本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 教學：設定 Active Directory
<a name="active-directory-directory-setup"></a>

若要搭配 WorkSpaces 應用程式使用 Active Directory，您必須先在 WorkSpaces 應用程式中建立 Directory Config 物件來註冊目錄組態。此物件包含將串流執行個體加入 Active Directory 網域的必要資訊。您可以使用 WorkSpaces 應用程式管理主控台、 AWS SDK 或 來建立 Directory Config 物件 AWS CLI。然後您就可以使用您的目錄組態來啟動加入網域的 Always-On 和 On-Demand 機群和映像建置器。

**注意**  
您只能將 Always-On 和 On-Demand 機群串流執行個體加入 Active Directory 網域。

**Topics**
+ [步驟 1：建立目錄組態物件](#active-directory-setup-config)
+ [步驟 2：使用加入網域的映像建置器建立映像](#active-directory-setup-image-builder)
+ [步驟 3：建立加入網域的機群](#active-directory-setup-fleet)
+ [步驟 4：設定 SAML 2.0](#active-directory-setup-saml)

## 步驟 1：建立目錄組態物件
<a name="active-directory-setup-config"></a>

您在 WorkSpaces 應用程式中建立的 Directory Config 物件將用於後續步驟。

如果您使用 AWS SDK，則可以使用 [CreateDirectoryConfig](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateDirectoryConfig.html) 操作。如果您使用的是 AWS CLI，則可以使用 [create-directory-config](https://docs.aws.amazon.com/cli/latest/reference/appstream/create-directory-config.html) 命令。

**使用 WorkSpaces 應用程式主控台建立 Directory Config 物件**

1. 在 https：//[https://console.aws.amazon.com/appstream2](https://console.aws.amazon.com/appstream2) 開啟 WorkSpaces 應用程式主控台。

1. 在導覽窗格中，選擇 **Directory Configs (目錄組態)**、**Create Directory Config (建立目錄組態)**。

1. 針對 **Directory Name (目錄名稱)**，請提供 Active Directory 網域的完整網域名稱 (FQDN) (例如 `corp.example.com`)。每個區域只能有一個具備特定目錄名稱的 **Directory Config (目錄組態)** 值。

1. 針對 **Service Account Name (服務帳戶名稱)**，輸入可建立電腦物件並擁有加入網域許可的帳戶名稱。如需詳細資訊，請參閱[授予許可來建立及管理 Active Directory 電腦物件](active-directory-permissions.md)。帳戶名稱的格式必須是 `DOMAIN\username`。

1. 針對 **Password (密碼)** 及 **Confirm Password (確認密碼)**，輸入指定帳戶的目錄密碼。

1. 針對 **Organizational Unit (OU) (組織單位 (OU))**，輸入至少一個用於串流執行個體電腦物件的辨別名稱。
**注意**  
OU 名稱不可包含有空格。如果您指定包含空格的 OU 名稱，當機群或映像建置器嘗試重新加入 Active Directory 網域時，WorkSpaces 應用程式無法正確循環電腦物件，而且網域重新加入不會成功。如需如何對此問題進行故障診斷的詳細資訊，請參閱 [Active Directory 加入網域](troubleshooting-notification-codes.md#troubleshooting-notification-codes-ad) 中「帳戶已存在」訊息的 *DOMAIN\$1JOIN\$1INTERNAL\$1SERVICE\$1ERROR* 主題。  
此外，預設電腦容器不是 OU，WorkSpaces 應用程式無法使用。如需詳細資訊，請參閱[尋找組織單位辨別名稱](active-directory-oudn.md)。

1. 若要新增多個 OU，請選取**組織單位 (OU)** 旁邊的加號 (**\$1**)。若要移除 OU，請選擇 **x** 圖示。

1. 選擇**下一步**。

1. 檢閱組態資訊，然後選擇 **Create (建立)**。

## 步驟 2：使用加入網域的映像建置器建立映像
<a name="active-directory-setup-image-builder"></a>

接著，使用 WorkSpaces 應用程式映像建置器，使用 Active Directory 加入網域功能建立新的映像。請注意，機群和映像可以是不同網域的成員。您會將映像建置器加入網域來啟用加入網域，並安裝應用程式。機群加入網域會在下一節討論。

**建立用來啟動加入網域機群的映像**

1. 請遵循[教學課程：使用 WorkSpaces 應用程式主控台建立自訂 WorkSpaces 應用程式映像](tutorial-image-builder.md)中的程序。

1. 針對基礎映像選取步驟，請使用 2017 年 7 月 24 日當天或之後發行 AWS 的基礎映像。如需目前發佈的 AWS 映像清單，請參閱 [WorkSpaces 應用程式基礎映像和受管映像更新版本備註](base-image-version-history.md)。

1. 針對 **Step 3: Configure Network (步驟 3：設定網路)**，選取 VPC 及具備連線到您 Active Directory 環境網路連線能力的子網路。選取已進行設定，允許透過 VPC 子網路存取您目錄的安全群組。

1. 同時，在 **Step 3: Configure Network (步驟 3：設定網路)** 中，展開 **Active Directory Domain (Optional) (Active Directory 網域 (選用))** 區段，然後選取 **Directory Name (目錄名稱)** 及要加入映像建置器的 **Directory OU (目錄 OU)** 值。

1. 檢閱映像建置器組態，然後選擇 **Create (建立)**。

1. 等待新的映像建置器到達 **Running (執行中)** 狀態，然後選擇 **Connect (連線)**。

1. 以管理員模式或具備本機管理員許可的目錄使用者登入映像建置器。如需詳細資訊，請參閱[在映像建置器上授予本機管理員權限](active-directory-image-builder-local-admin.md)。

1. 完成[教學課程：使用 WorkSpaces 應用程式主控台建立自訂 WorkSpaces 應用程式映像](tutorial-image-builder.md)中的步驟來安裝應用程式，並建立新映像。

## 步驟 3：建立加入網域的機群
<a name="active-directory-setup-fleet"></a>

使用在先前步驟中建立的私有映像，建立加入 Active Directory 網域的 Always-On 或 On-Demand 機群以用於串流應用程式。網域可以和您用來透過映像建置器建立映像的網域不同。

**建立加入網域的 Always-On 或 On-Demand 機群**

1. 請遵循[在 Amazon WorkSpaces 應用程式中建立機群](set-up-stacks-fleets-create.md)中的程序。

1. 針對映像選取步驟，請使用在先前步驟 ([步驟 2：使用加入網域的映像建置器建立映像](#active-directory-setup-image-builder)) 中建立的映像。

1. 針對 **Step 4: Configure Network (步驟 4：設定網路)**，選取 VPC 及具備連線到您 Active Directory 環境網路連線能力的子網路。選取已進行設定，允許和您網域進行通訊的安全群組。

1. 同時，在 **Step 4: Configure Network (步驟 4：設定網路)** 中，展開 **Active Directory Domain (Optional) (Active Directory 網域 (選用))** 區段，然後選取 **Directory Name (目錄名稱)** 及要加入機群的 **Directory OU (目錄 OU)** 值。

1. 檢閱機群組態，然後選擇 **Create (建立)**。

1. 完成[建立 Amazon WorkSpaces 應用程式機群和堆疊](set-up-stacks-fleets.md)中剩餘的步驟，將您的機群與堆疊建立關聯並執行。

## 步驟 4：設定 SAML 2.0
<a name="active-directory-setup-saml"></a>

您的使用者必須使用您的 SAML 2.0 型聯合身分環境，來從您的加入網域機群啟動串流工作階段。

**為單一登入存取設定 SAML 2.0**

1. 請遵循[正在設定 SAML](external-identity-providers-setting-up-saml.md)中的程序。

1. WorkSpaces 應用程式要求以下列其中一種格式提供登入使用者的 SAML\$1Subject `NameID`值：
   + `domain\username`，使用 sAMAccountName
   + `username@domain.com`，使用 userPrincipalName

   若您使用 sAMAccountName 格式，您可以透過使用 NetBIOS 名稱或完整網域名稱 (FQDN) 來指定 `domain`。

1. 提供 Active Directory 使用者或群組的存取權，以便從您的身分提供者應用程式入口網站存取 WorkSpaces 應用程式堆疊。

1. 完成[正在設定 SAML](external-identity-providers-setting-up-saml.md) 中剩餘的步驟。

**使用 SAML 2.0 登入使用者**

1. 登入 SAML 2.0 供應商的應用程式目錄，並開啟您在先前程序中建立的 WorkSpaces 應用程式 SAML 應用程式。

1. 顯示 WorkSpaces 應用程式目錄時，選取要啟動的應用程式。

1. 在顯示載入中的圖示時，您會收到提示，要求您提供密碼。您 SAML 2.0 身分提供者提供的網域使用者名稱會顯示在密碼欄位的上方。輸入您的密碼，然後選擇 **log in (登入)**。

串流執行個體會執行 Windows 登入程序，並開啟所選取的應用程式。