Autenticação baseada em certificado e pessoal WorkSpaces - Amazon WorkSpaces
Pré-requisitosHabilitar a autenticação baseada em certificadoGerenciar a autenticação baseada em certificadoPermitir compartilhamento de PCA entre contas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autenticação baseada em certificado e pessoal WorkSpaces

Você pode usar a autenticação baseada em certificado com WorkSpaces para remover a solicitação do usuário para a senha do domínio do Active Directory. Ao usar a autenticação baseada em certificado com um domínio do Active Directory, você pode:

  • Basear-se no seu provedor de identidades SAML 2.0 para autenticar o usuário e fornecer declarações SAML que correspondam ao usuário no Active Directory.

  • Habilitar uma experiência de autenticação única com menos prompts do usuário.

  • Habilitar fluxos de autenticação sem senha usando seu provedor de identidades SAML 2.0.

A autenticação baseada em certificado usa AWS Private CA recursos em sua conta. AWS AWS Private CA permite a criação de hierarquias de autoridade de certificação (CA) privada, incluindo raiz e subordinada. CAs Com AWS Private CA, você pode criar sua própria hierarquia de CA e emitir certificados com ela para autenticar usuários internos. Para obter mais informações, consulte o Guia do usuário do AWS Private Certificate Authority.

Ao usar AWS Private CA para autenticação baseada em certificado, WorkSpaces solicitará certificados para seus usuários automaticamente durante a autenticação da sessão. Os usuários são autenticados no Active Directory usando um cartão inteligente virtual provisionado com os certificados.

A autenticação baseada em certificado é compatível com o Windows WorkSpaces em pacotes DCV usando os aplicativos clientes mais recentes do WorkSpaces Web Access, Windows e macOS. Abra os downloads WorkSpaces do Amazon Client para encontrar as versões mais recentes:

  • Cliente Windows versão 5.5.0 ou posterior

  • Cliente para macOS versão 5.6.0 ou posterior

Para obter mais informações sobre como configurar a autenticação baseada em certificados com a Amazon WorkSpaces, consulte Como configurar a autenticação baseada em certificados para a WorkSpaces Amazon e Considerações de design em ambientes altamente regulamentados para autenticação baseada em certificados com 2.0 e. AppStream WorkSpaces

Pré-requisitos

Conclua as etapas a seguir antes de habilitar a autenticação baseada em certificado.

  1. Configure seu WorkSpaces diretório com a integração do SAML 2.0 para usar a autenticação baseada em certificado. Para obter mais informações, consulte WorkSpacesIntegração com o SAML 2.0.

  2. Configure o atributo userPrincipalName na declaração SAML. Para obter mais informações, consulte Como criar declarações para a resposta de autenticação SAML.

  3. Configure o atributo ObjectSid na declaração SAML. Isso é necessário para realizar um mapeamento robusto para o usuário do Active Directory. A autenticação baseada em certificado falhará se o atributo não corresponder ao Identificador de segurança (SID) do Active Directory do usuário especificado no NameID de SAML_Subject. Para obter mais informações, consulte Como criar declarações para a resposta de autenticação SAML.

    nota

    De acordo com o Microsoft KB5 014754, o ObjectSid atributo se tornará obrigatório para autenticação baseada em certificado após 10 de setembro de 2025.

  4. Adicione a TagSession permissão sts: à sua política de confiança de função do IAM usada com sua configuração do SAML 2.0, caso ela ainda não esteja presente. Essa permissão é necessária para usar a autenticação baseada em certificado. Para obter mais informações, consulte Como criar um perfil do IAM para a federação do SAML 2.0.

  5. Crie uma autoridade de certificação (CA) privada usando AWS Private CA se você não tiver uma configurada com seu Active Directory. AWS Private CA é necessário usar a autenticação baseada em certificado. Para obter mais informações, consulte Planejando sua AWS Private CA implantação e siga as orientações para configurar uma CA para autenticação baseada em certificado. As AWS Private CA configurações a seguir são as mais comuns para casos de uso de autenticação baseada em certificado:

    1. Opções de tipos de CA:

      1. Modo de uso de CA de certificados de curta duração (recomendado se você estiver usando a CA apenas para emitir certificados de usuário final para autenticação baseada em certificado)

      2. Hierarquia de nível único com uma CA raiz (como alternativa, escolha uma CA subordinada se desejar integração com uma hierarquia de CAs existente)

    2. Opções de algoritmos de chave: RSA 2048

    3. Opções de nome distinto de assunto: use uma combinação de opções para identificar a CA em seu repositório de Autoridades de Certificação Raiz Confiáveis do Active Directory.

    4. Opções de revogação de certificado: distribuição de CRL

      nota

      A autenticação baseada em certificado requer um ponto de distribuição de CRL on-line acessível pela área de trabalho e pelo controlador do domínio. Isso requer acesso não autenticado ao bucket do Amazon S3 configurado para entradas privadas do CA CRL ou CloudFront uma distribuição que terá acesso ao bucket do S3 se estiver bloqueando o acesso público. Para obter mais informações sobre essas opções, consulte Como planejar uma lista de revogação de certificados (CRL).

  6. Marque sua CA privada com uma chave denominada euc-private-ca a fim de designar a CA para uso com a autenticação baseada em certificado do EUC. A chave não exige um valor. Para obter mais informações, consulte Gerenciamento de etiquetas para sua CA privada.

  7. A autenticação baseada em certificado usa cartões inteligentes virtuais para o login. Seguindo as Diretrizes para habilitar o login por cartão inteligente com autoridades de certificação de terceiros no Active Directory, execute as seguintes etapas:

    • Configure controladores de domínio com um certificado de controlador de domínio para autenticar usuários de cartões inteligentes. Se você tiver uma CA corporativa dos Serviços de Certificados do Active Directory configurada em seu Active Directory, os controladores de domínio serão automaticamente registrados com certificados que permitem o login por cartão inteligente. Se você não tiver os Serviços de Certificados do Active Directory, consulte Requisitos para certificados de controlador de domínio de uma AC de terceiros. Você pode criar um certificado de controlador de domínio com o AWS Private CA. Se fizer isso, não use uma CA privada configurada para certificados de curta duração.

      nota

      Se você estiver usando AWS Managed Microsoft AD, poderá configurar os Serviços de Certificados em uma EC2 instância para atender aos requisitos de certificados de controlador de domínio. Veja, AWS Launch Wizardpor exemplo, implantações AWS Managed Microsoft AD configuradas com os Serviços de Certificados do Active Directory. AWS A CA privada pode ser configurada como subordinada à CA dos Serviços de Certificados do Active Directory ou pode ser configurada como sua própria raiz durante o uso AWS Managed Microsoft AD.

      Uma tarefa adicional de configuração com os Serviços de AWS Managed Microsoft AD Certificados do Active Directory é criar regras de saída do grupo de segurança VPC dos controladores para a EC2 instância que executa os Serviços de Certificados, permitindo que as portas TCP 135 e 49152-65535 habilitem o registro automático de certificados. Além disso, a EC2 instância em execução deve permitir acesso de entrada nas mesmas portas das instâncias de domínio, incluindo controladores de domínio. Para obter mais informações sobre como localizar o grupo de segurança, AWS Managed Microsoft AD consulte Configurar suas sub-redes e grupos de segurança da VPC.

    • No AWS Private CA console ou usando o SDK ou a CLI, selecione sua CA e, no certificado CA, exporte o certificado privado da CA. Para obter mais informações, consulte Como exportar um certificado privado.

    • Publique a CA no Active Directory. Faça login em um controlador de domínio ou em uma máquina associada a um domínio. Copie o certificado privado da CA para qualquer <path>\<file> e execute os comandos a seguir como administrador de domínio. Como alternativa, você pode usar a Política de Grupo e a ferramenta Microsoft PKI Health Tool (PKIView) para publicar a CA. Para obter mais informações, consulte Instruções de configuração.

      certutil -dspublish -f <path>\<file> RootCA
certutil -dspublish -f  <path>\<file> NTAuthCA

      Verifique se os comandos foram concluídos com êxito e, em seguida, remova o arquivo do certificado privado. Dependendo das configurações de replicação do Active Directory, pode levar vários minutos para que a CA seja publicada nos controladores de domínio e nas instâncias de área de trabalho.

      nota

      • É necessário que o Active Directory distribua a CA às Autoridades de Certificação Raiz Confiáveis e às NTAuth lojas corporativas automaticamente para WorkSpaces desktops quando elas se juntam ao domínio.

Habilitar a autenticação baseada em certificado

Conclua as etapas a seguir para habilitar a autenticação baseada em certificado.

  1. Abra o WorkSpaces console em https://console.aws.amazon.com/workspaces/v2/home.

  2. No painel de navegação, selecionar Diretórios.

  3. Escolha o ID do diretório para o seu WorkSpaces.

  4. Em Autenticação, clique em Editar.

  5. Clique em Editar autenticação baseada em certificado.

  6. Marque Habilitar a autenticação baseada em certificado.

  7. Confirme se o ARN da CA privada está associado na lista. A CA privada deve estar na mesma AWS conta e Região da AWS ser marcada com uma chave autorizada euc-private-ca a aparecer na lista.

  8. Clique em Salvar alterações A autenticação baseada em certificado está habilitada.

  9. Reinicie o Windows WorkSpaces em pacotes DCV para que as alterações entrem em vigor. Para obter mais informações, consulte Reinicializar um WorkSpace.

  10. Após a reinicialização, quando os usuários se autenticarem via SAML 2.0 usando um cliente compatível, eles não receberão mais uma solicitação para inserir a senha do domínio.

nota

Quando a autenticação baseada em certificado está habilitada para entrar WorkSpaces, os usuários não são solicitados a fazer a autenticação multifator (MFA), mesmo se ativada no Diretório. Ao usar a autenticação baseada em certificado, a MFA pode ser habilitada por meio do provedor de identidades SAML 2.0. Para obter mais informações sobre AWS Directory Service MFA, consulte Autenticação multifator (AD Connector) ou Habilitar autenticação multifator para. AWS Managed Microsoft AD

Gerenciar a autenticação baseada em certificado

Certificado CA

Em uma configuração comum, o certificado CA privado tem validade de 10 anos. Para obter mais informações sobre como substituir uma CA com certificado expirado ou reemitir a CA com um novo período de validade, consulte Como gerenciar o ciclo de vida da CA privada.

Certificados de usuário final

Os certificados de usuário final emitidos pela AWS Private CA para autenticação WorkSpaces baseada em certificados não exigem renovação ou revogação. Esses certificados são de curta duração. WorkSpacesemite automaticamente um novo certificado a cada 24 horas. Esses certificados de usuário final têm um período de validade mais curto do que uma distribuição típica de AWS Private CA CRL. Como resultado, os certificados de usuário final não precisam ser revogados e não aparecerão em uma CRL.

Relatórios de auditoria

Você pode criar um relatório de auditoria para listar todos os certificados que sua CA privada emitiu ou revogou. Para obter mais informações, consulte Como usar relatórios de auditoria com sua CA privada.

Registro e Monitoramento

Você pode usar AWS CloudTrailpara gravar chamadas de API para AWS Private CA by WorkSpaces. Para obter mais informações, consulte Usando CloudTrail. No Histórico de CloudTrail eventos, você pode visualizar GetCertificate os IssueCertificate nomes dos acm-pca.amazonaws.com eventos da fonte do evento criados pelo nome WorkSpaces EcmAssumeRoleSession do usuário. Esses eventos serão registrados para cada solicitação de autenticação baseada em certificado do EUC.

Permitir compartilhamento de PCA entre contas

Ao usar o compartilhamento entre contas de CA privada, você pode conceder permissões a outras contas para usar uma CA centralizada, o que elimina a necessidade de uma CA privada em todas as contas. A CA pode gerar e emitir certificados usando o AWS Resource Access Manager para gerenciar permissões. O compartilhamento entre contas de CA privada pode ser usado com a WorkSpaces Autenticação Baseada em Certificado (CBA) na mesma região. AWS

Para usar um recurso de CA privada compartilhado com o WorkSpaces CBA

  1. Configure a CA privada para CBA em uma conta centralizada AWS . Para obter mais informações, consulte Autenticação baseada em certificado e pessoal WorkSpaces .

  2. Compartilhe a CA privada com as AWS contas de recursos em que WorkSpaces os recursos utilizam o CBA seguindo as etapas em Como usar a AWS RAM para compartilhar sua CA privada do ACM entre contas. Não é necessário realizar a etapa 3 para criar um certificado. Você pode compartilhar a CA privada com AWS contas individuais ou compartilhar por meio de AWS Organizations. Para compartilhar com contas individuais, você precisa aceitar a CA privada compartilhada em sua conta de recursos usando o console Resource Access Manager (RAM) ou APIs. Ao configurar o compartilhamento, confirme se o compartilhamento de recursos de RAM da CA privada na conta do recurso está usando o modelo de permissão gerenciada AWS RAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority. Esse modelo se alinha ao modelo de PCA usado pela função de WorkSpaces serviço ao emitir certificados CBA.

  3. Depois que o compartilhamento for bem-sucedido, será possível visualizar a CA privada compartilhada usando o console da CA privada na conta do recurso.

  4. Use a API ou a CLI para associar o ARN privado da CA ao CBA nas propriedades do seu diretório. WorkSpaces No momento, o WorkSpaces console não oferece suporte à seleção de CA privada compartilhada ARNs. Exemplo de comandos da CLI:

    aws workspaces modify-certificate-based-auth-properties —resource-id <value> —certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>