

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 先決條件
<a name="certificate-based-authentication-prereq"></a>

使用憑證型身分驗證之前，請先完成下列步驟。

1. 使用 SAML 2.0 整合設定 WorkSpaces 集區目錄，以使用憑證型身分驗證。如需詳細資訊，請參閱[設定 SAML 2.0 並建立 WorkSpaces 集區目錄](create-directory-pools.md)。
**注意**  
如果您想要使用憑證型身分驗證，請勿在集區目錄中啟用**智慧卡登入**。

1. 在您的 SAML 聲明中設定 `userPrincipalName` 屬性。如需詳細資訊，請參閱[步驟 7：為 SAML 身分驗證回應建立宣告](create-directory-pools.md#saml-directory-create-assertions)。

1. 在您的 SAML 聲明中設定 `ObjectSid` 屬性。您可以使用此屬性執行與 Active Directory 使用者的強式映射。如果 `ObjectSid` 屬性不符合 SAML\$1Subject `NameID` 中指定之使用者的 Active Directory 安全識別碼 (SID)，則憑證型身分驗證會失敗。如需詳細資訊，請參閱[步驟 7：為 SAML 身分驗證回應建立宣告](create-directory-pools.md#saml-directory-create-assertions)。
**注意**  
根據 [Microsoft KB5014754](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)，`ObjectSid`在 2025 年 9 月 10 日之後，基於憑證的身分驗證將強制使用 屬性。

1. 將 `sts:TagSession` 許可新增至您搭配 SAML 2.0 組態使用的 IAM 角色信任政策。如需詳細資訊，請參閱*《AWS Identity and Access Management 使用者指南》*中的[在  AWS STS 中傳遞工作階段標記](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html.html)。需有此許可才能使用憑證型身分驗證。如需詳細資訊，請參閱[步驟 5：建立 SAML 2.0 聯合 IAM 角色](create-directory-pools.md#saml-directory-saml-federation-role-in-iam)。

1. 如果您沒有使用 Active Directory 設定私有憑證授權機構 (CA)，請使用 AWS 私有憑證授權機構。 AWS 私有憑證授權機構需要使用憑證型身分驗證。如需詳細資訊，請參閱*AWS 私有憑證授權單位 《 使用者指南*》中的[規劃您的 AWS 私有 CA 部署](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html)。下列 AWS 私有 CA 設定在許多憑證型身分驗證使用案例中很常見：
   + **CA 類型選項**
     + **短期憑證 CA 使用模式**：如果 CA 僅發行最終使用者憑證以進行憑證型身分驗證，則建議此選項。
     + **具有根 CA 的單一層級階層**：選擇從屬 CA，以將它與現有 CA 階層整合。
   + **金鑰演算法選項**：RSA 2048
   + **主體辨別名稱選項**：使用最適合的選項來識別 Active Directory 受信任的根憑證授權單位存放區中的此 CA。
   + **憑證撤銷選項**：CRL 散發
**注意**  
憑證型身分驗證需要可從 WorkSpaces 集區中的 WorkSpaces 和網域控制器存取的線上 CRL 分佈點。這需要對針對 AWS 私有 CA CRL 項目設定的 Amazon S3 儲存貯體進行未經驗證的存取，或者如果 CloudFront 分佈封鎖公開存取，則有權存取 Amazon S3 儲存貯體。如需這些選項的詳細資訊，請參閱*AWS 私有憑證授權單位 《 使用者指南*》中的[規劃憑證撤銷清單 (CRL)](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html)。

1. 使用有權指定 CA `euc-private-ca` 以搭配 WorkSpaces 集區憑證型身分驗證使用的金鑰來標記您的私有 CA。此金鑰不需要值。如需詳細資訊，請參閱*AWS 私有憑證授權單位 《 使用者指南*》中的[管理私有 CA 的標籤](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html)。

1. 憑證型身分驗證會使用虛擬智慧卡進行登入。如需詳細資訊，請參閱[使用第三方憑證授權單位啟用智慧卡登入的指引](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities)。請遵循下列步驟：

   1. 使用網域控制站憑證設定網域控制站，以驗證智慧卡使用者。如果您在 Active Directory 中設定了 Active Directory Certificate Services 企業 CA，它會自動使用啟用智慧卡登入的憑證註冊網域控制站。如果您沒有 Active Directory Certificate Services，請參閱[來自第三方 CA 的網域控制站憑證需求](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller)。您可以使用 AWS Private CA 建立網域控制站憑證。如果您這樣做，請勿使用為短期憑證設定的私有 CA。
**注意**  
如果您使用 AWS Managed Microsoft AD，您可以在滿足網域控制站憑證需求的 Amazon EC2 執行個體上設定 Certificate Services。如需使用 [Active Directory Certificate Services 設定的 Managed Microsoft AD 部署範例，請參閱將 Active Directory 部署至新的 Amazon Virtual Private Cloud](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html)。 AWS   
使用 AWS Managed Microsoft AD 和 Active Directory Certificate Services，您還必須建立從控制器的 VPC 安全群組到執行 Certificate Services 的 Amazon EC2 執行個體的傳出規則。您必須提供安全群組對 TCP 連接埠 135 和連接埠 49152 到 65535 的存取權，才能啟用憑證自動註冊。Amazon EC2 執行個體也必須在這些連接埠上允許來自網域執行個體 (包括網域控制站) 的傳入存取。如需尋找 AWS Managed Microsoft AD 安全群組的詳細資訊，請參閱[設定 VPC 子網路和安全群組](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc)。

   1. 在 AWS 私有 CA 主控台上，或使用 SDK 或 CLI 匯出私有 CA 憑證。如需詳細資訊，請參閱[匯出私有憑證](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)。

   1. 將私有 CA 發佈至 Active Directory。登入網域控制站或加入網域的電腦。將私有 CA 憑證複製到任何 `<path>\<file>`，並以網域管理員的身分執行下列命令。您也可以使用群組政策和 Microsoft PKI Health 工具 (PKIView) 來發佈 CA。如需詳細資訊，請參閱[組態指示](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions)。

      ```
      certutil -dspublish -f <path>\<file> RootCA
      ```

      ```
      certutil -dspublish -f <path>\<file> NTAuthCA
      ```

      確定命令已順利完成，然後移除私有 CA 憑證檔案。根據您的 Active Directory 複寫設定，CA 發佈至 WorkSpaces 集區中的網域控制站和 WorkSpaces 可能需要幾分鐘的時間。
**注意**  
Active Directory 必須在加入網域時，自動將 CA 分發至 WorkSpaces 集區中的 WorkSpaces 信任根憑證授權機構和企業 NTAuth 存放區。
**注意**  
Active Directory 網域控制站必須處於相容性模式，憑證強式強制執行才能支援憑證型身分驗證。如需詳細資訊，請參閱 Microsoft 支援文件中的 [KB5014754 – Windows 域控制站上的憑證式驗證變更](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)一文。如果您使用的是 AWS Managed Microsoft AD，請參閱[設定目錄安全性設定](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)以取得詳細資訊。