Tutorial: Configuración de Active Directory - Amazon AppStream 2.0
Paso 1: Crear un objeto Directory ConfigPaso 2: Crear una imagen mediante un constructor de imágenes unido al dominioPaso 3: Crear una flota incorporada en el dominioPaso 4: Configurar SAML 2.0

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tutorial: Configuración de Active Directory

Para utilizar Active Directory con AppStream 2.0, primero debe registrar la configuración del directorio creando un objeto Directory Config en AppStream 2.0. Este objeto incluye la información necesaria para unir instancias de streaming a un dominio de Active Directory. Puede crear un objeto Directory Config mediante la consola de administración de AppStream 2.0, el SDK de AWS o la AWS CLI. A continuación, puede utilizar la configuración del directorio para lanzar flotas de funcionamiento continuo y bajo demanda y constructores de imágenes asociados al dominio.

nota

Solo puede asociar instancias de streaming de flotas de funcionamiento continuo y bajo demanda a un dominio de Active Directory.

Paso 1: Crear un objeto Directory Config

El objeto Directory Config que cree en AppStream 2.0 se utilizará más adelante.

Si utiliza el SDK de AWS, puede ejecutar la operación CreateDirectoryConfig. Si utiliza la AWS CLI, puede usar el comando create-directory-config.

Para crear un objeto Directory Config mediante la consola de AppStream 2.0

  1. Abra la consola de AppStream 2.0 en https://console.aws.amazon.com/appstream2.

  2. En el panel de navegación, elija Directory Configs, Create Directory Config (Crear Directory Config).

  3. En Directory Name (Nombre del directorio), proporcione el nombre de dominio completo (FQDN) del dominio de Active Directory (por ejemplo, corp.example.com). Cada región puede tener solo un valor Directory Config con un nombre de directorio específico.

  4. En Service Account Name (Nombre de la cuenta de servicio), escriba el nombre de una cuenta que pueda crear objetos de equipo y tenga permisos para unirse al dominio. Para obtener más información, consulte Concesión de permisos para crear y administrar objetos de equipo de Active Directory. El nombre de cuenta debe tener el formato DOMAIN\username.

  5. En Password (Contraseña) y Confirm Password (Confirmar contraseña), escriba la contraseña del directorio de la cuenta especificada.

  6. En Organizational Unit (OU), escriba el nombre distinguido de una OU como mínimo para los objetos del equipo de las instancias de streaming.

    nota

    El nombre de la unidad organizativa no puede contener espacios. Si especifica un nombre de unidad organizativa que contenga espacios, cuando un constructor de flotas o imágenes intente volver a asociarse al dominio de Active Directory, AppStream 2.0 no podrá ciclar los objetos del equipo correctamente y la asociación del dominio no se realizará correctamente. Para obtener información sobre cómo solucionar este problema, consulte el tema DOMAIN_JOIN_INTERNAL_SERVICE_ERROR para el mensaje “The account already exists” en Unión al dominio de Active Directory.

    Además, AppStream 2.0 no puede utilizar el contenedor predeterminado del equipo porque no es una unidad organizativa. Para obtener más información, consulte Obtención del nombre distinguido de la unidad organizativa.

  7. Para añadir más de una OU, seleccione el signo más (+) junto a Organizational Unit (OU). Para quitar una OU, elija el icono x.

  8. Elija Siguiente.

  9. Revise la información de configuración y luego seleccione Create.

Paso 2: Crear una imagen mediante un constructor de imágenes unido al dominio

A continuación, con el constructor de imágenes de AppStream 2.0, cree una nueva imagen con la capacidad de asociarse al dominio de Active Directory. Tenga en cuenta que la flota y la imagen pueden pertenecer a dominios diferentes. Una el constructor de imágenes a un dominio para habilitar la unión a dominios e instalar aplicaciones. La incorporación de la flota al dominio se tratará en la sección siguiente.

Para crear una imagen para lanzar flotas incorporadas a un dominio

  1. Siga los procedimientos indicados en Tutorial: Creación de una imagen personalizada de AppStream 2.0 con la consola de AppStream 2.0.

  2. En el paso de selección de la imagen base, use una imagen base de AWS que se haya publicado el 24 de julio de 2017 o con posterioridad. Para ver una lista actual de imágenes de AWS publicadas, consulte AppStream Notas de la versión 2.0 de la actualización de imágenes base e imágenes gestionadas.

  3. En el Paso 3: Configurar la red, seleccione una VPC y subredes que tengan conectividad de red con su entorno de Active Directory. Seleccione los grupos de seguridad configurados para permitir el acceso al directorio a través de las subredes de la VPC.

  4. También en el Step 3: Configure Network (Paso 3: Configurar la red), expanda la sección Active Directory Domain (Optional) (Dominio de Active Directory (opcional)) y seleccione los valores de Directory Name (Nombre del directorio) y Directory OU (OU del directorio) a los que debe unirse el constructor de imágenes.

  5. Revise la configuración del constructor de imágenes y seleccione Create.

  6. Espere a que el nuevo constructor de imágenes llegue al estado Running y elija Connect.

  7. Inicie sesión en el constructor de imágenes como administrador o como usuario de directorio con permisos de administrador local. Para obtener más información, consulte Concesión de derechos de administrador local para constructores de imágenes.

  8. Complete los pasos proporcionados en Tutorial: Creación de una imagen personalizada de AppStream 2.0 con la consola de AppStream 2.0 para instalar las aplicaciones y crear una nueva imagen.

Paso 3: Crear una flota incorporada en el dominio

Con la imagen privada creada en el paso anterior, cree una flota de funcionamiento continuo o bajo demanda asociada al dominio de Active Directory para las aplicaciones en streaming. Este dominio puede ser diferente del que se utilizó para que el constructor de imágenes creara la imagen.

Para crear una flota de funcionamiento continuo o bajo demanda asociada a un dominio

  1. Siga los procedimientos indicados en Creación de una flota.

  2. Para el paso de selección de la imagen, utilice la imagen que se ha creado en el paso anterior, Paso 2: Crear una imagen mediante un constructor de imágenes unido al dominio.

  3. En el Paso 4: Configurar la red, seleccione una VPC y subredes que tengan conectividad de red con su entorno de Active Directory. Seleccione los grupos de seguridad que están configurados para permitir la comunicación con su dominio.

  4. También en el Paso 4: Configurar la red, expanda la sección Active Directory Domain (Optional) (Dominio de Active Directory (opcional)) y seleccione los valores de Directory Name (Nombre del directorio) y Directory OU (OU del directorio) a los que debe unirse la flota.

  5. Revise la configuración de la flota y seleccione Create.

  6. Complete los demás pasos proporcionados en Cree una flota AppStream 2.0 y apílela para que su flota se asocie a una pila y se ejecute.

Paso 4: Configurar SAML 2.0

Los usuarios deben utilizar el entorno de identidad federada basado en SAML 2.0 para lanzar sesiones de streaming desde la flota unida al dominio.

Para configurar SAML 2.0 para un acceso de inicio de sesión único

  1. Siga los procedimientos indicados en Configuración de SAML.

  2. AppStream 2.0 requiere que el valor NameID de SAML_Subject para el usuario que inicia sesión se facilite en uno de los formatos siguientes:

    • domain\username utilizando sAMAccountName

    • username@domain.com utilizando userPrincipalName

    Si usa el formato sAMAccountName, puede especificar el elemento domain con el nombre de NetBIOS o con el nombre completo del dominio (FQDN).

  3. Proporcione acceso a sus usuarios o grupos de Active Directory para habilitar el acceso a la pila de AppStream 2.0 desde el portal de aplicaciones de su proveedor de identidades.

  4. Complete los demás pasos proporcionados en Configuración de SAML.

Para hacer que un usuario inicie sesión con SAML 2.0

  1. Inicie sesión en el catálogo de aplicaciones de su proveedor de SAML 2.0 y abra la aplicación SAML de AppStream 2.0 creada en el procedimiento anterior.

  2. Cuando aparezca el catálogo de aplicaciones de AppStream 2.0, seleccione una aplicación para lanzarla.

  3. Cuando se muestre un icono de carga, el sistema le solicitará que proporcione una contraseña. El nombre de usuario del dominio proporcionado por el proveedor de identidad SAML 2.0 se muestra encima del campo de la contraseña. Escriba la contraseña y elija log in (Iniciar sesión).

La instancia de streaming realiza el procedimiento de inicio de sesión de Windows y se abre la aplicación seleccionada.