憑證型身分驗證和 WorkSpaces 個人 - Amazon WorkSpaces
必要條件啟用憑證型驗證管理憑證型驗證啟用跨帳戶PCA共用

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

憑證型身分驗證和 WorkSpaces 個人

您可以使用憑證型身分驗證搭配 WorkSpaces 移除 Active Directory 網域密碼的使用者提示。使用憑證型身分驗證搭配 Active Directory 網域,您可以:

  • 依賴您的 SAML 2.0 身分提供者來驗證使用者,並提供符合 Active Directory 中使用者的SAML聲明。

  • 賦予較少使用者提示的單一登入體驗。

  • 使用 2.0 SAML 身分提供者啟用無密碼身分驗證流程。

憑證型身分驗證會使用您 AWS 帳戶中 AWS Private CA 的資源。 AWS Private CA 啟用私有憑證授權機構 (CA) 階層的建立,包括根和下級 CAs。使用 AWS Private CA,您可以建立自己的 CA 階層,並發行憑證來驗證內部使用者。如需詳細資訊,請參閱《AWS Private Certificate Authority 使用者指南》https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html

使用 AWS Private CA 進行憑證型身分驗證時, WorkSpaces 會在工作階段身分驗證期間自動為您的使用者請求憑證。使用者會使用隨著憑證佈建的虛擬智慧卡,對 Active Directory 進行驗證。

使用最新 WorkSpaces Web Access、Windows 和 macOS 用戶端應用程式的DCV套件 WorkSpaces 上的 Windows 支援憑證型身分驗證。開啟 Amazon WorkSpaces Client 下載以尋找最新版本:

  • Windows 用戶端 5.5.0 版或更新版本

  • macOS 用戶端 5.6.0 版或更新版本

如需使用 Amazon 設定憑證型身分驗證的詳細資訊 WorkSpaces,請參閱如何在 2.0 和 的憑證型身分驗證中,為 Amazon 設定 WorkSpaces憑證型身分驗證和 WorkSpaces設計考量事項,以高度受規範的環境中設定憑證型身分驗證。 AppStream

必要條件

啟用憑證型驗證之前,請先完成下列步驟。

  1. 使用 SAML 2.0 整合設定 WorkSpaces 目錄,以使用憑證型身分驗證。如需詳細資訊,請參閱WorkSpaces與 2.0 SAML 整合。

  2. 在SAML宣告中設定 userPrincipalName 屬性。如需詳細資訊,請參閱為SAML驗證回應建立宣告。

  3. 在SAML宣告中設定 ObjectSid 屬性。執行強式對應至 Active Directory 使用者時,這是選擇性操作。如果屬性與 SAML_Subject 中指定的使用者 Active Directory 安全識別碼 (SID) 不相符,則憑證型身分驗證會失敗NameID。如需詳細資訊,請參閱為SAML驗證回應建立宣告。

  4. sts:TagSession如果角色信任政策不存在,請將其新增至與 2.0 SAML 組態搭配使用IAM的 角色信任政策。需有此許可才能使用憑證型身分驗證。如需詳細資訊,請參閱建立 SAML 2.0 聯合IAM角色。

  5. AWS Private CA 如果您沒有使用 Active Directory 設定私有憑證授權機構 (CA),請使用 建立私有憑證授權機構。使用憑證型身分驗證 AWS Private CA 需要 。如需詳細資訊,請參閱規劃您的 AWS Private CA 部署,並遵循指示來設定 CA 以進行憑證型身分驗證。下列 AWS Private CA 設定是憑證型身分驗證使用案例最常見的設定:

    1. CA 類型選項:

      1. 短期憑證 CA 使用模式 (如果您只使用 CA 來發行使用者憑證以進行憑證型驗證,則建議使用)

      2. 具有根 CA 的單一層級階層 (或者,如果要與現有 CA 階層整合,請選擇次級 CA)

    2. 金鑰演算法選項:RSA2048

    3. 主體辨別名稱選項:使用任何選項組合來識別 Active Directory 受信任的根憑證授權單位存放區中的 CA。

    4. 憑證撤銷選項:CRL分發

      注意

      憑證型身分驗證需要可從桌面和網域控制器存取的線上CRL分發點。這需要對針對私有 CA CRL項目設定的 Amazon S3 儲存貯體進行未經驗證的存取,或者 CloudFront如果 S3 儲存貯體封鎖公有存取,則有權存取該 S3 儲存貯體的分發。如需這些選項的詳細資訊,請參閱規劃憑證撤銷清單 (CRL)

  6. 使用有權指定 CA euc-private-ca 以搭配EUC憑證型身分驗證使用的金鑰來標記您的私有 CA。此金鑰不需要值。如需詳細資訊,請參閱管理私有 CA 的標籤

  7. 憑證型驗證會利用虛擬智慧卡進行登入。遵循在 Active Directory 中啟用智慧卡登入第三方憑證授權單位的指導方針,執行下列步驟:

    • 使用網域控制站憑證設定網域控制站,以驗證智慧卡使用者。如果您在 Active Directory 中設定了 Active Directory Certificate Services 企業 CA,網域控制站會使用憑證自動註冊以啟用智慧卡登入。如果您沒有 Active Directory Certificate Services,請參閱來自第三方 CA 的網域控制站憑證需求。您可以使用 AWS Private CA建立網域控制站憑證。如果您這樣做,請勿使用為短期憑證設定的私有 CA。

      注意

      如果您使用的是 AWS Managed Microsoft AD,則可以在EC2執行個體上設定 Certificate Services,以滿足網域控制器憑證的需求。請參閱 AWS Launch Wizard 以 Active Directory Certificate Services AWS Managed Microsoft AD 設定的 部署範例。 AWS 私有 CA 可以設定為 Active Directory Certificate Services CA 的附屬,也可以在使用 時設定為自己的根 AWS Managed Microsoft AD。

      使用 AWS Managed Microsoft AD 和 Active Directory Certificate Services 的其他組態任務是建立從控制器VPC安全群組到執行 Certificate Services 的EC2執行個體的傳出規則,允許TCP連接埠 135 和 49152-65535 啟用憑證自動註冊。此外,執行的EC2執行個體必須允許來自網域執行個體的相同連接埠的傳入存取,包括網域控制器。如需尋找 安全群組的詳細資訊, AWS Managed Microsoft AD 請參閱設定VPC子網路和安全群組。

    • 在 AWS Private CA 主控台或使用 SDK或 CLI,選取您的 CA,然後在 CA 憑證下匯出 CA 私有憑證。如需詳細資訊,請參閱匯出私有憑證

    • 將 CA 發佈至 Active Directory。登入網域控制站或已加入網域的電腦。將 CA 私有憑證複製到任何 <path>\<file> 並以網域管理員的身分執行下列命令。或者,您可以使用群組政策和 Microsoft PKI Health Tool (PKIView) 工具來發佈 CA。如需詳細資訊,請參閱設定指示

      certutil -dspublish -f <path>\<file> RootCA
certutil -dspublish -f  <path>\<file> NTAuthCA

      確定命令已順利完成,然後移除私有憑證檔案。根據 Active Directory 複寫設定,CA 可能需要幾分鐘的時間才能發佈至您的網域控制站和桌面執行個體。

      注意

      • Active Directory 必須在 WorkSpaces 桌面加入網域時,自動將 CA 分發給受信任根憑證授權機構和企業NTAuth商店。

啟用憑證型驗證

完成下列步驟,以啟用憑證型身分驗證。

  1. 在 開啟 WorkSpaces 主控台https://console.aws.amazon.com/workspaces

  2. 在導覽窗格中,選擇目錄

  3. 選擇 的目錄 ID WorkSpaces。

  4. 驗證之下,按一下編輯

  5. 按一下編輯憑證型驗證

  6. 核取啟用憑證型驗證

  7. 確認您的私有 CA ARN 已在清單中建立關聯。私有 CA 應位於相同的 AWS 帳戶和 中 AWS 區域,且必須標記有權 euc-private-ca出現在清單中的金鑰。

  8. 按一下 Save Changes (儲存變更)。憑證型驗證現在已啟用。

  9. 在DCV套件 WorkSpaces 上重新啟動您的 Windows,以使變更生效。如需詳細資訊,請參閱重新啟動 WorkSpace

  10. 重新啟動後,當使用者使用支援的用戶端透過 SAML 2.0 進行身分驗證時,他們將不再收到網域密碼的提示。

注意

啟用憑證型身分驗證以登入 時 WorkSpaces,即使已在目錄上啟用,使用者也不會收到多重要素身分驗證 (MFA) 的提示。使用憑證型身分驗證時, MFA 可以透過 2.0 SAML 身分提供者啟用。如需 的詳細資訊 AWS Directory Service MFA,請參閱多重要素驗證 (AD Connector) 或啟用 的多重要素驗證 AWS Managed Microsoft AD

管理憑證型驗證

CA 憑證

在一般組態中,私有 CA 憑證的有效期為 10 年。如需有關以過期憑證取代 CA 或以新的有效期重新發行 CA 的詳細資訊,請參閱管理私有 CA 生命週期

最終使用者憑證

為憑證 AWS Private CA WorkSpaces 型身分驗證發行的最終使用者憑證不需要續約或撤銷。這些憑證為短期。 WorkSpaces 每 24 小時自動發出新的憑證。這些最終使用者憑證的有效期比一般 AWS Private CA CRL分佈短。因此,使用者憑證不需要撤銷,也不會出現在 中CRL。

稽核報告

您可以建立稽核報告,以列出私有 CA 已發行或撤銷的所有憑證。如需詳細資訊,請參閱使用包含您私有 CA 的稽核報告

記錄和監控

您可以使用 AWS CloudTrail 記錄 對 AWS Private CA 的API呼叫 WorkSpaces。如需詳細資訊,請參閱使用 CloudTrail。在CloudTrail事件歷史記錄中,您可以從EcmAssumeRoleSession使用者名稱建立IssueCertificate WorkSpaces的事件來源檢視 GetCertificateacm-pca.amazonaws.com事件名稱。每個憑證EUC型身分驗證請求都會記錄這些事件。

啟用跨帳戶PCA共用

當您使用私有 CA 跨帳戶共用時,您可以授予其他帳戶使用集中式 CA 的許可,這會消除每個帳戶中私有 CA 的需求。CA 可以使用 AWS Resource Access Manager 管理許可來產生和發行憑證。私有 CA 跨帳戶共用可與相同 AWS 區域內的 WorkSpaces 憑證型身分驗證 (CBA) 搭配使用。

若要搭配 使用共用私有 CA 資源 WorkSpaces CBA

  1. 在集中CBA式 AWS 帳戶中設定 的私有 CA。如需詳細資訊,請參閱憑證型身分驗證和 WorkSpaces 個人

  2. CBA 請依照如何使用 中的步驟,與 WorkSpaces 資源使用的 資源 AWS 帳戶共用私有 CA,以共用私有 CA 跨帳戶。 AWS RAM ACM 您不需要完成步驟 3 即可建立憑證。您可以與個別 AWS 帳戶共用私有 CA,或透過 AWS Organizations 共用。若要與個別帳戶共用,您需要使用 Resource Access Manager (RAM) 主控台或 接受資源帳戶中的共用私有 CAAPIs。設定共用時,請確認RAM資源帳戶中私有 CA 的資源共用正在使用AWS RAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority受管許可範本。此範本與 WorkSpaces 服務角色在發出CBA憑證時使用的PCA範本一致。

  3. 共用成功後,您應該可以使用資源帳戶中的 Private CA 主控台來檢視共用的 Private CA。

  4. 使用 API或 CLI 將私有 CA ARN 與 WorkSpaces 目錄屬性CBA中的 建立關聯。目前, WorkSpaces 主控台不支援選取共用私有 CAARNs。範例CLI命令:

    aws workspaces modify-certificate-based-auth-properties —resource-id <value> —certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>