スマートカードで使用する AD Connector での mTLS 認証の有効化 - AWS Directory Service
前提条件スマートカード認証の有効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

スマートカードで使用する AD Connector での mTLS 認証の有効化

スマートカードを使用した証明書ベースの相互 Transport Layer Security (m TLS) 認証を使用して、セルフマネージド Active Directory (AD) と AD Connector WorkSpaces を介して Amazon へのユーザーを認証できます。有効にすると、ユーザーは WorkSpaces ログイン画面でスマートカードを選択し、ユーザー名とパスワードを使用する代わりに を入力してPIN認証します。そこから、Windows または Linux 仮想デスクトップがスマートカードを使用して、ネイティブデスクトップ OS から AD への認証を行います。

注記

AD Connector のスマートカード認証は AWS リージョン、次の でのみ、 でのみ使用できます WorkSpaces。現時点では、他の AWS アプリケーションはサポートされていません。

  • 米国東部 (バージニア北部)

  • 米国西部 (オレゴン)

  • アジアパシフィック (シドニー)

  • アジアパシフィック (東京)

  • 欧州 (アイルランド)

  • AWS GovCloud (米国西部)

  • AWS GovCloud (米国東部)

証明書の登録を解除したり、無効にしたりすることもできます。

トピック

前提条件

Amazon WorkSpaces クライアントのスマートカードを使用して証明書ベースの相互 Transport Layer Security (m TLS) 認証を有効にするには、セルフマネージド型と統合された運用スマートカードインフラストラクチャが必要です。Active Directory。 Amazon WorkSpaces と でスマートカード認証を設定する方法の詳細については、Active Directory、「Amazon WorkSpaces 管理ガイド」を参照してください。

のスマートカード認証を有効にする前に WorkSpaces、以下の前提条件を確認してください。

CA 証明書の要件

AD Connector では、スマートカード認証にユーザー証明書の発行者を表す認証機関 (CA) 証明書が必要です。AD Connector は、CA 証明書をユーザーがスマートカードで提示した証明書と照合します。次の CA 証明書の要件に注意してください。

  • CA 証明書を登録するには、有効期限までに 90 日超の期間があることが必要です。

  • CA 証明書は、プライバシー強化メール (PEM) 形式である必要があります。Active Directory 内から CA 証明書をエクスポートする場合は、エクスポートファイル形式として Base64-encodedされた X.509 (.CER) を選択します。

  • スマートカード認証を成功させるには、発行元 CA からユーザー証明書まで繋がるすべてのルートおよび中間 CA 証明書をアップロードする必要があります。

  • AD Connector ディレクトリごとに最大 100 個の CA 証明書を保存できます。

  • AD Connector は、CA 証明書の RSASSA-PSS 署名アルゴリズムをサポートしていません。

  • Certificate Propagation Service が自動に設定され、実行されていることを確認します。

ユーザー証明書の要件

以下は、ユーザー証明書の要件の一部です。

  • ユーザーのスマートカード証明書には、ユーザーのサブジェクト代替名 (SAN) userPrincipalName () がありますUPN。

  • ユーザーのスマートカード証明書には、スマートカードログオン (1.3.6.1.4.1.311.20.2.2) クライアント認証 (1.3.6.1.5.5.7.3.2) として拡張キー使用状況があります。

  • ユーザーのスマートカード証明書のオンライン証明書ステータスプロトコル (OCSP) 情報は、権限情報アクセスの Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) である必要があります。

AD Connector とスマートカード認証要件の詳細については、「Amazon 管理ガイド」の「要件」を参照してください。 WorkSpaces へのログイン、パスワードのリセット WorkSpaces、 への接続などの Amazon WorkSpaces 問題のトラブルシューティングについては WorkSpaces、「Amazon WorkSpaces ユーザーガイド」の WorkSpaces 「クライアント問題のトラブルシューティング」を参照してください。

証明書失効チェックのプロセス

スマートカード認証を実行するには、AD Connector はオンライン証明書ステータスプロトコル () を使用してユーザー証明書の失効ステータスを確認する必要がありますOCSP。証明書失効チェックを実行するには、OCSPレスポンダーがインターネットにアクセスできるURL必要があります。DNS 名前を使用する場合、OCSPレスポンダーURLは Internet Assigned Numbers Authority (IANA) ルートゾーンデータベース にある最上位ドメインを使用する必要があります。

AD Connector 証明書失効チェックでは、次のプロセスが使用されます。

  • AD Connector は、OCSPレスポンダー のユーザー証明書の Authority Information Access (AIA) 拡張機能をチェックする必要があります。その後URL、AD Connector は URL を使用して取り消しをチェックします。

  • AD Connector がユーザー証明書AIA拡張機能でURL見つかった を解決できない場合、またはユーザー証明書URLでOCSPレスポンダーを見つけられない場合、AD Connector はルート CA 証明書の登録中にOCSPURL提供されたオプションを使用します。

    ユーザー証明書AIA拡張機能URLの が解決しても応答しない場合、ユーザー認証は失敗します。

  • ルート CA 証明書の登録中にURL指定されたOCSPレスポンダーが解決できない場合、応答しない場合、またはOCSPレスポンダーが指定されていない場合、ユーザー認証URLは失敗します。

  • OCSP サーバーは RFC6960 に準拠している必要があります。さらに、OCSPサーバーは、合計 255 バイト以下のリクエストに対して GETメソッドを使用してリクエストをサポートする必要があります。

注記

AD Connector には、OCSPレスポンダー HTTP URL の が必要ですURL。

考慮事項

AD Connector でスマートカード認証を有効にする前に、次の項目を考慮してください。

  • AD Connector は、証明書ベースの相互 Transport Layer Security 認証 (相互 TLS) を使用して、ハードウェアまたはソフトウェアベースのスマートカード証明書を使用して Active Directory へのユーザーを認証します。現時点では、一般的なアクセスカード (CAC) と個人 ID 検証 (PIV) カードのみがサポートされています。他のタイプのハードウェアまたはソフトウェアベースのスマートカードは機能する可能性がありますが、ストリーミングプロトコルでの使用は WorkSpacesテストされていません。

  • スマートカード認証は、ユーザー名とパスワード認証を に置き換えます WorkSpaces。

    スマートカード認証が有効になっている他の AWS アプリケーションが AD Connector ディレクトリに設定されている場合でも、それらのアプリケーションにはユーザー名とパスワードの入力画面が表示されます。

  • スマートカード認証を有効にすると、ユーザーセッション期間が Kerberos サービスチケットの最大有効期間に制限されます。この設定はグループポリシーを使用して設定でき、デフォルトで 10 時間に設定されています。この設定の詳細については、Microsoft のドキュメントを参照してください。

  • AD Connector サービスアカウントでサポートされる Kerberos 暗号化タイプは、各ドメインコントローラーでサポートされる Kerberos 暗号化タイプと一致する必要があります。

スマートカード認証の有効化

AD Connector WorkSpaces で のスマートカード認証を有効にするには、まず認証局 (CA) 証明書を AD Connector にインポートする必要があります。CA 証明書は、 AWS Directory Service コンソールAPIまたは を使用して AD Connector にインポートできますCLI。以下の手順を使用して CA 証明書をインポートし、その後スマートカード認証を有効にします。

AD Connector サービスアカウントの Kerberos 制約付き委任を有効にする

AD Connector でスマートカード認証を使用するには、自己管理 AD ディレクトリの LDAP サービスへの AD Connector Service アカウントの Kerberos 制約委任 (KCD) を有効にする必要があります。

Kerberos の制約付き委任は、Windows Server の機能の 1 つです。この機能により、管理者は、アプリケーションサービスがユーザーを代行できる範囲を制限することによって、アプリケーションの信頼の境界を指定および適用できます。詳細については、「Kerberos の制約付き委任」を参照してください。

注記

Kerberos 制約委任 (KCD) では、AD Connector サービスアカウントのユーザー名部分が、同じユーザーsAMAccountの名前と一致する必要があります。sAMAccount名前は 20 文字に制限されています。sAMAccountName は、以前のバージョンの Windows クライアントとサーバーのサインイン名として使用される Microsoft Active Directory 属性です。

  1. SetSpn コマンドを使用して、セルフマネージド AD の AD Connector サービスアカウントのサービスプリンシパル名 (SPN) を設定します。これにより、サービスアカウントを委任設定に使用できるようになります。

    は、任意のサービスまたは名前の組み合わせSPNにできますが、既存の の重複はできませんSPN。-s で、重複がないかチェックされます。

    setspn -s my/spn service_account

  2. [AD Users and Computers] で、コンテキスト (右クリック)  メニューを開き、AD Connector サービスアカウントを選択して、[Properties] を選択します。

  3. [Delegation] (委任) タブを選択します。

  4. [Trust this user for delegation to specified service only]  と [Use any authentication protocol] オプションを選択します。

  5. [Add] (追加) を選択し、[Users or Computers] (ユーザーまたはコンピュータ) を選択して、ドメインコントローラーを見つけます。

  6. [OK] をクリックして、委任に使用できるサービスのリストを表示します。

  7. ldap サービスタイプを選択して、[OK] を選択します。

  8. もう一度 OK を選択して、設定を保存します。

  9. Active Directory 内の他のドメインコントローラーでこのプロセスを繰り返します。または、 を使用してプロセスを自動化することもできます PowerShell。

AD Connector での CA 証明書の登録

以下のいずれかの方法を使用して、AD Connector ディレクトリの CA 証明書を登録します。

方法 1: AD Connector で CA 証明書を登録するには (AWS Management Console)

  1. AWS Directory Service コンソールのナビゲーションペインで、[Directories] (ディレクトリ) をクリックします。

  2. ディレクトリのディレクトリ ID リンクを選択します。

  3. [Directory details] (ディレクトリの詳細) ページで、[Networking & security] (ネットワークとセキュリティ) タブを選択します。

  4. [Smart card authentication] セクションで、[Actions] メニューをクリックし、[Register certificate] を選択します。

  5. [Register a certificate] ダイアログボックスで [Choose file] をクリックして、証明書を選択し、[Open]  をクリックします。オプションで、オンライン証明書ステータスプロトコル (OCSP) レスポンダー を指定することで、この証明書の失効チェックを実行することができますURL。の詳細についてはOCSP、「」を参照してください証明書失効チェックのプロセス

  6. [Register certificate] (証明書の登録) を選択します。証明書のステータスが [Registered] (登録済み) に変わったら、登録プロセスは正常に完了しています。

方法 2: AD Connector で CA 証明書を登録するには (AWS CLI)

  • 次のコマンドを実行します。証明書データについては、CA 証明書ファイルの場所を指定します。セカンダリレスOCSPポンダーアドレスを指定するには、オプションの ClientCertAuthSettings オブジェクトを使用します。

    aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path --type ClientCertAuth --client-cert-auth-settings OCSPUrl=http://your_OCSP_address

    成功すると、証明書 ID が返されます。次のCLIコマンドを実行して、CA 証明書が正常に登録されたことを確認することもできます。

    aws ds list-certificates --directory-id your_directory_id

    ステータス値として Registered が返される場合、証明書は正常に登録されています。

サポートされている AWS アプリケーションとサービスのスマートカード認証の有効化

以下のいずれかの方法を使用して、AD Connector ディレクトリの CA 証明書を登録します。

方法 1: AD Connector でスマートカード認証を有効にするには (AWS Management Console)

  1. [Directory details] ページの [Smart card authentication] セクションで、[Enable] をクリックします。このオプションを使用できない場合は、有効な証明書が正常に登録されていることを確認してから、もう一度やり直してください。

  2. [Enable smart card authentication] (スマートカード認証を有効にする) ダイアログボックスで、[Enable] (有効化) をクリックします。

方法 2: AD Connector でスマートカード認証を有効にするには (AWS CLI)

  • 以下のコマンドを実行します。

    aws ds enable-client-authentication --directory-id your_directory_id --type SmartCard

    成功すると、AD Connector は空のHTTP本文を持つHTTP 200レスポンスを返します。

証明書の表示、証明書の登録解除または無効化の詳細については、「」を参照してくださいスマートカード認証設定の管理