Zertifikatbasierte Authentifizierung

Sie können die zertifikatsbasierte Authentifizierung mit verwenden, um die Benutzeraufforderung WorkSpaces zur Eingabe des Active Directory-Domänenkennworts zu entfernen. Durch die Verwendung der zertifikatbasierten Authentifizierung mit Ihrer Active Directory-Domain können Sie Folgendes erreichen:

• Sie können den SAML-2.0-Identitätsanbieter zur Authentifizierung der Benutzer und Bereitstellung der SAML-Zusicherungen für die Benutzer in Active Directory verwenden.

• Ermöglichen Sie eine Single-Sign-On-Anmeldung mit weniger Benutzeraufforderungen.

• Aktivieren Sie passwortlose Authentifizierungsabläufe mit Ihrem SAML-2.0-Identitätsanbieter.

Bei der zertifikatsbasierten Authentifizierung werden AWS Private CA Ressourcen in Ihrem Konto verwendet. AWS AWS Private CA ermöglicht die Erstellung von Hierarchien privater Zertifizierungsstellen (CA), einschließlich Stamm- und untergeordneter Zertifizierungsstellen. Mit AWS Private CA können Sie Ihre eigene CA-Hierarchie erstellen und damit Zertifikate zur Authentifizierung interner Benutzer ausstellen. Weitere Informationen finden Sie im AWS Private Certificate Authority -Benutzerhandbuch.

AWS Private CA Bei Verwendung der zertifikatsbasierten Authentifizierung WorkSpaces werden bei der Sitzungsauthentifizierung automatisch Zertifikate für Ihre Benutzer angefordert. Die Benutzer werden mit einer virtuellen Smartcard, die mit den Zertifikaten bereitgestellt wird, bei Active Directory authentifiziert.

Die zertifikatsbasierte Authentifizierung wird mit Windows WorkSpaces on WorkSpaces Streaming Protocol (WSP) -Paketen unterstützt, die die neuesten WorkSpaces Web Access-, Windows- und macOS-Clientanwendungen verwenden. Öffnen Sie Amazon WorkSpaces Client-Downloads, um die neuesten Versionen zu finden:

• Windows-Client, Version 5.5.0 oder höher

• macOs-Client, Version 5.6.0 oder höher

Weitere Informationen zur Konfiguration der zertifikatsbasierten Authentifizierung bei Amazon WorkSpaces finden Sie unter So konfigurieren Sie die zertifikatsbasierte Authentifizierung für Amazon WorkSpaces und Überlegungen zum Design in stark regulierten Umgebungen für die zertifikatsbasierte Authentifizierung mit 2.0 und. AppStream WorkSpaces

Voraussetzungen

Führen Sie die folgenden Schritte aus, bevor Sie die zertifikatbasierte Authentifizierung aktivieren.

1. Konfigurieren Sie Ihr WorkSpaces Verzeichnis mit der SAML 2.0-Integration, um die zertifikatsbasierte Authentifizierung zu verwenden. Weitere Informationen finden Sie unter WorkSpacesIntegration mit SAML 2.0.

2. Konfigurieren Sie das userPrincipalName Attribut in Ihrer SAML-Zusicherung. Weitere Informationen finden Sie unter Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort.

3. Konfigurieren Sie das ObjectSid Attribut in Ihrer SAML-Zusicherung. Dies ist optional, um eine starke Zuordnung zu den Active-Directory-Benutzern durchzuführen. Die zertifikatbasierte Authentifizierung schlägt fehl, wenn das Attribut nicht mit der Active-Directory-Sicherheitskennung (SID) für den im SAML_Subject NameID angegebenen Benutzern übereinstimmt. Weitere Informationen finden Sie unter Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort.

4. Fügen Sie die sts: TagSession -Berechtigung zu Ihrer IAM-Rollenvertrauensrichtlinie hinzu, die mit Ihrer SAML 2.0-Konfiguration verwendet wird, falls sie noch nicht vorhanden ist. Diese Berechtigung ist erforderlich, um die zertifikatbasierte Authentifizierung zu verwenden. Weitere Informationen finden Sie unter Erstellen einer IAM-Rolle für den SAML-2.0-Verbund.

5. Erstellen Sie eine private Zertifizierungsstelle (CA), AWS Private CA falls Sie noch keine mit Ihrem Active Directory konfiguriert haben. AWS Private CA ist erforderlich, um die zertifikatsbasierte Authentifizierung zu verwenden. Weitere Informationen finden Sie unter Planung Ihrer AWS Private CA Bereitstellung. Folgen Sie den Anweisungen zur Konfiguration einer Zertifizierungsstelle für die zertifikatsbasierte Authentifizierung. Die folgenden AWS Private CA Einstellungen werden am häufigsten für Anwendungsfälle der zertifikatsbasierten Authentifizierung verwendet:

   1. Optionen für den CA-Typ:

      1. CA-Verwendungsmodus für kurzlebige Zertifikate (empfohlen, wenn Sie die CA nur zur Ausstellung von Endbenutzerzertifikaten für die zertifikatbasierte Authentifizierung verwenden)

      2. Einstufige Hierarchie mit einer Stammzertifizierungsstelle (wählen Sie alternativ eine untergeordnete Zertifizierungsstelle aus, wenn Sie eine Integration in eine bestehende Zertifizierungsstellenhierarchie vornehmen möchten)

   2. Optionen für den Schlüsselalgorithmus: RSA 2048

   3. Optionen für den definierten Namen des Antragstellers: Verwenden Sie eine beliebige Kombination von Optionen, um die Zertifizierungsstelle in Ihrem Active-Directory-Speicher für vertrauenswürdige Stammzertifizierungsstellen zu identifizieren.

   4. Optionen zum Widerruf von Zertifikaten: CRL-Verteilung

      Anmerkung

      Für die zertifikatbasierte Authentifizierung ist ein Online-CRL-Verteilungspunkt erforderlich, auf den von Desktops und dem Domain-Controller aus zugegriffen werden kann. Dies erfordert einen nicht authentifizierten Zugriff auf den Amazon S3 S3-Bucket, der für private CA-CRL-Einträge konfiguriert ist, oder eine CloudFront Distribution, die Zugriff auf den S3-Bucket hat, wenn sie den öffentlichen Zugriff blockiert. Weitere Informationen finden Sie unter Planen einer Zertifikatsperrliste (CRL).

6. Taggen Sie Ihre private Zertifizierungsstelle mit einem Schlüssel, der berechtigt ist, die CA für die Verwendung mit euc-private-ca auf EUC-Zertifikaten basierenden Authentifizierung zu kennzeichnen. Für den Schlüssel ist kein Wert erforderlich. Weitere Informationen finden Sie unter Verwalten von Tags für Ihre private CA.

7. Bei der zertifikatbasierten Authentifizierung werden virtuelle Smartcards für die Anmeldung verwendet. Folgen Sie den Richtlinien für die Aktivierung der Smartcard-Anmeldung bei Zertifizierungsstellen von Drittanbietern in Active Directory und führen Sie die folgenden Schritte durch:

   • Konfigurieren Sie Domain-Controller mit einem Domain-Controllerzertifikat zur Authentifizierung von Smartcard-Benutzern. Wenn Sie in Ihrem Active Directory eine Unternehmenszertifizierungsstelle für Active-Directory-Zertifikatsdienste konfiguriert haben, werden Domain-Controller automatisch mit Zertifikaten registriert, um die Smartcard-Anmeldung zu ermöglichen. Wenn Sie nicht über Active-Directory-Zertifikatsdienste verfügen, finden Sie weitere Informationen unter Anforderungen für Domain-Controllerzertifikate von einer Drittanbieter-Zertifizierungsstelle. Sie können ein Domain-Controllerzertifikat mit AWS Private CA erstellen. Verwenden Sie in diesem Fall keine private Zertifizierungsstelle, die für kurzlebige Zertifikate konfiguriert ist.

     Anmerkung

     Wenn Sie dies verwenden AWS Managed Microsoft AD, können Sie Certificate Services auf einer EC2-Instance konfigurieren, um die Anforderungen für Domain-Controller-Zertifikate zu erfüllen. Sehen Sie sich AWS Launch Wizardbeispielsweise Bereitstellungen von mit Active Directory AWS Managed Microsoft AD konfigurierten Zertifikatsdiensten an. AWS Eine private Zertifizierungsstelle kann als untergeordnete Zertifizierungsstelle der Active Directory-Zertifikatsdienste-Zertifizierungsstelle konfiguriert werden oder sie kann bei der Verwendung als eigene Stammzertifizierungsstelle konfiguriert werden. AWS Managed Microsoft AD

     Eine zusätzliche Konfigurationsaufgabe mit AWS Managed Microsoft AD Active Directory-Zertifikatsdiensten besteht darin, ausgehende Regeln von der VPC-Sicherheitsgruppe des Controllers zur EC2-Instance zu erstellen, auf der die Zertifikatsdienste ausgeführt werden, sodass die TCP-Ports 135 und 49152-65535 die automatische Registrierung von Zertifikaten ermöglichen. Darüber hinaus muss die ausgeführte EC2-Instance eingehenden Zugriff auf dieselben Ports von Domain-Instances, einschließlich Domain-Controllern, zulassen. Weitere Informationen zum Auffinden der Sicherheitsgruppe AWS Managed Microsoft AD finden Sie unter Konfigurieren Ihrer VPC-Subnetze und Sicherheitsgruppen.

   • Wählen Sie auf der AWS Private CA Konsole oder mithilfe des SDK oder der CLI Ihre CA aus und exportieren Sie unter dem CA-Zertifikat das private CA-Zertifikat. Weitere Informationen finden Sie unter Exportieren eines privaten Zertifikats.

   • Veröffentlichen Sie die CA in Active Directory. Melden Sie sich an einem Domain-Controller oder einem Computer an, der Domain-Mitglied ist. Kopieren Sie das private CA-Zertifikat in einen beliebigen <path>\<file> und führen Sie die folgenden Befehle als Domain-Administrator aus. Alternativ können Sie Gruppenrichtlinien und das Microsoft PKI Health Tool (PkIView) verwenden, um die CA zu veröffentlichen. Weitere Informationen finden Sie in den Konfigurationsanweisungen.

     certutil -dspublish -f <path>\<file> RootCA
     certutil -dspublish -f  <path>\<file> NTAuthCA

     Stellen Sie sicher, dass die Befehle erfolgreich ausgeführt wurden. Entfernen Sie dann die private Zertifikatsdatei. Abhängig von den Einstellungen für die Active-Directory-Replikation kann es einige Minuten dauern, bis die Zertifizierungsstelle auf Ihren Domain-Controllern und Desktop-Instances veröffentlicht wird.

     Anmerkung

     • Es ist erforderlich, dass Active Directory die CA automatisch an die vertrauenswürdigen Stammzertifizierungsstellen und Enterprise NTauth-Speicher für WorkSpaces Desktops verteilt, wenn diese der Domäne hinzugefügt werden.

     • Active-Directory-Domain-Controller müssen sich im Kompatibilitätsmodus befinden, damit die strenge Durchsetzung von Zertifikaten die zertifikatsbasierte Authentifizierung unterstützt. Weitere Informationen finden Sie unter KB5014754 — Änderungen der zertifikatsbasierten Authentifizierung auf Windows-Domänencontrollern in der Microsoft-Supportdokumentation. Wenn Sie AWS Managed Microsoft AD verwenden, finden Sie weitere Informationen unter Konfigurieren von Verzeichnissicherheitseinstellungen.

Aktivieren der zertifikatbasierten Authentifizierung

Führen Sie die folgenden Schritte aus, bevor Sie die zertifikatbasierte Authentifizierung aktivieren.

1. Öffnen Sie die WorkSpaces Konsole unterhttps://console.aws.amazon.com/workspaces.

2. Wählen Sie im Navigationsbereich Verzeichnisse aus.

3. Wählen Sie die Verzeichnis-ID für Ihre WorkSpaces.

4. Klicken Sie unter Authentifizierung auf Bearbeiten.

5. Klicken Sie auf Zertifikatbasierte Authentifizierung bearbeiten.

6. Aktivieren Sie die Option Zertifikatbasierten Authentifizierung aktivieren.

7. Vergewissern Sie sich, dass Ihr privater CA-ARN in der Liste zugeordnet ist. Die private CA sollte sich im selben AWS Konto befinden und mit einem Schlüssel versehen sein AWS-Region, der berechtigt ist, in der Liste angezeigt euc-private-ca zu werden.

8. Klicken Sie auf Save Changes (Änderungen speichern). Die zertifikatbasierte Authentifizierung ist nun aktiviert.

9. Starten Sie Ihre Windows WorkSpaces on WorkSpaces Streaming Protocol (WSP) -Pakete neu, damit die Änderungen wirksam werden. Weitere Informationen finden Sie unter Reboot a. WorkSpace

10. Wenn sich Benutzer nach dem Neustart über SAML 2.0 mit einem unterstützten Client authentifizieren, werden sie nicht mehr zur Eingabe des Domain-Passworts aufgefordert.

Anmerkung

Wenn die zertifikatsbasierte Authentifizierung für die Anmeldung aktiviert ist WorkSpaces, werden Benutzer nicht zur Multi-Faktor-Authentifizierung (MFA) aufgefordert, selbst wenn sie im Verzeichnis aktiviert ist. Wenn Sie die zertifikatbasierte Authentifizierung verwenden, kann MFA über Ihren SAML-2.0-Identitätsanbieter aktiviert werden. Weitere Informationen zu AWS Directory Service MFA finden Sie unter Multi-Faktor-Authentifizierung (AD Connector) oder Multi-Faktor-Authentifizierung aktivieren für. AWS Managed Microsoft AD

Verwalten der zertifikatbasierten Authentifizierung

CA-Zertifikat

In einer typischen Konfiguration hat das private CA-Zertifikat eine Gültigkeitsdauer von 10 Jahren. Weitere Informationen zum Ersetzen einer Zertifizierungsstelle mit einem abgelaufenen Zertifikat oder zur Neuausstellung der Zertifizierungsstelle mit einem neuen Gültigkeitszeitraum finden Sie unter Verwalten des Lebenszyklus einer privaten Zertifizierungsstelle.

Endbenutzerzertifikate

Endbenutzerzertifikate, die von AWS Private CA für die WorkSpaces zertifikatsbasierte Authentifizierung ausgestellt wurden, müssen nicht erneuert oder gesperrt werden. Diese Zertifikate sind kurzlebig. WorkSpacesstellt automatisch alle 24 Stunden ein neues Zertifikat aus. Diese Endbenutzerzertifikate haben eine kürzere Gültigkeitsdauer als eine typische AWS Private CA CRL-Distribution. Daher müssen Endbenutzerzertifikate nicht gesperrt werden und erscheinen auch nicht in einer CRL.

Prüfberichte

Sie können einen Auditbericht erstellen, der die Zertifikate auflistet, die ihre private CA ausgestellt oder widerrufen hat. Weitere Informationen finden Sie unter Verwenden von Prüfberichten mit Ihrer privaten CA.

Protokollieren und Überwachen

Sie können verwenden AWS CloudTrail, um API-Aufrufe AWS Private CA von WorkSpaces aufzuzeichnen. Weitere Informationen finden Sie unter Verwenden CloudTrail. Im CloudTrailEreignisverlauf können Sie die Namen GetCertificate und Namen der IssueCertificate Ereignisse aus der acm-pca.amazonaws.com Ereignisquelle einsehen, die anhand des WorkSpaces EcmAssumeRoleSession Benutzernamens erstellt wurden. Diese Ereignisse werden für jede auf einem EUC-Zertifikat basierende Authentifizierungsanfrage aufgezeichnet.

Aktivieren Sie kontoübergreifendes PCA-Sharing

Wenn Sie die kontoübergreifende Nutzung von privaten Zertifizierungsstellen verwenden, können Sie anderen Konten Berechtigungen zur Nutzung einer zentralen Zertifizierungsstelle gewähren, sodass nicht mehr für jedes Konto eine private Zertifizierungsstelle erforderlich ist. Die Zertifizierungsstelle kann Zertifikate generieren und ausstellen, indem sie AWS Resource Access Manager zur Verwaltung von Berechtigungen verwendet. Die kontoübergreifende gemeinsame Nutzung von privaten Zertifizierungsstellen kann zusammen mit der WorkSpaces zertifikatsbasierten Authentifizierung (CBA) innerhalb derselben Region verwendet werden. AWS

Um eine gemeinsam genutzte private CA-Ressource mit CBA zu verwenden WorkSpaces

1. Konfigurieren Sie die private Zertifizierungsstelle für CBA in einem zentralen AWS Konto. Weitere Informationen finden Sie unter Zertifikatbasierte Authentifizierung.

2. Teilen Sie die private CA mit den AWS Ressourcenkonten, bei denen WorkSpaces Ressourcen CBA verwenden, indem Sie die Schritte unter So verwenden Sie AWS RAM für die kontoübergreifende gemeinsame Nutzung Ihrer ACM Private CA befolgen. Sie müssen Schritt 3 nicht abschließen, um ein Zertifikat zu erstellen. Sie können die private CA entweder mit einzelnen AWS Konten oder über AWS Organizations teilen. Um Inhalte für einzelne Konten freizugeben, müssen Sie die gemeinsam genutzte private Zertifizierungsstelle in Ihrem Ressourcenkonto akzeptieren, indem Sie die Resource Access Manager (RAM) -Konsole oder APIs verwenden. Stellen Sie bei der Konfiguration der Freigabe sicher, dass die RAM-Ressourcenfreigabe für die private CA im Ressourcenkonto die Vorlage für AWS RAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority verwaltete Berechtigungen verwendet. Diese Vorlage entspricht der PCA-Vorlage, die von der WorkSpaces Servicerolle bei der Ausstellung von CBA-Zertifikaten verwendet wird.

3. Nach erfolgreicher Freigabe sollten Sie in der Lage sein, die gemeinsam genutzte private Zertifizierungsstelle mithilfe der privaten CA-Konsole im Ressourcenkonto einzusehen.

4. Verwenden Sie die API oder CLI, um den Private CA ARN mit CBA in Ihren WorkSpaces Verzeichniseigenschaften zu verknüpfen. Derzeit unterstützt die WorkSpaces Konsole die Auswahl gemeinsam genutzter Private CA-ARNs nicht. Beispiele für CLI-Befehle:

   aws workspaces modify-certificate-based-auth-properties —resource-id <value> —certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>