Autenticação baseada em certificado e pessoal WorkSpaces - Amazon WorkSpaces
Pré-requisitosHabilitar a autenticação baseada em certificadoGerenciar a autenticação baseada em certificadoAtivar o compartilhamento entre contas PCA

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autenticação baseada em certificado e pessoal WorkSpaces

Você pode usar a autenticação baseada em certificado com WorkSpaces para remover a solicitação do usuário para a senha do domínio do Active Directory. Ao usar a autenticação baseada em certificado com um domínio do Active Directory, você pode:

  • Confie no seu provedor de identidade SAML 2.0 para autenticar o usuário e fornecer SAML declarações que correspondam ao usuário no Active Directory.

  • Habilitar uma experiência de autenticação única com menos prompts do usuário.

  • Habilite fluxos de autenticação sem senha usando seu provedor de identidade SAML 2.0.

A autenticação baseada em certificado usa AWS Private CA recursos em sua conta. AWS AWS Private CA permite a criação de hierarquias de autoridade de certificação (CA) privada, incluindo raiz e subordinada. CAs Com AWS Private CA, você pode criar sua própria hierarquia de CA e emitir certificados com ela para autenticar usuários internos. Para obter mais informações, consulte o Guia do usuário do AWS Private Certificate Authority.

Ao usar AWS Private CA para autenticação baseada em certificado, WorkSpaces solicitará certificados para seus usuários automaticamente durante a autenticação da sessão. Os usuários são autenticados no Active Directory usando um cartão inteligente virtual provisionado com os certificados.

A autenticação baseada em certificado é compatível com o Windows WorkSpaces em DCV pacotes usando os aplicativos clientes mais recentes do WorkSpaces Web Access, Windows e macOS. Abra os downloads WorkSpaces do Amazon Client para encontrar as versões mais recentes:

  • Cliente Windows versão 5.5.0 ou posterior

  • Cliente para macOS versão 5.6.0 ou posterior

Para obter mais informações sobre como configurar a autenticação baseada em certificados com a Amazon WorkSpaces, consulte Como configurar a autenticação baseada em certificados para a WorkSpaces Amazon e Considerações de design em ambientes altamente regulamentados para autenticação baseada em certificados com 2.0 e. AppStream WorkSpaces

Pré-requisitos

Conclua as etapas a seguir antes de habilitar a autenticação baseada em certificado.

  1. Configure seu WorkSpaces diretório com a integração SAML 2.0 para usar a autenticação baseada em certificado. Para obter mais informações, consulte WorkSpacesIntegração com SAML 2.0.

  2. Configure o userPrincipalName atributo em sua SAML afirmação. Para obter mais informações, consulte Criar afirmações para a resposta de SAML autenticação.

  3. Configure o ObjectSid atributo em sua SAML afirmação. Essa etapa é opcional para realizar um mapeamento robusto para o usuário do Active Directory. A autenticação baseada em certificado falhará se o atributo não corresponder ao identificador de segurança do Active Directory (SID) para o usuário especificado no _Subject. SAML NameID Para obter mais informações, consulte Criar afirmações para a resposta de SAML autenticação.

  4. Adicione a TagSession permissão sts: à sua política de confiança de IAM função usada com sua configuração SAML 2.0, se ela ainda não estiver presente. Essa permissão é necessária para usar a autenticação baseada em certificado. Para obter mais informações, consulte Criar uma IAM função de federação SAML 2.0.

  5. Crie uma autoridade de certificação (CA) privada usando AWS Private CA se você não tiver uma configurada com seu Active Directory. AWS Private CA é necessário usar a autenticação baseada em certificado. Para obter mais informações, consulte Planejando sua AWS Private CA implantação e siga as orientações para configurar uma CA para autenticação baseada em certificado. As AWS Private CA configurações a seguir são as mais comuns para casos de uso de autenticação baseada em certificado:

    1. Opções de tipos de CA:

      1. Modo de uso de CA de certificados de curta duração (recomendado se você estiver usando a CA apenas para emitir certificados de usuário final para autenticação baseada em certificado)

      2. Hierarquia de nível único com uma CA raiz (como alternativa, escolha uma CA subordinada se desejar integração com uma hierarquia de CAs existente)

    2. Principais opções de algoritmo: RSA 2048

    3. Opções de nome distinto de assunto: use uma combinação de opções para identificar a CA em seu repositório de Autoridades de Certificação Raiz Confiáveis do Active Directory.

    4. Opções de revogação do certificado: distribuição CRL

      nota

      A autenticação baseada em certificado requer um ponto de CRL distribuição on-line acessível a partir de desktops e do controlador de domínio. Isso requer acesso não autenticado ao bucket do Amazon S3 configurado para entradas de CRL CA privadas ou CloudFront uma distribuição que terá acesso ao bucket do S3 se estiver bloqueando o acesso público. Para obter mais informações sobre essas opções, consulte Planejando uma lista de revogação de certificados () CRL.

  6. Marque sua CA privada com uma chave autorizada euc-private-ca a designar a CA para uso com autenticação baseada em EUC certificado. A chave não exige um valor. Para obter mais informações, consulte Gerenciamento de etiquetas para sua CA privada.

  7. A autenticação baseada em certificado usa cartões inteligentes virtuais para o login. Seguindo as Diretrizes para habilitar o login por cartão inteligente com autoridades de certificação de terceiros no Active Directory, execute as seguintes etapas:

    • Configure controladores de domínio com um certificado de controlador de domínio para autenticar usuários de cartões inteligentes. Se você tiver uma CA corporativa dos Serviços de Certificados do Active Directory configurada em seu Active Directory, os controladores de domínio serão automaticamente registrados com certificados que permitem o login por cartão inteligente. Se você não tiver os Serviços de Certificados do Active Directory, consulte Requisitos para certificados de controlador de domínio de uma AC de terceiros. Você pode criar um certificado de controlador de domínio com o AWS Private CA. Se fizer isso, não use uma CA privada configurada para certificados de curta duração.

      nota

      Se você estiver usando AWS Managed Microsoft AD, poderá configurar os Serviços de Certificados em uma EC2 instância para atender aos requisitos de certificados de controlador de domínio. Veja, AWS Launch Wizardpor exemplo, implantações AWS Managed Microsoft AD configuradas com os Serviços de Certificados do Active Directory. AWS A CA privada pode ser configurada como subordinada à CA dos Serviços de Certificados do Active Directory ou pode ser configurada como sua própria raiz durante o uso AWS Managed Microsoft AD.

      Uma tarefa adicional de configuração com os Serviços de AWS Managed Microsoft AD Certificados do Active Directory é criar regras de saída do grupo de VPC segurança dos controladores para a EC2 instância que executa os Serviços de Certificados, permitindo que as TCP portas 135 e 49152-65535 habilitem o registro automático de certificados. Além disso, a EC2 instância em execução deve permitir acesso de entrada nas mesmas portas das instâncias de domínio, incluindo controladores de domínio. Para obter mais informações sobre como localizar o grupo de segurança, AWS Managed Microsoft AD consulte Configurar suas VPC sub-redes e grupos de segurança.

    • No AWS Private CA console ou usando o SDK ouCLI, selecione sua CA e, sob o certificado CA, exporte o certificado privado da CA. Para obter mais informações, consulte Como exportar um certificado privado.

    • Publique a CA no Active Directory. Faça login em um controlador de domínio ou em uma máquina associada a um domínio. Copie o certificado privado da CA para qualquer <path>\<file> e execute os comandos a seguir como administrador de domínio. Como alternativa, você pode usar a Política de Grupo e a ferramenta Microsoft PKI Health Tool (PKIView) para publicar a CA. Para obter mais informações, consulte Instruções de configuração.

      certutil -dspublish -f <path>\<file> RootCA
certutil -dspublish -f  <path>\<file> NTAuthCA

      Verifique se os comandos foram concluídos com êxito e, em seguida, remova o arquivo do certificado privado. Dependendo das configurações de replicação do Active Directory, pode levar vários minutos para que a CA seja publicada nos controladores de domínio e nas instâncias de área de trabalho.

      nota

      • É necessário que o Active Directory distribua a CA às Autoridades de Certificação Raiz Confiáveis e às NTAuth lojas corporativas automaticamente para WorkSpaces desktops quando elas se juntam ao domínio.

Habilitar a autenticação baseada em certificado

Conclua as etapas a seguir para habilitar a autenticação baseada em certificado.

  1. Abra o WorkSpaces console emhttps://console.aws.amazon.com/workspaces.

  2. No painel de navegação, selecionar Diretórios.

  3. Escolha o ID do diretório para o seu WorkSpaces.

  4. Em Autenticação, clique em Editar.

  5. Clique em Editar autenticação baseada em certificado.

  6. Marque Habilitar a autenticação baseada em certificado.

  7. Confirme se sua CA privada ARN está associada na lista. A CA privada deve estar na mesma AWS conta e Região da AWS ser marcada com uma chave autorizada euc-private-ca a aparecer na lista.

  8. Clique em Salvar alterações A autenticação baseada em certificado está habilitada.

  9. Reinicie o Windows WorkSpaces em DCV pacotes para que as alterações entrem em vigor. Para obter mais informações, consulte Reinicializar um WorkSpace.

  10. Após a reinicialização, quando os usuários se autenticarem via SAML 2.0 usando um cliente compatível, eles não receberão mais uma solicitação para a senha do domínio.

nota

Quando a autenticação baseada em certificado está habilitada para entrar WorkSpaces, os usuários não são solicitados a fazer a autenticação multifator (MFA), mesmo se ativada no Diretório. Ao usar a autenticação baseada em certificado, MFA pode ser habilitada por meio de seu provedor de identidade SAML 2.0. Para obter mais informações sobre AWS Directory Service MFA, consulte Autenticação multifator (AD Connector) ou Habilitar autenticação multifator para. AWS Managed Microsoft AD

Gerenciar a autenticação baseada em certificado

Certificado CA

Em uma configuração comum, o certificado CA privado tem validade de 10 anos. Para obter mais informações sobre como substituir uma CA com certificado expirado ou reemitir a CA com um novo período de validade, consulte Como gerenciar o ciclo de vida da CA privada.

Certificados de usuário final

Os certificados de usuário final emitidos pela AWS Private CA para autenticação WorkSpaces baseada em certificados não exigem renovação ou revogação. Esses certificados são de curta duração. WorkSpacesemite automaticamente um novo certificado a cada 24 horas. Esses certificados de usuário final têm um período de validade mais curto do que uma AWS Private CA CRL distribuição típica. Como resultado, os certificados de usuário final não precisam ser revogados e não aparecerão em umCRL.

Relatórios de auditoria

Você pode criar um relatório de auditoria para listar todos os certificados que sua CA privada emitiu ou revogou. Para obter mais informações, consulte Como usar relatórios de auditoria com sua CA privada.

Registro e Monitoramento

Você pode usar AWS CloudTrailpara gravar API chamadas para AWS Private CA By WorkSpaces. Para obter mais informações, consulte Usando CloudTrail. No Histórico de CloudTrail eventos, você pode visualizar GetCertificate os IssueCertificate nomes dos acm-pca.amazonaws.com eventos da fonte do evento criados pelo nome WorkSpaces EcmAssumeRoleSession do usuário. Esses eventos serão registrados para cada solicitação de autenticação EUC baseada em certificado.

Ativar o compartilhamento entre contas PCA

Ao usar o compartilhamento entre contas de CA privada, você pode conceder permissões a outras contas para usar uma CA centralizada, o que elimina a necessidade de uma CA privada em todas as contas. A CA pode gerar e emitir certificados usando o AWS Resource Access Manager para gerenciar permissões. O compartilhamento entre contas da CA privada pode ser usado com a WorkSpaces Autenticação baseada em certificado (CBA) na mesma região. AWS

Para usar um recurso compartilhado de CA privada com WorkSpaces CBA

  1. Configure a CA privada para CBA em uma AWS conta centralizada. Para obter mais informações, consulte Autenticação baseada em certificado e pessoal WorkSpaces .

  2. Compartilhe a CA privada com as AWS contas de WorkSpaces recursos utilizadas CBA pelos recursos seguindo as etapas em Como usar AWS RAM para compartilhar sua CA ACM privada entre contas. Não é necessário realizar a etapa 3 para criar um certificado. Você pode compartilhar a CA privada com AWS contas individuais ou compartilhar por meio de AWS Organizations. Para compartilhar com contas individuais, você precisa aceitar a CA privada compartilhada em sua conta de recursos usando o console Resource Access Manager (RAM) ouAPIs. Ao configurar o compartilhamento, confirme se o compartilhamento de recursos do RAM da CA privada na conta do recurso está usando o modelo de permissão gerenciada AWS RAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority. Esse modelo se alinha ao PCA modelo usado pela função de WorkSpaces serviço ao emitir certificados. CBA

  3. Depois que o compartilhamento for bem-sucedido, será possível visualizar a CA privada compartilhada usando o console da CA privada na conta do recurso.

  4. Use o API ou CLI para associar a CA privada ARN às CBA propriedades WorkSpaces do seu diretório. No momento, o WorkSpaces console não oferece suporte à seleção de CA privada compartilhadaARNs. CLIComandos de exemplo:

    aws workspaces modify-certificate-based-auth-properties —resource-id <value> —certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>