.

    3. Publikasikan CA pribadi ke Active Directory. Masuk ke pengontrol domain atau mesin yang bergabung dengan domain. Salin sertifikat CA pribadi ke salah satu <path>\<file> dan jalankan perintah berikut sebagai administrator domain. Anda juga dapat menggunakan Kebijakan Grup dan Microsoft PKI Health Tool (PKIView) untuk mempublikasikan CA. Untuk informasi selengkapnya, lihat Petunjuk konfigurasi.

      certutil -dspublish -f <path>\<file> RootCA
      certutil -dspublish -f <path>\<file> NTAuthCA

      Pastikan perintah berhasil diselesaikan, lalu hapus file sertifikat CA pribadi. Bergantung pada pengaturan replikasi Direktori Aktif Anda, CA dapat mengambil beberapa menit untuk mempublikasikan ke pengontrol domain Anda dan WorkSpaces di WorkSpaces Pools.

      catatan

      Active Directory harus mendistribusikan CA ke Otoritas Sertifikasi Root Tepercaya dan NTAuth toko Perusahaan secara otomatis WorkSpaces di WorkSpaces Pools ketika mereka bergabung dengan domain.

      catatan

      Pengontrol domain Active Directory harus dalam mode Kompatibilitas untuk penegakan sertifikat yang kuat guna mendukung otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat KB5014754—Perubahan autentikasi berbasis sertifikat pada pengontrol domain Windows di dokumentasi Dukungan Microsoft. Jika Anda menggunakan Microsoft AD yang AWS Dikelola, lihat Mengkonfigurasi pengaturan keamanan direktori untuk informasi selengkapnya.