翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 認証にスマートカードを使用できるように、AD Connector で mTLS 認証を有効化する
<a name="ad_connector_clientauth"></a>

証明書ベースの相互 Transport Layer Security (mTLS) 認証にスマートカードを使用して、自己管理型 Active Directory (AD) および AD Connector を介して Amazon WorkSpaces へのユーザー認証を行います。有効にすると、ユーザーは WorkSpaces ログイン画面でスマートカードを選択し、ユーザーネームとパスワードを使用する代わりに PIN を入力して認証します。そこから、Windows または Linux 仮想デスクトップがスマートカードを使用して、ネイティブデスクトップ OS から AD への認証を行います。

**注記**  
AD Connector のスマートカード認証は、次の AWS リージョンの WorkSpaces でのみ使用できます。現時点では、他の AWS アプリケーションはサポートされていません。  
米国東部 (バージニア北部)
米国西部 (オレゴン)
アジアパシフィック (シドニー)
アジアパシフィック (東京)
欧州 (アイルランド)
AWS GovCloud (米国西部)
AWS GovCloud (米国東部)

証明書の登録を解除したり、無効にしたりすることもできます。

**Topics**
+ [前提条件](#prereqs-clientauth)
+ [スマートカード認証を有効にしている](#enable-clientauth)
+ [スマートカード認証の設定を管理する](manage-clientauth.md)

## 前提条件
<a name="prereqs-clientauth"></a>

Amazon WorkSpaces クライアントでスマートカードを使用した相互トランスポートレイヤーセキュリティ (mTLS) 認証を有効にするには、自己管理型 Active Directory と統合された運用上のスマートカードインフラストラクチャが必要です。Amazon WorkSpaces と Active Directory でスマートカード認証を設定する方法の詳細については、「[Amazon WorkSpaces 管理ガイド](https://docs.aws.amazon.com/workspaces/latest/adminguide/smart-cards.html)」を参照してください。

WorkSpaces でスマートカード認証を有効にする前に、次の前提条件を確認してください:
+ [CA 証明書の要件](#ca-cert)
+ [ユーザー証明書の要件](#user-cert)
+ [証明書失効チェックのプロセス](#ocsp)
+ [考慮事項](#other)

### CA 証明書の要件
<a name="ca-cert"></a>

AD Connector では、スマートカード認証にユーザー証明書の発行者を表す認証機関 (CA) 証明書が必要です。AD Connector は、CA 証明書をユーザーがスマートカードで提示した証明書と照合します。次の CA 証明書の要件に注意してください。
+ CA 証明書を登録するには、有効期限までに 90 日超の期間があることが必要です。
+  CA 証明書は、プライバシー強化メール (PEM) 形式である必要があります。Active Directory 内から CA 証明書をエクスポートする場合は、エクスポートファイル形式として Base64 でエンコードされた X.509 (.CER) を選択します。
+ スマートカード認証を成功させるには、発行元 CA からユーザー証明書まで繋がるすべてのルートおよび中間 CA 証明書をアップロードする必要があります。
+ AD Connector ディレクトリごとに最大 100 個の CA 証明書を保存できます。
+ AD Connector は、CA 証明書の RSASSA-PSS 署名アルゴリズムをサポートしていません。
+ Certificate Propagation サービスが自動に設定され、実行されていることを確認します。

### ユーザー証明書の要件
<a name="user-cert"></a>

ユーザー証明書の要件の一部が以下に示されます:
+  ユーザーのスマートカード証明書には、ユーザーの userPrincipalName (UPN) として、サブジェクト代替名 (SAN) が含まれています。
+ ユーザーのスマートカード証明書には、拡張キー使用法として、スマートカードログオン (1.3.6.1.4.1.311.20.2.2) クライアント認証 (1.3.6.1.5.5.7.3.2) が含まれています。
+ ユーザーのスマートカード証明書のオンライン証明書ステータスプロトコル (OCSP) 情報は、権限情報アクセスで Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) である必要があります。

AD Connector とスマートカード認証要件の詳細については、「Amazon WorkSpaces 管理ガイド」の「[要件](https://docs.aws.amazon.com//workspaces/latest/adminguide/smart-cards.html#smart-cards-requirements)」を参照してください。**WorkSpaces への登録、パスワードのリセット、または WorkSpaces への接続などの Amazon WorkSpaces 問題のトラブルシューティングへのサポートについては、「Amazon WorkSpaces ユーザーガイド」の「[Troubleshoot WorkSpaces client issues](https://docs.aws.amazon.com//workspaces/latest/userguide/client_troubleshooting.html)」を参照してください。**

### 証明書失効チェックのプロセス
<a name="ocsp"></a>

スマートカード認証を実行するには、AD Connector がオンライン証明書ステータスプロトコル (OCSP) を使用してユーザー証明書の失効ステータスをチェックする必要があります。証明書失効チェックを実行するには、OCSP レスポンダー URL がインターネットでアクセス可能である必要があります。DNS 名を使用する場合、OCSP レスポンダー URL は、「[Internet Assigned Numbers Authority (IANA) Root Zone Database](https://www.iana.org/domains/root/db)」(Internet Assigned Numbers Authority (IANA) のルートゾーンデータベース) にある最上位ドメインである必要があります。

**注記**  
2025 年 10 月 7 日以降に作成されたディレクトリでは、SmartCard 証明書の検証に使用される OCSP サーバーが VPC のネットワーク設定を介してルーティング可能である必要があります。OCSP サーバーに VPC のルーティングテーブル、セキュリティグループ、ネットワーク ACLs 経由でアクセスできない場合、証明書失効チェック中に SmartCard 認証は失敗します。この問題を解決するには、以下を確認してください。  
ネットワークルーティング: VPC ルートテーブルにより、トラフィックは AD Connector ディレクトリインスタンスがデプロイされているサブネットから OCSP サーバーに到達できます。
セキュリティグループ: ディレクトリのネットワークインターフェイスに関連付けられたセキュリティグループは、ポート 80 (HTTP) の OCSP サーバーへのアウトバウンドトラフィックを許可します。
ネットワーク ACLs: サブネットネットワーク ACLsOCSP サーバーとの間の双方向トラフィックを許可します。
インターネットゲートウェイ/NAT: OCSP サーバーがインターネット向けである場合は、VPC にディレクトリサブネットに適したインターネットゲートウェイまたは NAT ゲートウェイ設定があることを確認します。ネットワークタイプが IPv4 の場合、VPC で NAT とインターネットゲートウェイを設定する必要があります。

AD Connector 証明書失効チェックでは、次のプロセスが使用されます。
+ AD Connector は、OCSP レスポンダー URL のユーザー証明書の機関情報アクセス (AIA) の拡張機能を確認する必要があります。その後、AD Connector は URL を使用して失効をチェックします。
+ AD Connector がユーザー証明書の AIA 拡張機能で見つかった URL を解決できない場合、またはユーザー証明書で OCSP レスポンダー URL が見つからない場合、AD Connector は、ルート CA 証明書の登録時に提供されるオプションの OCSP URL を使用します。

  ユーザー証明書の AIA 拡張機能の URL が解決しても応答しない場合、ユーザー認証は失敗します。
+ ルート CA 証明書の登録中に提供された OCSP レスポンダー URL が解決できない、応答しない、または OCSP レスポンダー URL が指定されていない場合、ユーザー認証は失敗します。
+ OCSP サーバーは [RFC 6960](https://datatracker.ietf.org/doc/html/rfc6960) に準拠する必要があります。さらに、OCSP サーバーは、合計 255 バイト以下のリクエストに対して GET 方法を使用したリクエストをサポートする必要があります。

**注記**  
AD Connector には OCSP レスポンダー URL の **HTTP** URL が必要です。

### 考慮事項
<a name="other"></a>

AD Connector でスマートカード認証を有効にする前に、次の項目を考慮してください。
+ AD Connector は、証明書ベースの相互 Transport Layer Security 認証 (相互 TLS) を使用して、ハードウェアまたはソフトウェアベースのスマートカード証明書を使用した Active Directory へのユーザー認証を行います。現在、共通アクセスカード (CAC) および個人識別検証 (PIV) カードのみがサポートされています。他のタイプのハードウェアベースまたはソフトウェアベースのスマートカードも機能する可能性がありますが、WorkSpaces Streaming Protocol での使用はテストされていません。
+ スマートカード認証は、WorkSpaces へのユーザーネームとパスワードによる認証に代わるものです。

  スマートカード認証が有効になっている他の AWS アプリケーションが AD Connector ディレクトリに設定されている場合でも、それらのアプリケーションにはユーザー名とパスワードの入力画面が表示されます。
+ スマートカード認証を有効にすると、ユーザーセッション期間が Kerberos サービスチケットの最大有効期間に制限されます。この設定はグループポリシーを使用して設定でき、デフォルトで 10 時間に設定されています。この設定の詳細については、[Microsoft のドキュメント](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-lifetime-for-service-ticket)を参照してください。
+ AD Connector サービスアカウントでサポートされる Kerberos 暗号化タイプは、各ドメインコントローラーでサポートされる Kerberos 暗号化タイプと一致する必要があります。

## スマートカード認証を有効にしている
<a name="enable-clientauth"></a>

AD Connector で WorkSpaces のスマートカード認証を有効にするには、まず認証局 (CA) 証明書を AD Connector にインポートする必要があります。CA 証明書は、 AWS Directory Service コンソール、[API](https://docs.aws.amazon.com/directoryservice/latest/devguide/welcome.html)、または [CLI](https://docs.aws.amazon.com/cli/latest/reference/ds/index.html) を使用して AD Connector にインポートできます。以下の手順を使用して CA 証明書をインポートし、その後スマートカード認証を有効にします。

**Topics**
+ [AD Connector サービスアカウントの Kerberos 制約付き委任を有効にします](#step1)
+ [AD Connector に CA 証明書を登録します](#step2)
+ [サポートされている AWS アプリケーションとサービスでスマートカード認証を有効にする](#step3)

### AD Connector サービスアカウントの Kerberos 制約付き委任を有効にします
<a name="step1"></a>

AD Connector でスマートカード認証を使用するには、AD Connector サービスアカウントの **Kerberos の制約付き委任 (KCD)** を自己管理型 AD ディレクトリ内の LDAP サービスに対して有効にする必要があります。

Kerberos の制約付き委任は、Windows Server の機能の 1 つです。この機能により、管理者は、アプリケーションサービスがユーザーを代行して動作できる範囲を制限することによって、アプリケーションの信頼境界を指定および適用できます。詳細については、「[Kerberos の制約付き委任](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_key_concepts_kerberos.html)」を参照してください。
**注記**  
**Kerberos の制約付き委任 (KCD)** では、AD Connector サービスアカウントのユーザー名部分が、同じユーザーの sAMAccountName と一致している必要があります。SAMAccountName は 20 文字に制限されています。sAMAccountName は Microsoft Active Directory 属性で、以前のバージョンの Windows クライアントおよびサーバーのサインイン名として使用されていました。

1. `SetSpn` コマンドを使用して、自己管理型 AD の AD Connector サービスアカウントのサービスプリンシパル名 (SPN) を設定します。これにより、サービスアカウントを委任設定に使用できるようになります。

   SPN には、任意のサービスまたは名前の組み合わせを指定できますが、既存の SPN と重複しているものは指定できません。`-s` で、重複がないかチェックされます。

   ```
   setspn -s my/spn service_account
   ```

1. **[AD Users and Computers]** で、コンテキスト (右クリック) メニューを開き、AD Connector サービスアカウントを選択して、**[Properties]** を選択します。

1. **[Delegation]** (委任) タブを選択します。

1. **[Trust this user for delegation to specified service only]** と **[Use any authentication protocol]** オプションを選択します。

1. **[Add]** (追加) を選択し、**[Users or Computers]** (ユーザーまたはコンピュータ) を選択して、ドメインコントローラーを見つけます。

1. **[OK]** をクリックして、委任に使用できるサービスのリストを表示します。

1. **[ldap]** サービスタイプを選択して、**[OK]** を選択します。

1. もう一度 **[OK]** を選択して、設定を保存します。

1. Active Directory 内の他のドメインコントローラーでこのプロセスを繰り返します。または、PowerShell を使用してこのプロセスを自動化することもできます。

### AD Connector に CA 証明書を登録します
<a name="step2"></a>

以下のいずれかの方法を使用して、AD Connector ディレクトリの CA 証明書を登録します。

**方法 1: AD Connector で CA 証明書を登録するには (AWS マネジメントコンソール)**

1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。

1. ディレクトリのディレクトリ ID リンクを選択します。

1. **[Directory details]** (ディレクトリの詳細) ページで、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。

1. **[Smart card authentication]** セクションで、**[Actions]** メニューをクリックし、**[Register certificate]** を選択します。

1. **[Register a certificate]**ダイアログボックスで **[Choose file]**をクリックして、証明書を選択し、**[Open]** をクリックします。オプションで、オンライン証明書ステータスプロトコル (OCSP) レスポンダー URL を指定して、この証明書の失効チェックを実行することもできます。OCSP の詳細については、「[証明書失効チェックのプロセス](#ocsp)」を参照してください。

1. **[Register certificate]** (証明書の登録) を選択します。証明書のステータスが **[Registered]** (登録済み) に変わったら、登録プロセスは正常に完了しています。

**方法 2: AD Connector で CA 証明書を登録するには (AWS CLI)**
+ 次のコマンドを実行します。証明書データについては、CA 証明書ファイルの場所を指定します。セカンダリ OCSP レスポンダーアドレスを指定するには、オプションの `ClientCertAuthSettings` オブジェクトを使用します。

  ```
  aws ds register-certificate --directory-id {{your_directory_id}} --certificate-data file://{{your_file_path}} --type ClientCertAuth --client-cert-auth-settings OCSPUrl=http://{{your_OCSP_address}}
  ```

  成功すると、証明書 ID が返されます。次の CLI コマンドを実行して、CA 証明書が正常に登録されていることを検証することもできます。

  ```
  aws ds list-certificates --directory-id {{your_directory_id}}
  ```

  ステータス値として `Registered` が返される場合、証明書は正常に登録されています。

### サポートされている AWS アプリケーションとサービスでスマートカード認証を有効にする
<a name="step3"></a>

以下のいずれかの方法を使用して、AD Connector ディレクトリの CA 証明書を登録します。

**方法 1: AD Connector でスマートカード認証を有効にするには (AWS マネジメントコンソール)**

1. **[Directory details]** ページの **[Smart card authentication]** セクションで、**[Enable]** をクリックします。このオプションを使用できない場合は、有効な証明書が正常に登録されていることを確認してから、もう一度やり直してください。

1. **[Enable smart card authentication]** (スマートカード認証を有効にする) ダイアログボックスで、**[Enable]** (有効化) をクリックします。

**方法 2: AD Connector でスマートカード認証を有効にするには (AWS CLI)**
+ 次のコマンドを実行します。

  ```
  aws ds enable-client-authentication --directory-id {{your_directory_id}} --type SmartCard
  ```

  成功すると、AD Connector は HTTP 本文が空の `HTTP 200` レスポンスを返します。

証明書の表示、証明書の登録解除または証明書の無効化の詳細については、「[スマートカード認証の設定を管理する](manage-clientauth.md)」を参照してください。