Tutorial: Einrichten von Active Directory - WorkSpaces Amazon-Anwendungen
Schritt 1: Erstellen eines Directory Config-ObjektsSchritt 2: Erstellen eines Abbilds mit einem mit einer Domäne verbundenen Image BuilderSchritt 3: Erstellen einer mit der Domäne verknüpften FlotteSchritt 4: SAML 2.0 konfigurieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tutorial: Einrichten von Active Directory

Um Active Directory mit WorkSpaces Anwendungen verwenden zu können, müssen Sie zunächst Ihre Verzeichniskonfiguration registrieren, indem Sie in WorkSpaces Applications ein Directory Config-Objekt erstellen. Dieses Objekt enthält die Informationen, die erforderlich sind, um Streaming-Instances mit einer Active Directory-Domäne zu verbinden. Sie erstellen ein Directory Config-Objekt mithilfe der WorkSpaces Applications Management Console, des AWS SDK oder AWS CLI. Sie können Ihre Verzeichniskonfiguration anschließend verwenden, um mit der Domain verbundene Always-On- und On-Demand-Flotten und Image Builder zu starten.

Anmerkung

Sie können nur Always-On- und On-Demand-Flotten-Streaming-Instances mit einer Active-Directory-Domain verbinden.

Schritt 1: Erstellen eines Directory Config-Objekts

Das Directory Config-Objekt, das Sie in WorkSpaces Applications erstellen, wird in späteren Schritten verwendet.

Wenn Sie das AWS SDK verwenden, können Sie den CreateDirectoryConfigVorgang verwenden. Wenn Sie den verwenden AWS CLI, können Sie den create-directory-configBefehl verwenden.

So erstellen Sie ein Directory Config-Objekt mithilfe der WorkSpaces Anwendungskonsole

  1. Öffnen Sie die WorkSpaces Anwendungskonsole unter https://console.aws.amazon.com/appstream2.

  2. Wählen Sie im linken Navigationsbereich Directory-Konfigurationen und Directory-Konfigurationen erstellen aus.

  3. Geben Sie für Directory Name den vollständig qualifizierten Domänennamen (FQDN) der Active Directory-Domäne an (z. B. corp.example.com). Jede Region kann nur einen Directory Config- Wert mit einem spezifischen Directory-Namen haben.

  4. Geben Sie für Servicekonto-Name den Namen eines Kontos ein, das Computerobjekte erstellen kann und über Berechtigungen zum Verbinden mit der Domäne verfügt. Weitere Informationen finden Sie unter Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten. Der Kontoname muss das Format DOMAIN\username haben.

  5. Für Passwort und Passwort bestätigen geben Sie das Directory-Passwort für das angegebene Konto ein.

  6. Für Organisationseinheit (OU) geben Sie den spezifischen Namen von mindestens einer der OUs ein, in denen Streaming-Instance-Computerobjekte erstellt werden sollen.

    Anmerkung

    Die OU darf keine Leerzeichen enthalten. Wenn Sie einen OU-Namen angeben, der Leerzeichen enthält, können WorkSpaces Anwendungen beim Versuch einer Flotte oder eines Image Builders, der Active Directory-Domäne wieder beizutreten, die Computerobjekte nicht korrekt durchlaufen, und der erneute Domänenbeitritt ist nicht erfolgreich. Informationen zur Behebung dieses Problems finden Sie im Thema DOMAIN_JOIN_INTERNAL_SERVICE_ERROR für die Meldung „Das Konto ist bereits vorhanden“ unter Verbindung mit der Active Directory-Domäne.

    Darüber hinaus ist der Standardcontainer „Computer“ keine Organisationseinheit und kann nicht von WorkSpaces Anwendungen verwendet werden. Weitere Informationen finden Sie unter Den spezifischen Namen der Organisationseinheit finden.

  7. Um mehrere OUs hinzuzufügen, wählen Sie das Pluszeichen (+) neben dem Feld Organisationseinheit (OU). Wählen Sie OUs zum Entfernen das X-Symbol.

  8. Wählen Sie Weiter aus.

  9. Prüfen Sie die Konfigurationsinformationen und wählen Sie Erstellen.

Schritt 2: Erstellen eines Abbilds mit einem mit einer Domäne verbundenen Image Builder

Erstellen Sie anschließend mit dem WorkSpaces Applications Image Builder ein neues Image mit Active Directory-Funktionen für den Domänenbeitritt. Beachten Sie, dass die Flotte und das Abbild unterschiedliche Domänen angehören können. Sie verbinden den Image Builder mit einer Domäne, um die Domänenverbindung zu aktivieren und Anwendungen zu installieren. Die Domänenverbindung von Flotten ist im nächsten Abschnitt beschrieben.

Ein Abbild für das Starten der mit der Domäne verbundenen Flotten erstellen

  1. Folgen Sie den Verfahren in Tutorial: Erstellen eines benutzerdefinierten WorkSpaces Anwendungsabbilds mithilfe der WorkSpaces Anwendungskonsole.

  2. Verwenden Sie für den Schritt zur Auswahl des Basis-Images ein AWS Basis-Image, das am oder nach dem 24. Juli 2017 veröffentlicht wurde. Eine aktuelle Liste der veröffentlichten AWS Images finden Sie unterWorkSpaces Versionshinweise für das Basis-Image und das Managed Image-Update für Anwendungen.

  3. Für Schritt 3: Netzwerk konfigurieren wählen Sie eine VPC und Subnetze mit Netzwerkkonnektivität zu Ihrer Active Directory-Umgebung aus. Wählen Sie die Sicherheitsgruppen, die darauf ausgelegt sind, Zugriff auf Ihr Directory über Ihre VPC-Subnetze zu ermöglichen.

  4. Ebenfalls in Schritt 3: Netzwerk konfigurieren erweitern Sie den Abschnitt Active Directory-Domäne (optional), und wählen Werte für Directory Name und Directory OU aus, mit denen der Image Builder verbunden werden soll.

  5. Prüfen Sie die Konfiguration des Image Builders und wählen Sie Erstellen.

  6. Warten Sie, bis der neue Image Builder den Status Ausführung erreicht, und wählen Sie Verbinden.

  7. Melden Sie sich beim Image Builder im Administratormodus oder als Directory-Benutzer mit lokalen Administratorberechtigungen an. Weitere Informationen finden Sie unter Gewähren von lokalen Administratorrechten für Image Builder.

  8. Führen Sie die Schritte in Tutorial: Erstellen eines benutzerdefinierten WorkSpaces Anwendungsabbilds mithilfe der WorkSpaces Anwendungskonsole aus, um Anwendungen zu installieren und ein neues Abbild zu erstellen.

Schritt 3: Erstellen einer mit der Domäne verknüpften Flotte

Mit dem im vorherigen Schritt erstellten privaten Abbild erstellen Sie eine mit der Domain verbundene Always-On- oder On-Demand-Active-Directory-Flotte für Streaming-Anwendungen. Die Domäne kann eine andere sein, als Sie für den Image Builder zum Erstellen des Abbilds verwendet haben.

So erstellen Sie eine mit einer Domain verbundene Always-On- oder On-Demand-Flotte

  1. Folgen Sie den Verfahren in Erstellen Sie eine Flotte in Amazon WorkSpaces Applications.

  2. Für den Schritt zur Auswahl des Abbilds verwenden Sie das Abbild aus dem vorherigen Schritt, Schritt 2: Erstellen eines Abbilds mit einem mit einer Domäne verbundenen Image Builder.

  3. Für Schritt 4: Netzwerk konfigurieren wählen Sie eine VPC und Subnetze mit Netzwerkkonnektivität zu Ihrer Active Directory-Umgebung aus. Wählen Sie die Sicherheitsgruppen, die eingerichtet wurden, um eine Kommunikation in Ihrer Domäne zuzulassen.

  4. Ebenfalls in Schritt 4: Netzwerk konfigurieren erweitern Sie den Abschnitt Active Directory-Domäne (optional) und wählen die Werte für Directory Name und Directory OU aus, mit denen die Flotte verknüpft werden soll.

  5. Prüfen Sie die Flottenkonfiguration und wählen Sie Erstellen.

  6. Führen Sie die verbleibenden Schritte aus Erstellen Sie eine WorkSpaces Amazon-Anwendungsflotte und einen Stack aus, sodass Ihre Flotte einem Stack zugeordnet ist und ausgeführt wird.

Schritt 4: SAML 2.0 konfigurieren

Ihre Benutzer müssen Ihren auf SAML 2.0 basierenden Identitätsverbundumgebung verwenden, um Streaming-Sitzungen aus Ihrer mit der Domäne verbundenen Flotte zu starten.

SAML 2.0 für einen Zugriff nach einmaligem Anmelden konfigurieren

  1. Folgen Sie den Verfahren in Einrichten von SAML.

  2. WorkSpaces Für Anwendungen muss der NameID SAML_Subject-Wert für den Benutzer, der sich anmeldet, in einem der folgenden Formate bereitgestellt werden:

    • domain\usernamemit dem Namen s AMAccount

    • username@domain.commit dem userPrincipalName

    Wenn Sie das AMAccount S-Name-Format verwenden, können Sie das entweder domain mithilfe des NetBIOS-Namens oder des vollqualifizierten Domänennamens (FQDN) angeben.

  3. Gewähren Sie Ihren Active Directory-Benutzern oder -Gruppen Zugriff, um den Zugriff auf den WorkSpaces Anwendungsstapel von Ihrem Identity Provider-Anwendungsportal aus zu ermöglichen.

  4. Führen Sie die verbleibenden Schritte unter Einrichten von SAML aus.

Anmeldung eines Benutzers mit SAML 2.0

  1. Melden Sie sich beim Anwendungskatalog Ihres SAML 2.0-Anbieters an und öffnen Sie die SAML-Anwendung WorkSpaces Applications, die Sie im vorherigen Verfahren erstellt haben.

  2. Wenn der Anwendungskatalog WorkSpaces für Anwendungen angezeigt wird, wählen Sie eine Anwendung aus, die gestartet werden soll.

  3. Wenn ein Ladesymbol angezeigt wird, werden Sie aufgefordert, ein Passwort einzugeben. Der von Ihrem SAML 2.0 Identitätsanbieter bereitgestellte Domänenbenutzername wird oberhalb des Passwortfelds angezeigt. Geben Sie Ihr Passwort ein und wählen Sie Anmelden aus.

Die Streaming-Instance führt das Windows-Anmeldeverfahren aus und die ausgewählte Anwendung wird geöffnet.