Pré-requisitos - Amazon AppStream 2.0

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Pré-requisitos

Conclua as etapas a seguir antes de usar a autenticação baseada em certificado.

  1. Configure uma frota associada ao domínio e configure 2.0. SAML Certifique-se de usar o username@domain.com userPrincipalName formato para o SAML _AssuntoNameID. Para obter mais informações, consulte Etapa 5: Criar afirmações para a resposta de SAML autenticação.

    nota

    Não habilite Smart card sign in for Active Directory em sua pilha se quiser usar a autenticação baseada em certificado. Para obter mais informações, consulte Cartões inteligentes.

  2. Use a versão AppStream 2.0 do agente 10-13-2022 ou posterior com sua imagem. Para obter mais informações, consulte Mantenha sua imagem da Amazon AppStream 2.0 Up-to-Date.

  3. Configure o ObjectSid atributo em sua SAML afirmação. Você pode usar esse atributo para realizar um mapeamento robusto com o usuário do Active Directory. A autenticação baseada em certificado falhará se o ObjectSid atributo não corresponder ao identificador de segurança do Active Directory (SID) para o usuário especificado no _Subject. SAML NameID Para obter mais informações, consulte Etapa 5: Criar afirmações para a resposta de SAML autenticação. ObjectSidÉ obrigatório para autenticação baseada em certificado após 10 de setembro de 2025. Para obter mais informações, consulte KB5014754: Alterações na autenticação baseada em certificado em controladores de domínio do Windows.

  4. Adicione a sts:TagSession permissão à política de confiança da IAM função que você usa com sua configuração SAML 2.0. Para obter mais informações, consulte Passar tags de sessão no AWS AWS STS. Essa permissão é necessária para usar a autenticação baseada em certificado. Para obter mais informações, consulte Etapa 2: Criar uma IAM função de federação SAML 2.0.

  5. Crie uma autoridade de certificação (CA) AWS privada usando a CA privada, se você não tiver uma configurada com seu Active Directory. AWS A CA privada é necessária para usar a autenticação baseada em certificado. Para obter mais informações, consulte Planejar a implantação do AWS Private CA. As seguintes configurações de CA AWS privada são comuns para muitos casos de uso de autenticação baseada em certificado:

    • Opções de tipos de CA

      • Modo de uso de CA de certificados de curta duração: recomendado se a CA emitir apenas certificados de usuário final para autenticação baseada em certificado.

      • Hierarquia de nível único com uma CA raiz: escolha uma CA subordinada para integrá-la a uma hierarquia de CAs existente.

    • Principais opções de algoritmo — RSA 2048

    • Opções de nome distinto de assunto: use as opções mais apropriadas para identificar essa CA em seu repositório de Autoridades de Certificação Raiz Confiáveis do Active Directory.

    • Opções de revogação de certificados — distribuição CRL

      nota

      A autenticação baseada em certificado requer um ponto de CRL distribuição on-line acessível a partir da instância AppStream 2.0 da frota e do controlador de domínio. Isso requer acesso não autenticado ao bucket do Amazon S3 configurado AWS para entradas de CRL CA privadas ou CloudFront uma distribuição com acesso ao bucket do Amazon S3, caso bloqueie o acesso público. Para obter mais informações sobre essas opções, consulte Planejando uma lista de revogação de certificados () CRL.

  6. Marque sua CA privada com uma chave autorizada euc-private-ca a designar a CA para uso com autenticação baseada em certificado AppStream 2.0. Essa chave não requer um valor. Para obter mais informações, consulte Gerenciamento de etiquetas para sua CA privada. Para obter mais informações sobre as políticas AWS gerenciadas usadas com AppStream 2.0 para conceder permissões aos recursos em seu Conta da AWS, consulteAWS Políticas gerenciadas necessárias para acessar os recursos AppStream 2.0.

  7. A autenticação baseada em certificado usa cartões inteligentes virtuais para fazer login. Para obter mais informações, consulte Diretrizes para habilitar o logon de cartão inteligente com autoridades de certificação de terceiros. Siga estas etapas:

    1. Configure controladores de domínio com um certificado de controlador de domínio para autenticar usuários de cartões inteligentes. Se você tiver uma CA corporativa dos Serviços de Certificados do Active Directory configurada em seu Active Directory, ela inscreverá automaticamente os controladores de domínio com certificados que permitem o login por cartão inteligente. Se você não tiver os Serviços de Certificados do Active Directory, consulte Requisitos para certificados de controlador de domínio de uma CA terceirizada. AWS recomenda que as autoridades de certificação corporativa do Active Directory gerenciem automaticamente a inscrição de certificados de controlador de domínio.

      nota

      Se você usa o AWS Managed Microsoft AD, pode configurar os Serviços de Certificados em uma EC2 instância da Amazon que atenda aos requisitos de certificados de controlador de domínio. Consulte Implantar o Active Directory em uma nova Amazon Virtual Private Cloud para ver, por exemplo, implantações do Microsoft AD AWS gerenciado configuradas com os Serviços de Certificados do Active Directory.

      Com o AWS Managed Microsoft AD e os Serviços de Certificados do Active Directory, você também deve criar regras de saída do grupo de VPC segurança do controlador para a EC2 instância da Amazon que executa os Serviços de Certificados. Você deve fornecer ao grupo de segurança acesso à TCP porta 135 e às portas 49152 a 65535 para habilitar a inscrição automática do certificado. A EC2 instância da Amazon também deve permitir acesso de entrada nessas mesmas portas a partir de instâncias de domínio, incluindo controladores de domínio. Para obter mais informações sobre como localizar o grupo de segurança para o AWS Managed Microsoft AD, consulte Configurar suas VPC sub-redes e grupos de segurança.

    2. No console da CA AWS privada, ou com o SDK ouCLI, exporte o certificado da CA privada. Para obter mais informações, consulte Exportação de um certificado privado.

    3. Publique a CA privada no Active Directory. Faça login em um controlador de domínio ou em uma máquina associada a um domínio. Copie o certificado de CA privada para qualquer <path>\<file> e execute os comandos a seguir como administrador de domínio. Você também pode usar a Política de Grupo e a Microsoft PKI Health Tool (PKIView) para publicar a CA. Para obter mais informações, consulte Instruções de configuração.

      certutil -dspublish -f <path>\<file> RootCA
      certutil -dspublish -f <path>\<file> NTAuthCA

      Verifique se os comandos são concluídos com êxito, depois remova o arquivo do certificado de CA privada. Dependendo das configurações de replicação do Active Directory, pode levar vários minutos para que a CA publique em seus controladores de domínio e instâncias de frota AppStream 2.0.

      nota

      O Active Directory deve distribuir automaticamente a CA às Autoridades de Certificação Raiz Confiáveis e às NTAuth lojas corporativas para instâncias de frota AppStream 2.0 quando elas ingressam no domínio.

Para sistemas operacionais Windows, a distribuição da CA (autoridade certificadora) acontece automaticamente. No entanto, para Rocky Linux e Red Hat Enterprise Linux, você deve baixar o (s) certificado (s) de CA raiz da CA usada pelo seu AppStream 2.0 Directory Config. Se seus certificados de CA KDC raiz forem diferentes, você também deverá baixá-los. Antes de usar a autenticação baseada em certificado, é necessário importar esses certificados em uma imagem ou instantâneo.

Na imagem, deve haver um arquivo chamado /etc/sssd/pki/sssd_auth_ca_db.pem. Ele deve ter a seguinte aparência:

-----BEGIN CERTIFICATE-----
Base64-encoded certificate chain from ACM Private CA 
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate body from ACM private CA
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded root CA KDC certificate chain
-----END CERTIFICATE-----
nota

Ao copiar uma imagem entre regiões ou contas, ou ao reassociar uma imagem a um novo Active Directory, esse arquivo precisará ser reconfigurado com os certificados relevantes em um criador de imagens e capturado novamente antes do uso.

Abaixo estão as instruções para baixar os certificados de CA raiz:

  1. No criador de imagens, crie um arquivo chamado /etc/sssd/pki/sssd_auth_ca_db.pem.

  2. Abra o console da CA AWS privada.

  3. Escolha o certificado privado usado com seu Directory Config AppStream 2.0.

  4. Escolha a guia Certificado de CA.

  5. Copie a cadeia de certificados e o corpo do certificado para /etc/sssd/pki/sssd_auth_ca_db.pem no criador de imagens.

Se os certificados de CA raiz usados pelo KDCs forem diferentes do certificado de CA raiz usado pelo seu AppStream 2.0 Directory Config, siga estas etapas de exemplo para baixá-los:

  1. Conecte-se a uma instância do Windows associada ao mesmo domínio do seu criador de imagens.

  2. Abra o certlm.msc.

  3. No painel esquerdo, escolha Autoridades de certificação raiz confiáveis e, em seguida, escolha Certificados.

  4. Para cada certificado de CA raiz, abra o menu de contexto (clique com o botão direito do mouse).

  5. Escolha Todas as tarefas e Exportar para abrir o assistente de exportação de certificados e, em seguida, Avançar.

  6. Escolha X.509 codificado em Base64 (. CER) e escolha Avançar.

  7. Escolha Procurar, insira um nome de arquivo e escolha Avançar.

  8. Escolha Terminar.

  9. Abra o certificado exportado em um editor de textos.

  10. Copie o conteúdo do arquivo para /etc/sssd/pki/sssd_auth_ca_db.pem no criador de imagens.