本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 先決條件
使用憑證型身分驗證之前,請先完成下列步驟。
1. 設定加入網域的機群並設定 SAML 2.0。確認針對 SAML\$1Subject `NameID` 使用 `username@domain.com` `userPrincipalName` 格式。如需詳細資訊,請參閱[步驟 5:建立 SAML 身分驗證回應聲明](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions)。
**注意**
如果您想要使用憑證型身分驗證,則不要在堆疊中啟用 **Active Directory 的智慧卡登入**。如需詳細資訊,請參閱[智慧卡](feature-support-USB-devices-qualified.md#feature-support-USB-devices-qualified-smart-cards)。
1. 搭配映像使用 WorkSpaces 應用程式代理程式 10-13-2022 版或更新版本。如需詳細資訊,請參閱[讓您的 Amazon WorkSpaces 應用程式映像保持在Up-to-Date狀態](keep-image-updated.md)。
1. 在您的 SAML 聲明中設定 `ObjectSid` 屬性。您可以使用此屬性執行與 Active Directory 使用者的強式映射。如果 `ObjectSid` 屬性不符合 SAML\$1Subject `NameID` 中指定之使用者的 Active Directory 安全識別碼 (SID),則憑證型身分驗證會失敗。如需詳細資訊,請參閱[步驟 5:建立 SAML 身分驗證回應聲明](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions)。2025 年 9 月 10 日之後,憑證型身分驗證`ObjectSid`必須使用 。如需詳細資訊,請參閱 [KB5014754:Windows 網域控制站上的憑證型身分驗證變更](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)。
1. 將 `sts:TagSession` 許可新增至您搭配 SAML 2.0 組態使用的 IAM 角色信任政策。如需詳細資訊,請參閱[在 AWS STS中傳入工作階段標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html.html)。需有此許可才能使用憑證型身分驗證。如需詳細資訊,請參閱[步驟 2:建立 SAML 2.0 聯合 IAM 角色](external-identity-providers-setting-up-saml.md#external-identity-providers-grantperms)。
1. 如果您沒有使用 Active Directory 設定私有憑證授權機構 (CA),請使用 AWS 私有憑證授權機構。 AWS 私有憑證授權機構需要使用憑證型身分驗證。如需詳細資訊,請參閱[規劃您的 AWS 私有 CA 部署](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html)。下列 AWS 私有 CA 設定在許多憑證型身分驗證使用案例中很常見:
+ **CA 類型選項**
+ **短期憑證 CA 使用模式**:如果 CA 僅發行最終使用者憑證以進行憑證型身分驗證,則建議此選項。
+ **具有根 CA 的單一層級階層**:選擇從屬 CA,以將它與現有 CA 階層整合。
+ **金鑰演算法選項**:RSA 2048
+ **主體辨別名稱選項**:使用最適合的選項來識別 Active Directory 受信任的根憑證授權單位存放區中的此 CA。
+ **憑證撤銷選項**:CRL 散發
**注意**
憑證型身分驗證需要可從 WorkSpaces 應用程式機群執行個體和網域控制器存取的線上 CRL 分佈點。這需要未經驗證存取針對 AWS 私有 CA CRL 項目設定的 Amazon S3 儲存貯體,或者在封鎖公開存取的情況下,則需要可存取 S3 儲存貯體的 CloudFront 散發。如需這些選項的詳細資訊,請參閱[規劃憑證撤銷清單 (CRL)](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html)。
1. 使用有權指定 CA `euc-private-ca` 以搭配 WorkSpaces 應用程式憑證型身分驗證使用的金鑰來標記您的私有 CA。此金鑰不需要值。如需詳細資訊,請參閱[管理私有 CA 的標籤](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html)。如需與 WorkSpaces 應用程式搭配使用的 AWS 受管政策的詳細資訊,以授予 中 資源的許可 AWS 帳戶,請參閱 [AWS 存取 WorkSpaces 應用程式資源所需的受管政策](managed-policies-required-to-access-appstream-resources.md)。
1. 憑證型身分驗證會使用虛擬智慧卡進行登入。如需詳細資訊,請參閱[使用第三方憑證授權單位啟用智慧卡登入的指引](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities)。請遵循下列步驟:
1. 使用網域控制站憑證設定網域控制站,以驗證智慧卡使用者。如果您在 Active Directory 中設定了 Active Directory Certificate Services 企業 CA,它會自動使用啟用智慧卡登入的憑證註冊網域控制站。如果您沒有 Active Directory Certificate Services,請參閱[要求來自第三方 CA 的網域控制站憑證](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller)。 AWS 建議 Active Directory 企業憑證授權單位自動管理網域控制站憑證的註冊。
**注意**
如果您使用 AWS Managed Microsoft AD,您可以在滿足網域控制站憑證需求的 Amazon EC2 執行個體上設定 Certificate Services。如需使用 [Active Directory Certificate Services 設定的 Managed Microsoft AD 部署範例,請參閱將 Active Directory 部署至新的 Amazon Virtual Private Cloud](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html)。 AWS
使用 AWS Managed Microsoft AD 和 Active Directory Certificate Services,您還必須建立從控制器的 VPC 安全群組到執行 Certificate Services 的 Amazon EC2 執行個體的傳出規則。您必須提供安全群組對 TCP 連接埠 135 和連接埠 49152 到 65535 的存取權,才能啟用憑證自動註冊。Amazon EC2 執行個體也必須在這些連接埠上允許來自網域執行個體 (包括網域控制站) 的傳入存取。如需尋找 AWS Managed Microsoft AD 安全群組的詳細資訊,請參閱[設定 VPC 子網路和安全群組](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc)。
1. 在 AWS 私有 CA 主控台上,或使用 SDK 或 CLI 匯出私有 CA 憑證。如需詳細資訊,請參閱[匯出私有憑證](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)。
1. 將私有 CA 發佈至 Active Directory。登入網域控制站或加入網域的電腦。將私有 CA 憑證複製到任何 `\`,並以網域管理員的身分執行下列命令。您也可以使用群組政策和 Microsoft PKI Health 工具 (PKIView) 來發佈 CA。如需詳細資訊,請參閱[組態指示](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions)。
```
certutil -dspublish -f \ RootCA
```
```
certutil -dspublish -f \ NTAuthCA
```
確定命令已順利完成,然後移除私有 CA 憑證檔案。根據您的 Active Directory 複寫設定,CA 可能需要幾分鐘的時間才能發佈到您的網域控制器和 WorkSpaces 應用程式機群執行個體。
**注意**
Active Directory 在加入網域時,必須將 CA 自動分發到 WorkSpaces 應用程式機群執行個體的信任根憑證授權機構和企業 NTAuth 存放區。
對於 Windows 作業系統,CA (憑證授權單位) 的分佈會自動發生。不過,對於 Rocky Linux 和 Red Hat Enterprise Linux (Rocky Linux),您必須從 WorkSpaces 應用程式目錄組態所使用的 CA 下載根 CA 憑證。如果您的 KDC 根 CA 憑證 (KDC root CA) 不同,您也必須下載這些憑證。在使用憑證型身分驗證之前,必須將這些憑證匯入映像或快照。
在影像上,應該有一個名為 / 的檔案`etc/sssd/pki/sssd_auth_ca_db.pem`。它看起來應該如下所示:
```
-----BEGIN CERTIFICATE-----
Base64-encoded certificate chain from ACM Private CA
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate body from ACM private CA
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded root CA KDC certificate chain
-----END CERTIFICATE-----
```
**注意**
跨區域或帳戶複製映像,或重新建立映像與新 Active Directory 的關聯時,將需要使用映像建置器上的相關憑證重新設定此檔案,並在使用前再次快照。
以下是下載根 CA 憑證的指示:
1. 在映像建置器上,建立名為 的檔案`/etc/sssd/pki/sssd_auth_ca_db.pem`。
1. 開啟 [AWS Private CA 主控台](https://console.aws.amazon.com/acm-pca/)。
1. 選擇與 WorkSpaces 應用程式目錄組態搭配使用的私有憑證。
1. 選擇 **CA 憑證**索引標籤。
1. 在映像建置器上將憑證鏈和憑證內文複製到 `/etc/sssd/pki/sssd_auth_ca_db.pem` 。
如果 KDCs 使用的根 CA 憑證與 WorkSpaces 應用程式目錄組態使用的根 CA 憑證不同,請依照這些範例步驟下載它們:
1. 連線至與映像建置器加入相同網域的 Windows 執行個體。
1. 打開 `certlm.msc`。
1. 在左側窗格中,選擇**信任的根憑證授權機構**,然後選擇**憑證**。
1. 對於每個根 CA 憑證,開啟內容 (按一下滑鼠右鍵) 選單。
1. 選擇**所有任務**,選擇**匯出**以開啟憑證匯出精靈,然後選擇**下一步**。
1. 選擇 **Base64-encoded的 X.509 (.CER)**,然後選擇**下一步**。
1. 選擇**瀏覽**、輸入檔案名稱,然後選擇**下一步**。
1. 選擇**完成**。
1. 在文字編輯器中開啟匯出的憑證。
1. 將檔案的內容複製到映像建置器`/etc/sssd/pki/sssd_auth_ca_db.pem`上的 。