Habilitar o logon único - AWS Directory Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitar o logon único

AWS Directory Service fornece a capacidade de permitir que seus usuários acessem a Amazon WorkDocs a partir de um computador associado ao diretório sem precisar inserir suas credenciais separadamente.

Antes de habilitar a autenticação única, é necessário executar etapas adicionais para permitir que os navegadores da Web dos usuários ofereçam suporte à autenticação única. Os usuários podem precisar modificar suas configurações de navegador da Web para habilitar a autenticação única.

nota

O logon único só funciona quando usado em um computador ingressado no diretório do AWS Directory Service . Não pode ser usado em computadores que não estão ingressados no diretório.

Se o diretório for um diretório do AD Connector e a conta de serviço do AD Connector não tiver a permissão para adicionar ou remover o atributo do nome da entidade principal de serviço, você terá duas opções para as etapas 5 e 6 abaixo:

  1. Você poderá continuar e será solicitado o nome de usuário e a senha de um usuário do diretório que tenha essa permissão para adicionar ou remover o atributo do nome principal de serviço na conta de serviço do AD Connector. Essas credenciais são usadas apenas para habilitar a autenticação única e não são armazenadas pelo serviço. As permissões da conta de serviço do AD Connector não são alteradas.

  2. Você pode delegar permissões para permitir que a conta de serviço do AD Connector adicione ou remova o atributo do nome principal do serviço em si mesma. Você pode executar os PowerShell comandos abaixo em um computador associado ao domínio usando uma conta que tenha permissões para modificar as permissões na conta de serviço do AD Connector. O comando abaixo permitirá que a conta de serviço do AD Connector adicione e remova um atributo de nome de entidade principal de serviço somente na própria conta.

$AccountName = 'ConnectorAccountName' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module 'ActiveDirectory' $RootDse = Get-ADRootDSE [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID # Getting AD Connector service account Information. $AccountProperties = Get-ADUser -Identity $AccountName $AclPath = $AccountProperties.DistinguishedName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value # Getting ACL settings for AD Connector service account. $ObjectAcl = Get-ACL -Path "AD:\$AclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself $AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None' $ObjectAcl.AddAccessRule($AddAccessRule) Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
Para ativar ou desativar o login único com a Amazon WorkDocs
  1. No painel de navegação do console do AWS Directory Service selecione Diretórios.

  2. Na página Directories (Diretórios), escolha o ID do diretório.

  3. Na página Directory details (Detalhes do diretório), selecione a guia Application management (Gerenciamento de aplicativos).

  4. Na URL seção Acesso ao aplicativo, escolha Habilitar para habilitar o login único para a Amazon. WorkDocs

    Se você não vir o botão Habilitar, talvez seja necessário primeiro criar um Access URL antes que essa opção seja exibida. Para obter mais informações sobre como criar um acessoURL, consulteCriando um acesso URL para o AWS Managed Microsoft AD.

  5. Na caixa de diálogo Habilitar autenticação única para este diretório, escolha Habilitar. O logon único é habilitado para o diretório.

  6. Se mais tarde você quiser desativar o login único com a Amazon WorkDocs, escolha Desativar e, na caixa de diálogo Desativar login único para este diretório, escolha Desativar novamente.

Autenticação única para IE e Chrome

Para permitir que os navegadores Microsoft Internet Explorer (IE) e o Google Chrome ofereçam suporte à autenticação única, as seguintes tarefas devem ser executadas no computador cliente:

  • Adicione seu acesso URL (por exemplo, https://<alias>.awsapps.com) à lista de sites aprovados para login único.

  • Ative o script ativo (JavaScript).

  • Permita o login automático.

  • Habilitar a autenticação integrada.

Você ou seus usuários podem executar essas tarefas manualmente, ou você pode alterar essas configurações usando as configurações da Política de grupo.

Atualização manual para autenticação única no Windows

Para habilitar manualmente a autenticação única em um computador Windows, execute as seguintes etapas no computador cliente. Algumas dessas configurações já podem estar definidas corretamente.

Para habilitar manualmente o logon único para o Internet Explorer e o Chrome no Windows
  1. Para abrir a caixa de diálogo Internet Properties, feche o menu Start, digite Internet Options na caixa de pesquisa e escolha Internet Options.

  2. Adicione seu acesso URL à lista de sites aprovados para login único executando as seguintes etapas:

    1. Na caixa de diálogo Internet Properties, selecione a guia Security.

    2. Selecione Local intranet e escolha Sites.

    3. Na caixa de diálogo Local intranet, escolha Advanced.

    4. Adicione seu acesso URL à lista de sites e escolha Fechar.

    5. Na caixa de diálogo Local intranet, escolha OK.

  3. Para habilitar scripts ativos, execute as seguintes etapas:

    1. Na guia Security da caixa de diálogo Internet Properties, escolha Custom level.

    2. Na caixa de diálogo Security Settings - Local Intranet Zone, role para baixo até Scripting e selecione Enable em Active scripting.

    3. Na caixa de diálogo Security Settings - Local Intranet Zone, escolha OK.

  4. Para habilitar o login automático, execute as seguintes etapas:

    1. Na guia Security da caixa de diálogo Internet Properties, escolha Custom level.

    2. Na caixa de diálogo Security Settings - Local Intranet Zone, role para baixo até User Authentication e selecione Automatic logon only in Intranet zone em Logon.

    3. Na caixa de diálogo Security Settings - Local Intranet Zone, escolha OK.

    4. Na caixa de diálogo Security Settings - Local Intranet Zone, escolha OK.

  5. Para habilitar a autenticação integrada, execute as seguintes etapas:

    1. Na caixa de diálogo Internet Properties, selecione a guia Advanced.

    2. Role para baixo até Security e selecione Enable Integrated Windows Authentication.

    3. Na caixa de diálogo Internet Properties, escolha OK.

  6. Feche e abra seu navegador novamente para que essas alterações entrem em vigor.

Atualização manual para autenticação única no OS X

Para habilitar manualmente a autenticação única para o Chrome no OS X, execute as seguintes etapas no computador cliente. Você precisará ter direitos de administrador no computador para concluir estas etapas.

Para habilitar manualmente logon único para o Chrome no OS X
  1. Adicione seu acesso URL à AuthServerAllowlistpolítica executando o seguinte comando:

    defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com"
  2. Abra System Preferences, vá para o painel Profiles e exclua o perfil Chrome Kerberos Configuration.

  3. Reinicie o Chrome e abra chrome://policy no Chrome para confirmar se as configurações estão implantadas.

Configurações da política de grupo para autenticação única

O administrador do domínio pode implementar as configurações da Política de grupo para fazer as alterações de logon único em computadores cliente ingressados no domínio.

nota

Se você gerencia os navegadores da Web Chrome nos computadores do seu domínio com as políticas do Chrome, deverá adicionar seu acesso URL à AuthServerAllowlistpolítica. Para obter mais informações sobre como definir políticas do Chrome, acesse Configurações de políticas no Chrome.

Para habilitar o logon único manualmente para o Internet Explorer e o Chrome usando as configurações de Política de grupo
  1. Crie um novo objeto de Política de grupo executando as seguintes etapas:

    1. Abra a ferramenta de gerenciamento de políticas de grupo, navegue até seu domínio e selecione Group Policy Objects.

    2. No menu principal, escolha Action e selecione New.

    3. Na caixa de GPO diálogo Novo, insira um nome descritivo para o objeto de Política de Grupo, comoIAM Identity Center Policy, e deixe o Source Starter GPO definido como (nenhum). Clique em OK.

  2. Adicione o acesso URL à lista de sites aprovados para login único executando as seguintes etapas:

    1. Na ferramenta Gerenciamento de Política de Grupo, navegue até seu domínio, selecione Objetos de Política de Grupo, abra o menu de contexto (clique com o botão direito do mouse) da sua política do IAM Identity Center e escolha Editar.

    2. Na árvore de políticas, navegue para User Configuration > Preferences > Windows Settings.

    3. Na lista Windows Settings, abra o menu de contexto (clique com o botão direito do mouse) de Registry e escolha New registry item.

    4. Na caixa de diálogo New Registry Properties, insira as configurações a seguir e escolha OK:

      Ação

      Update

      Hive

      HKEY_CURRENT_USER

      Path

      Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>

      O valor para <alias> é derivado do seu acessoURL. Se o seu acesso URL forhttps://examplecorp.awsapps.com, o alias é examplecorp e a chave do registro seráSoftware\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp.

      Value name

      https

      Tipo de valor

      REG_DWORD

      Value data

      1

  3. Para habilitar scripts ativos, execute as seguintes etapas:

    1. Na ferramenta Gerenciamento de Política de Grupo, navegue até seu domínio, selecione Objetos de Política de Grupo, abra o menu de contexto (clique com o botão direito do mouse) da sua política do IAM Identity Center e escolha Editar.

    2. Na árvore de políticas, navegue para Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone.

    3. Na lista Intranet Zone, abra o menu de contexto (clique com o botão direito do mouse) de Allow active scripting e escolha Edit.

    4. Na caixa de diálogo Allow active scripting, insira as configurações a seguir e escolha OK:

      • Selecione o botão de opção Enabled.

      • Em Options, defina Allow active scripting como Enable.

  4. Para habilitar o login automático, execute as seguintes etapas:

    1. Na ferramenta Gerenciamento de Política de Grupo, navegue até seu domínio, selecione Objetos de Política de Grupo, abra o menu de contexto (clique com o botão direito do mouse) da sua SSO política e escolha Editar.

    2. Na árvore de políticas, navegue para Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone.

    3. Na lista Intranet Zone, abra o menu de contexto (clique com o botão direito do mouse) de Logon options e escolha Edit.

    4. Na caixa de diálogo Logon options, insira as configurações a seguir e escolha OK:

      • Selecione o botão de opção Enabled.

      • Em Options defina Logon options como Automatic logon only in Intranet zone.

  5. Para habilitar a autenticação integrada, execute as seguintes etapas:

    1. Na ferramenta Gerenciamento de Política de Grupo, navegue até seu domínio, selecione Objetos de Política de Grupo, abra o menu de contexto (clique com o botão direito do mouse) da sua política do IAM Identity Center e escolha Editar.

    2. Na árvore de políticas, navegue para User Configuration > Preferences > Windows Settings.

    3. Na lista Windows Settings, abra o menu de contexto (clique com o botão direito do mouse) de Registry e escolha New registry item.

    4. Na caixa de diálogo New Registry Properties, insira as configurações a seguir e escolha OK:

      Ação

      Update

      Hive

      HKEY_CURRENT_USER

      Path

      Software\Microsoft\Windows\CurrentVersion\Internet Settings

      Value name

      EnableNegotiate

      Tipo de valor

      REG_DWORD

      Value data

      1

  6. Feche a janela Group Policy Management Editor se ainda estiver aberta.

  7. Atribua a nova política a seu domínio seguindo estas etapas:

    1. Na árvore de Gerenciamento de Política de Grupo, abra o menu de contexto (clique com o botão direito do mouse) do seu domínio e escolha Vincular um existente GPO.

    2. Na lista Objetos de Política de Grupo, selecione sua política do IAM Identity Center e escolha OK.

Essas alterações entrarão em vigor depois da próxima atualização de Política de grupo no cliente, ou na próxima vez que o usuário fizer login.

Autenticação única para o Firefox

Para permitir que o navegador Mozilla Firefox suporte login único, adicione seu acesso URL (por exemplo, https://<alias>.awsapps.com) à lista de sites aprovados para login único. Isso pode ser feito manualmente ou ser automatizado com um script.

Atualização manual para autenticação única

Para adicionar manualmente seu acesso URL à lista de sites aprovados no Firefox, execute as etapas a seguir no computador cliente.

Para adicionar manualmente seu acesso URL à lista de sites aprovados no Firefox
  1. Abra o Firefox e abra a página about:config.

  2. Abra a network.negotiate-auth.trusted-uris preferência e adicione seu acesso URL à lista de sites. Use uma vírgula (,) para separar várias entradas.

Atualização automática para autenticação única

Como administrador de domínio, você pode usar um script para adicionar seu acesso URL à preferência de network.negotiate-auth.trusted-uris usuário do Firefox em todos os computadores da sua rede. Para obter mais informações, acesse https://support.mozilla. org/en-US/questions/939037.