翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
前提条件
証明書ベースの認証を使用する前に、以下のステップを完了します。
-
SAML 2.0 統合を使用して、証明書ベースの認証を使用するように WorkSpaces Pools ディレクトリを設定します。詳細については、「SAML 2.0 を設定して WorkSpaces Pools ディレクトリを作成する」を参照してください。
注記
証明書ベースの認証を使用する場合は、プールディレクトリ内で [スマートカードサインイン] を有効にしないでください。
-
SAML アサーションの
userPrincipalName属性を設定します。詳細については、「ステップ 7: SAML 認証レスポンスのアサーションを作成する」を参照してください。 -
SAML アサーションの
ObjectSid属性を設定します。この属性を使用して、Active Directory ユーザーとの強力なマッピングを実行できます。ObjectSid属性が SAML_SubjectNameIDで指定されたユーザーの Active Directory セキュリティ識別子 (SID) と一致しない場合、証明書ベースの認証は失敗します。詳細については、「ステップ 7: SAML 認証レスポンスのアサーションを作成する」を参照してください。注記
Microsoft KB5014754
によると、 ObjectSid属性は 2025 年 9 月 10 日以降、証明書ベースの認証に必須になります。 -
SAML 2.0 設定で使用する IAM ロールの信頼ポリシーに
sts:TagSessionアクセス権限を追加します。詳細については、「AWS Identity and Access Management ユーザーガイド」の「 AWS STS でのタグ付けの規則」を参照してください。この権限は、証明書ベースの認証を使用する場合に必要です。詳細については、「ステップ 5: SAML 2.0 フェデレーション IAM ロールを作成する」を参照してください。 -
Active Directory で設定されていない場合は、 AWS プライベート CA を使用してプライベート認証機関 (CA) を作成します。証明書ベースの認証を使用するには、 AWS プライベート CA が必要です。詳細については、「AWS Private Certificate Authority ユーザーガイド」で AWS Private CA のデプロイ計画に関するセクションを参照してください。証明書ベースの認証の多くのユースケースでは、次の AWS プライベート CA 設定が一般的です。
-
CA タイプオプション
-
使用期間が短い証明書 CA 使用モード – CA が証明書ベースの認証のためにエンドユーザー証明書のみを発行する場合に推奨されます。
-
ルート CA を含む単一レベルの階層 – 下位 CA を選択して既存の CA 階層と統合します。
-
-
主要なアルゴリズムオプション – RSA 2048
-
サブジェクト識別名オプション – 最も適切なオプションを使用して、Active Directory の信頼されたルート証明機関ストアでこの CA を識別します。
-
証明書失効オプション – CRL のディストリビューション
注記
証明書ベースの認証には、WorkSpaces Pools の WorkSpaces とドメインコントローラーの両方からアクセスできるオンライン CRL ディストリビューションポイントが必要です。これには、 AWS プライベート CA CRL エントリ用に設定された Amazon S3 バケットへの認証されていないアクセス、またはパブリックアクセスをブロックする場合は Amazon S3 バケットにアクセスできる CloudFront ディストリビューションが必要です。これらのオプションの詳細については、「AWS Private Certificate Authority ユーザーガイド」で証明書失効リスト (CRL) の計画に関するセクションを参照してください。
-
-
プライベート CA に
euc-private-caという名前のキーでタグ付けし、WorkSpaces Pools の証明書ベースの認証で使用する CA を指定します。このキーには値は必要ありません。詳細については、「AWS Private Certificate Authority ユーザーガイド」のプライベート CA のタグ管理に関するセクションを参照してください。 -
証明書ベースの認証では、仮想スマートカードを使用してログオンします。詳細については、「サードパーティーの証明機関でスマートカードオンを有効にするためのガイドライン
」を参照してください。以下の手順に従ってください。 -
スマートカードユーザーを認証するには、ドメインコントローラー証明書を使用してドメインコントローラーを設定します。Active Directory 証明書サービスのエンタープライズ CA が Active Directory に設定されている場合、スマートカードによるログオンを可能にするドメインコントローラーが証明書に自動的に登録されます。Active Directory 証明書サービスがない場合は、「サードパーティー CA からのドメインコントローラー証明書の要件
」を参照してください。 AWS プライベート CA を使用してドメインコントローラー証明書を作成できます。その場合は、使用期間の短い証明書用に設定されたプライベート CA を使用しないでください。 注記
AWS Managed Microsoft AD を使用する場合は、ドメインコントローラー証明書の要件を満たす Amazon EC2 インスタンスで証明書サービスを設定できます。Active Directory Certificate Services で設定された Managed Microsoft AD のデプロイ例については、「新しい Amazon Virtual Private Cloud に Active Directory をデプロイする」を参照してください。 AWS
AWS Managed Microsoft AD と Active Directory Certificate Services では、コントローラーの VPC セキュリティグループから Certificate Services を実行する Amazon EC2 インスタンスへのアウトバウンドルールも作成する必要があります。証明書の自動登録を有効にするには、セキュリティグループに TCP ポート 135 とポート 49152~65535 へのアクセスを提供する必要があります。Amazon EC2 インスタンスは、ドメインコントローラーを含むドメインインスタンスからの同じポートへのインバウンドアクセスも許可する必要があります。 AWS Managed Microsoft AD のセキュリティグループを見つける方法の詳細については、「VPC サブネットとセキュリティグループを設定する」を参照してください。
-
AWS プライベート CA コンソール、または SDK または CLI で、プライベート CA 証明書をエクスポートします。詳細については、「プライベート証明書のエクスポート」を参照してください。
-
プライベート CA を Active Directory に公開します。ドメインコントローラーまたはドメイン結合マシンにログオンします。プライベート CA 証明書を任意の
<path>\<file>」を参照してください。 certutil -dspublish -f<path>\<file> RootCAcertutil -dspublish -f<path>\<file> NTAuthCAコマンドが正常に完了したことを確認してから、プライベート CA 証明書ファイルを削除します。Active Directory のレプリケーション設定によっては、CA がドメインコントローラーと WorkSpaces Pools の WorkSpaces に公開されるまでに数分かかる場合があります。
注記
WorkSpaces Pools の WorkSpaces がドメインに参加したときに、Active Directory が、信頼されたルート認証機関とエンタープライズ NTAuth ストアに CA を自動的に配布する必要があります。
注記
証明書の強力な強制で証明書ベースの認証をサポートするには、Active Directory ドメインコントローラーを互換モードにする必要があります。詳細については、Microsoft Support ドキュメントの「KB5014754 - Windows ドメインコントローラーでの証明書ベースの認証の変更
」を参照してください。 AWS Managed Microsoft AD を使用している場合は、「ディレクトリのセキュリティ設定を構成する」を参照してください。
-
