教學:設定 Active Directory - Amazon AppStream 2.0
步驟 1:建立目錄組態物件步驟 2:使用加入網域的映像建置器建立映像步驟 3:建立加入網域的機群步驟 4:設定 SAML 2.0

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

教學:設定 Active Directory

若要搭配 AppStream 2.0 使用 Active Directory,您必須先在 AppStream 2.0 中建立 Directory Config 物件來註冊目錄組態。此物件包含將串流執行個體加入 Active Directory 網域的必要資訊。您可以使用 AppStream 2.0 管理主控台 AWS SDK或 建立 Directory Config 物件。 AWS CLI然後您就可以使用您的目錄組態來啟動加入網域的 Always-On 和 On-Demand 機群和映像建置器。

注意

您只能將 Always-On 和 On-Demand 機群串流執行個體加入 Active Directory 網域。

步驟 1:建立目錄組態物件

您在 AppStream 2.0 中建立的 Directory Config 物件將用於後續步驟。

如果您使用的是 AWS SDK,則可以使用 CreateDirectoryConfig操作。如果您使用的是 AWS CLI,則可以使用 create-directory-config命令。

使用 AppStream 2.0 主控台建立 Directory Config 物件

  1. https://console.aws.amazon.com/appstream AppStream 2 開啟 2.0 主控台。

  2. 在導覽窗格中,選擇 Directory Configs (目錄組態)Create Directory Config (建立目錄組態)

  3. 對於目錄名稱 ,請提供 Active Directory 網域的完整網域名稱 (FQDN) (例如 corp.example.com)。每個區域只能有一個具備特定目錄名稱的 Directory Config (目錄組態) 值。

  4. 針對 Service Account Name (服務帳戶名稱),輸入可建立電腦物件並擁有加入網域許可的帳戶名稱。如需詳細資訊,請參閱授予許可來建立及管理 Active Directory 電腦物件。帳戶名稱的格式必須是 DOMAIN\username

  5. 針對 Password (密碼)Confirm Password (確認密碼),輸入指定帳戶的目錄密碼。

  6. 針對 Organizational Unit (OU) (組織單位 (OU)),輸入至少一個用於串流執行個體電腦物件的辨別名稱。

    注意

    OU 名稱不可包含有空格。如果您指定包含空格的 OU 名稱,當機群或映像建置器嘗試重新加入 Active Directory 網域時, AppStream 2.0 無法正確循環電腦物件,且網域重新加入失敗。如需有關如何疑難排解此問題的資訊,請參閱 中的「帳戶已存在」訊息的 DOMAIN_JOININTERNAL_SERVICE_ERROR 主題Active Directory 加入網域

    此外,預設電腦容器不是 OU,無法由 AppStream 2.0 使用。如需詳細資訊,請參閱尋找組織單位辨別名稱

  7. 若要新增多個 OU,請選取組織單位 (OU) 旁邊的加號 (+)。若要移除 OUs,請選擇 x 圖示。

  8. 選擇 Next (下一步)

  9. 檢閱組態資訊,然後選擇 Create (建立)

步驟 2:使用加入網域的映像建置器建立映像

接下來,使用 AppStream 2.0 映像建置器,使用 Active Directory 網域加入功能建立新的映像。請注意,機群和映像可以是不同網域的成員。您會將映像建置器加入網域來啟用加入網域,並安裝應用程式。機群加入網域會在下一節討論。

建立用來啟動加入網域機群的映像

  1. 請遵循教學課程:使用 AppStream 2.0 主控台建立自訂 AppStream 2.0 映像中的程序。

  2. 對於基本映像選取步驟,請使用 2017 年 7 月 24 日當天或之後發行 AWS 的基本映像。如需目前發佈 AWS 的影像清單,請參閱 AppStream 2.0 基本映像和受管映像更新版本備註

  3. 針對步驟 3:設定網路 ,選取具有與 Active Directory 環境網路連線能力的 VPC和 子網路。選取設定的安全群組,以允許透過VPC子網路存取您的目錄。

  4. 同時,在 Step 3: Configure Network (步驟 3:設定網路) 中,展開 Active Directory Domain (Optional) (Active Directory 網域 (選用)) 區段,然後選取 Directory Name (目錄名稱) 及要加入映像建置器的 Directory OU (目錄 OU) 值。

  5. 檢閱映像建置器組態,然後選擇 Create (建立)

  6. 等待新的映像建置器到達 Running (執行中) 狀態,然後選擇 Connect (連線)

  7. 以管理員模式或具備本機管理員許可的目錄使用者登入映像建置器。如需詳細資訊,請參閱在映像建置器上授予本機管理員權限

  8. 完成教學課程:使用 AppStream 2.0 主控台建立自訂 AppStream 2.0 映像中的步驟來安裝應用程式,並建立新映像。

步驟 3:建立加入網域的機群

使用在先前步驟中建立的私有映像,建立加入 Active Directory 網域的 Always-On 或 On-Demand 機群以用於串流應用程式。網域可以和您用來透過映像建置器建立映像的網域不同。

建立加入網域的 Always-On 或 On-Demand 機群

  1. 請遵循在 Amazon AppStream 2.0 中建立機群中的程序。

  2. 針對映像選取步驟,請使用在先前步驟 (步驟 2:使用加入網域的映像建置器建立映像) 中建立的映像。

  3. 對於步驟 4:設定網路 ,選取具有與 Active Directory 環境網路連線能力的 VPC和 子網路。選取已進行設定,允許和您網域進行通訊的安全群組。

  4. 同時,在 Step 4: Configure Network (步驟 4:設定網路) 中,展開 Active Directory Domain (Optional) (Active Directory 網域 (選用)) 區段,然後選取 Directory Name (目錄名稱) 及要加入機群的 Directory OU (目錄 OU) 值。

  5. 檢閱機群組態,然後選擇 Create (建立)

  6. 完成建立 Amazon AppStream 2.0 機群和堆疊中剩餘的步驟,將您的機群與堆疊建立關聯並執行。

步驟 4:設定 SAML 2.0

您的使用者必須使用以 SAML 2.0 為基礎的身分聯合環境,從您的網域加入機群啟動串流工作階段。

若要設定 SAML 2.0 進行單一登入存取

  1. 請遵循設定 SAML中的程序。

  2. AppStream 2.0 要求以下列其中一種格式提供登入使用者的 SAML_主旨NameID值:

    • domain\username 使用sAMAccount名稱

    • username@domain.com 使用 userPrincipalName

    如果您使用的是sAMAccount名稱格式,您可以使用 NetBIOS 名稱或完整網域名稱 domain () 來指定 FQDN。

  3. 提供 Active Directory 使用者或群組的存取權,以便從身分提供者應用程式入口網站存取 AppStream 2.0 堆疊。

  4. 完成設定 SAML 中剩餘的步驟。

使用 2.0 SAML 登入使用者

  1. 登入 SAML 2.0 供應商的應用程式目錄,並開啟您在先前程序中建立的 AppStream 2.0 SAML 應用程式。

  2. 顯示 AppStream 2.0 應用程式目錄時,選取要啟動的應用程式。

  3. 在顯示載入中的圖示時,您會收到提示,要求您提供密碼。您 2.0 SAML 身分提供者提供的網域使用者名稱會顯示在密碼欄位上方。輸入您的密碼,然後選擇 log in (登入)

串流執行個體會執行 Windows 登入程序,並開啟所選取的應用程式。