チュートリアル: アクティブディレクトリのセットアップ - Amazon AppStream 2.0
ステップ 1: Directory Config オブジェクトを作成するステップ 2: ドメイン結合 Image Builder を使用してイメージを作成するステップ 3: ドメイン結合フリートを作成するステップ 4: SAML 2.0 を設定する

チュートリアル: アクティブディレクトリのセットアップ

AppStream 2.0 でアクティブディレクトリを使用するには、まず AppStream 2.0 にディレクトリ Config オブジェクトを作成して、ディレクトリ設定を登録する必要があります。このオブジェクトには、ストリーミングインスタンスをアクティブディレクトリドメインに参加させるために必要な情報が含まれています。ディレクトリ Config オブジェクトは、AppStream 2.0 マネジメントコンソール、AWS SDK、または AWS CLI を使用して作成します。その後、ディレクトリ設定を使用して、ドメイン参加済みの常時オンおよびオンデマンドフリートと Image Builder を起動できます。

注記

アクティブディレクトリドメインに参加させることができるのは、常時オンおよびオンデマンドフリートのストリーミングインスタンスのみです。

ステップ 1: Directory Config オブジェクトを作成する

AppStream 2.0 で作成した Directory Config オブジェクトは、後のステップで使用されます。

AWS SDK を使用している場合は、CreateDirectoryConfig 操作を使用できます。AWS CLI CLI を使用している場合は、create-directory-config コマンドを使用できます。

AppStream 2.0 コンソールを使用して Directory Config オブジェクトを作成するには

  1. AppStream 2.0 コンソール (https://console.aws.amazon.com/appstream2) を開きます。

  2. ナビゲーションペインで、[Directory Configs]、[Create Directory Config] (Directory Config の作成) の順に選択します。

  3. [ディレクトリ名] に、アクティブディレクトリドメインの完全修飾ドメイン名 (FQDN) (例: corp.example.com) を入力します。各リージョンは、特定のディレクトリ名を持つ [Directory Config] 値を 1 つのみ持つことができます。

  4. [Service Account Name] (サービスアカウント名) に、コンピュータオブジェクトを作成でき、ドメインを結合するアクセス許可を持つアカウント名を入力します。詳細については、「アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与」を参照してください。アカウント名は「DOMAIN\username」の形式である必要があります。

  5. [パスワード] と [パスワードの確認] に、指定されたアカウントのディレクトリパスワードを入力します。

  6. [Organizational Unit (OU)] に、少なくとも 1 つのストリーミングインスタンスコンピュータオブジェクトの OU 識別名を入力します。

    注記

    OU 名にスペースを含めることはできません。スペースを含む OU 名を指定した場合、フリートまたは Image Builder がアクティブディレクトリドメインに再参加しようとすると、AppStream 2.0 はコンピュータオブジェクトを正しく循環できず、ドメインの再参加は成功しません。この問題のトラブルシューティング方法については、Active Directory ドメイン結合 の「アカウントが既に存在します」というメッセージで DOMAIN_JOIN_INTERNAL_SERVICE_ERROR トピックを参照してください。

    さらに、デフォルトのコンピュータコンテナは OU ではなく、AppStream 2.0 で使用することはできません。詳細については、「組織単位の識別子名を検索する」を参照してください。

  7. 複数の OU を追加するには、[Organizational Unit (OU)] (部門名 (UI)) の横にあるプラス記号 (+) を選択します。OU を削除するには、[x] アイコンを選択します。

  8. [Next] を選択します。

  9. 設定情報を確認して、[Create] を選択します。

ステップ 2: ドメイン結合 Image Builder を使用してイメージを作成する

次に、AppStream 2.0 Image Builder を使用して、アクティブディレクトリドメイン参加機能を持つ新しいイメージを作成します。フリートとイメージは、異なるドメインのメンバーにすることができます。Image Builder をドメインに結合してドメイン結合を有効にし、アプリケーションをインストールします。フリートドメイン結合については、次のセクションで説明します。

ドメイン結合フリートを起動するためのイメージを作成するには

  1. チュートリアル: AppStream 2.0 コンソールを使用してカスタム AppStream 2.0 イメージを作成する」の手順に従います。

  2. 基本イメージの選択ステップで、2017 年 7 月 24 日以降にリリースされた AWS ベースイメージを使用します。リリース済みの現行 AWS イメージのリストについては、「AppStream 2.0 ベースイメージとマネージド型イメージの更新に関するリリースノート」を参照してください。

  3. [Step 3: Configure Network] で、アクティブディレクトリ環境へのネットワーク接続がある VPC およびサブネットを選択します。VPC サブネットを使用してディレクトリにアクセスできるようにセットアップされたセキュリティグループを選択します。

  4. また、[Step 3: Configure Network] (ステップ 3: ネットワークの設定) で、[Active Directory Domain (Optional)] (アクティブディレクトリドメイン (オプション)) セクションを展開し、Image Builder を参加させる [Directory Name] (ディレクトリ名) と [Directory OU] (ディレクトリ OU) の値を選択します。

  5. Image Builder 設定を確認して、[Create] を選択します。

  6. 新しい Image Builder が [Running] 状態になるまで待機してから、[Connect] を選択します。

  7. 管理者モード、またはローカル管理者権限を持つディレクトリユーザーとして Image Builder にログインします。詳細については、「Image Builder のローカル管理者権限を付与する」を参照してください。

  8. アプリケーションをインストールし、新しいイメージを作成するには、「チュートリアル: AppStream 2.0 コンソールを使用してカスタム AppStream 2.0 イメージを作成する」で説明されているステップを行います。

ステップ 3: ドメイン結合フリートを作成する

前のステップで作成したプライベートイメージを使用して、アプリケーションをストリーミングするためのアクティブディレクトリドメイン参加済みの常時オンおよびオンデマンドフリートを作成します。ドメインは Image Builder でイメージを作成するために使用されたものと別のものにできます。

ドメイン結合の常時オンまたはオンデマンドフリートを作成する

  1. Amazon AppStream 2.0 でフリートを作成する」の手順に従います。

  2. イメージ選択ステップで、前のステップ (ステップ 2: ドメイン結合 Image Builder を使用してイメージを作成する) で作成したイメージを使用します。

  3. Step 4: Configure Network] で、アクティブディレクトリ環境へのネットワーク接続がある VPC およびサブネットを選択します。ドメインと通信できるようにセットアップされたセキュリティグループを選択します。

  4. また、[Step 4: Configure Network] (ステップ 4: ネットワークの設定) で、[Active Directory Domain (Optional)] (アクティブディレクトリドメイン (オプション)) セクションを展開し、フリートを参加させる [Directory Name] (ディレクトリ名) と [Directory OU] (ディレクトリ OU) の値を選択します。

  5. フリート設定を確認して、[Create] を選択します。

  6. フリートをスタックに関連付けて実行するには、「Amazon AppStream 2.0 フリートとスタックを作成する」の残りのステップを実行します。

ステップ 4: SAML 2.0 を設定する

ユーザーは、SAML 2.0 ベースの ID フェデレーション環境を使用して、ドメイン参加済みフリートからストリーミングセッションを起動する必要があります。

シングルサインオンアクセス用の SAML 2.0 を設定するには

  1. SAML のセットアップ」の手順に従います。

  2. AppStream 2.0 では、ログインしているユーザーの SAML_Subject NameID 値を次のいずれかの形式で指定する必要があります。

    • domain\username (sAMAccountName を使用)

    • username@domain.com (userPrincipalName を使用)

    sAMAccountName 形式を使用している場合、NetBIOS 名または完全修飾ドメイン名 (FQDN) を使用して domain を指定できます。

  3. アクティブディレクトリユーザーまたはグループへのアクセスを提供して、AppStream 2.0 スタックに ID プロバイダアプリケーションポータルからアクセスできるようにします。

  4. SAML のセットアップ」の残りのステップを行います。

SAML 2.0 を使用してユーザーにログインさせるには

  1. SAML 2.0 プロバイダーのアプリケーションカタログにログインし、前の手順で作成した AppStream 2.0 SAML アプリケーションを開きます。

  2. AppStream 2.0 アプリケーションカタログが表示されたら、起動するアプリケーションを選択します。

  3. ロード中アイコンが表示されたら、パスワードの入力を求められます。SAML 2.0 ID プロバイダーから提供されたドメインユーザー名がパスワードフィールドの上に表示されます。パスワードを入力して、[ログイン] を選択します。

ストリーミングインスタンスで Windows ログイン手順を実行すると、選択したアプリケーションが開きます。