チュートリアル: アクティブディレクトリのセットアップ - Amazon WorkSpaces アプリケーション
ステップ 1: Directory Config オブジェクトを作成するステップ 2: ドメイン結合 Image Builder を使用してイメージを作成するステップ 3: ドメイン結合フリートを作成するステップ 4: SAML 2.0 を設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

チュートリアル: アクティブディレクトリのセットアップ

WorkSpaces アプリケーションで Active Directory を使用するには、まず WorkSpaces アプリケーションで Directory Config オブジェクトを作成してディレクトリ設定を登録する必要があります。このオブジェクトには、ストリーミングインスタンスをアクティブディレクトリドメインに参加させるために必要な情報が含まれています。Directory Config オブジェクトを作成するには、WorkSpaces アプリケーション管理コンソール、 AWS SDK、または を使用します AWS CLI。その後、ディレクトリ設定を使用して、ドメイン参加済みの常時オンおよびオンデマンドフリートと Image Builder を起動できます。

注記

アクティブディレクトリドメインに参加させることができるのは、常時オンおよびオンデマンドフリートのストリーミングインスタンスのみです。

ステップ 1: Directory Config オブジェクトを作成する

WorkSpaces アプリケーションで作成した Directory Config オブジェクトは、後のステップで使用します。

AWS SDK を使用している場合は、CreateDirectoryConfig オペレーションを使用できます。を使用している場合は AWS CLI、create-directory-config コマンドを使用できます。

WorkSpaces アプリケーションコンソールを使用して Directory Config オブジェクトを作成するには

  1. https://console.aws.amazon.com/appstream2 で WorkSpaces アプリケーションコンソールを開きます。

  2. ナビゲーションペインで、[Directory Configs]、[Create Directory Config] (Directory Config の作成) の順に選択します。

  3. [ディレクトリ名] に、アクティブディレクトリドメインの完全修飾ドメイン名 (FQDN) (例: corp.example.com) を入力します。各リージョンは、特定のディレクトリ名を持つ [Directory Config] 値を 1 つのみ持つことができます。

  4. [Service Account Name] (サービスアカウント名) に、コンピュータオブジェクトを作成でき、ドメインを結合するアクセス許可を持つアカウント名を入力します。詳細については、「アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与」を参照してください。アカウント名は「DOMAIN\username」の形式である必要があります。

  5. [パスワード] と [パスワードの確認] に、指定されたアカウントのディレクトリパスワードを入力します。

  6. [Organizational Unit (OU)] に、少なくとも 1 つのストリーミングインスタンスコンピュータオブジェクトの OU 識別名を入力します。

    注記

    OU 名にスペースを含めることはできません。スペースを含む OU 名を指定した場合、フリートまたは Image Builder が Active Directory ドメインに再参加しようとすると、WorkSpaces アプリケーションはコンピュータオブジェクトを正しくサイクルできず、ドメインの再参加は成功しません。この問題のトラブルシューティング方法については、Active Directory ドメイン参加 の「アカウントが既に存在します」というメッセージで DOMAIN_JOIN_INTERNAL_SERVICE_ERROR トピックを参照してください。

    さらに、デフォルトのコンピュータコンテナは OU ではなく、WorkSpaces アプリケーションでは使用できません。詳細については、「組織単位の識別子名を検索する」を参照してください。

  7. 複数の OU を追加するには、[Organizational Unit (OU)] (部門名 (UI)) の横にあるプラス記号 (+) を選択します。OU を削除するには、[x] アイコンを選択します。

  8. [次へ] を選択します。

  9. 設定情報を確認して、[Create] を選択します。

ステップ 2: ドメイン結合 Image Builder を使用してイメージを作成する

次に、WorkSpaces Applications Image Builder を使用して、Active Directory ドメイン結合機能を備えた新しいイメージを作成します。フリートとイメージは、異なるドメインのメンバーにすることができます。Image Builder をドメインに結合してドメイン結合を有効にし、アプリケーションをインストールします。フリートドメイン結合については、次のセクションで説明します。

ドメイン結合フリートを起動するためのイメージを作成するには

  1. チュートリアル: WorkSpaces アプリケーションコンソールを使用してカスタム WorkSpaces アプリケーションイメージを作成する」の手順に従います。

  2. ベースイメージの選択ステップでは、2017 年 7 月 24 日以降にリリースされた AWS ベースイメージを使用します。リリースされた AWS イメージの現在のリストについては、「」を参照してくださいWorkSpaces アプリケーションベースイメージとマネージドイメージ更新リリースノート

  3. [Step 3: Configure Network] で、アクティブディレクトリ環境へのネットワーク接続がある VPC およびサブネットを選択します。VPC サブネットを使用してディレクトリにアクセスできるようにセットアップされたセキュリティグループを選択します。

  4. また、[Step 3: Configure Network] (ステップ 3: ネットワークの設定) で、[Active Directory Domain (Optional)] (アクティブディレクトリドメイン (オプション)) セクションを展開し、Image Builder を参加させる [Directory Name] (ディレクトリ名) と [Directory OU] (ディレクトリ OU) の値を選択します。

  5. Image Builder 設定を確認して、[Create] を選択します。

  6. 新しい Image Builder が [Running] 状態になるまで待機してから、[Connect] を選択します。

  7. 管理者モード、またはローカル管理者権限を持つディレクトリユーザーとして Image Builder にログインします。詳細については、「Image Builder のローカル管理者権限を付与する」を参照してください。

  8. アプリケーションをインストールし、新しいイメージを作成するには、「チュートリアル: WorkSpaces アプリケーションコンソールを使用してカスタム WorkSpaces アプリケーションイメージを作成する」で説明されているステップを行います。

ステップ 3: ドメイン結合フリートを作成する

前のステップで作成したプライベートイメージを使用して、アプリケーションをストリーミングするためのアクティブディレクトリドメイン参加済みの常時オンおよびオンデマンドフリートを作成します。ドメインは Image Builder でイメージを作成するために使用されたものと別のものにできます。

ドメイン結合の常時オンまたはオンデマンドフリートを作成する

  1. Amazon WorkSpaces アプリケーションでフリートを作成する」の手順に従います。

  2. イメージ選択ステップで、前のステップ (ステップ 2: ドメイン結合 Image Builder を使用してイメージを作成する) で作成したイメージを使用します。

  3. Step 4: Configure Network] で、アクティブディレクトリ環境へのネットワーク接続がある VPC およびサブネットを選択します。ドメインと通信できるようにセットアップされたセキュリティグループを選択します。

  4. また、[Step 4: Configure Network] (ステップ 4: ネットワークの設定) で、[Active Directory Domain (Optional)] (アクティブディレクトリドメイン (オプション)) セクションを展開し、フリートを参加させる [Directory Name] (ディレクトリ名) と [Directory OU] (ディレクトリ OU) の値を選択します。

  5. フリート設定を確認して、[Create] を選択します。

  6. フリートをスタックに関連付けて実行するには、「Amazon WorkSpaces アプリケーションフリートとスタックを作成する」の残りのステップを実行します。

ステップ 4: SAML 2.0 を設定する

ユーザーは、SAML 2.0 ベースの ID フェデレーション環境を使用して、ドメイン参加済みフリートからストリーミングセッションを起動する必要があります。

シングルサインオンアクセス用の SAML 2.0 を設定するには

  1. SAML のセットアップ」の手順に従います。

  2. WorkSpaces Applications では、ログインしているユーザーの SAML_Subject NameID値を次のいずれかの形式で指定する必要があります。

    • domain\username (sAMAccountName を使用)

    • username@domain.com (userPrincipalName を使用)

    sAMAccountName 形式を使用している場合、NetBIOS 名または完全修飾ドメイン名 (FQDN) を使用して domain を指定できます。

  3. Active Directory ユーザーまたはグループへのアクセスを提供し、ID プロバイダーアプリケーションポータルから WorkSpaces アプリケーションスタックへのアクセスを有効にします。

  4. SAML のセットアップ」の残りのステップを行います。

SAML 2.0 を使用してユーザーにログインさせるには

  1. SAML 2.0 プロバイダーのアプリケーションカタログにログインし、前の手順で作成した WorkSpaces アプリケーション SAML アプリケーションを開きます。

  2. WorkSpaces アプリケーションアプリケーションカタログが表示されたら、起動するアプリケーションを選択します。

  3. ロード中アイコンが表示されたら、パスワードの入力を求められます。SAML 2.0 ID プロバイダーから提供されたドメインユーザー名がパスワードフィールドの上に表示されます。パスワードを入力して、[ログイン] を選択します。

ストリーミングインスタンスで Windows ログイン手順を実行すると、選択したアプリケーションが開きます。