Voraussetzungen - Amazon AppStream 2.0

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen

Führen Sie die folgenden Schritte aus, bevor Sie die zertifikatbasierte Authentifizierung aktivieren.

  1. Richten Sie eine mit einer Domain verbundene Flotte ein und konfigurieren Sie SAML 2.0. Stellen Sie sicher, dass Sie das Format username@domain.com userPrincipalName für das SAML_Subject NameID verwenden. Weitere Informationen finden Sie unter Schritt 5: Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort.

    Anmerkung

    Aktivieren Sie die Smartcard-Anmeldung für Active Directory nicht in Ihrem Stack, wenn Sie die zertifikatbasierte Authentifizierung verwenden möchten. Weitere Informationen finden Sie unter Smartcards.

  2. Verwenden Sie eine AppStream-2.0-Agent-Version vom 13.10.2022 oder später mit Ihrem Abbild. Weitere Informationen finden Sie unter Halten Ihres AppStream-2.0-Abbilds auf dem neuesten Stand.

  3. (Optional) Konfigurieren Sie das Attribut ObjectSid in Ihrer SAML-Zusicherung. Sie können dieses Attribut verwenden, um eine starke Zuordnung mit dem Active-Directory-Benutzer durchzuführen. Die zertifikatsbasierte Authentifizierung schlägt fehl, wenn das Attribut ObjectSid nicht mit der Active-Directory-Sicherheitskennung (SID) für den im SAML_Subject NameID angegebenen Benutzenden übereinstimmt. Weitere Informationen finden Sie unter Schritt 5: Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort.

  4. Fügen Sie die Berechtigung sts:TagSession zur Vertrauensrichtlinie für IAM-Rollen hinzu, die Sie mit Ihrer SAML-2.0-Konfiguration verwenden. Weitere Informationen finden Sie unter Übergeben von Sitzungs-Tags in AWS STS. Diese Berechtigung ist erforderlich, um die zertifikatsbasierte Authentifizierung zu verwenden. Weitere Informationen finden Sie unter Schritt 2: Erstellen einer IAM-Rolle für den SAML-2.0-Verbund.

  5. Erstellen Sie eine private Zertifizierungsstelle (CA) mithilfe von AWS Private CA, falls Sie keine mit Ihrem Active Directory konfiguriert haben. AWS Private CA ist erforderlich, um die zertifikatsbasierte Authentifizierung zu verwenden. Weitere Informationen finden Sie unter Planen der Bereitstellung der AWS Private CA. Die folgenden Einstellungen für AWS Private CA werden im Allgemeinen für die zertifikatsbasierte Authentifizierung verwendet:

    • Optionen für den CA-Typ

      • CA-Verwendungsmodus für kurzlebige Zertifikate – empfohlen, wenn Sie die CA nur zur Ausstellung von Endbenutzerzertifikaten für die zertifikatsbasierte Authentifizierung verwenden.

      • Einstufige Hierarchie mit einer Stammzertifizierungsstelle –Wählen Sie eine untergeordnete Zertifizierungsstelle aus, wenn Sie eine Integration in eine bestehende Zertifizierungsstellenhierarchie vornehmen möchten.

    • Optionen für den Schlüsselalgorithmus – RSA 2048

    • Optionen für den definierten Namen des Antragstellers – Verwenden Sie eine möglichst geeignete Kombination von Optionen, um diese Zertifizierungsstelle in Ihrem Active-Directory-Speicher für vertrauenswürdige Stammzertifizierungsstellen zu identifizieren.

    • Optionen zum Widerruf von Zertifikaten – CRL-Verteilung

      Anmerkung

      Für die zertifikatsbasierte Authentifizierung ist ein Online-CRL-Verteilungspunkt erforderlich, auf den von AppStream-2.0-Flotten-Instances und dem Domaincontroller aus zugegriffen werden kann. Dies erfordert einen nicht authentifizierten Zugriff auf den Amazon-S3-Bucket, der für CRL-Einträge für AWS Private CAs konfiguriert ist, oder eine CloudFront-Distribution, die Zugriff auf den Amazon-S3-Bucket hat, falls sie den öffentlichen Zugriff blockiert. Weitere Informationen finden Sie unter Planen einer Zertifikatsperrliste (CRL).

  6. Taggen Sie Ihre private Zertifizierungsstelle mit einem Schlüssel namens euc-private-ca, der berechtigt ist, die CA für die Verwendung mit zertifikatsbasierender Authentifizierung für AppStream 2.0 zu kennzeichnen. Dieser Schlüssel benötigt keinen Wert. Weitere Informationen finden Sie unter Verwalten von Tags für Ihre private CA. Weitere Informationen zu den von AWS verwalteten Richtlinien, die mit AppStream 2.0 verwendet werden, um Berechtigungen für Ressourcen in Ihrem AWS-Konto zu gewähren, finden Sie unter Von AWS verwaltete Richtlinien, die für den Zugriff auf AppStream-2.0-Ressourcen erforderlich sind.

  7. Bei der zertifikatsbasierten Authentifizierung werden virtuelle Smartcards für die Anmeldung verwendet. Weitere Informationen finden Sie unter Richtlinien für die Aktivierung der Smartcard-Anmeldung bei Zertifizierungsstellen von Drittanbietern. Dazu gehen Sie wie folgt vor:

    1. Konfigurieren Sie Domaincontroller mit einem Domaincontrollerzertifikat, um Smartcard-Benutzer zu authentifizieren. Wenn Sie in Ihrem Active Directory eine Unternehmenszertifizierungsstelle für Active-Directory-Zertifikatsdienste konfiguriert haben, werden Domaincontroller automatisch mit Zertifikaten registriert, um die Smartcard-Anmeldung zu ermöglichen. Wenn Sie nicht über Active-Directory-Zertifikatsdienste verfügen, finden Sie weitere Informationen unter Anforderungen für Domaincontrollerzertifikate von einer Drittanbieter-Zertifizierungsstelle. Sie können ein Domaincontrollerzertifikat mit AWS Private CA erstellen. Verwenden Sie in diesem Fall keine private Zertifizierungsstelle, die für kurzlebige Zertifikate konfiguriert ist.

      Anmerkung

      Wenn Sie AWS Managed Microsoft AD verwenden, können Sie die Zertifikatsdienste in einer Amazon-EC2-Instance konfigurieren, um die Anforderungen für Domaincontrollerzertifikate zu erfüllen. Weitere Informationen finden Sie unter Bereitstellen von Active Directory in einer neuen Amazon Virtual Private Cloud, z. B. Bereitstellungen von AWS Managed Microsoft AD, konfiguriert mit Active-Directory-Zertifikatsdiensten.

      Bei AWS Managed Microsoft AD und Active Directory Certificate Services müssen Sie auch Regeln für ausgehenden Datenverkehr von der VPC-Sicherheitsgruppe des Controllers zur Amazon-EC2-Instance erstellen, auf der Zertifikatsdienste ausgeführt werden. Sie müssen der Sicherheitsgruppe Zugriff auf den TCP-Port 135 und die Ports 49152 bis 65535 gewähren, um die automatische Zertifikatsregistrierung zu aktivieren. Darüber hinaus muss die Amazon-EC2-Instance eingehenden Zugriff auf dieselben Ports von Domain-Instances, einschließlich Domaincontrollern, zulassen. Weitere Informationen zum Auffinden der Sicherheitsgruppe für AWS Managed Microsoft AD finden Sie unter Konfigurieren Ihrer VPC-Subnetze und Sicherheitsgruppen.

    2. Exportieren Sie das private CA-Zertifikat auf der AWS-Private-CA-Konsole oder mit dem SDK oder der CLI. Weitere Informationen finden Sie unter Exportieren eines privaten Zertifikats.

    3. Veröffentlichen Sie die private CA in Active Directory. Melden Sie sich an einem Domaincontroller oder einem Computer an, der Domainmitglied ist. Kopieren Sie das private CA-Zertifikat in einen beliebigen <path>\<file> und führen Sie die folgenden Befehle als Domainadministrator aus. Alternativ können Sie auch Gruppenrichtlinien und das Microsoft PKI Health Tool (PKIView) verwenden, um die CA zu veröffentlichen. Weitere Informationen finden Sie in den Konfigurationsanweisungen.

      certutil -dspublish -f <path>\<file> RootCA
      certutil -dspublish -f <path>\<file> NTAuthCA

      Stellen Sie sicher, dass die Befehle erfolgreich ausgeführt wurden. Entfernen Sie dann die private Zertifikatsdatei. Abhängig von den Einstellungen für die Active-Directory-Replikation kann es einige Minuten dauern, bis die Zertifizierungsstelle auf Ihren Domaincontrollern und AppStream-2.0-Flotten-Instances veröffentlicht wird.

      Anmerkung

      Active Directory muss die CA automatisch an die vertrauenswürdigen Stammzertifizierungsstellen und Enterprise NTauth-Speicher für AppStream-2.0-Flotten-Instances verteilen, wenn diese der Domain beitreten.

      Anmerkung

      Active-Directory-Domain-Controller müssen sich im Kompatibilitätsmodus befinden, damit die strenge Durchsetzung von Zertifikaten die zertifikatsbasierte Authentifizierung unterstützt. Weitere Informationen finden Sie unter KB5014754 – Änderungen der zertifikatsbasierten Authentifizierung auf Windows-Domain-Controllern in der Microsoft-Supportdokumentation. Wenn Sie AWS Managed Microsoft AD verwenden, finden Sie weitere Informationen unter Konfigurieren von Verzeichnissicherheitseinstellungen.