As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Pré-requisitos
<a name="certificate-based-authentication-prereq"></a>

Conclua as etapas a seguir antes de usar a autenticação baseada em certificado.

1. Configure o diretório do WorkSpaces Pools com a integração do SAML 2.0 para usar a autenticação baseada em certificado. Para obter mais informações, consulte [Configure o SAML 2.0 e crie um diretório de WorkSpaces pools](create-directory-pools.md).
**nota**  
Não habilite **Smart card sign in** em seu diretório de pool se quiser usar a autenticação baseada em certificado. 

1. Configure o atributo `userPrincipalName` na declaração SAML. Para obter mais informações, consulte [Etapa 7: criar declarações para a resposta de autenticação SAML](create-directory-pools.md#saml-directory-create-assertions).

1. Configure o atributo `ObjectSid` na declaração SAML. Você pode usar esse atributo para realizar um mapeamento robusto com o usuário do Active Directory. A autenticação baseada em certificado falhará se o atributo `ObjectSid` não corresponder ao identificador de segurança (SID) do Active Directory do usuário especificado no `NameID` de SAML\$1Subject. Para obter mais informações, consulte [Etapa 7: criar declarações para a resposta de autenticação SAML](create-directory-pools.md#saml-directory-create-assertions). 
**nota**  
De acordo com o [Microsoft KB5014754](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16), o atributo `ObjectSid` se tornará obrigatório para autenticação baseada em certificado após 10 de setembro de 2025.

1. Adicione a permissão `sts:TagSession` à política de confiança do perfil do IAM que você usa com sua configuração do SAML 2.0. Para receber mais informações, consulte [Passar tags de sessão no AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html.html) no *Guia do usuário do AWS Identity and Access Management*. Essa permissão é necessária para usar a autenticação baseada em certificado. Para obter mais informações, consulte [Etapa 5: criar um perfil do IAM de federação SAML 2.0](create-directory-pools.md#saml-directory-saml-federation-role-in-iam).

1. Crie uma autoridade de certificação (CA) privada usando o AWS Private CA, caso ainda não tenha uma configurada com seu Active Directory. O AWS Private CA é necessário para usar a autenticação baseada em certificado. Para obter mais informações, consulte [Planning your CA Privada da AWS deployment](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html) no *Guia do Usuário do Autoridade de Certificação Privada da AWS*. As seguintes configurações do AWS Private CA são comuns para muitos casos de uso de autenticação baseada em certificado:
   + **Opções de tipos de CA**
     + **Modo de uso de CA de certificados de curta duração**: recomendado se a CA emitir apenas certificados de usuário final para autenticação baseada em certificado.
     + **Hierarquia de nível único com uma CA raiz**: escolha uma CA subordinada para integrá-la a uma hierarquia de CAs existente.
   + **Opções de algoritmos de chave**: RSA 2048
   + **Opções de nome distinto de assunto**: use as opções mais apropriadas para identificar essa CA em seu repositório de Autoridades de Certificação Raiz Confiáveis do Active Directory.
   + **Opções de revogação de certificado**: distribuição de CRL
**nota**  
A autenticação baseada em certificado requer um ponto de distribuição de CRL on-line acessível pelo WorkSpaces no WorkSpaces Pools e pelo controlador do domínio. Isso requer acesso não autenticado ao bucket do Amazon S3 configurado para entradas de CRL do AWS Private CA ou uma distribuição do CloudFront com acesso ao bucket do Amazon S3 caso ele bloqueie o acesso público. Para obter mais informações sobre essas opções, consulte [Planning a certificate revocation list (CRL)](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html) no *Guia do Usuário do Autoridade de Certificação Privada da AWS*.

1. Marque sua CA privada com uma chave denominada `euc-private-ca` a fim de designar a CA para uso com a autenticação baseada em certificado do WorkSpaces Pools. Essa chave não requer um valor. Para obter mais informações, consulte [Managing tags for your private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html) no *Guia do usuário do Autoridade de Certificação Privada da AWS*.

1. A autenticação baseada em certificado usa cartões inteligentes virtuais para fazer login. Para obter mais informações, consulte [Diretrizes para habilitar o logon de cartão inteligente com autoridades de certificação de terceiros](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities). Siga estas etapas:

   1. Configure controladores de domínio com um certificado de controlador de domínio para autenticar usuários de cartões inteligentes. Se você tiver uma CA corporativa dos Serviços de Certificados do Active Directory configurada em seu Active Directory, ela inscreverá automaticamente os controladores de domínio com certificados que permitem o login por cartão inteligente. Se você não tiver os Serviços de Certificados do Active Directory, consulte [Requisitos para certificados de controlador de domínio de uma AC de terceiros](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller). Você pode criar um certificado de controlador de domínio com o AWS Private CA. Se fizer isso, não use uma CA privada configurada para certificados de curta duração.
**nota**  
Se você usa o AWS Managed Microsoft AD, pode configurar os Serviços de Certificados em uma instância do Amazon EC2 que atenda aos requisitos de certificados de controlador de domínio. Para conferir exemplos de implantações do AWS Managed Microsoft AD configurado com os Serviços de Certificados do Active Directory, consulte [Deploy Active Directory to a new Amazon Virtual Private Cloud](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html).  
Com o AWS Managed Microsoft AD e os Serviços de Certificados do Active Directory, você também deve criar regras de saída do grupo de segurança da VPC do controlador para a instância do Amazon EC2 que executa os Serviços de Certificados. Você deve fornecer ao grupo de segurança acesso à porta TCP 135 e às portas 49152 a 65535 para habilitar o registro automático de certificados. A instância do Amazon EC2 também deve permitir acesso de entrada nessas mesmas portas das instâncias do domínio, incluindo controladores de domínio. Para obter mais informações sobre como localizar o grupo de segurança para o AWS Managed Microsoft AD, consulte [Configurar suas sub-redes VPC e grupos de segurança](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc).

   1. No console do AWS Private CA, ou com o SDK ou a CLI, exporte o certificado de CA privada. Para obter mais informações, consulte [Exportação de um certificado privado](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html).

   1. Publique a CA privada no Active Directory. Faça login em um controlador de domínio ou em uma máquina associada a um domínio. Copie o certificado de CA privada para qualquer `<path>\<file>` e execute os comandos a seguir como administrador de domínio. Você também pode usar uma política de grupo e a Microsoft PKI Health Tool (PKIView) para publicar a CA. Para obter mais informações, consulte [Instruções de configuração](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions).

      ```
      certutil -dspublish -f <path>\<file> RootCA
      ```

      ```
      certutil -dspublish -f <path>\<file> NTAuthCA
      ```

      Verifique se os comandos são concluídos com êxito, depois remova o arquivo do certificado de CA privada. Dependendo das configurações de replicação do Active Directory, pode levar vários minutos para que a CA seja publicada nos controladores de domínio e no WorkSpaces do WorkSpaces Pools.
**nota**  
O Active Directory deve distribuir a CA às Autoridades de Certificação Raiz Confiáveis e aos repositórios Enterprise NTAuth automaticamente para o WorkSpaces no WorkSpaces Pools quando ela se associa ao domínio.
**nota**  
Os controladores de domínio do Active Directory devem estar no modo de compatibilidade para que a imposição do certificado ofereça suporte à autenticação baseada em certificados. Para obter mais informações, consulte [KB5014754: Alterações na autenticação baseada em certificado em controladores de domínio do Windows](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16) na documentação do Suporte Microsoft. Se você estiver usando o Microsoft AD AWS gerenciado, consulte [Definir as configurações de segurança do diretório](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_settings.html) para obter mais informações.