View a markdown version of this page

Certificate-based otentikasi dan Pribadi WorkSpaces - Amazon WorkSpaces
PrasyaratAktifkan otentikasi berbasis sertifikatKelola otentikasi berbasis sertifikatAktifkan berbagi PCA lintas akun

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Certificate-based otentikasi dan Pribadi WorkSpaces

Anda dapat menggunakan otentikasi berbasis sertifikat WorkSpaces untuk menghapus prompt pengguna untuk kata sandi domain Active Directory. Dengan menggunakan otentikasi berbasis sertifikat dengan domain Active Directory, Anda dapat:

  • Andalkan penyedia identitas SAMP 2.0 Anda untuk mengautentikasi pengguna dan memberikan pernyataan SAMP agar sesuai dengan pengguna di Active Directory.

  • Aktifkan pengalaman masuk masuk tunggal dengan lebih sedikit permintaan pengguna.

  • Aktifkan alur otentikasi tanpa kata sandi menggunakan penyedia identitas SAFL 2.0 Anda.

Certificate-based otentikasi menggunakan AWS Private CA sumber daya di AWS akun Anda. AWS Private CA memungkinkan pembuatan hierarki otoritas sertifikat pribadi (CA), termasuk CA root dan bawahan. Dengan AWS Private CA, Anda dapat membuat hierarki CA Anda sendiri dan mengeluarkan sertifikat dengannya untuk mengautentikasi pengguna internal. Untuk informasi selengkapnya, silakan lihat Panduan Pengguna AWS Private Certificate Authority.

Saat menggunakan AWS Private CA untuk otentikasi berbasis sertifikat, WorkSpaces akan meminta sertifikat untuk pengguna Anda secara otomatis selama otentikasi sesi. Pengguna diautentikasi ke Active Directory menggunakan kartu pintar virtual yang disediakan dengan sertifikat.

Certificate-based otentikasi didukung dengan Windows WorkSpaces pada bundel DCV menggunakan aplikasi klien Akses WorkSpaces Web, Windows, dan macOS terbaru. Buka unduhan WorkSpaces Klien Amazon untuk menemukan versi terbaru:

  • Klien Windows versi 5.5.0 atau yang lebih baru

  • klien macOS versi 5.6.0 atau yang lebih baru

Untuk informasi selengkapnya tentang mengonfigurasi autentikasi berbasis sertifikat dengan Amazon WorkSpaces, lihat Cara mengonfigurasi otentikasi berbasis sertifikat untuk Amazon dan pertimbangan Desain di lingkungan yang sangat diatur untuk Otentikasi Berbasis Sertifikat dengan Aplikasi WorkSpaces dan. WorkSpaces WorkSpaces

Prasyarat

Selesaikan langkah-langkah berikut sebelum mengaktifkan otentikasi berbasis sertifikat.

  1. Konfigurasikan WorkSpaces direktori Anda dengan integrasi SAMP 2.0 untuk menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat WorkSpacesIntegrasi dengan SAFL 2.0.

  2. Konfigurasikan userPrincipalName atribut dalam pernyataan SAFL Anda. Untuk informasi selengkapnya, lihat Membuat Pernyataan untuk Respons Otentikasi SAMB.

  3. Konfigurasikan ObjectSid atribut dalam pernyataan SAFL Anda. Ini diperlukan untuk melakukan pemetaan yang kuat ke pengguna Active Directory. Certificate-based otentikasi akan gagal jika atribut tidak cocok dengan pengenal keamanan Direktori Aktif (SID) untuk pengguna yang ditentukan dalam SAML_subject. NameID Untuk informasi selengkapnya, lihat Membuat Pernyataan untuk Respons Otentikasi SAMB.

    catatan

    Menurut Microsoft KB5014754, ObjectSid atribut tersebut akan menjadi wajib untuk otentikasi berbasis sertifikat setelah 10 September 2025.

  4. Tambahkan TagSession izin sts: ke kebijakan kepercayaan peran IAM Anda yang digunakan dengan konfigurasi SAMP 2.0 Anda jika belum ada. Izin ini diperlukan untuk menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat Membuat Peran IAM Federasi SAMB 2.0.

  5. Buat otoritas sertifikat pribadi (CA) menggunakan AWS Private CA jika Anda tidak memiliki satu yang dikonfigurasi dengan Active Directory Anda. AWS Private CA diperlukan untuk menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat Merencanakan AWS Private CA penerapan Anda dan ikuti panduan untuk mengonfigurasi CA untuk otentikasi berbasis sertifikat. AWS Private CA Pengaturan berikut adalah yang paling umum untuk kasus penggunaan otentikasi berbasis sertifikat:

    1. Opsi tipe CA:

      1. Short-lived mode penggunaan CA sertifikat (disarankan jika Anda hanya menggunakan CA untuk mengeluarkan sertifikat pengguna akhir untuk otentikasi berbasis sertifikat)

      2. Hirarki tingkat tunggal dengan Root CA (sebagai alternatif, pilih CA bawahan jika Anda ingin mengintegrasikan dengan hierarki CA yang ada)

    2. Opsi algoritma utama: RSA 2048

    3. Opsi nama yang dibedakan subjek: Gunakan kombinasi opsi apa pun untuk mengidentifikasi CA di toko Otoritas Sertifikasi Root Tepercaya Direktori Aktif Anda.

    4. Opsi pencabutan sertifikat: Distribusi CRL

      catatan

      Certificate-based otentikasi memerlukan titik distribusi CRL online yang dapat diakses dari desktop dan pengontrol domain. Ini memerlukan akses tidak terautentikasi ke bucket Amazon S3 yang dikonfigurasi untuk entri Private CA CRL, atau distribusi CloudFront yang akan memiliki akses ke bucket S3 jika memblokir akses publik. Untuk informasi selengkapnya tentang opsi ini, lihat Merencanakan daftar pencabutan sertifikat (CRL).

  6. Tandai CA pribadi Anda dengan kunci yang berhak menunjuk CA euc-private-ca untuk digunakan dengan otentikasi berbasis sertifikat EUC. Kuncinya tidak membutuhkan nilai. Untuk informasi selengkapnya, lihat Mengelola tag untuk CA pribadi Anda.

  7. Certificate-based otentikasi menggunakan kartu pintar virtual untuk logon. Mengikuti Pedoman untuk mengaktifkan logon kartu pintar dengan otoritas sertifikasi pihak ketiga di Active Directory, lakukan langkah-langkah berikut:

    • Konfigurasikan pengontrol domain dengan sertifikat pengontrol domain untuk mengautentikasi pengguna kartu pintar. Jika Anda memiliki CA perusahaan Layanan Sertifikat Direktori Aktif yang dikonfigurasi di Direktori Aktif Anda, pengontrol domain secara otomatis terdaftar dengan sertifikat untuk mengaktifkan logon kartu pintar. Jika Anda tidak memiliki Layanan Sertifikat Direktori Aktif, lihat Persyaratan untuk sertifikat pengontrol domain dari CA pihak ketiga. Anda dapat membuat sertifikat pengontrol domain dengan AWS Private CA. Jika Anda melakukannya, jangan gunakan CA pribadi yang dikonfigurasi untuk sertifikat berumur pendek.

      catatan

      Jika Anda menggunakan AWS Managed Microsoft AD, Anda dapat mengonfigurasi Layanan Sertifikat pada instans EC2 untuk memenuhi persyaratan sertifikat pengontrol domain. Lihat AWS Launch Wizardmisalnya penerapan yang AWS Managed Microsoft AD dikonfigurasi dengan Layanan Sertifikat Direktori Aktif. AWS Private CA dapat dikonfigurasi sebagai bawahan dari Active Directory Certificate Services CA, atau dapat dikonfigurasi sebagai root sendiri saat menggunakan AWS Managed Microsoft AD.

      Tugas konfigurasi tambahan dengan AWS Managed Microsoft AD dan Layanan Sertifikat Direktori Aktif adalah membuat aturan keluar dari grup keamanan VPC pengontrol ke instans EC2 yang menjalankan Layanan Sertifikat yang memungkinkan port TCP 135 dan 49152-65535 untuk mengaktifkan pendaftaran otomatis sertifikat. Selain itu, instans EC2 yang berjalan harus memungkinkan akses masuk pada port yang sama dari instance domain, termasuk pengontrol domain. Untuk informasi selengkapnya tentang menemukan grup keamanan untuk AWS Managed Microsoft AD lihat Mengonfigurasi subnet VPC dan grup keamanan Anda.

    • Di AWS Private CA konsol atau menggunakan SDK atau CLI, pilih CA Anda dan di bawah sertifikat CA, ekspor sertifikat pribadi CA. Untuk informasi selengkapnya, lihat Mengekspor sertifikat pribadi.

    • Publikasikan CA ke Active Directory. Masuk ke pengontrol domain atau mesin yang bergabung dengan domain. Salin sertifikat pribadi CA ke salah satu <path>\<file> dan jalankan perintah berikut sebagai administrator domain. Atau, Anda dapat menggunakan Kebijakan Grup dan alat Microsoft PKI Health Tool (PKIView) untuk mempublikasikan CA. Untuk informasi selengkapnya, lihat Petunjuk konfigurasi.

      certutil -dspublish -f <path>\<file> RootCA
certutil -dspublish -f  <path>\<file> NTAuthCA

      Pastikan perintah selesai dengan sukses, lalu hapus file sertifikat pribadi. Bergantung pada pengaturan replikasi Active Directory, diperlukan beberapa menit agar CA dipublikasikan ke pengontrol domain dan instans desktop Anda.

      catatan

      • Diperlukan bahwa Active Directory mendistribusikan CA ke Otoritas Sertifikasi Root Tepercaya dan Enterprise NTAuth menyimpan secara otomatis untuk WorkSpaces desktop ketika mereka bergabung ke domain.

Aktifkan otentikasi berbasis sertifikat

Selesaikan langkah-langkah berikut untuk mengaktifkan otentikasi berbasis sertifikat.

  1. Buka WorkSpaces konsol di https://console.aws.amazon.com/workspaces/v2/home.

  2. Di panel navigasi, pilih Direktori.

  3. Pilih ID Direktori untuk Anda WorkSpaces.

  4. Di bawah Otentikasi, klik Edit.

  5. Klik Edit Certificate-Based Otentikasi.

  6. Periksa Aktifkan Certificate-Based Otentikasi.

  7. Konfirmasikan bahwa CA ARN pribadi Anda terkait dalam daftar. CA pribadi harus berada di AWS akun yang sama dan Wilayah AWS, dan harus ditandai dengan kunci berjudul euc-private-ca untuk muncul dalam daftar.

  8. Klik Simpan Perubahan. Certificate-based otentikasi sekarang diaktifkan.

  9. Reboot Windows Anda WorkSpaces pada bundel DCV agar perubahan diterapkan. Untuk informasi selengkapnya, lihat Reboot a WorkSpace.

  10. Setelah reboot, ketika pengguna mengautentikasi melalui SAMP 2.0 menggunakan klien yang didukung, mereka tidak akan lagi menerima prompt untuk kata sandi domain.

catatan

Ketika otentikasi berbasis sertifikat diaktifkan untuk masuk WorkSpaces, pengguna tidak diminta untuk otentikasi multi-faktor (MFA) bahkan jika diaktifkan pada Direktori. Saat menggunakan otentikasi berbasis sertifikat, MFA dapat diaktifkan melalui penyedia identitas SAMP 2.0 Anda. Untuk informasi selengkapnya tentang AWS Directory Service MFA, lihat Multi-factor autentikasi (AD Connector) atau Aktifkan otentikasi multi-faktor untuk. AWS Managed Microsoft AD

Kelola otentikasi berbasis sertifikat

sertifikat CA

Dalam konfigurasi tipikal, sertifikat CA pribadi memiliki masa berlaku 10 tahun. Lihat Mengelola siklus hidup CA pribadi untuk informasi selengkapnya tentang mengganti CA dengan sertifikat kedaluwarsa, atau menerbitkan kembali CA dengan masa berlaku baru.

Sertifikat Pengguna Akhir

Sertifikat pengguna akhir yang dikeluarkan oleh AWS Private CA untuk otentikasi WorkSpaces berbasis sertifikat tidak memerlukan perpanjangan atau pencabutan. Sertifikat ini berumur pendek. WorkSpacessecara otomatis mengeluarkan sertifikat baru setiap 24 jam. Sertifikat pengguna akhir ini memiliki masa berlaku yang lebih pendek daripada distribusi AWS Private CA CRL biasa. Akibatnya, sertifikat pengguna akhir tidak perlu dicabut dan tidak akan muncul di CRL.

Laporan Audit

Anda dapat membuat laporan audit untuk mencantumkan semua sertifikat yang telah dikeluarkan atau dicabut oleh CA privat Anda. Untuk informasi selengkapnya, lihat Menggunakan laporan audit dengan CA pribadi Anda.

Pembuatan Log dan Pemantauan

Anda dapat menggunakan AWS CloudTrailuntuk merekam panggilan API ke AWS Private CA by WorkSpaces. Untuk informasi selengkapnya, lihat Menggunakan CloudTrail. Dalam riwayat CloudTrail acara, Anda dapat melihat GetCertificate dan nama IssueCertificate acara dari sumber acm-pca.amazonaws.com acara yang dibuat oleh nama WorkSpaces EcmAssumeRoleSession pengguna. Peristiwa ini akan dicatat untuk setiap permintaan otentikasi berbasis sertifikat EUC.

Aktifkan berbagi PCA lintas akun

Saat Anda menggunakan berbagi lintas akun CA Pribadi, Anda dapat memberikan izin akun lain untuk menggunakan CA terpusat, yang menghilangkan kebutuhan akan CA Pribadi di setiap akun. CA dapat menghasilkan dan menerbitkan sertifikat dengan menggunakan AWS Resource Access Manager untuk mengelola izin. Berbagi lintas akun CA pribadi dapat digunakan dengan Otentikasi WorkSpaces berbasis sertifikat (CBA) dalam Wilayah yang sama. AWS

Untuk menggunakan sumber daya Private CA bersama dengan WorkSpaces CBA

  1. Konfigurasikan CA Pribadi untuk CBA di akun terpusat AWS . Untuk informasi selengkapnya, lihat Certificate-based otentikasi dan Pribadi WorkSpaces.

  2. Bagikan CA Pribadi dengan AWS akun sumber daya tempat WorkSpaces sumber daya menggunakan CBA dengan mengikuti langkah-langkah di Cara menggunakan AWS RAM untuk membagikan akun silang ACM Private CA Anda. Anda tidak perlu menyelesaikan langkah 3 untuk membuat sertifikat. Anda dapat berbagi CA Pribadi dengan AWS akun individual, atau berbagi melalui AWS Organizations. Untuk berbagi dengan akun individual, Anda harus menerima CA Pribadi bersama di akun sumber daya Anda menggunakan konsol Resource Access Manager (RAM) atau API. Saat mengonfigurasi pembagian, konfirmasikan bahwa pembagian sumber daya RAM untuk CA Pribadi di akun sumber daya menggunakan templat izin AWS RAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority terkelola. Template ini sejajar dengan template PCA yang digunakan oleh peran WorkSpaces layanan saat menerbitkan sertifikat CBA.

  3. Setelah pembagian berhasil, Anda harus dapat melihat CA Pribadi bersama dengan menggunakan konsol CA Pribadi di akun sumber daya.

  4. Gunakan API atau CLI untuk mengaitkan Private CA ARN dengan CBA di properti direktori Anda. WorkSpaces Saat ini, WorkSpaces konsol tidak mendukung pemilihan ARN CA Pribadi bersama. Contoh perintah CLI:

    aws workspaces modify-certificate-based-auth-properties —resource-id <value> —certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>