アクティブディレクトリドメインの概要 - Amazon WorkSpaces

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクティブディレクトリドメインの概要

WorkSpaces プールで Active Directory ドメインを使用するには、それらがどのように連携するか、および完了する必要がある設定タスクを理解する必要があります。次のタスクを実行する必要があります。

  1. 必要に応じて、アプリケーションのエンドユーザーエクスペリエンスとセキュリティ要件を定義できるように、グループポリシーを設定します。

  2. WorkSpaces プールでドメイン結合ディレクトリを作成します。

  3. 2.0 ID プロバイダーで WorkSpaces Pools SAML アプリケーションを作成し、直接または Active Directory グループを介してエンドユーザーに割り当てます。

ユーザー認証フロー

  1. ユーザーが https://applications.exampleco.com を参照します。サインインページがユーザーの認証をリクエストします。

  2. フェデレーションサービスが組織の ID ストアからの認証をリクエストします。

  3. ID ストアはユーザーを認証し、フェデレーションサービスに認証レスポンスを返します。

  4. 認証が成功すると、フェデレーションサービスはユーザーのブラウザにSAMLアサーションを投稿します。

  5. ユーザーのブラウザは、SAMLアサーションを AWS サインインSAMLエンドポイント (https://signin.aws.amazon.com/saml) に投稿します。 AWS サインインはSAMLリクエストを受け取り、リクエストを処理し、ユーザーを認証し、認証トークンを WorkSpaces プールサービスに転送します。

  6. からの認証トークンを使用して AWS、 WorkSpaces Pools はユーザーを認可し、ブラウザにアプリケーションを表示します。

  7. ユーザーはアプリケーションを選択し、 WorkSpaces Poles ディレクトリで有効になっている Windows ログイン認証方法に応じて、Active Directory ドメインのパスワードを入力するか、スマートカードを選択するように求められます。両方の認証方法が有効になっている場合、ユーザーはドメインパスワードを入力するか、スマートカードを使用するかを選択できます。証明書ベースの認証は、プロンプトを省略してユーザーの認証にも使用できます。

  8. ドメインコントローラーに接続してユーザーを認証します。

  9. ドメインで認証された後、ユーザーのセッションがドメインに接続できる状態で開始されます。

ユーザーの視点から見ると、このプロセスは透過的です。ユーザーはまず組織の内部ポータルに移動し、 AWS 認証情報を入力することなく WorkSpaces プールポータルにリダイレクトされます。アクティブディレクトリドメインのパスワードまたはスマートカードの認証情報のみが必要です。

ユーザーがこのプロセスを開始する前に、必要なエンタイトルメントとグループポリシー設定で Active Directory を設定し、ドメイン結合 WorkSpaces プールディレクトリを作成する必要があります。