Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Single Sign-On für AWS Managed Microsoft AD aktivieren
AWS Directory Service bietet die Möglichkeit, Ihren Benutzern den Zugriff WorkDocs von einem Computer aus zu ermöglichen, der mit dem Verzeichnis verbunden ist, ohne ihre Anmeldeinformationen separat eingeben zu müssen.
Bevor Sie Single Sign-On aktivieren, müssen Sie zusätzliche Schritte durchführen, um die Webbrowser Ihrer Benutzer zur Unterstützung von Single Sign-On vorzubereiten. Benutzer müssen eventuell ihre Web-Browser-Einstellungen ändern, um Single Sign-On zu ermöglichen.
**Anmerkung**
Single Sign-On funktioniert nur mit einem Computer, der dem Directory Service -Verzeichnis beigetreten ist. Es kann nicht auf Computern verwendet werden, die nicht an das Verzeichnis angebunden sind.
Wenn es sich bei Ihrem Verzeichnis um ein AD Connector-Verzeichnis handelt und das AD Connector-Servicekonto nicht über die Berechtigung zum Hinzufügen oder Entfernen des Service-Prinzipalnamensattributs verfügt, stehen Ihnen für die folgenden Schritte 5 und 6 zwei Optionen zur Verfügung:
1. Sie können fortfahren und werden zur Eingabe des Benutzernamens und des Passworts für einen Verzeichnisbenutzer aufgefordert, der über diese Berechtigung zum Hinzufügen oder Entfernen des Service-Prinzipalnamensattributs für das AD Connector-Servicekonto verfügt. Diese Anmeldeinformationen werden nur verwendet, um Single Sign-On zu aktivieren, und werden nicht vom Service gespeichert. Die Berechtigungen des AD Connector-Servicekontos werden nicht geändert.
1. Sie können Berechtigungen delegieren, um es dem AD Connector Connector-Dienstkonto zu ermöglichen, das Dienstprinzipalnamenattribut für sich selbst hinzuzufügen oder zu entfernen. Sie können die folgenden PowerShell Befehle von einem Computer aus ausführen, der mit einer Domäne verbunden ist, und verwenden dabei ein Konto, das über die Berechtigungen für das AD Connector Connector-Dienstkonto verfügt. Der folgende Befehl gibt dem AD Connector-Servicekonto die Möglichkeit, ein Service-Prinzipalnamenattribut nur für sich selbst hinzuzufügen und zu entfernen.
```
$AccountName = 'ConnectorAccountName'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$RootDse = Get-ADRootDSE
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting AD Connector service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AclPath = $AccountProperties.DistinguishedName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for AD Connector service account.
$ObjectAcl = Get-ACL -Path "AD:\$AclPath"
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
```
**Um Single Sign-On zu aktivieren oder zu deaktivieren mit WorkDocs**
1. Wählen Sie im Navigationsbereich der [AWS Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) **Verzeichnisse**.
1. Wählen Sie auf der Seite **Directories (Verzeichnisse)** Ihre Verzeichnis-ID aus.
1. Wählen Sie auf der Seite **Directory details (Verzeichnisdetails)** die Registerkarte **Application Management (Anwendungsverwaltung)** aus.
1. Wählen Sie im Abschnitt **URL für den Anwendungszugriff** die Option **Aktivieren** aus, um Single Sign-On für zu aktivieren. WorkDocs
Wenn die Schaltfläche **Aktivieren** nicht angezeigt wird, müssen Sie zuerst eine Access-URL erstellen, bevor diese Option angezeigt wird. Weitere Informationen zum Erstellen einer Zugriffs-URL finden Sie unter [Zugriffs-URL für AWS Managed Microsoft AD erstellen](ms_ad_create_access_url.md).
1. Wählen Sie im Dialogfeld **Single Sign-On für dieses Verzeichnis aktivieren** die Option **Aktivieren**. Single Sign-On ist für das Verzeichnis aktiviert.
1. **Wenn Sie Single Sign-On zu einem späteren Zeitpunkt deaktivieren möchten WorkDocs, wählen Sie **Deaktivieren** und wählen Sie dann im Dialogfeld **Single Sign-On für dieses Verzeichnis deaktivieren** erneut Deaktivieren aus.**
**Topics**
+ [Single Sign-On für IE und Chrome](#ie_sso)
+ [Single Sign-On für Firefox](#firefox_sso)
## Single Sign-On für IE und Chrome
Damit die Browser Microsoft Internet Explorer (IE) und Google Chrome Single Sign-On unterstützen, müssen auf dem Client-Computer die folgenden Aufgaben durchgeführt werden:
+ Fügen Sie Ihre Zugriffs-URL (z. B. https://**.awsapps.com) zur Liste der zugelassenen Websites für Single Sign-On hinzu.
+ Aktivieren Sie Active Scripting (). JavaScript
+ Erlauben Sie die automatische Anmeldung.
+ Aktivieren Sie die integrierte Authentifizierung.
Sie oder Ihre Benutzer können diese Aufgaben manuell ausführen, oder Sie können diese Einstellungen mithilfe von Gruppenrichtlinieneinstellungen ändern.
**Topics**
+ [Manuelles Update für Single Sign-On in Windows](#ie_sso_manual_windows)
+ [Manuelles Update für Single Sign-On in OS X](#chrome_sso_manual_mac)
+ [Gruppenrichtlinieneinstellungen für Single Sign-On](#ie_sso_gpo)
### Manuelles Update für Single Sign-On in Windows
Um Single Sign-On in einem Windows-Computer manuell zu aktivieren, führen Sie die folgenden Schritte auf dem Client-Computer aus. Einige dieser Einstellungen können bereits korrekt eingestellt sein.
**Single Sign-On für Internet Explorer und Chrome unter Windows manuell aktivieren**
1. Um das Dialogfeld **Internet Properties** zu öffnen, wählen Sie das **Start**-Menü, geben `Internet Options` in das Suchfeld ein, und wählen **Internet Options**.
1. Fügen Sie Ihre Zugriffs-URL zur Liste der zulässigen Websites für Single Sign-On hinzu, indem Sie die folgenden Schritte ausführen:
1. Wählen Sie im Dialogfeld **Internet Properties** die Registerkarte **Security**.
1. Wählen Sie **Local intranet** und **Sites**.
1. Wählen Sie im Dialogfeld **Local intranet** die Option **Advanced**.
1. Fügen Sie Ihre Zugriffs-URL zur Liste der Websites hinzu und klicken Sie auf **Close**.
1. Wählen Sie im Dialogfeld **Local intranet** **OK**.
1. Zum Aktivieren der aktiven Skripts, führen Sie die folgenden Schritte aus:
1. Wählen Sie auf der Registerkarte **Security** im Dialogfeld **Internet Properties** die Option **Custom level**.
1. Scrollen Sie im Dialogfeld **Security Settings - Local Intranet Zone** nach unten bis **Scripting** und wählen Sie **Enable** unter **Active scripting**.
1. Wählen Sie im Dialogfeld **Security Settings - Local Intranet Zone** **OK**.
1. Zum Aktivieren der automatischen Anmeldung, führen Sie die folgenden Schritte aus:
1. Wählen Sie auf der Registerkarte **Security** im Dialogfeld **Internet Properties** die Option **Custom level**.
1. Scrollen Sie im Dialogfeld **Security Settings - Local Intranet Zone** nach unten bis **User Authentication** und wählen Sie **Automatic logon only in Intranet zone** unter **Logon**.
1. Wählen Sie im Dialogfeld **Security Settings - Local Intranet Zone** **OK**.
1. Wählen Sie im Dialogfeld **Security Settings - Local Intranet Zone** **OK**.
1. Zum Aktivieren der integrierten Authentifizierung, führen Sie die folgenden Schritte aus:
1. Wählen Sie im Dialogfeld **Internet Properties** die Registerkarte **Advanced**.
1. Scrollen Sie nach unten bis **Security,** und wählen Sie **Enable Integrated Windows Authentication**.
1. Wählen Sie im Dialogfeld **Internet Properties** **OK**.
1. Schließen Sie den Browser und öffnen Sie ihn erneut, damit diese Änderungen wirksam werden.
### Manuelles Update für Single Sign-On in OS X
Um manuell Single Sign-On für Chrome in OS X zu aktivieren, führen Sie die folgenden Schritte aus. Sie benötigen Administratorrechte auf Ihrem Computer, um diese Schritte ausführen zu können.
**Single Sign-On für Chrome auf OS X manuell aktivieren**
1. Fügen Sie der [AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist)Richtlinie Ihre Zugriffs-URL hinzu, indem Sie den folgenden Befehl ausführen:
```
defaults write com.google.Chrome AuthServerAllowlist "https://.awsapps.com"
```
1. Öffnen Sie **System Preferences**, wechseln Sie in den Bereich **Profiles** und löschen Sie das Profil `Chrome Kerberos Configuration`.
1. Starten Sie Chrome neu und öffnen Sie chrome://policy in Chrome, um zu bestätigen, dass die neuen Einstellungen vorhanden sind.
### Gruppenrichtlinieneinstellungen für Single Sign-On
Der Domain-Administrator kann Gruppenrichtlinieneinstellungen implementieren, um die Single-Sign-On-Änderungen auf Client-Computern durchzuführen, die mit der Domain verbunden sind.
**Anmerkung**
Wenn Sie die Chrome-Webbrowser auf den Computern in Ihrer Domain mit Chrome-Richtlinien verwalten, müssen Sie Ihre Zugriffs-URL zur [AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist)Richtlinie hinzufügen. Weitere Informationen zum Einrichten von Chrome-Richtlinien finden Sie unter [Policy-Einstellungen in Chrome](https://source.chromium.org/chromium/chromium/src/+/main:docs/enterprise/add_new_policy.md).
**Single Sign-On für Internet Explorer und Chrome mit Gruppenrichtlinieneinstellungen aktivieren**
1. Erstellen Sie ein neues Gruppenrichtlinienobjekt, indem Sie die folgenden Schritte ausführen:
1. Öffnen Sie das Tool für die Gruppenrichtlinienverwaltung, navigieren Sie zu Ihrer Domain und wählen Sie **Group Policy Objects**.
1. Wählen Sie im Hauptmenü **Action** und dann **New**.
1. Geben Sie in das Dialogfeld **Neues GPO** einen aussagekräftigen Namen für das Gruppenrichtlinienobjekt ein, wie beispielsweise `IAM Identity Center Policy`, und behalten Sie für **Source Starter GPO** den Eintrag **(kein)** bei. Klicken Sie auf **OK**.
1. Fügen Sie die Zugriffs-URL zur Liste der zulässigen Websites für Single Sign-On hinzu, indem Sie die folgenden Schritte ausführen:
1. Im Tool für die Gruppenrichtlinienverwaltung navigieren Sie zu Ihrer Domain, wählen Sie **Gruppenrichtlinienobjekte**, öffnen Sie das Kontextmenü (Rechtsklick) für Ihre IAM-Identity-Center-Richtlinie und wählen Sie **Bearbeiten**.
1. Navigieren Sie in der Richtlinien-Baumstruktur zu **User Configuration** > **Preferences** > **Windows Settings**.
1. Öffnen Sie in der Liste **Windows Settings** das Kontextmenü (Rechtsklick) für **Registry** und wählen Sie **New registry item**.
1. Geben Sie im Dialogfeld **New Registry Properties** die folgenden Einstellungen ein, und wählen Sie **OK**:
**Action (Aktion)**
`Update`
**Hive**
`HKEY_CURRENT_USER`
**Pfad**
`Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\`
Der Wert für ** wird von Ihrer Zugriffs-URL abgeleitet. Wenn Ihre Zugriffs-URL `https://examplecorp.awsapps.com` ist, wird `examplecorp` der Alias und der Registrierungsschlüssel wird `Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp`.
**Wertname**
`https`
**Werttyp**
`REG_DWORD`
**Wertdaten**
`1`
1. Zum Aktivieren der aktiven Skripts, führen Sie die folgenden Schritte aus:
1. Im Tool für die Gruppenrichtlinienverwaltung navigieren Sie zu Ihrer Domain, wählen Sie **Gruppenrichtlinienobjekte**, öffnen Sie das Kontextmenü (Rechtsklick) für Ihre IAM-Identity-Center-Richtlinie und wählen Sie **Bearbeiten**.
1. Navigieren Sie in der Richtlinien-Baumstrukturzu **Computer Configuration** > **Policies** > **Administrative Templates** > **Windows Components** > **Internet Explorer** > **Internet Control Panel** > **Security Page** > **Intranet Zone**.
1. Öffnen Sie in der Liste **Intranet Zone** das Kontextmenü (Rechtsklick) für **Allow active scripting** und wählen Sie **Edit**.
1. Geben Sie im Dialogfeld **Allow active scripting** die folgenden Einstellungen ein, und wählen Sie **OK**:
+ Wählen Sie das Optionsfeld **Enabled**.
+ Setzen Sie unter **Options** die Option **Allow active scripting** auf **Enable**.
1. Zum Aktivieren der automatischen Anmeldung, führen Sie die folgenden Schritte aus:
1. Im Tool für die Gruppenrichtlinienverwaltung navigieren Sie zu Ihrer Domain, wählen Sie Group Policy Objects, öffnen Sie das Kontextmenü (Rechtsklick) für Ihre SSO-Richtlinie und wählen Sie **Bearbeiten**.
1. Navigieren Sie in der Richtlinien-Baumstrukturzu **Computer Configuration** > **Policies** > **Administrative Templates** > **Windows Components** > **Internet Explorer** > **Internet Control Panel** > **Security Page** > **Intranet Zone**.
1. Öffnen Sie in der Liste **Intranet Zone** das Kontextmenü (Rechtsklick) für **Logon options** und wählen Sie **Edit**.
1. Geben Sie im Dialogfeld **Logon options** die folgenden Einstellungen ein, und wählen Sie **OK**:
+ Wählen Sie das Optionsfeld **Enabled**.
+ Setzen Sie unter **Options** die **Logon options** auf **Automatic logon only in Intranet zone**.
1. Zum Aktivieren der integrierten Authentifizierung, führen Sie die folgenden Schritte aus:
1. Im Tool für die Gruppenrichtlinienverwaltung navigieren Sie zu Ihrer Domain, wählen Sie **Gruppenrichtlinienobjekte**, öffnen Sie das Kontextmenü (Rechtsklick) für Ihre IAM-Identity-Center-Richtlinie und wählen Sie **Bearbeiten**.
1. Navigieren Sie in der Richtlinien-Baumstruktur zu **User Configuration** > **Preferences** > **Windows Settings**.
1. Öffnen Sie in der Liste **Windows Settings** das Kontextmenü (Rechtsklick) für **Registry** und wählen Sie **New registry item**.
1. Geben Sie im Dialogfeld **New Registry Properties** die folgenden Einstellungen ein, und wählen Sie **OK**:
**Action (Aktion)**
`Update`
**Hive**
`HKEY_CURRENT_USER`
**Pfad**
`Software\Microsoft\Windows\CurrentVersion\Internet Settings`
**Wertname**
`EnableNegotiate`
**Werttyp**
`REG_DWORD`
**Wertdaten**
`1`
1. Schließen Sie das Fenster **Group Policy Management Editor**, falls es noch geöffnet ist.
1. Weisen Sie die neue Richtlinie Ihrer Domain zu, indem Sie die folgenden Schritte ausführen:
1. Öffnen Sie im Gruppenrichtlinien-Baum das Kontextmenü (Rechtsklick) für Ihre Domain, und wählen Sie **Link an Existing GPO**.
1. Wählen Sie in der Liste **Gruppenrichtlinienobjekte** Ihre IAM-Identity-Center-Richtlinie, und wählen Sie **OK**.
Diese Änderungen werden nach dem nächsten Gruppenrichtlinien-Update auf dem Client wirksam, oder wenn sich der Benutzer das nächste Mal anmeldet.
## Single Sign-On für Firefox
Damit der Mozilla Firefox-Browser Single Sign-On unterstützt, fügen Sie Ihre Zugriffs-URL (z. B. https://**.awsapps.com) zur Liste der zugelassenen Websites für Single Sign-On hinzu. Dies kann manuell oder automatisiert durch ein Skript erfolgen.
**Topics**
+ [Manuelles Update für Single Sign-On](#firefox_sso_manual)
+ [Automatisches Update für Single Sign-On](#firefox_sso_script)
### Manuelles Update für Single Sign-On
Um manuell Ihre Zugriffs-URL zur Liste der zulässigen Websites in Firefox hinzuzufügen, führen Sie die folgenden Schritte auf dem Client-Computer aus.
**So fügen Sie manuell Ihre Zugriffs-URL zur Liste der zulässigen Websites in Firefox hinzu**
1. Öffnen Sie Firefox und öffnen Sie die Seite `about:config`.
1. Öffnen Sie die Einstellung `network.negotiate-auth.trusted-uris` und fügen Sie Ihre Zugriffs-URL der Liste der Websites hinzu. Verwenden Sie ein Komma (,), um mehrere Einträge zu trennen.
### Automatisches Update für Single Sign-On
Als Domainadministrator können Sie ein Skript hinzufügen, um Ihre Zugriffs-URL auf allen Computern in Ihrem Netzwerk der Firefox-Benutzereinstellung `network.negotiate-auth.trusted-uris` hinzuzufügen. [Weitere Informationen finden Sie unter https://support.mozilla. org/en-US/questions/939037](https://support.mozilla.org/en-US/questions/939037).