Abilitazione TLS dell'autenticazione m in AD Connector per l'utilizzo con smart card - AWS Directory Service
PrerequisitiAttivazione dell'autenticazione con smart card

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione TLS dell'autenticazione m in AD Connector per l'utilizzo con smart card

Puoi utilizzare l'autenticazione reciproca Transport Layer Security (mTLS) basata su certificati con smart card per autenticare gli utenti in Amazon WorkSpaces tramite Active Directory (AD) e AD Connector autogestiti. Se abilitata, gli utenti selezionano la propria smart card nella schermata di WorkSpaces accesso e immettono una PIN per l'autenticazione, anziché utilizzare un nome utente e una password. Da lì, il desktop virtuale Windows o Linux utilizza la smart card per autenticarsi in AD dal sistema operativo desktop nativo.

Nota

L'autenticazione con smart card in AD Connector è disponibile solo nei seguenti Regioni AWS casi e solo con WorkSpaces. Al momento non sono supportate altre AWS applicazioni.

  • Stati Uniti orientali (Virginia settentrionale)

  • US West (Oregon)

  • Asia Pacifico (Sydney)

  • Asia Pacifico (Tokyo)

  • Europa (Irlanda)

  • AWS GovCloud (Stati Uniti occidentali)

  • AWS GovCloud (Stati Uniti orientali)

Puoi anche annullare la registrazione e disabilitare i certificati.

Argomenti

Prerequisiti

Per abilitare l'autenticazione reciproca Transport Layer Security (mTLS) basata su certificati tramite smart card per il WorkSpaces client Amazon, è necessaria un'infrastruttura smart card operativa integrata con la tua gestione automatica Active Directory. Per ulteriori informazioni su come configurare l'autenticazione con smart card con Amazon WorkSpaces e Active Directory, consulta la Amazon WorkSpaces Administration Guide.

Prima di abilitare l'autenticazione con smart card per WorkSpaces, verifica i seguenti prerequisiti:

Requisiti del certificato CA

AD Connector richiede un certificato dell'autorità di certificazione (CA), che rappresenta l'emittente dei certificati utente, per l'autenticazione con smart card. AD Connector abbina i certificati CA a quelli presentati dagli utenti con le loro smart card. Tenere presenti i seguenti requisiti del certificato CA:

  • Per registrare un certificato CA, sono necessari più di 90 giorni dalla scadenza.

  • I certificati CA devono essere in formato Privacy-Enhanced Mail (). PEM Se esportate certificati CA dall'interno di Active Directory, scegliete X.509 con codifica Base64 (. CER) come formato di file di esportazione.

  • Affinché l'autenticazione con smart card abbia esito positivo, è necessario caricare tutti i certificati CA root e intermediari che collegano la CA emittente ai certificati utente.

  • È possibile archiviare un massimo di 100 certificati CA per la directory AD Connector

  • AD Connector non supporta l'algoritmo RSASSA - PSS signature per i certificati CA.

  • Verifica che il servizio di propagazione dei certificati sia impostato su Automatico e in esecuzione.

Requisiti in termini di certificato utente

Di seguito sono riportati alcuni dei requisiti per il certificato utente:

  • Il certificato smart card dell'utente ha un nome alternativo del soggetto (SAN) dell'utente userPrincipalName (UPN).

  • Il certificato smart card dell'utente dispone di Enhanced Key Usage come accesso tramite smart card (1.3.6.1.4.1.311.20.2.2) Client Authentication (1.3.6.1.5.5.7.3.2).

  • Le informazioni sull'Online Certificate Status Protocol (OCSP) per il certificato smart card dell'utente devono essere Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) nell'Authority Information Access.

Per ulteriori informazioni sui requisiti di autenticazione ad Connector e smart card, consulta Requisiti nella Amazon WorkSpaces Administration Guide. Per assistenza nella risoluzione dei WorkSpaces problemi di Amazon, come l'accesso WorkSpaces, la reimpostazione della password o la connessione a WorkSpaces, consulta Risolvere i WorkSpaces problemi dei client nella Amazon User Guide. WorkSpaces

Processo di verifica della revoca del certificato

Per eseguire l'autenticazione con smart card, AD Connector deve verificare lo stato di revoca dei certificati utente utilizzando Online Certificate Status Protocol (OCSP). Per eseguire il controllo della revoca dei certificati, un OCSP risponditore URL deve essere accessibile da Internet. Se si utilizza un DNS nome, un OCSP risponditore URL deve utilizzare un dominio di primo livello disponibile nell'Internet Assigned Numbers Authority () Root Zone Database. IANA

Il controllo della revoca dei certificati di AD Connector utilizza il seguente processo:

  • AD Connector deve verificare l'estensione Authority Information Access (AIA) nel certificato utente di un OCSP risponditoreURL, quindi AD Connector la URL utilizza per verificare la revoca.

  • Se AD Connector non è in grado di risolvere il problema URL trovato nell'AIAestensione del certificato utente o di trovare un OCSP risponditore URL nel certificato utente, AD Connector utilizza l'opzione OCSP URL fornita durante la registrazione del certificato CA principale.

    Se l'URLAIAestensione del certificato utente si risolve ma non risponde, l'autenticazione dell'utente ha esito negativo.

  • Se il OCSP risponditore URL fornito durante la registrazione del certificato CA root non può essere risolto, non risponde o non è stato fornito alcun OCSP URL risponditore, l'autenticazione dell'utente ha esito negativo.

  • Il OCSP server deve essere conforme alla norma 6960. RFC Inoltre, il OCSP server deve supportare le richieste che utilizzano il GET metodo per richieste inferiori o uguali a 255 byte in totale.

Nota

AD Connector richiede un nome HTTPURLper il OCSP risponditore. URL

Considerazioni

Prima di abilitare l'autenticazione con smart card in AD Connector, considera i seguenti elementi:

  • AD Connector utilizza l'autenticazione Mutual Transport Layer Security (reciprocaTLS) basata su certificati per autenticare gli utenti in Active Directory utilizzando certificati smart card basati su hardware o software. Al momento sono supportate solo le carte di accesso comuni (CAC) e le carte di verifica dell'identità personale (PIV). Altri tipi di smart card basate su hardware o software potrebbero funzionare ma non sono state testate per l'uso con WorkSpaces lo Streaming Protocol.

  • L'autenticazione con smart card sostituisce l'autenticazione di nome utente e password con. WorkSpaces

    Se nella directory AD Connector sono configurate altre AWS applicazioni con l'autenticazione smart card abilitata, tali applicazioni presentano ancora la schermata di immissione del nome utente e della password.

  • L'attivazione dell'autenticazione con smart card limita la durata della sessione utente alla durata massima dei ticket di assistenza Kerberos. È possibile configurare questa impostazione utilizzando una policy del gruppo e, per impostazione predefinita, è impostata su 10 ore. Per ulteriori informazioni sulle impostazioni, consulta la documentazione di Microsoft.

  • Il tipo di crittografia Kerberos supportato dall'account del servizio AD Connector deve corrispondere a ogni tipo di crittografia Kerberos supportato dal controller di dominio.

Attivazione dell'autenticazione con smart card

Per abilitare l'autenticazione con smart card WorkSpaces sul tuo AD Connector, devi prima importare i certificati dell'autorità di certificazione (CA) in AD Connector. Puoi importare i tuoi certificati CA in AD Connector utilizzando la AWS Directory Service console APIo CLI. Utilizza i seguenti passaggi per importare i certificati CA e successivamente abilitare l'autenticazione con smart card.

Abilitazione della delega vincolata Kerberos per l'account del servizio AD Connector

Per utilizzare l'autenticazione smart card con AD Connector, è necessario abilitare Kerberos Constrained Delegation (KCD) per l'account del servizio AD Connector al LDAP servizio nella directory AD gestita autonomamente.

La delega vincolata Kerberos è una funzionalità di Windows Server. Questa funzionalità permette agli amministratori dei servizi di specificare e applicare limiti di attendibilità delle applicazioni limitando l'ambito in cui è consentito agire per conto di un utente ai servizi delle applicazioni. Per ulteriori informazioni, consulta Delega vincolata Kerberos.

Nota

Kerberos Constrained Delegation (KCD) richiede che la parte relativa al nome utente dell'account del servizio AD Connector corrisponda al sAMAccount nome dello stesso utente. Il sAMAccount nome è limitato a 20 caratteri. sAMAccountName è un attributo di Microsoft Active Directory utilizzato come nome di accesso per le versioni precedenti di client e server Windows.

  1. Utilizza il SetSpn comando per impostare un Service Principal Name (SPN) per l'account del servizio AD Connector nell'AD autogestito. Questo permette all'account del servizio di configurare la delega.

    SPNPuò essere una qualsiasi combinazione di servizi o nomi, ma non un duplicato di una combinazione esistente. SPN I controlli -s per i duplicati.

    setspn -s my/spn service_account

  2. In Utenti e computer AD, apri il menu contestuale (pulsante destro del mouse), seleziona l'account del servizio AD Connector e scegli Proprietà.

  3. Scegli la scheda Delega.

  4. Scegli le opzioni Affidati a questo utente per la delega solo al servizio specificato e Utilizza qualsiasi protocollo di autenticazione.

  5. Scegli Aggiungi e poi Utenti o Computer per individuare il controller di dominio.

  6. Scegli OK per visualizzare un elenco dei servizi disponibili utilizzati per la delega.

  7. Scegli il tipo di servizio ldap e seleziona OK.

  8. Scegli Salva per salvare la nuova configurazione.

  9. Ripetere questa procedura per altri controller di dominio in Active Directory. In alternativa è possibile automatizzare il processo utilizzando. PowerShell

Registrazione del certificato CA in AD Connector

Utilizza uno dei seguenti metodi per registrare un certificato CA per la tua directory AD Connector.

Metodo 1: registrare il certificato CA in AD Connector (AWS Management Console)

  1. Nel riquadro di navigazione della console AWS Directory Service, seleziona Directory.

  2. Seleziona il collegamento dell'ID per la tua directory.

  3. Nella pagina Directory details (Dettagli della directory) selezionare la scheda Networking & security (Reti e sicurezza).

  4. Nella sezione Autenticazione con smart card, scegli Operazioni, quindi Registra certificato.

  5. Nella finestra di dialogo Registra un certificato CA, seleziona Sfoglia, poi scegli il certificato e seleziona Apri. Facoltativamente, puoi scegliere di eseguire il controllo delle revoche per questo certificato fornendo un risponditore Online Certificate Status Protocol ()OCSP. URL Per ulteriori informazioni suOCSP, vedere. Processo di verifica della revoca del certificato

  6. Scegliere Register certificate (Registra certificato). Quando lo stato del certificato passa a Registrato, il processo di registrazione è stato completato con successo.

Metodo 2: registrare il certificato CA in AD Connector (AWS CLI)

  • Esegui il comando seguente. Per i dati del certificato, scegliere il percorso del file del certificato CA. Per fornire un indirizzo del OCSP risponditore secondario, utilizza l'ClientCertAuthSettingsoggetto facoltativo. 

    aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path --type ClientCertAuth --client-cert-auth-settings OCSPUrl=http://your_OCSP_address

    In caso di successo, la risposta fornisce un ID certificato. Puoi anche verificare che il certificato CA sia stato registrato correttamente eseguendo il CLI comando seguente:

    aws ds list-certificates --directory-id your_directory_id

    Se il valore dello stato restituisce Registered, hai registrato correttamente il certificato.

Attivazione dell'autenticazione tramite smart card per AWS le applicazioni e i servizi supportati

Utilizza uno dei seguenti metodi per registrare un certificato CA per la tua directory AD Connector.

Metodo 1: abilitare l'autenticazione con smart card in AD Connector (AWS Management Console)

  1. Vai alla sezione Autenticazione con smart card nella pagina Dettagli della directory e scegli Abilita. Se questa opzione non è disponibile, verificare che un certificato valido sia stato registrato e riprovare.

  2. Nella finestra di dialogo Abilita l'autenticazione con smart card, seleziona Abilita.

Metodo 2: abilitare l'autenticazione con smart card in AD Connector (AWS CLI)

  • Esegui il comando seguente.

    aws ds enable-client-authentication --directory-id your_directory_id --type SmartCard

    In caso di successo, AD Connector restituisce una HTTP 200 risposta con un HTTP corpo vuoto.

Per ulteriori informazioni sulla visualizzazione del certificato, l'annullamento della registrazione o la disabilitazione del certificato, consulta. Gestione delle impostazioni di autenticazione delle smart card