翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
アクティブディレクトリドメインの概要
WorkSpaces Pools で Active Directory ドメインを使用するには、それらが連携して動作する仕組みと、必要な設定タスクを理解する必要があります。次のタスクを実行する必要があります。
-
必要に応じて、アプリケーションのエンドユーザーエクスペリエンスとセキュリティ要件を定義できるように、グループポリシーを設定します。
-
WorkSpaces Pools にドメイン参加済みディレクトリを作成します。
-
SAML 2.0 ID プロバイダーで WorkSpaces Pools アプリケーションを作成し、直接または Active Directory グループを使用してエンドユーザーに割り当てます。
ユーザー認証フロー
-
ユーザーが
https://applications.exampleco.com
を参照します。サインインページがユーザーの認証をリクエストします。 -
フェデレーションサービスが組織の ID ストアからの認証をリクエストします。
-
ID ストアはユーザーを認証し、フェデレーションサービスに認証レスポンスを返します。
-
認証が成功すると、フェデレーションサービスはユーザーのブラウザに SAML アサーションを送信します。
-
ユーザーのブラウザは、SAML アサーションを AWS サインイン SAML エンドポイント (
https://signin.aws.amazon.com/saml
) に投稿します。 AWS サインインは SAML リクエストを受け取り、リクエストを処理し、ユーザーを認証し、認証トークンを WorkSpaces Pools サービスに転送します。 -
WorkSpaces Pools は AWS、 からの認証トークンを使用してユーザーを認可し、ブラウザにアプリケーションを表示します。
-
ユーザーはアプリケーションを選択し、WorkSpaces Pools ディレクトリで有効になっている Windows ログイン認証方法に応じて、Active Directory ドメインパスワードを入力するか、スマートカードを選択するよう求められます。両方の認証方法が有効になっている場合、ユーザーはドメインパスワードを入力するか、スマートカードを使用するかを選択できます。証明書ベースの認証は、プロンプトを省略してユーザーの認証にも使用できます。
-
ドメインコントローラーに接続してユーザーを認証します。
-
ドメインで認証された後、ユーザーのセッションがドメインに接続できる状態で開始されます。
ユーザーの視点から見ると、このプロセスは透過的です。ユーザーはまず組織の内部ポータルに移動し、 AWS 認証情報を入力することなく WorkSpaces Pools ポータルにリダイレクトされます。アクティブディレクトリドメインのパスワードまたはスマートカードの認証情報のみが必要です。
ユーザーがこのプロセスを開始する前に、必要な資格およびグループポリシーを使用して Active Directory を設定し、ドメイン参加済みの WorkSpaces Pools ディレクトリを作成しておく必要があります。