Zertifikatbasierte Authentifizierung - Amazon WorkSpaces

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zertifikatbasierte Authentifizierung

Sie können die zertifikatsbasierte Authentifizierung mit verwenden, um die Benutzeraufforderung WorkSpaces zur Eingabe des Active Directory-Domänenkennworts zu entfernen. Durch die Verwendung der zertifikatbasierten Authentifizierung mit Ihrer Active Directory-Domain können Sie Folgendes erreichen:

  • Verlassen Sie sich auf Ihren SAML 2.0-Identitätsanbieter, um den Benutzer zu authentifizieren und SAML Assertions bereitzustellen, die dem Benutzer in Active Directory entsprechen.

  • Ermöglichen Sie eine Single-Sign-On-Anmeldung mit weniger Benutzeraufforderungen.

  • Aktivieren Sie passwortlose Authentifizierungsabläufe mithilfe Ihres SAML 2.0-Identitätsanbieters.

Bei der zertifikatsbasierten Authentifizierung werden AWS Private CA Ressourcen in Ihrem Konto verwendet. AWS AWS Private CA ermöglicht die Erstellung von privaten Zertifizierungsstellenhierarchien (CA), einschließlich Stamm- und untergeordneter Zertifizierungsstellen. CAs Mit AWS Private CA können Sie Ihre eigene CA-Hierarchie erstellen und damit Zertifikate zur Authentifizierung interner Benutzer ausstellen. Weitere Informationen finden Sie im AWS Private Certificate Authority -Benutzerhandbuch.

AWS Private CA Bei Verwendung der zertifikatsbasierten Authentifizierung WorkSpaces werden bei der Sitzungsauthentifizierung automatisch Zertifikate für Ihre Benutzer angefordert. Die Benutzer werden mit einer virtuellen Smartcard, die mit den Zertifikaten bereitgestellt wird, bei Active Directory authentifiziert.

Die zertifikatsbasierte Authentifizierung wird mit Windows WorkSpaces on WorkSpaces Streaming Protocol (WSP) -Paketen unterstützt, die die neuesten WorkSpaces Web Access-, Windows- und macOS-Clientanwendungen verwenden. Öffnen Sie Amazon WorkSpaces Client-Downloads, um die neuesten Versionen zu finden:

  • Windows-Client, Version 5.5.0 oder höher

  • macOs-Client, Version 5.6.0 oder höher

Weitere Informationen zur Konfiguration der zertifikatsbasierten Authentifizierung bei Amazon WorkSpaces finden Sie unter So konfigurieren Sie die zertifikatsbasierte Authentifizierung für Amazon WorkSpaces und Überlegungen zum Design in stark regulierten Umgebungen für die zertifikatsbasierte Authentifizierung mit 2.0 und. AppStream WorkSpaces

Voraussetzungen

Führen Sie die folgenden Schritte aus, bevor Sie die zertifikatbasierte Authentifizierung aktivieren.

  1. Konfigurieren Sie Ihr WorkSpaces Verzeichnis mit SAML 2.0-Integration für die Verwendung der zertifikatsbasierten Authentifizierung. Weitere Informationen finden Sie unter WorkSpacesIntegration mit SAML 2.0.

  2. Konfigurieren Sie das userPrincipalName Attribut in Ihrer SAML Assertion. Weitere Informationen finden Sie unter Assertionen für die SAML Authentifizierungsantwort erstellen.

  3. Konfigurieren Sie das ObjectSid Attribut in Ihrer SAML Assertion. Dies ist optional, um eine starke Zuordnung zu den Active-Directory-Benutzern durchzuführen. Die zertifikatsbasierte Authentifizierung schlägt fehl, wenn das Attribut nicht mit der Active Directory-Sicherheitskennung (SID) für den im _Subject angegebenen Benutzer übereinstimmt. SAML NameID Weitere Informationen finden Sie unter Assertionen für die Authentifizierungsantwort erstellen. SAML

  4. Fügen Sie die STS: TagSession -Berechtigung zu Ihrer IAM Rollenvertrauensrichtlinie hinzu, die in Ihrer SAML 2.0-Konfiguration verwendet wurde, falls sie noch nicht vorhanden ist. Diese Berechtigung ist erforderlich, um die zertifikatbasierte Authentifizierung zu verwenden. Weitere Informationen finden Sie unter Erstellen einer SAML IAM 2.0-Verbundrolle.

  5. Erstellen Sie eine private Zertifizierungsstelle (CA), AWS Private CA wenn Sie keine mit Ihrem Active Directory konfiguriert haben. AWS Private CA ist erforderlich, um die zertifikatsbasierte Authentifizierung zu verwenden. Weitere Informationen finden Sie unter Planung Ihrer AWS Private CA Bereitstellung. Folgen Sie den Anweisungen zur Konfiguration einer Zertifizierungsstelle für die zertifikatsbasierte Authentifizierung. Die folgenden AWS Private CA Einstellungen werden am häufigsten für Anwendungsfälle der zertifikatsbasierten Authentifizierung verwendet:

    1. Optionen für den CA-Typ:

      1. CA-Verwendungsmodus für kurzlebige Zertifikate (empfohlen, wenn Sie die CA nur zur Ausstellung von Endbenutzerzertifikaten für die zertifikatbasierte Authentifizierung verwenden)

      2. Einstufige Hierarchie mit einer Stammzertifizierungsstelle (wählen Sie alternativ eine untergeordnete Zertifizierungsstelle aus, wenn Sie eine Integration in eine bestehende Zertifizierungsstellenhierarchie vornehmen möchten)

    2. Wichtige Algorithmusoptionen: 2048 RSA

    3. Optionen für den definierten Namen des Antragstellers: Verwenden Sie eine beliebige Kombination von Optionen, um die Zertifizierungsstelle in Ihrem Active-Directory-Speicher für vertrauenswürdige Stammzertifizierungsstellen zu identifizieren.

    4. Optionen für den Widerruf von Zertifikaten: Verteilung CRL

      Anmerkung

      Für die zertifikatsbasierte Authentifizierung ist ein CRL Online-Verteilungspunkt erforderlich, auf den von Desktops und dem Domänencontroller aus zugegriffen werden kann. Dies erfordert einen nicht authentifizierten Zugriff auf den Amazon S3 S3-Bucket, der für private CRL CA-Einträge konfiguriert ist, oder eine CloudFront Distribution, die Zugriff auf den S3-Bucket hat, wenn sie den öffentlichen Zugriff blockiert. Weitere Informationen zu diesen Optionen finden Sie unter Planung einer Zertifikatssperrliste () CRL.

  6. Kennzeichnen Sie Ihre private Zertifizierungsstelle mit einem Schlüssel, mit dem euc-private-ca die Zertifizierungsstelle für die Verwendung mit EUC zertifikatsbasierter Authentifizierung bestimmt werden kann. Für den Schlüssel ist kein Wert erforderlich. Weitere Informationen finden Sie unter Verwalten von Tags für Ihre private CA.

  7. Bei der zertifikatbasierten Authentifizierung werden virtuelle Smartcards für die Anmeldung verwendet. Folgen Sie den Richtlinien für die Aktivierung der Smartcard-Anmeldung bei Zertifizierungsstellen von Drittanbietern in Active Directory und führen Sie die folgenden Schritte durch:

    • Konfigurieren Sie Domain-Controller mit einem Domain-Controllerzertifikat zur Authentifizierung von Smartcard-Benutzern. Wenn Sie in Ihrem Active Directory eine Unternehmenszertifizierungsstelle für Active-Directory-Zertifikatsdienste konfiguriert haben, werden Domain-Controller automatisch mit Zertifikaten registriert, um die Smartcard-Anmeldung zu ermöglichen. Wenn Sie nicht über Active-Directory-Zertifikatsdienste verfügen, finden Sie weitere Informationen unter Anforderungen für Domain-Controllerzertifikate von einer Drittanbieter-Zertifizierungsstelle. Sie können ein Domain-Controllerzertifikat mit AWS Private CA erstellen. Verwenden Sie in diesem Fall keine private Zertifizierungsstelle, die für kurzlebige Zertifikate konfiguriert ist.

      Anmerkung

      Wenn Sie die Zertifikatsdienste verwenden AWS Managed Microsoft AD, können Sie die Zertifikatsdienste auf einer EC2 Instanz konfigurieren, um die Anforderungen an Domänencontroller-Zertifikate zu erfüllen. Sehen Sie sich AWS Launch Wizardbeispielsweise Bereitstellungen von mit Active Directory AWS Managed Microsoft AD konfigurierten Zertifikatsdiensten an. AWS Eine private Zertifizierungsstelle kann als untergeordnete Zertifizierungsstelle der Active Directory-Zertifikatsdienste-Zertifizierungsstelle konfiguriert werden oder sie kann bei der Verwendung als eigene Stammzertifizierungsstelle konfiguriert werden. AWS Managed Microsoft AD

      Eine zusätzliche Konfigurationsaufgabe mit AWS Managed Microsoft AD den Active Directory-Zertifikatsdiensten besteht darin, Regeln für ausgehenden Datenverkehr von der VPC Sicherheitsgruppe des Controllers zur EC2 Instanz zu erstellen, auf der die Zertifikatsdienste ausgeführt werden, sodass die TCP Ports 135 und 49152-65535 die automatische Registrierung von Zertifikaten ermöglichen. Darüber hinaus muss die ausgeführte EC2 Instanz eingehenden Zugriff auf dieselben Ports von Domäneninstanzen, einschließlich Domänencontrollern, zulassen. Weitere Informationen zum Auffinden der Sicherheitsgruppe AWS Managed Microsoft AD finden Sie unter Konfigurieren Ihrer VPC Subnetze und Sicherheitsgruppen.

    • Wählen Sie auf der AWS Private CA Konsole oder mithilfe von SDK oder CLI Ihre CA aus und exportieren Sie unter dem CA-Zertifikat das private CA-Zertifikat. Weitere Informationen finden Sie unter Exportieren eines privaten Zertifikats.

    • Veröffentlichen Sie die CA in Active Directory. Melden Sie sich an einem Domain-Controller oder einem Computer an, der Domain-Mitglied ist. Kopieren Sie das private CA-Zertifikat in einen beliebigen <path>\<file> und führen Sie die folgenden Befehle als Domain-Administrator aus. Alternativ können Sie Gruppenrichtlinien und das Microsoft PKI Health Tool (PKIView) verwenden, um die CA zu veröffentlichen. Weitere Informationen finden Sie in den Konfigurationsanweisungen.

      certutil -dspublish -f <path>\<file> RootCA certutil -dspublish -f <path>\<file> NTAuthCA

      Stellen Sie sicher, dass die Befehle erfolgreich ausgeführt wurden. Entfernen Sie dann die private Zertifikatsdatei. Abhängig von den Einstellungen für die Active-Directory-Replikation kann es einige Minuten dauern, bis die Zertifizierungsstelle auf Ihren Domain-Controllern und Desktop-Instances veröffentlicht wird.

      Anmerkung
      • Es ist erforderlich, dass Active Directory die Zertifizierungsstelle automatisch an die vertrauenswürdigen Stammzertifizierungsstellen und NTAuth Unternehmensspeicher für WorkSpaces Desktops verteilt, wenn diese der Domäne hinzugefügt werden.

Aktivieren der zertifikatbasierten Authentifizierung

Führen Sie die folgenden Schritte aus, bevor Sie die zertifikatbasierte Authentifizierung aktivieren.

  1. Öffnen Sie die WorkSpaces Konsole unterhttps://console.aws.amazon.com/workspaces.

  2. Wählen Sie im Navigationsbereich Verzeichnisse aus.

  3. Wählen Sie die Verzeichnis-ID für Ihre WorkSpaces.

  4. Klicken Sie unter Authentifizierung auf Bearbeiten.

  5. Klicken Sie auf Zertifikatbasierte Authentifizierung bearbeiten.

  6. Aktivieren Sie die Option Zertifikatbasierten Authentifizierung aktivieren.

  7. Vergewissern Sie sich, dass Ihre private CA in der Liste aufgeführt ARN ist. Die private CA sollte sich im selben AWS Konto befinden und muss mit einem Schlüssel versehen sein AWS-Region, der berechtigt ist, in der Liste angezeigt euc-private-ca zu werden.

  8. Klicken Sie auf Save Changes (Änderungen speichern). Die zertifikatbasierte Authentifizierung ist nun aktiviert.

  9. Starten Sie Ihre Windows-Pakete mit WorkSpaces dem WorkSpaces Streaming-Protokoll (WSP) neu, damit die Änderungen wirksam werden. Weitere Informationen finden Sie unter Reboot a. WorkSpace

  10. Wenn sich Benutzer nach dem Neustart über SAML 2.0 mit einem unterstützten Client authentifizieren, werden sie nicht mehr zur Eingabe des Domänenkennworts aufgefordert.

Anmerkung

Wenn die zertifikatsbasierte Authentifizierung für die Anmeldung aktiviert ist WorkSpaces, werden Benutzer nicht zur Multi-Faktor-Authentifizierung (MFA) aufgefordert, selbst wenn sie im Verzeichnis aktiviert ist. Wenn Sie die zertifikatsbasierte Authentifizierung verwenden, MFA kann sie über Ihren 2.0-Identitätsanbieter aktiviert werden. SAML Weitere Informationen dazu finden Sie unter Multi-Faktor-Authentifizierung (AD Connector) oder Multi-Faktor-Authentifizierung aktivieren für. AWS Directory Service MFA AWS Managed Microsoft AD

Verwalten der zertifikatbasierten Authentifizierung

CA-Zertifikat

In einer typischen Konfiguration hat das private CA-Zertifikat eine Gültigkeitsdauer von 10 Jahren. Weitere Informationen zum Ersetzen einer Zertifizierungsstelle mit einem abgelaufenen Zertifikat oder zur Neuausstellung der Zertifizierungsstelle mit einem neuen Gültigkeitszeitraum finden Sie unter Verwalten des Lebenszyklus einer privaten Zertifizierungsstelle.

Endbenutzerzertifikate

Endbenutzerzertifikate, die von AWS Private CA für die WorkSpaces zertifikatsbasierte Authentifizierung ausgestellt wurden, müssen nicht erneuert oder gesperrt werden. Diese Zertifikate sind kurzlebig. WorkSpacesstellt automatisch alle 24 Stunden ein neues Zertifikat aus. Diese Endbenutzerzertifikate haben eine kürzere Gültigkeitsdauer als eine typische AWS Private CA CRL Distribution. Daher müssen Endbenutzerzertifikate nicht gesperrt werden und erscheinen auch nicht in einerCRL.

Prüfberichte

Sie können einen Auditbericht erstellen, der die Zertifikate auflistet, die ihre private CA ausgestellt oder widerrufen hat. Weitere Informationen finden Sie unter Verwenden von Prüfberichten mit Ihrer privaten CA.

Protokollieren und Überwachen

Sie können AWS CloudTraildamit API Anrufe AWS Private CA von WorkSpaces aufzeichnen. Weitere Informationen finden Sie unter Verwenden CloudTrail. Im CloudTrailEreignisverlauf können Sie die Namen GetCertificate und Namen der IssueCertificate Ereignisse aus der acm-pca.amazonaws.com Ereignisquelle einsehen, die anhand des WorkSpaces EcmAssumeRoleSession Benutzernamens erstellt wurden. Diese Ereignisse werden für jede EUC zertifikatsbasierte Authentifizierungsanfrage aufgezeichnet.

Kontenübergreifendes Teilen aktivieren PCA

Wenn Sie die kontoübergreifende Nutzung von privaten Zertifizierungsstellen verwenden, können Sie anderen Konten Berechtigungen zur Nutzung einer zentralen Zertifizierungsstelle gewähren, sodass nicht mehr für jedes Konto eine private Zertifizierungsstelle erforderlich ist. Die Zertifizierungsstelle kann Zertifikate generieren und ausstellen, indem sie AWS Resource Access Manager zur Verwaltung von Berechtigungen verwendet. Die kontoübergreifende gemeinsame Nutzung von privaten Zertifizierungsstellen kann mit WorkSpaces zertifikatsbasierter Authentifizierung (CBA) innerhalb derselben Region verwendet werden. AWS

Um eine gemeinsam genutzte private CA-Ressource zu verwenden WorkSpaces CBA
  1. Konfigurieren Sie die private Zertifizierungsstelle für CBA in einem zentralen AWS Konto. Weitere Informationen finden Sie unter Zertifikatbasierte Authentifizierung.

  2. Teilen Sie die private Zertifizierungsstelle mit den AWS Ressourcenkonten, auf die WorkSpaces Ressourcen zugreifen, CBA indem Sie die Schritte unter AWS RAMSo verwenden Sie Ihre ACM private CA kontoübergreifend gemeinsam nutzen. Sie müssen Schritt 3 nicht abschließen, um ein Zertifikat zu erstellen. Sie können die private CA entweder mit einzelnen AWS Konten oder über AWS Organizations teilen. Um Inhalte für einzelne Konten freizugeben, müssen Sie die gemeinsam genutzte private Zertifizierungsstelle in Ihrem Ressourcenkonto akzeptieren, indem Sie die Resource Access Manager (RAM) -Konsole verwenden oderAPIs. Stellen Sie bei der Konfiguration der Freigabe sicher, dass die RAM Ressourcenfreigabe für die private Zertifizierungsstelle im Ressourcenkonto die Vorlage für AWS RAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority verwaltete Berechtigungen verwendet. Diese Vorlage entspricht der Vorlage, die von der PCA WorkSpaces Servicerolle bei der Ausstellung von CBA Zertifikaten verwendet wird.

  3. Nach erfolgreicher Freigabe sollten Sie in der Lage sein, die gemeinsam genutzte private Zertifizierungsstelle mithilfe der privaten CA-Konsole im Ressourcenkonto anzuzeigen.

  4. Verwenden Sie das API oderCLI, um die private Zertifizierungsstelle CBA in ARN Ihren WorkSpaces Verzeichniseigenschaften zuzuordnen. Derzeit unterstützt die WorkSpaces Konsole die Auswahl einer gemeinsam genutzten privaten Zertifizierungsstelle nichtARNs. CLIBeispielbefehle:

    aws workspaces modify-certificate-based-auth-properties —resource-id <value> —certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>