Límite del acceso a los dispositivos de confianza en WorkSpaces Personal - Amazon WorkSpaces
Paso 1: Crear los certificadosPaso 2: Implementar certificados de cliente en los dispositivos de confianzaPaso 3: Configurar la restricción

Límite del acceso a los dispositivos de confianza en WorkSpaces Personal

De forma predeterminada, los usuarios pueden obtener acceso a WorkSpaces desde cualquier dispositivo compatible conectado a Internet. Si en su organización se limita el acceso a datos corporativos a los dispositivos de confianza (también conocidos como dispositivos administrados), puede restringir el acceso a WorkSpaces a los dispositivos de confianza con certificados válidos.

nota

Por el momento, esta característica solo está disponible cuando los directorios de WorkSpaces Personal se administran mediante Directory Service, incluidos los directorios de Simple AD, AD Connector y AWS Managed Microsoft AD.

Al habilitar esta característica, WorkSpaces utiliza la autenticación basada en certificados para determinar si un dispositivo es de confianza. Si la aplicación cliente de WorkSpaces no puede verificar si un dispositivo es de confianza, bloquea los intentos de iniciar sesión o de reconectar desde el dispositivo.

Para cada directorio, puede importar hasta dos certificados raíz. Si importa dos certificados raíz, WorkSpaces los presenta al cliente y este busca el primer certificado coincidente válido que llega hasta uno de los certificados raíz.

Clientes compatibles

  • Android, que se ejecuta en sistemas Android o Chrome OS compatibles con Android

  • macOS

  • Windows

importante

Esta característica solo se admite en los siguientes clientes:

  • Aplicaciones cliente de WorkSpaces para Linux o iPad

  • Clientes de terceros, incluidos, entre otros, Teradici PCoIP, clientes RDP y aplicaciones de escritorio remoto.

nota

Al habilitar el acceso para clientes específicos, asegúrese de bloquear el acceso a otros tipos de dispositivos que no necesite. Para obtener más información sobre cómo llevar a cabo este procedimiento, consulte el paso 3.7 que se indica a continuación.

Paso 1: Crear los certificados

Esta característica requiere dos tipos de certificados: certificados raíz generados por una entidad de certificación (CA) interna y certificados de cliente que se encadenan hasta un certificado raíz.

Requisitos

  • Los certificados raíz deben ser archivos de certificado codificados en Base64, con formato CRT, CERT o PEM.

  • Los certificados raíz deben cumplir con el siguiente patrón de expresiones regulares, lo que significa que cada línea codificada, además de la última, debe tener exactamente 64 caracteres: -{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A).

  • Los certificados deben incluir un nombre común.

  • Los certificados de dispositivo deben incluir las siguientes extensiones: Key Usage: Digital Signature y Enhanced Key Usage: Client Authentication.

  • Todos los certificados de la cadena, desde el certificado del dispositivo hasta la entidad emisora de certificados raíz de confianza, deben estar instalados en el dispositivo cliente.

  • La longitud máxima que se admite para una cadena de certificados es 4.

  • WorkSpaces no admite actualmente los mecanismos de revocación de dispositivos, por ejemplo, listas de revocación de certificados (CRL) u Online Certificate Status Protocol (OCSP), para los certificados de cliente.

  • Utilice un algoritmo de cifrado sólido. Recomendamos SHA256 con RSA, SHA256 con ECDSA, SHA384 con ECDSA o SHA512 con ECDSA.

  • Con sistemas operativos Mac, si el dispositivo está en el llavero del sistema, recomendamos que autorice a la aplicación cliente de WorkSpaces el acceso a los certificados. De lo contrario, los usuarios tendrán que escribir las credenciales de llavero cuando inician sesión o vuelven a conectarse.

Paso 2: Implementar certificados de cliente en los dispositivos de confianza

En los dispositivos de confianza de sus usuarios, debe instalar un paquete de certificados que incluya todos los certificados de la cadena, desde el certificado del dispositivo hasta la autoridad de certificación raíz de confianza. Puede utilizar la solución que prefiera para instalar los certificados en la flota de dispositivos cliente, por ejemplo, System Center Configuration Manager (SCCM) o Mobile Device Management (MDM). Tenga en cuenta que SCCM y MDM pueden; opcionalmente, realizar una evaluación para determinar si los dispositivos cumplen las políticas de su organización para el acceso a WorkSpaces.

Las aplicaciones cliente de WorkSpaces buscan certificados de la siguiente manera:

  • Android: vaya a Ajustes, seleccione Seguridad y ubicación, Credenciales y, a continuación, Instalar desde una tarjeta SD.

  • Sistemas Chrome OS compatibles con Android: abra los ajustes de Android y seleccione Seguridad y ubicación, Credenciales y, a continuación, Instalar desde una tarjeta SD.

  • macOS: busca certificados de cliente en el llavero.

  • Windows: busca certificados de cliente en los almacenes de certificados de usuario y raíz.

Paso 3: Configurar la restricción

Una vez que ha implementado los certificados de cliente en los dispositivos de confianza, puede permitir el acceso restringido en el nivel de directorio. Esto requiere que la aplicación cliente de WorkSpaces valide el certificado en un dispositivo para permitir que un usuario inicie sesión en WorkSpaces.

Para configurar la restricción

  1. Abra la consola de WorkSpaces en https://console.aws.amazon.com/workspaces/v2/home.

  2. En el panel de navegación, elija Directories (Directorios).

  3. Seleccione el directorio y después elija Actions, Update Details.

  4. Amplíe Access Control Options.

  5. En Para cada tipo de dispositivo, especifique qué dispositivos pueden acceder a WorkSpaces, elija Dispositivos de confianza.

  6. Importe hasta dos certificados raíz. Con cada certificado raíz, haga lo siguiente:

    1. Seleccione Importar.

    2. Copie el cuerpo del certificado en el formulario.

    3. Seleccione Importar.

  7. Especifique si otros tipos de dispositivos tienen acceso a WorkSpaces.

    1. Desplácese hacia abajo hasta la sección Other platforms (Otras plataformas). De forma predeterminada, los clientes de escritorios de WorkSpaces para Linux están deshabilitados, y los usuarios tienen acceso a los escritorios de WorkSpaces desde sus dispositivos de iOS, Android, Web Access, Chromebooks, así como desde sus dispositivos de cliente cero con PCoIP.

    2. Seleccione los tipos de dispositivo que va a habilitar y deseleccione los que va a deshabilitar.

    3. Para bloquear el acceso de todos los tipos dispositivos seleccionados, elija Block.

  8. Elija Update and Exit.