Tutorial: Configuração do Active Directory - Amazon AppStream 2.0
Etapa 1: Criar um objeto de configuração do diretórioEtapa 2: Criar uma imagem usando um construtor de imagens ingressado no domínioEtapa 3: Criar uma frota ingressada no domínioEtapa 4: Configurar o SAML 2.0

Tutorial: Configuração do Active Directory

Para usar o Active Directory com o AppStream 2.0, primeiro é necessário registrar a configuração do diretório criando um objeto Directory Config no AppStream 2.0. Esse objeto inclui as informações necessárias para ingressar instâncias de streaming em um domínio do Active Directory. Crie um objeto Directory Config usando o console de gerenciamento do AppStream 2.0, o AWS SDK ou a AWS CLI. Depois, você pode usar a configuração do diretório para iniciar frotas e construtores de imagens sempre ativos e sob demanda associados a um domínio.

nota

Só é possível associar instâncias de streaming de frotas sempre ativas e sob demanda a um domínio do Active Directory.

Etapa 1: Criar um objeto de configuração do diretório

O objeto Directory Config que você cria no AppStream 2.0 será usado em etapas posteriores.

Se você estiver usando o AWS SDK, poderá usar a operação CreateDirectoryConfig. Se você estiver usando o AWS CLI, poderá usar o comando create-directory-config.

Como criar um objeto Directory Config usando o console do AppStream 2.0

  1. Abra o console do AppStream 2.0 em https://console.aws.amazon.com/appstream2.

  2. No painel de navegação, selecione Directory Configs (Configurações de diretório), Create Directory Config (Criar configuração de diretório).

  3. Em Directory Name (Nome do diretório), informe o nome do domínio totalmente qualificado (FQDN) do domínio do Active Directory (por exemplo, corp.example.com). Cada região pode ter apenas um valor de Directory Config com um nome de diretório específico.

  4. Em Service Account Name (Nome da conta de serviço), digite o nome de uma conta que pode criar objetos de computador e que tenha permissões para ingressar no domínio. Para obter mais informações, consulte Conceder permissões para criar e gerenciar objetos de computador do Active Directory. O nome da conta deve estar no formato DOMAIN\username.

  5. Em Password (Senha) e Confirm Password (Confirmar senha), digite a senha do diretório da conta especificada.

  6. Em Organizational Unit (OU), digite o nome distinto de pelo menos uma UO para objetos de computador da instância de streaming.

    nota

    O nome da UO não pode conter espaços. Se você especificar um nome de UO que contenha espaços, quando uma frota ou um construtor de imagens tentar se associar novamente ao domínio do Active Directory, o AppStream 2.0 não poderá alternar os objetos de computador corretamente e a reassociação ao domínio não será bem-sucedida. Para obter informações sobre como solucionar esse problema, consulte o tópico DOMAIN_JOIN_INTERNAL_SERVICE_ERROR para a mensagem “The account already exists” em Ingresso no Domínio do Active Directory.

    Além disso, o contêiner padrão Computers não é uma UO e não pode ser usado pelo AppStream 2.0. Para obter mais informações, consulte Localizar o nome distinto da unidade organizacional.

  7. Para adicionar mais de uma UO, selecione o sinal de mais (+) ao lado de Organizational Unit (OU). Para remover UOs, escolha o ícone x.

  8. Escolha Próximo.

  9. Revise as informações de configuração e selecione Create.

Etapa 2: Criar uma imagem usando um construtor de imagens ingressado no domínio

Depois, usando o construtor de imagens do AppStream 2.0, crie uma imagem com os recursos de associação a um domínio do Active Directory. Observe que a frota e a imagem podem ser membros de domínios diferentes. Você ingressa o construtor de imagens em um domínio para habilitar o ingresso no domínio e para instalar aplicativos. O ingresso de frota no domínio é abordado na próxima seção.

Para criar uma imagem para a inicialização de frotas ingressadas em um domínio

  1. Siga os procedimentos em Tutorial: Criar uma imagem personalizada do AppStream 2.0 usando o console do AppStream 2.0.

  2. Na etapa de seleção da imagem base, use uma imagem base da AWS lançada a partir de 24 de julho de 2017. Para obter uma lista atual de imagens da AWS lançadas, consulte Notas de versão de atualizações de imagens base e imagens gerenciadas do AppStream 2.0.

  3. Na Step 3: Configure Network, selecione uma VPC e as sub-redes que tenham conectividade de rede com seu ambiente do Active Directory. Selecione os security groups configurados para permitir acesso ao diretório por meio das sub-redes da VPC.

  4. Além disso, na Etapa 3: Configurar rede, expanda a seção Domínio do Active Directory (Opcional) e selecione os valores para o Nome do Diretório e a UO do Diretório aos quais o criador da imagem será vinculado.

  5. Reveja as informações da configuração do construtor de imagens e selecione Create.

  6. Aguarde até que o novo construtor de imagens atinja o estado Running e selecione Connect.

  7. Faça login no construtor de imagens em modo de administrador ou como um usuário do diretório com permissões de administrador local. Para obter mais informações, consulte Concessão de direitos de administrador local em construtores de imagens.

  8. Conclua as etapas em Tutorial: Criar uma imagem personalizada do AppStream 2.0 usando o console do AppStream 2.0 para instalar os aplicativos e criar uma nova imagem.

Etapa 3: Criar uma frota ingressada no domínio

Usando a imagem privada criada na etapa anterior, crie uma frota sempre ativa ou sob demanda associada a um domínio do Active Directory para aplicações de streaming. O domínio pode ser diferente do usado pelo construtor de imagens para criar a imagem.

Como criar uma frota sempre ativa ou sob demanda associada a um domínio

  1. Siga os procedimentos em Criar uma frota no Amazon AppStream 2.0.

  2. Na etapa de seleção de imagem, use a imagem criada na etapa anterior ., Etapa 2: Criar uma imagem usando um construtor de imagens ingressado no domínio.

  3. Na Step 4: Configure Network, selecione uma VPC e as sub-redes que tenham conectividade de rede com seu ambiente do Active Directory. Selecione os security groups configurados para permitir comunicação com seu domínio.

  4. Também na Step 4: Configure Network (Etapa 4: Configurar rede), expanda a seção Active Directory Domain (Optional) (Domínio do Active Directory (opcional)) e selecione os valores para Directory Name (Nome do diretório) e Directory OU (UO do diretório) nos quais a frota deve ingressar.

  5. Reveja a configuração da frota e selecione Create.

  6. Conclua as etapas restantes em Criar uma frota e pilha do Amazon AppStream 2.0 para que sua frota seja associada a uma pilha e esteja em execução.

Etapa 4: Configurar o SAML 2.0

Seus usuários devem usar o ambiente de federação de identidades baseada no SAML 2.0 para iniciar sessões de streaming na frota ingressada no domínio.

Para configurar o SAML 2.0 para acesso de logon único

  1. Siga os procedimentos em Configuração do SAML.

  2. O AppStream 2.0 requer que o valor de NameID de SAML_Subject do usuário que está fazendo login seja fornecido em um dos seguintes formatos:

    • domain\username usando o sAMAccountName

    • username@domain.com usando o userPrincipalName

    Se estiver usando o formato sAMAccountName, você pode especificar o domain usando o nome NetBIOS ou o nome do domínio totalmente qualificado (FQDN).

  3. Forneça acesso aos usuários ou grupos do Active Directory para habilitar o acesso à pilha do AppStream 2.0 em seu portal de aplicações do provedor de identidades.

  4. Conclua as etapas restantes em Configuração do SAML.

Para fazer login de um usuário com o SAML 2.0

  1. Faça login no seu catálogo de aplicações do provedor SAML 2.0 e abra a aplicação SAML do AppStream 2.0 criada no procedimento anterior.

  2. Quando o catálogo de aplicações do AppStream 2.0 for exibido, selecione uma aplicação para iniciar.

  3. Quando um ícone de carregamento for exibido, você será solicitado a fornecer uma senha. O nome do usuário do domínio fornecido pelo provedor de identidade do SAML 2.0 aparece acima do campo de senha. Digite a senha e selecione log in (fazer login).

A instância de streaming executa o procedimento de login do Windows e o aplicativo selecionado é aberto.