必要條件 - Amazon WorkSpaces

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

必要條件

使用憑證型身分驗證之前,請先完成下列步驟。

  1. 設定 WorkSpaces 具有 SAML 2.0 整合功能的 Pool 目錄,以使用憑證型驗證。如需詳細資訊,請參閱設定 SAML 2.0 並建立 WorkSpaces 集區目錄

    注意

    如果要使用憑證型驗證,請勿在集區目錄中啟用智慧卡登入

  2. 在SAML判斷提示中設定userPrincipalName屬性。如需詳細資訊,請參閱第 7 步:為SAML身份驗證響應創建斷言

  3. (選擇性) 在SAML宣告中設定ObjectSid屬性。您可以使用此屬性執行與 Active Directory 使用者的強式映射。如果ObjectSid屬性不符合在 _Subject 中指定之使用者的 Active Directory 安全性識別碼 (SID),則憑證型驗證會失敗。SAML NameID如需詳細資訊,請參閱第 7 步:為SAML身份驗證響應創建斷言

  4. sts:TagSession權限新增至您與 SAML 2.0 組態搭配使用的IAM角色信任原則。如需詳細資訊,請參閱《AWS Identity and Access Management 使用者指南》中的在  AWS STS 中傳遞工作階段標記。需有此許可才能使用憑證型身分驗證。如需詳細資訊,請參閱步驟 5:建立 SAML 2.0 聯合IAM角色

  5. 如果您沒有使用您的 Active Directory 設定的 AWS 私有憑證授權單位 (CA),請使用私有 CA 建立私有憑證授權單位 (CA)。 AWS 需要私有 CA 才能使用憑證型驗證。如需詳細資訊,請參閱《AWS Private Certificate Authority 使用指南》的規劃 AWS Private CA 部署。下列 AWS 私有 CA 設定適用於許多憑證型驗證使用案例:

    • CA 類型選項

      • 短期憑證 CA 使用模式:如果 CA 僅發行最終使用者憑證以進行憑證型身分驗證,則建議此選項。

      • 具有根 CA 的單一層級階層:選擇從屬 CA,以將它與現有 CA 階層整合。

    • 關鍵演算法選項 RSA

    • 主體辨別名稱選項:使用最適合的選項來識別 Active Directory 受信任的根憑證授權單位存放區中的此 CA。

    • 憑證撤銷選項 — CRL 發佈

      注意

      憑證型驗證需要線上CRL發佈點,可從 WorkSpaces 集區 WorkSpaces 內和網域控制站存取。這需要對針對 AWS 私有 CA CRL 項目設定的 Amazon S3 儲存貯體進行未經驗證的存取權,或者如果它封鎖了公開存取,則可存取 Amazon S3 儲存貯體的 CloudFront 分發。如需這些選項的詳細資訊,請參閱《AWS Private Certificate Authority 使用指南》中的規劃憑證撤銷清單 (CRL)

  6. 使用有權指定 CA 與 Pool 憑證型驗證搭配 WorkSpaces 使用的金鑰euc-private-ca來標記您的私有 CA。此金鑰不需要值。如需詳細資訊,請參閱AWS Private Certificate Authority 使用者指南的管理私有 CA 的標籤

  7. 憑證型身分驗證會使用虛擬智慧卡進行登入。如需詳細資訊,請參閱使用第三方憑證授權單位啟用智慧卡登入的指引。請遵循下列步驟:

    1. 使用網域控制站憑證設定網域控制站,以驗證智慧卡使用者。如果您在 Active Directory 中設定了 Active Directory Certificate Services 企業 CA,它會自動使用啟用智慧卡登入的憑證註冊網域控制站。如果您沒有 Active Directory Certificate Services,請參閱來自第三方 CA 的網域控制站憑證需求。您可以使用 AWS 私有 CA 建立網域控制站憑證。如果您這樣做,請勿使用為短期憑證設定的私有 CA。

      注意

      如果您使用 AWS 受管 Microsoft AD,則可以在符合網域控制站憑證需求的 Amazon EC2 執行個體上設定憑證服務。請參閱將活動目錄部署到新的 Amazon Virtual Private Cloud,以取得使用中目錄憑證服務設定的 AWS 受管 Microsoft AD 部署的範例。

      使用 AWS 受管 Microsoft AD 和 Active Directory 憑證服務,您還必須建立從控制器的VPC安全群組到EC2執行憑證服務的 Amazon 執行個體的輸出規則。您必須提供安全性群組對TCP連接埠 135 和連接埠 49152 到 65535 的存取權,才能啟用憑證自動註冊。Amazon EC2 執行個體還必須允許從網域執行個體 (包括網域控制站) 對這些相同連接埠進行輸入存取。如需針對 AWS 受管理 Microsoft AD 尋找安全性群組的詳細資訊,請參閱設定您的VPC子網路和安全性群組

    2. 在 AWS 私人 CA 主控台上,或使用SDK或CLI匯出私有 CA 憑證。如需詳細資訊,請參閱匯出私有憑證

    3. 將私有 CA 發佈至 Active Directory。登入網域控制站或加入網域的電腦。將私有 CA 憑證複製到任何 <path>\<file>,並以網域管理員的身分執行下列命令。您也可以使用群組原則和 Microsoft PKI Health 工具 (PKIView) 來發佈 CA。如需詳細資訊,請參閱組態指示

      certutil -dspublish -f <path>\<file> RootCA
      certutil -dspublish -f <path>\<file> NTAuthCA

      確定命令已順利完成,然後移除私有 CA 憑證檔案。視您的 Active Directory 複寫設定而定,CA 可能需要數分鐘的時間才能發佈到您的網域控制站和 WorkSpaces 集區 WorkSpaces 中。

      注意

      Active Directory 必須將 CA 發佈到受信任的根憑證授權單位,以及 WorkSpaces 在 WorkSpaces 集區中自動加入網域時的企業NTAuth存放區。

      注意

      Active Directory 網域控制站必須處於相容性模式,憑證強式強制執行才能支援憑證型身分驗證。如需詳細資訊,請參閱 Microsoft Support 文件中的 KB5014754 — Windows 網域控制站上的憑證型驗證變更。如果您使用 AWS 受管理的 Microsoft AD,請參閱設定目錄安全性設定以取得詳細資訊。