啟用 AWS Managed Microsoft AD 的單一登入 - AWS Directory Service
IE/ChromeFirefox

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用 AWS Managed Microsoft AD 的單一登入

AWS Directory Service 可讓您的使用者 WorkDocs 從加入目錄的電腦存取 Amazon,而不必另外輸入其憑證。

啟用單一登入之前,您需要採取額外的步驟,讓您使用者的 Web 瀏覽器支援單一登入。使用者可能需要修改其 Web 瀏覽器設定,才能啟用單一登入。

注意

單一登入僅適用於加入 AWS Directory Service 目錄的電腦。它無法用於未加入目錄的電腦。

如果您的目錄是 AD Connector 目錄,且 AD Connector 服務帳戶沒有新增或移除其服務主要名稱屬性的權限,則對於以下的步驟 5 和 6,您有兩個選項:

  1. 您可以繼續進行,且系統會提示您輸入具有此權限之目錄使用者的使用者名稱和密碼,以便在 AD Connector 服務帳戶上新增或移除服務主要名稱屬性。這些憑證只會用來啟用單一登入,服務不會存放此資料。 AD Connector 服務帳戶權限不會變更。

  2. 您可以委派許可,允許 AD Connector 服務帳戶自行新增或移除服務主體名稱屬性,您可以使用具有修改 AD Connector 服務帳戶許可許可的 帳戶,從加入網域的電腦執行下列 PowerShell 命令。下列命令會讓 AD Connector 服務帳戶只能為本身新增和移除服務主要名稱屬性。

$AccountName = 'ConnectorAccountName'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$RootDse = Get-ADRootDSE 
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting AD Connector service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AclPath = $AccountProperties.DistinguishedName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for AD Connector service account.
$ObjectAcl = Get-ACL -Path "AD:\$AclPath" 
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
若要啟用或停用使用 Amazon 的單一登入 WorkDocs

  1. AWS Directory Service 主控台導覽窗格中,選取目錄

  2. Directories (目錄) 頁面中,選擇目錄 ID。

  3. Directory details (目錄詳細資訊) 頁面上,選取 Application management (應用程式管理) 索引標籤。

  4. 應用程式存取URL區段中,選擇啟用以啟用 Amazon 的單一登入 WorkDocs。

    如果您沒有看到啟用按鈕,您可能需要先建立存取,URL才能顯示此選項。如需如何建立存取 的詳細資訊URL,請參閱 建立 AWS Managed Microsoft AD URL 的存取權

  5. 啟用此目錄的單一登入對話方塊中,選擇啟用。這會啟用目錄的單一登入。

  6. 如果您稍後想要停用 Amazon 的單一登入 WorkDocs,請選擇停用 ,然後在停用此目錄的單一登入對話方塊中再次選擇停用

IE 和 Chrome 的單一登入

若要讓 Microsoft Internet Explorer (IE) 和 Google Chrome 瀏覽器支援單一登入,您必須在用戶端電腦上執行下列任務:

  • 新增您的存取權 URL(例如 https://<alias>.awsapps.com) 至單一登入的核准網站清單。

  • 啟用作用中指令碼 (JavaScript)。

  • 允許自動登入。

  • 啟用整合式身分驗證。

您或您的使用者可以手動執行這些任務,或者您可以使用群組原則設定來變更這些設定。

手動更新 Windows 上的單一登入

若要在 Windows 電腦上手動啟用單一登入,請在用戶端電腦上執行下列步驟。其中一些設定可能已正確設定。

在 Windows 上手動啟用 Internet Explorer 和 Chrome 的單一登入

  1. 若要開啟網際網路內容對話方塊,請選擇開始選單,在搜尋方塊中輸入 Internet Options,然後選擇網際網路選項

  2. 透過執行下列步驟URL,將存取權新增至單一登入的核准網站清單:

    1. 網際網路內容對話方塊中,選取安全性標籤。

    2. 選取近端內部網路,然後選擇網站

    3. 近端內部網路對話方塊中,選擇進階

    4. 將存取權新增至網站URL清單,然後選擇關閉

    5. 近端內部網路對話方塊中,選擇確定

  3. 若要啟用動態指令碼處理,請執行下列步驟:

    1. 網際網路內容對話方塊的安全性標籤中,選擇自訂等級

    2. 安全性設定 - 近端內部網路區域對話方塊中,向下捲動到指令碼處理,然後在 Active scripting 下選取啟用

    3. 安全性設定 - 近端內部網路區域對話方塊中,選擇確定

  4. 若要啟用自動登入,請執行下列步驟:

    1. 網際網路內容對話方塊的安全性標籤中,選擇自訂等級

    2. 安全性設定 - 近端內部網路區域對話方塊中,向下捲動到使用者驗證,然後在登入下選取只在近端內部網路區域自動登入

    3. 安全性設定 - 近端內部網路區域對話方塊中,選擇確定

    4. 安全性設定 - 近端內部網路區域對話方塊中,選擇確定

  5. 若要啟用整合式身分驗證,請執行下列步驟:

    1. 網際網路內容對話方塊中,選取進階標籤。

    2. 向下捲動到安全性,然後選取啟用整合式 Windows 驗證

    3. 網際網路內容對話方塊中,選擇確定

  6. 關閉並重新開啟您的瀏覽器,讓這些變更生效。

手動更新 OS X 的單一登入

若要在 OS X 上手動啟用 Chrome 的單一登入,請在用戶端電腦上執行下列步驟。您需要電腦的管理員權限,才能完成下列步驟。

在 OS X 上手動啟用 Chrome 的單一登入

  1. 執行下列命令,URL將存取權新增至AuthServerAllowlist政策:

    defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com"

  2. 開啟 System Preferences,前往 Profiles 面板,然後刪除 Chrome Kerberos Configuration 描述檔。

  3. 重新啟動 Chrome,然後在 Chrome 中開啟 chrome://policy 以確認具有此新的設定。

單一登入的群組政策設定

網域管理員可以實作群組原則設定,在加入網域的用戶端電腦上進行單一登入變更。

注意

如果您使用 Chrome 政策管理網域電腦上的 Chrome Web 瀏覽器,則必須將存取權新增至URLAuthServerAllowlist政策。如需設定 Chrome 政策的詳細資訊,請前往 Policy Settings in Chrome

使用群組原則設定啟用 Internet Explorer 和 Chrome 的單一登入

  1. 執行下列步驟,建立新的群組原則物件:

    1. 開啟群組原則管理工具,導覽至您的網域,然後選取 Group Policy Objects (群組原則物件)。

    2. 從主選單選擇動作,然後選取新增

    3. 新增GPO對話方塊中,輸入群組政策物件的描述性名稱,例如 IAM Identity Center Policy,並將來源啟動器GPO設定為 (無)。按一下 OK (確定)

  2. 透過執行下列步驟,將存取權新增至單一登入的核准網站URL清單:

    1. 在群組政策管理工具中,導覽至您的網域,選取群組政策物件 ,開啟 IAM Identity Center 政策的內容 (按一下滑鼠右鍵) 選單,然後選擇編輯

    2. 在原則樹狀目錄中,導覽至使用者設定 > 喜好設定 > Windows 設定

    3. Windows 設定清單中,開啟登錄的內容 (右鍵) 選單,然後選擇新增登錄項目

    4. 新登錄內容對話方塊中,輸入下列設定並選擇確定

      Action

      Update

      Hive

      HKEY_CURRENT_USER

      路徑

      Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>

      的值 <alias> 衍生自您的存取 URL。如果您的存取URL為 https://examplecorp.awsapps.com,別名為 examplecorp,登錄機碼為 Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp

      值名稱

      https

      值類型

      REG_DWORD

      值資料

      1

  3. 若要啟用動態指令碼處理,請執行下列步驟:

    1. 在群組政策管理工具中,導覽至您的網域,選取群組政策物件 ,開啟 IAM Identity Center 政策的內容 (按一下滑鼠右鍵) 選單,然後選擇編輯

    2. 在原則樹狀目錄中,導覽至電腦設定 > 原則 > 系統管理範本 > Windows 元件 > Internet Explorer > 網際網路控制台 > 安全性畫面 > 內部網路區域

    3. 內部網路區域清單中,開啟允許動態指令碼處理的內容 (右鍵) 選單,然後選擇編輯

    4. 允許動態指令碼處理對話方塊中,輸入下列設定並選擇確定

      • 選取已啟用選項按鈕。

      • 選項下,將允許動態指令碼處理設定為啟用

  4. 若要啟用自動登入,請執行下列步驟:

    1. 在群組政策管理工具中,導覽至您的網域,選取群組政策物件,開啟SSO政策的內容 (按一下滑鼠右鍵) 選單,然後選擇編輯

    2. 在原則樹狀目錄中,導覽至電腦設定 > 原則 > 系統管理範本 > Windows 元件 > Internet Explorer > 網際網路控制台 > 安全性畫面 > 內部網路區域

    3. 內部網路區域清單中,開啟登入選項的內容 (右鍵) 選單,然後選擇編輯

    4. 登入選項對話方塊中,輸入下列設定並選擇確定

      • 選取已啟用選項按鈕。

      • 選項下,將登入選項設定為只在近端內部網路區域自動登入

  5. 若要啟用整合式身分驗證,請執行下列步驟:

    1. 在群組政策管理工具中,導覽至您的網域,選取群組政策物件 ,開啟 IAM Identity Center 政策的內容 (按一下滑鼠右鍵) 選單,然後選擇編輯

    2. 在原則樹狀目錄中,導覽至使用者設定 > 喜好設定 > Windows 設定

    3. Windows 設定清單中,開啟登錄的內容 (右鍵) 選單,然後選擇新增登錄項目

    4. 新登錄內容對話方塊中,輸入下列設定並選擇確定

      Action

      Update

      Hive

      HKEY_CURRENT_USER

      路徑

      Software\Microsoft\Windows\CurrentVersion\Internet Settings

      值名稱

      EnableNegotiate

      值類型

      REG_DWORD

      值資料

      1

  6. 關閉仍然保持開啟狀態的群組原則管理編輯器視窗。

  7. 執行下列步驟,將新的原則指派給您的網域:

    1. 在群組政策管理樹狀結構中,開啟網域的內容 (按一下滑鼠右鍵) 選單,然後選擇連結現有 GPO

    2. 群組政策物件清單中,選取IAM您的身分中心政策,然後選擇確定

這些變更會在用戶端上的群組原則下次更新,或在使用者下次登入之後生效。

Firefox 的單一登入

若要允許 Mozilla Firefox 瀏覽器支援單一登入,請新增您的存取權 URL(例如 https://<alias>.awsapps.com) 至單一登入的核准網站清單。這可手動或透過指令碼自動完成。

手動更新單一登入

若要手動將存取權新增至 URL Firefox 中核准的網站清單,請在用戶端電腦上執行下列步驟。

若要手動將存取權新增至 Firefox 中核准的網站URL清單

  1. 開啟 Firefox,然後開啟 about:config 頁面。

  2. 開啟network.negotiate-auth.trusted-uris偏好設定,並將您的存取權新增至網站URL清單。請使用逗號 (,) 來分隔多個項目。

自動更新單一登入

作為網域管理員,您可以使用指令碼,將存取權新增至網路上所有電腦上URL的 Firefox network.negotiate-auth.trusted-uris使用者偏好設定。如需詳細資訊,請前往 https://support.mozilla.org/en-US/questions/939037