Visão geral dos domínios do Active Directory - Amazon WorkSpaces

Visão geral dos domínios do Active Directory

O uso dos domínios do Active Directory com o WorkSpaces Pools exige compreensão de como eles funcionam em conjunto e das tarefas de configuração que precisam ser concluídas. Será necessário concluir as seguintes tarefas:

  1. Definir as configurações da Política de grupo conforme necessário para definir a experiência do usuário final e os requisitos de segurança dos aplicativos.

  2. Crie o diretório associado ao domínio no WorkSpaces Pools.

  3. Criar o aplicativo do WorkSpaces Pools no provedor de identidade SAML 2.0 e atribuí-lo aos usuários finais, diretamente ou por meio de grupos do Active Directory.

Fluxo de autenticação do usuário

  1. O usuário navega até https://applications.exampleco.com. A página de logon solicita a autenticação do usuário.

  2. O serviço de federação solicita autenticação do armazenamento de identidades da organização.

  3. O armazenamento de identidades autentica o usuário e retorna a resposta de autenticação ao serviço de federação.

  4. Quando uma autenticação é bem-sucedida, o serviço de federação publica a declaração SAML no navegador do usuário.

  5. O navegador do usuário publica a declaração SAML no endpoint SAML do Início de Sessão da AWS (https://signin.aws.amazon.com/saml). AWS A página de login recebe uma solicitação SAML, processa a solicitação, autentica o usuário e encaminha o token de autenticação para o serviço do WorkSpaces Pools.

  6. O uso do token de autenticação da AWS, WorkSpaces Pools autoriza o usuário e apresenta os aplicativos ao navegador.

  7. O usuário escolhe uma aplicação e, dependendo do método de autenticação de login do Windows habilitado no diretório do WorkSpaces Pools, ele é solicitado a inserir sua senha de domínio do Active Directory ou escolher um cartão inteligente. Se os dois métodos de autenticação estiverem habilitados, o usuário poderá escolher entre inserir a senha do domínio ou usar o cartão inteligente. A autenticação baseada em certificado também pode ser usada para autenticar usuários, removendo o prompt.

  8. O controlador de domínio é contatado para a autenticação do usuário.

  9. Após a autenticação no domínio, a sessão do usuário é iniciada com a conectividade do domínio.

Da perspectiva do usuário, esse processo é transparente. O usuário começa navegando até o portal interno da sua organização e é redirecionado para um portal do WorkSpaces Pools, sem precisar inserir credenciais da AWS. Só é necessário usar uma senha de domínio do Active Directory ou credenciais de cartão inteligente.

Para que um usuário possa iniciar esse processo, você deve configurar o Active Directory com os direitos e as configurações da Política de grupo necessários e criar um diretório do WorkSpaces Pools vinculado ao domínio.