必要條件

使用憑證型身分驗證之前，請先完成下列步驟。

設定網域加入機群並設定 SAML 2.0。請確定您使用 SAML_Subject 的username@domain.comuserPrincipalName格式NameID。如需詳細資訊，請參閱步驟 5：為SAML驗證回應建立宣告。

注意
如果您想要使用憑證型身分驗證，則不要在堆疊中啟用 Active Directory 的智慧卡登入。如需詳細資訊，請參閱智慧卡。
搭配映像使用 AppStream 2.0 代理程式 10-13-2022 版或更新版本。如需詳細資訊，請參閱保留您的 Amazon AppStream 2.0 映像 Up-to-Date。
（選用）在SAML宣告中設定 ObjectSid 屬性。您可以使用此屬性執行與 Active Directory 使用者的強式映射。如果ObjectSid屬性與 SAML_Subject 中指定的使用者 Active Directory 安全識別碼（SID）不相符，則憑證型身分驗證會失敗NameID。如需詳細資訊，請參閱步驟 5：為SAML驗證回應建立宣告。
將sts:TagSession許可新增至您搭配 2.0 SAML 組態使用IAM的角色信任政策。如需詳細資訊，請參閱在 AWS STS中傳入工作階段標籤。需有此許可才能使用憑證型身分驗證。如需詳細資訊，請參閱步驟 2：建立 SAML 2.0 聯合IAM角色。
如果您沒有使用 Active Directory 設定私有憑證授權機構（CA），請使用 AWS 私有 CA。 AWS 私有 CA 需要使用憑證型身分驗證。如需詳細資訊，請參閱規劃您的 AWS Private CA 部署。下列 AWS 私有 CA 設定在許多憑證型身分驗證使用案例中很常見：
- CA 類型選項
  - 短期憑證 CA 使用模式：如果 CA 僅發行最終使用者憑證以進行憑證型身分驗證，則建議此選項。
  - 具有根 CA 的單一層級階層：選擇從屬 CA，以將它與現有 CA 階層整合。
- 金鑰演算法選項 – RSA 2048
- 主體辨別名稱選項：使用最適合的選項來識別 Active Directory 受信任的根憑證授權單位存放區中的此 CA。
- 憑證撤銷選項 – CRL分發
  
  注意
  憑證型身分驗證需要可從 AppStream 2.0 機群執行個體和網域控制器存取的線上CRL分發點。這需要對針對 AWS 私有 CA CRL項目設定的 Amazon S3 儲存貯體進行未經驗證的存取，或者如果 Amazon S3 儲存貯體封鎖公有存取，則需要具有存取權的 CloudFront 分發。如需這些選項的詳細資訊，請參閱規劃憑證撤銷清單（CRL）。
使用有權指定 CA euc-private-ca 以搭配 AppStream 2.0 憑證型身分驗證使用的金鑰來標記您的私有 CA。此金鑰不需要值。如需詳細資訊，請參閱管理私有 CA 的標籤。如需與 AppStream 2.0 搭配使用的 AWS 受管政策的詳細資訊，以授予中資源的許可 AWS 帳戶，請參閱 AWS 存取 AppStream 2.0 資源所需的受管政策。
憑證型身分驗證會使用虛擬智慧卡進行登入。如需詳細資訊，請參閱使用第三方憑證授權單位啟用智慧卡登入的指引。請遵循下列步驟：
1. 使用網域控制站憑證設定網域控制站，以驗證智慧卡使用者。如果您在 Active Directory 中設定了 Active Directory Certificate Services 企業 CA，它會自動使用啟用智慧卡登入的憑證註冊網域控制站。如果您沒有 Active Directory 憑證服務，請參閱第三方 CA 的網域控制站憑證需求。 AWS 建議 Active Directory 企業憑證授權單位自動管理網域控制站憑證的註冊。
  
  注意
  如果您使用 AWS Managed Microsoft AD，您可以在滿足網域控制器憑證需求的 Amazon EC2執行個體上設定憑證服務。請參閱將 Active Directory 部署至新的 Amazon Virtual Private Cloud，例如使用 Active Directory Certificate Services 設定的 AWS Managed Microsoft AD 部署。
  使用 AWS Managed Microsoft AD 和 Active Directory Certificate Services，您還必須建立從控制器VPC安全群組到執行 Certificate Services 的 Amazon EC2執行個體的傳出規則。您必須提供TCP連接埠 135 和連接埠 49152 到 65535 的安全群組存取權，才能啟用憑證自動註冊。Amazon EC2執行個體也必須允許來自網域執行個體的這些相同連接埠的傳入存取，包括網域控制器。如需尋找 AWS Managed Microsoft AD 安全群組的詳細資訊，請參閱設定VPC子網路和安全群組。
2. 在 AWS 私有 CA 主控台上，或使用 SDK或 CLI匯出私有 CA 憑證。如需詳細資訊，請參閱匯出私有憑證。
3. 將私有 CA 發佈至 Active Directory。登入網域控制站或加入網域的電腦。將私有 CA 憑證複製到任何 <path>\<file>，並以網域管理員的身分執行下列命令。您也可以使用群組政策和 Microsoft PKI Health Tool （PKIView）來發佈 CA。如需詳細資訊，請參閱組態指示。
```
certutil -dspublish -f <path>\<file> RootCA
```
```
certutil -dspublish -f <path>\<file> NTAuthCA
```
  確定命令已順利完成，然後移除私有 CA 憑證檔案。根據您的 Active Directory 複寫設定，CA 可能需要幾分鐘的時間才能發佈到您的網域控制器和 AppStream 2.0 機群執行個體。
  
  注意
  Active Directory 必須針對加入網域的 AppStream 2.0 機群執行個體，將 CA 自動分發至受信任根憑證授權機構和企業NTAuth商店。

對於 Windows 作業系統，CA （憑證授權單位）的分發會自動發生。不過，對於 Red Hat Enterprise Linux，您必須從 AppStream 2.0 Directory Config 使用的 CA 下載根 CA 憑證（根 CA 憑證）。如果您的KDC根 CA 憑證（根 CA）不同，您也必須下載這些憑證。在使用憑證型身分驗證之前，必須將這些憑證匯入映像或快照。

在映像上，應該有一個名為 / 的檔案etc/sssd/pki/sssd_auth_ca_db.pem。它看起來應該如下所示：

注意

跨區域或帳戶複製映像，或重新建立映像與新 Active Directory 的關聯時，此檔案需要重新設定映像建置器上的相關憑證，並在使用前再次快照。

以下是下載根 CA 憑證的指示：

在映像建置器上，建立名為的檔案/etc/sssd/pki/sssd_auth_ca_db.pem。
開啟 AWS Private CA 主控台。
選擇與 AppStream 2.0 Directory Config 搭配使用的私有憑證。
選擇 CA 憑證索引標籤。
在映像建置器上將憑證鏈和憑證內文複製到 /etc/sssd/pki/sssd_auth_ca_db.pem 。

如果使用的根 CA 憑證與 AppStream 2.0 Directory Config 使用的根 CA 憑證KDCs不同，請依照下列範例步驟下載它們：

連線至與映像建置器加入相同網域的 Windows 執行個體。
打開 certlm.msc.
在左側窗格中，選擇信任根憑證授權機構 ，然後選擇憑證。
對於每個根 CA 憑證，開啟內容（按滑鼠右鍵）選單。
選擇所有任務 ，選擇匯出以開啟憑證匯出精靈，然後選擇下一個 。
選擇 Base64-encoded的 X.509 （.CER），然後選擇下一步。
選擇瀏覽，輸入檔案名稱，然後選擇下一步 。
選擇 Finish (完成)。
在文字編輯器中開啟匯出的憑證。
將檔案的內容複製到映像建置器/etc/sssd/pki/sssd_auth_ca_db.pem上的。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

憑證型身分驗證

啟用憑證型身分驗證