Autenticação baseada em certificado e WorkSpaces Personal - Amazon WorkSpaces
Pré-requisitosHabilitar a autenticação baseada em certificadoGerenciar a autenticação baseada em certificadoPermitir compartilhamento de PCA entre contas

Autenticação baseada em certificado e WorkSpaces Personal

Você pode usar a autenticação baseada em certificado com o WorkSpaces para remover o prompt do usuário para a senha do domínio do Active Directory. Ao usar a autenticação baseada em certificado com um domínio do Active Directory, você pode:

  • Basear-se no seu provedor de identidades SAML 2.0 para autenticar o usuário e fornecer declarações SAML que correspondam ao usuário no Active Directory.

  • Habilitar uma experiência de autenticação única com menos prompts do usuário.

  • Habilitar fluxos de autenticação sem senha usando seu provedor de identidades SAML 2.0.

A autenticação baseada em certificado usa recursos do CA Privada da AWS em sua conta da AWS. O CA Privada da AWS possibilita a criação de hierarquias de autoridade de certificação (CA) privadas, incluindo CAs raiz e subordinadas. Com o CA Privada da AWS, você pode criar sua própria hierarquia de CAs e emitir certificados com ela para autenticar usuários internos. Para obter mais informações, consulte o Guia do usuário do Autoridade de Certificação Privada da AWS.

Ao usar o CA Privada da AWS para a autenticação baseada em certificado, o WorkSpaces solicita certificados para os usuários automaticamente durante a autenticação da sessão. Os usuários são autenticados no Active Directory usando um cartão inteligente virtual provisionado com os certificados.

A autenticação baseada em certificado é compatível com o WorkSpaces do Windows em pacotes do DCV usando as aplicações cliente do WorkSpaces mais recentes para Windows e macOS. Abra a página Client Downloads do Amazon WorkSpaces para encontrar as versões mais recentes:

  • Cliente Windows versão 5.5.0 ou posterior

  • Cliente para macOS versão 5.6.0 ou posterior

Para obter mais informações sobre como configurar a autenticação baseada em certificados com o Amazon WorkSpaces, consulte How to configure certificate-based authentication for Amazon WorkSpaces e Design considerations in highly regulated environments for Certificate Based Authentication with AppStream 2.0 and WorkSpaces.

Pré-requisitos

Conclua as etapas a seguir antes de habilitar a autenticação baseada em certificado.

  1. Configure o diretório do WorkSpaces com a integração do SAML 2.0 para usar a autenticação baseada em certificado. Para obter mais informações, consulte Integração do WorkSpaces com SAML 2.0.

  2. Configure o atributo userPrincipalName na declaração SAML. Para obter mais informações, consulte Como criar declarações para a resposta de autenticação SAML.

  3. Configure o atributo ObjectSid na declaração SAML. Essa etapa é obrigatória para realizar um mapeamento robusto para o usuário do Active Directory. A autenticação baseada em certificado falhará se o atributo não corresponder ao Identificador de segurança (SID) do Active Directory do usuário especificado no NameID de SAML_Subject. Para obter mais informações, consulte Como criar declarações para a resposta de autenticação SAML.

    nota

    De acordo com o Microsoft KB5014754, o atributo ObjectSid se tornará obrigatório para autenticação baseada em certificado após 10 de setembro de 2025.

  4. Adicione a permissão sts:TagSession à política de confiança do perfil do IAM usada com sua configuração do SAML 2.0, caso ela ainda não esteja presente. Essa permissão é necessária para usar a autenticação baseada em certificado. Para obter mais informações, consulte Como criar um perfil do IAM para a federação do SAML 2.0.

  5. Crie uma autoridade de certificação (CA) privada usando o CA Privada da AWS se você não tiver uma CA configurada no Active Directory. O CA Privada da AWS é necessário para usar a autenticação baseada em certificado. Para obter mais informações, consulte Como planejar a implantação do CA Privada da AWS e siga as orientações para configurar uma CA para autenticação baseada em certificado. As seguintes configurações do CA Privada da AWS são comuns para muitos casos de uso de autenticação baseada em certificado:

    1. Opções de tipos de CA:

      1. Modo de uso de CA de certificados de curta duração (recomendado se você estiver usando a CA apenas para emitir certificados de usuário final para autenticação baseada em certificado)

      2. Hierarquia de nível único com uma CA raiz (como alternativa, escolha uma CA subordinada se desejar integração com uma hierarquia de CAs existente)

    2. Opções de algoritmos de chave: RSA 2048

    3. Opções de nome distinto de assunto: use uma combinação de opções para identificar a CA em seu repositório de Autoridades de Certificação Raiz Confiáveis do Active Directory.

    4. Opções de revogação de certificado: distribuição de CRL

      nota

      A autenticação baseada em certificado requer um ponto de distribuição de CRL on-line acessível pela área de trabalho e pelo controlador do domínio. Isso requer acesso não autenticado ao bucket do Amazon S3 configurado para entradas de CRL do Private CA ou uma distribuição do CloudFront que terá acesso ao bucket do S3 caso ele bloqueie o acesso público. Para obter mais informações sobre essas opções, consulte Como planejar uma lista de revogação de certificados (CRL).

  6. Marque sua CA privada com uma chave denominada euc-private-ca a fim de designar a CA para uso com a autenticação baseada em certificado do EUC. A chave não exige um valor. Para obter mais informações, consulte Gerenciamento de etiquetas para sua CA privada.

  7. A autenticação baseada em certificado usa cartões inteligentes virtuais para o login. Seguindo as Diretrizes para habilitar o login por cartão inteligente com autoridades de certificação de terceiros no Active Directory, execute as seguintes etapas:

    • Configure controladores de domínio com um certificado de controlador de domínio para autenticar usuários de cartões inteligentes. Se você tiver uma CA corporativa dos Serviços de Certificados do Active Directory configurada em seu Active Directory, os controladores de domínio serão automaticamente registrados com certificados que permitem o login por cartão inteligente. Se você não tiver os Serviços de Certificados do Active Directory, consulte Requisitos para certificados de controlador de domínio de uma AC de terceiros. Você pode criar um certificado de controlador de domínio com o CA Privada da AWS. Se fizer isso, não use uma CA privada configurada para certificados de curta duração.

      nota

      Se você usa o AWS Managed Microsoft AD, pode configurar os Serviços de Certificados em uma instância do EC2 que atenda aos requisitos de certificados de controlador de domínio. Consulte AWS Launch Wizard para ver exemplos de implantações do AWS Managed Microsoft AD configuradas com os Serviços de Certificados do Active Directory. AWS A CA privada pode ser configurada como subordinada à CA dos Serviços de Certificados do Active Directory ou pode ser configurada como sua própria raiz durante o uso do AWS Managed Microsoft AD.

      Uma tarefa adicional de configuração com o AWS Managed Microsoft AD e os Serviços de Certificados do Active Directory é criar regras de saída do grupo de segurança da VPC dos controladores para a instância do EC2 que executa os Serviços de Certificados, permitindo que as portas TCP 135 e 49152-65535 habilitem o registro automático de certificados. Além disso, a instância do EC2 em execução também deve permitir acesso de entrada nessas mesmas portas das instâncias do domínio, incluindo controladores de domínio. Para obter mais informações sobre como localizar o grupo de segurança para o AWS Managed Microsoft AD, consulte Como configurar as sub-redes da VPC e grupos de segurança.

    • No console CA Privada da AWS ou usando o SDK ou a CLI, selecione a CA e, no certificado CA, exporte o certificado privado da CA. Para obter mais informações, consulte Como exportar um certificado privado.

    • Publique a CA no Active Directory. Faça login em um controlador de domínio ou em uma máquina associada a um domínio. Copie o certificado privado da CA para qualquer <path>\<file> e execute os comandos a seguir como administrador de domínio. Você também pode usar uma política de grupo e a Microsoft PKI Health Tool (PKIView) para publicar a CA. Para obter mais informações, consulte Instruções de configuração.

      certutil -dspublish -f <path>\<file> RootCA
certutil -dspublish -f  <path>\<file> NTAuthCA

      Verifique se os comandos foram concluídos com êxito e, em seguida, remova o arquivo do certificado privado. Dependendo das configurações de replicação do Active Directory, pode levar vários minutos para que a CA seja publicada nos controladores de domínio e nas instâncias de área de trabalho.

      nota

      • É necessário que o Active Directory distribua a CA às Autoridades de Certificação Raiz Confiáveis e aos repositórios Enterprise NTAuth automaticamente para áreas de trabalho do WorkSpaces quando elas se associam ao domínio.

Habilitar a autenticação baseada em certificado

Conclua as etapas a seguir para habilitar a autenticação baseada em certificado.

  1. Abra o console do WorkSpaces em https://console.aws.amazon.com/workspaces/v2/home.

  2. No painel de navegação, selecionar Diretórios.

  3. Escolha o ID do diretório dos WorkSpaces.

  4. Em Autenticação, clique em Editar.

  5. Clique em Editar autenticação baseada em certificado.

  6. Marque Habilitar a autenticação baseada em certificado.

  7. Confirme se o ARN da CA privada está associado na lista. A CA privada deve estar na mesma conta da AWS e Região da AWS e deve ser marcada com uma chave intitulada euc-private-ca para aparecer na lista.

  8. Clique em Salvar alterações A autenticação baseada em certificado está habilitada.

  9. Reinicie os WorkSpaces do Windows nos pacotes do DCV para que as alterações entrem em vigor. Para obter mais informações, consulte Como reinicializar um WorkSpace.

  10. Após a reinicialização, quando os usuários se autenticarem via SAML 2.0 usando um cliente compatível, eles não receberão mais uma solicitação para inserir a senha do domínio.

nota

Quando a autenticação baseada em certificado está habilitada para fazer login no WorkSpaces, os usuários não são solicitados a usar a autenticação multifator (MFA), mesmo se ativada no Directory. Ao usar a autenticação baseada em certificado, a MFA pode ser habilitada por meio do provedor de identidades SAML 2.0. Para obter mais informações sobre o AWS Directory Service MFA, consulte Autenticação multifator (AD Connector) ou Como habilitar a autenticação multifator para o AWS Managed Microsoft AD.

Gerenciar a autenticação baseada em certificado

Certificado CA

Em uma configuração comum, o certificado CA privado tem validade de 10 anos. Para obter mais informações sobre como substituir uma CA com certificado expirado ou reemitir a CA com um novo período de validade, consulte Como gerenciar o ciclo de vida da CA privada.

Certificados de usuário final

Os certificados de usuário final emitidos pelo CA Privada da AWS para WorkSpaces para autenticação baseada em certificado exigem renovação ou revogação. Esses certificados são de curta duração. O WorkSpaces automaticamente emite um novo certificado a cada 24 horas. Esses certificados de usuário final têm um período de validade mais curto do que uma distribuição de CRL típica do CA Privada da AWS. Como resultado, os certificados de usuário final não precisam ser revogados e não aparecerão em uma CRL.

Relatórios de auditoria

Você pode criar um relatório de auditoria para listar todos os certificados que sua CA privada emitiu ou revogou. Para obter mais informações, consulte Como usar relatórios de auditoria com sua CA privada.

Registro e Monitoramento

Você pode usar o AWS CloudTrail para registrar as chamadas de API feitas pelo WorkSpaces para o CA Privada da AWS. Para obter mais informações, consulte Como usar o CloudTrail. No histórico de eventos do CloudTrail, você pode visualizar os nomes de eventos GetCertificate e IssueCertificate da fonte de eventos acm-pca.amazonaws.com criada pelo nome de usuário EcmAssumeRoleSession do WorkSpaces. Esses eventos serão registrados para cada solicitação de autenticação baseada em certificado do EUC.

Permitir compartilhamento de PCA entre contas

Ao usar o compartilhamento entre contas de CA privada, você pode conceder permissões a outras contas para usar uma CA centralizada, o que elimina a necessidade de uma CA privada em todas as contas. A CA pode gerar e emitir certificados usando o AWS Resource Access Manager para gerenciar permissões. O compartilhamento entre contas privadas da CA pode ser usado com a Autenticação Baseada em Certificado (CBA) do WorkSpaces na mesma região da AWS.

Para usar um recurso compartilhado de CA privada com o WorkSpaces CBA

  1. Configure a CA privada para CBA em uma conta da AWS centralizada. Para obter mais informações, consulte Autenticação baseada em certificado e WorkSpaces Personal.

  2. Compartilhe a CA privada com as contas da AWS de recursos em que os recursos do WorkSpaces utilizam o CBA seguindo as etapas em Como usar a AWS RAM para compartilhar sua CA privada do ACM entre contas. Não é necessário realizar a etapa 3 para criar um certificado. Você pode compartilhar a CA privada com contas da AWS individuais ou compartilhar por meio de Organizações da AWS. Para compartilhar com contas individuais, você precisa aceitar a CA privada compartilhada em sua conta de recursos usando o console do Resource Access Manager (RAM) ou as APIs. Ao configurar o compartilhamento, confirme se o compartilhamento de recursos de RAM da CA privada na conta do recurso está usando o modelo de permissão gerenciada AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority. Esse modelo se alinha ao modelo de PCA usado pelo perfil de serviço WorkSpaces ao emitir certificados CBA.

  3. Depois que o compartilhamento for bem-sucedido, será possível visualizar a CA privada compartilhada usando o console da CA privada na conta do recurso.

  4. Use a API ou a CLI para associar o ARN da CA privada ao CBA nas propriedades do seu diretório WorkSpaces. No momento, o console do WorkSpaces não oferece suporte à seleção de ARNs compartilhados de CA privada. Exemplo de comandos da CLI:

    aws workspaces modify-certificate-based-auth-properties —resource-id <value> —certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>