Zertifikatbasierte Authentifizierung

Sie können die zertifikatbasierte Authentifizierung mit verwenden WorkSpaces , um die Benutzeraufforderung für das Active-Directory-Domain-Passwort zu entfernen. Durch die Verwendung der zertifikatbasierten Authentifizierung mit Ihrer Active Directory-Domain können Sie Folgendes erreichen:

• Sie können den SAML-2.0-Identitätsanbieter zur Authentifizierung der Benutzer und Bereitstellung der SAML-Zusicherungen für die Benutzer in Active Directory verwenden.

• Ermöglichen Sie eine Single-Sign-On-Anmeldung mit weniger Benutzeraufforderungen.

• Aktivieren Sie passwortlose Authentifizierungsabläufe mit Ihrem SAML-2.0-Identitätsanbieter.

Bei der zertifikatbasierten Authentifizierung werden AWS Private CA-Ressourcen in Ihrem AWS-Konto verwendet. AWS Private CA ermöglicht die Erstellung von Hierarchien privater Zertifizierungsstellen (CAs), einschließlich Stamm- und untergeordneter Zertifizierungsstellen. Mit AWS Private CA können Sie Ihre eigene CA-Hierarchie erstellen und damit Zertifikate zur Authentifizierung interner Benutzer ausstellen. Weitere Informationen finden Sie im AWS Private Certificate Authority-Benutzerhandbuch.

Wenn Sie AWS Private CA für die zertifikatbasierte Authentifizierung verwenden, WorkSpaces fordert Zertifikate für Ihre Benutzer während der Sitzungsauthentifizierung automatisch an. Die Benutzer werden mit einer virtuellen Smartcard, die mit den Zertifikaten bereitgestellt wird, bei Active Directory authentifiziert.

Die zertifikatbasierte Authentifizierung wird mit Windows WorkSpaces on WorkSpaces Streaming Protocol (WSP)-Paketen unter Verwendung der neuesten WorkSpaces Web Access-, Windows- und macOS-Clientanwendungen unterstützt. Öffnen Sie Amazon WorkSpaces -Client-Downloads, um die neuesten Versionen zu finden:

• Windows-Client, Version 5.5.0 oder höher

• macOs-Client, Version 5.6.0 oder höher

Weitere Informationen zur Konfiguration der zertifikatbasierten Authentifizierung mit Amazon WorkSpacesfinden Sie unter So konfigurieren Sie die zertifikatbasierte Authentifizierung für Amazon WorkSpaces und Überlegungen zum Design in stark regulierten Umgebungen für die zertifikatbasierte Authentifizierung mit AppStream 2.0 und WorkSpaces .

Voraussetzungen

Führen Sie die folgenden Schritte aus, bevor Sie die zertifikatbasierte Authentifizierung aktivieren.

1. Konfigurieren Sie Ihr WorkSpaces Verzeichnis mit der SAML-2.0-Integration für die Verwendung der zertifikatsbasierten Authentifizierung. Weitere Informationen finden Sie unter WorkSpaces Integration mit SAML 2.0.

2. Konfigurieren Sie das userPrincipalName Attribut in Ihrer SAML-Zusicherung. Weitere Informationen finden Sie unter Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort.

3. Konfigurieren Sie das ObjectSid Attribut in Ihrer SAML-Zusicherung. Dies ist optional, um eine starke Zuordnung zu den Active-Directory-Benutzern durchzuführen. Die zertifikatbasierte Authentifizierung schlägt fehl, wenn das Attribut nicht mit der Active-Directory-Sicherheitskennung (SID) für den im SAML_Subject NameID angegebenen Benutzern übereinstimmt. Weitere Informationen finden Sie unter Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort.

4. Fügen Sie die sts:TagSession-Berechtigung zu Ihrer IAM-Rollenvertrauensrichtlinie hinzu, die mit Ihrer SAML-2.0-Konfiguration verwendet wird, falls sie noch nicht vorhanden ist. Diese Berechtigung ist erforderlich, um die zertifikatbasierte Authentifizierung zu verwenden. Weitere Informationen finden Sie unter Erstellen einer IAM-Rolle für den SAML-2.0-Verbund.

5. Erstellen Sie mit AWS Private CA eine private Zertifizierungsstelle (CA), falls Sie noch keine mit Ihrem Active Directory konfiguriert haben. AWS Private CA ist erforderlich, um die zertifikatbasierte Authentifizierung zu verwenden. Weitere Informationen finden Sie unter Planen Ihrer AWS Private CA-Bereitstellung. Folgen Sie den Anweisungen zur Konfiguration einer Zertifizierungsstelle für die zertifikatbasierte Authentifizierung. Die folgenden AWS Private CA Einstellungen werden im Allgemeinen für die zertifikatbasierte Authentifizierung verwendet:

   1. Optionen für den CA-Typ:

      1. CA-Verwendungsmodus für kurzlebige Zertifikate (empfohlen, wenn Sie die CA nur zur Ausstellung von Endbenutzerzertifikaten für die zertifikatbasierte Authentifizierung verwenden)

      2. Einstufige Hierarchie mit einer Stammzertifizierungsstelle (wählen Sie alternativ eine untergeordnete Zertifizierungsstelle aus, wenn Sie eine Integration in eine bestehende Zertifizierungsstellenhierarchie vornehmen möchten)

   2. Optionen für den Schlüsselalgorithmus: RSA 2048

   3. Optionen für den definierten Namen des Antragstellers: Verwenden Sie eine beliebige Kombination von Optionen, um die Zertifizierungsstelle in Ihrem Active-Directory-Speicher für vertrauenswürdige Stammzertifizierungsstellen zu identifizieren.

   4. Optionen zum Widerruf von Zertifikaten: CRL-Verteilung

      Anmerkung

      Für die zertifikatbasierte Authentifizierung ist ein Online-CRL-Verteilungspunkt erforderlich, auf den von Desktops und dem Domain-Controller aus zugegriffen werden kann. Dies erfordert einen nicht authentifizierten Zugriff auf den Amazon S3-Bucket, der für CRL-Einträge von Private CA konfiguriert ist, oder eine CloudFront Verteilung, die Zugriff auf den S3-Bucket hat, wenn der öffentliche Zugriff blockiert wird. Weitere Informationen finden Sie unter Planen einer Zertifikatsperrliste (CRL).

6. Taggen Sie Ihre private Zertifizierungsstelle mit einem Schlüssel, der berechtigt ist, die CA für die Verwendung mit euc-private-ca auf EUC-Zertifikaten basierenden Authentifizierung zu kennzeichnen. Für den Schlüssel ist kein Wert erforderlich. Weitere Informationen finden Sie unter Verwalten von Tags für Ihre private CA.

7. Bei der zertifikatbasierten Authentifizierung werden virtuelle Smartcards für die Anmeldung verwendet. Folgen Sie den Richtlinien für die Aktivierung der Smartcard-Anmeldung bei Zertifizierungsstellen von Drittanbietern in Active Directory und führen Sie die folgenden Schritte durch:

   • Konfigurieren Sie Domain-Controller mit einem Domain-Controllerzertifikat zur Authentifizierung von Smartcard-Benutzern. Wenn Sie in Ihrem Active Directory eine Unternehmenszertifizierungsstelle für Active-Directory-Zertifikatsdienste konfiguriert haben, werden Domain-Controller automatisch mit Zertifikaten registriert, um die Smartcard-Anmeldung zu ermöglichen. Wenn Sie nicht über Active-Directory-Zertifikatsdienste verfügen, finden Sie weitere Informationen unter Anforderungen für Domain-Controllerzertifikate von einer Drittanbieter-Zertifizierungsstelle. Sie können ein Domain-Controllerzertifikat mit AWS Private CA erstellen. Verwenden Sie in diesem Fall keine private Zertifizierungsstelle, die für kurzlebige Zertifikate konfiguriert ist.

     Anmerkung

     Wenn Sie AWS Managed Microsoft AD, können Sie die Zertifikatsdienste in einer EC2-Instance konfigurieren, um die Anforderungen für Domain-Controllerzertifikate zu erfüllen. Beispiele AWS Launch Wizard für Bereitstellungen von , die mit Active Directory Certificate Services AWS Managed Microsoft AD konfiguriert sind. AWS Private CA kann als untergeordnete Zertifizierungsstelle für Active Directory Certificate Services oder als eigenes Stammverzeichnis bei Verwendung von konfiguriert werdenAWS Managed Microsoft AD.

     Eine zusätzliche Konfigurationsaufgabe mit AWS Managed Microsoft AD und Active-Directory-Zertifikatsdiensten besteht darin, ausgehende Regeln von der VPC-Sicherheitsgruppe des Controllers zur EC2-Instance zu erstellen, auf der die Zertifikatsdienste ausgeführt werden, sodass die TCP-Ports 135 und 49152-65535 die automatische Registrierung von Zertifikaten ermöglichen. Darüber hinaus muss die ausgeführte EC2-Instance eingehenden Zugriff auf dieselben Ports von Domain-Instances, einschließlich Domain-Controllern, zulassen. Weitere Informationen zum Auffinden der Sicherheitsgruppe für AWS Managed Microsoft AD finden Sie unter Konfigurieren Ihrer VPC-Subnetze und Sicherheitsgruppen.

   • Wählen Sie in der AWS Private CA-Konsole oder mithilfe des SDKs oder der CLI Ihre CA aus und exportieren Sie unter dem CA-Zertifikat das private CA-Zertifikat. Weitere Informationen finden Sie unter Exportieren eines privaten Zertifikats.

   • Veröffentlichen Sie die CA in Active Directory. Melden Sie sich an einem Domain-Controller oder einem Computer an, der Domain-Mitglied ist. Kopieren Sie das private CA-Zertifikat in einen beliebigen <path>\<file> und führen Sie die folgenden Befehle als Domain-Administrator aus. Alternativ können Sie Gruppenrichtlinien und das Microsoft PKI Health Tool (PkIView) verwenden, um die CA zu veröffentlichen. Weitere Informationen finden Sie in den Konfigurationsanweisungen.

     certutil -dspublish -f <path>\<file> RootCA
     certutil -dspublish -f  <path>\<file> NTAuthCA

     Stellen Sie sicher, dass die Befehle erfolgreich ausgeführt wurden. Entfernen Sie dann die private Zertifikatsdatei. Abhängig von den Einstellungen für die Active-Directory-Replikation kann es einige Minuten dauern, bis die Zertifizierungsstelle auf Ihren Domain-Controllern und Desktop-Instances veröffentlicht wird.

     Anmerkung

     • Active Directory muss die CA automatisch an die Trusted Root Certification Authoritys und Enterprise NTAuth-Speicher für WorkSpaces Desktops verteilen, wenn sie der Domain beitreten.

     • Active-Directory-Domain-Controller müssen sich im Kompatibilitätsmodus befinden, damit die strenge Durchsetzung von Zertifikaten die zertifikatsbasierte Authentifizierung unterstützt. Weitere Informationen finden Sie unter KB5014754 – Änderungen der zertifikatsbasierten Authentifizierung auf Windows-Domain-Controllern in der Microsoft Support-Dokumentation. Wenn Sie AWS Managed Microsoft AD verwenden, finden Sie weitere Informationen unter Konfigurieren von Verzeichnissicherheitseinstellungen.

Aktivieren der zertifikatbasierten Authentifizierung

Führen Sie die folgenden Schritte aus, bevor Sie die zertifikatbasierte Authentifizierung aktivieren.

1. Öffnen Sie die - WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces.

2. Wählen Sie im Navigationsbereich Verzeichnisse aus.

3. Wählen Sie die Verzeichnis-ID für Ihr aus WorkSpaces.

4. Klicken Sie unter Authentifizierung auf Bearbeiten.

5. Klicken Sie auf Zertifikatbasierte Authentifizierung bearbeiten.

6. Aktivieren Sie die Option Zertifikatbasierten Authentifizierung aktivieren.

7. Vergewissern Sie sich, dass Ihr privater CA-ARN in der Liste zugeordnet ist. Die private Zertifizierungsstelle sollte sich im selben AWS Konto und in derselben befinden und muss mit einem Schlüssel gekennzeichnet seinAWS-Region, der berechtigt ist euc-private-ca , in der Liste zu erscheinen.

8. Klicken Sie auf Save Changes (Änderungen speichern). Die zertifikatbasierte Authentifizierung ist nun aktiviert.

9. Starten Sie Ihre Windows WorkSpaces on WorkSpaces Streaming Protocol (WSP)-Pakete neu, damit die Änderungen wirksam werden. Weitere Informationen finden Sie unter Neustart einer WorkSpace.

10. Wenn sich Benutzer nach dem Neustart über SAML 2.0 mit einem unterstützten Client authentifizieren, werden sie nicht mehr zur Eingabe des Domain-Passworts aufgefordert.

Anmerkung

Wenn die zertifikatbasierte Authentifizierung aktiviert ist, um sich bei anzumelden WorkSpaces, werden Benutzer nicht zur Multi-Faktor-Authentifizierung (MFA) aufgefordert, selbst wenn sie im Verzeichnis aktiviert sind. Wenn Sie die zertifikatbasierte Authentifizierung verwenden, kann MFA über Ihren SAML-2.0-Identitätsanbieter aktiviert werden. Weitere Informationen zur AWS Directory Service-MFA finden Sie unter Multi-Faktor-Authentifizierung (AD Connector) oder Aktivieren der Multi-Faktor-Authentifizierung für AWS Managed Microsoft AD.

Verwalten der zertifikatbasierten Authentifizierung

CA-Zertifikat

In einer typischen Konfiguration hat das private CA-Zertifikat eine Gültigkeitsdauer von 10 Jahren. Weitere Informationen zum Ersetzen einer Zertifizierungsstelle mit einem abgelaufenen Zertifikat oder zur Neuausstellung der Zertifizierungsstelle mit einem neuen Gültigkeitszeitraum finden Sie unter Verwalten des Lebenszyklus einer privaten Zertifizierungsstelle.

Endbenutzerzertifikate

Endbenutzerzertifikate, die von AWS Private CA für die WorkSpaces zertifikatbasierte Authentifizierung ausgestellt wurden, müssen nicht verlängert oder widerrufen werden. Diese Zertifikate sind kurzlebig. WorkSpaces gibt automatisch alle 24 Stunden ein neues Zertifikat aus. Diese Endbenutzerzertifikate haben eine kürzere Gültigkeitsdauer als eine typische AWS Private CA-CRL-Distribution. Daher müssen Endbenutzerzertifikate nicht gesperrt werden und erscheinen auch nicht in einer CRL.

Prüfberichte

Sie können einen Auditbericht erstellen, der die Zertifikate auflistet, die ihre private CA ausgestellt oder widerrufen hat. Weitere Informationen finden Sie unter Verwenden von Prüfberichten mit Ihrer privaten CA.

Protokollieren und Überwachen

Sie können verwendenAWS CloudTrail, um API-Aufrufe an AWS Private CA von aufzuzeichnen WorkSpaces. Weitere Informationen finden Sie unter Verwenden von CloudTrail. Im CloudTrail Ereignisverlauf können Sie - GetCertificate und IssueCertificate-Ereignisnamen aus der WorkSpaces vom EcmAssumeRoleSession Benutzernamen erstellten acm-pca.amazonaws.com Ereignisquelle anzeigen. Diese Ereignisse werden für jede auf einem EUC-Zertifikat basierende Authentifizierungsanfrage aufgezeichnet.