本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Active Directory 網域概觀 將 Active Directory 網域與 WorkSpaces 應用程式搭配使用需要了解它們的運作方式,以及您需要完成的組態任務。您將需要完成以下任務: 1. 視需要設定群組政策設定,來定義最終使用者體驗和應用程式的安全需求。 1. 在 WorkSpaces 應用程式中建立加入網域的應用程式堆疊。 1. 在 SAML 2.0 身分提供者中建立 WorkSpaces 應用程式,並將其直接或透過 Active Directory 群組指派給最終使用者。 若要讓您的使用者對網域進行身分驗證,這些使用者啟動 WorkSpaces 應用程式串流工作階段時,必須執行幾個步驟。下圖說明從初始瀏覽器請求透過 SAML 及 Active Directory 身分驗證進行的端對端使用者身分驗證流程。 ![\[Authentication flow diagram showing steps from user login to AWSWorkSpaces Applications session start.\]](http://docs.aws.amazon.com/zh_tw/appstream2/latest/developerguide/images/domain-join-UPDATED.png) **使用者身分驗證流程** 1. 使用者瀏覽到 `https://applications.exampleco.com`。登入頁面會要求使用者的身分驗證。 1. 聯合服務要求組織的身分存放區提供身分驗證。 1. 身分存放區驗證該名使用者,並向聯合服務傳回驗證回應。 1. 身分驗證成功時,聯合服務會將 SAML 聲明發佈到使用者的瀏覽器。 1. 使用者的瀏覽器會將 SAML 聲明發佈至 AWS 登入 SAML 端點 (`https://signin.aws.amazon.com/saml`)。 AWS 登入會接收 SAML 請求、處理請求、驗證使用者,並將身分驗證字符轉送至 WorkSpaces 應用程式服務。 1. 使用來自 的身分驗證字符 AWS,WorkSpaces 應用程式會授權使用者並將應用程式呈現給瀏覽器。 1. 使用者選擇應用程式,並根據 WorkSpaces 應用程式堆疊上啟用的 Windows 登入身分驗證方法,系統會提示他們輸入 Active Directory 網域密碼或選擇智慧卡。如果兩種驗證方法同時啟用,使用者可以選擇要輸入其網域密碼或使用智慧卡。憑證型身分驗證也可以用來驗證使用者,不過不會出現提示。 1. 接著會聯絡網域控制站進行使用者身分驗證。 1. 在向網域進行身分驗證後,使用者工作階段便會啟動,並帶有網域連線能力。 從使用者的觀點來看,此程序簡單明瞭。使用者從導覽至組織的內部入口網站開始,並重新導向至 WorkSpaces 應用程式應用程式入口網站,而不必輸入 AWS 登入資料。只需要 Active Directory 網域密碼或智慧卡憑證。 您必須先使用必要的權利和群組政策設定來設定 Active Directory,並建立加入網域的應用程式堆疊,使用者才能初始化此程序。