Requisitos previos - Amazon AppStream 2.0

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos

Complete los siguientes pasos antes de utilizar la autenticación basada en certificados.

  1. Configure una flota unida a un dominio y configure SAML 2.0. Asegúrese de utilizar elusername@domain.comuserPrincipalName formato del SAML_SubjectNameID. Para obtener más información, consulte Tutorial: Configuración de Active Directory.

    nota

    El nombre deluserPrincipalName usuario debe resolverse en el dominio real del usuario. Para obtener más información, consulte Requisitos del certificado raíz de tarjeta inteligente para su uso con el inicio de sesión en un dominio. Se recomienda utilizar el UPN implícito para el usuario de Active Directory (por ejemplo,format samAccountName@domain_FQDN).

    No habilite el inicio de sesión con tarjeta inteligente para Active Directory en su pila si desea utilizar la autenticación basada en certificados. Para obtener más información, consulte Tarjetas inteligentes.

  2. Utilice la versión AppStream 2.0 del agente 10-13-2022 o posterior con la imagen. Para obtener más información, consulte Mantenga su imagen AppStream 2.0 actualizada.

  3. (Opcional) Configure elObjectSid atributo en su aserción de SAML. Puede utilizar este atributo para realizar un mapeo sólido con el usuario de Active Directory. La autenticación basada en certificados falla si elObjectSid atributo no coincide con el identificador de seguridad (SID) de Active Directory del usuario especificado en el SAML_SubjectNameID. Para obtener más información, consulte Paso 5: Cree declaraciones para la respuesta de autenticación SAML.

  4. Añada elsts:TagSession permiso a la política de confianza de roles de IAM que utiliza con la configuración de SAML 2.0. Para obtener más información, consulte Pasar etiquetas de sesión enAWS STS. Este permiso es necesario para utilizar la autenticación basada en certificados. Para obtener más información, consulte Paso 2: Crear un rol de IAM de federación de SAML 2.0.

  5. Cree una entidad certificadora (CA)AWS privada mediante una CA privada, si no tiene ninguna configurada con Active Directory. AWS Se requiere una CA privada para utilizar la autenticación basada en certificados. Para obtener más información, consulte Planning (Planear laAWS Private CA implementación). La siguiente configuración de CAAWS privada es común en muchos casos de uso de la autenticación basada en certificados:

    • Opciones de tipo CA

      • Modo de uso de CA de certificados de corta duración: recomendado si la CA solo emite certificados de usuario final para la autenticación basada en certificados.

      • Jerarquía de un solo nivel con una CA raíz: elija una CA subordinada para integrarla con una jerarquía de CA existente.

    • Opciones de algoritmos clave — RSA 2048

    • Opciones de nombres distintivos del asunto: utilice las opciones más adecuadas para identificar esta CA en su almacén de autoridades de certificación raíz de confianza de Active Directory.

    • Opciones de revocación de certificados: distribución de CRL

      nota

      La autenticación basada en certificados requiere un punto de distribución de CRL en línea al que se pueda acceder tanto desde la instancia de flota AppStream 2.0 como desde el controlador de dominio. Esto requiere un acceso no autenticado al bucket de Amazon S3 configurado para las entradas CRL de CAAWS privadas, o una CloudFront distribución con acceso al bucket de Amazon S3 si bloquea el acceso público. Para obtener más información sobre estas opciones, consulte Planning a certificate revocation list (CRL).

  6. Etiquete su CA privada con una clave autorizadaeuc-private-ca para designar la CA para su uso con la autenticación basada en certificados AppStream 2.0. Esta clave no requiere ningún valor. Para obtener más información, consulte Administración de etiquetas para su CA privada. Para obtener más información sobre las políticasAWS gestionadas que se utilizan con la AppStream versión 2.0 para conceder permisos a los recursos de suCuenta de AWS, consulteAWSSe requieren políticas gestionadas para acceder a los recursos AppStream 2.0.

  7. La autenticación basada en certificados utiliza tarjetas inteligentes virtuales para iniciar sesión. Para obtener más información, consulte las Directrices para habilitar el inicio de sesión con tarjetas inteligentes ante entidades certificadoras externas. Siga estos pasos:

    1. Configure los controladores de dominio con un certificado de controlador de dominio para autenticar a los usuarios de tarjetas inteligentes. Si tiene una CA empresarial de Active Directory Certificate Services configurada en su Active Directory, inscribe automáticamente los controladores de dominio con certificados que permiten el inicio de sesión con tarjeta inteligente. Si no tiene los servicios de certificados de Active Directory, consulte Requisitos para los certificados de controlador de dominio de una CA externa. Puede crear un certificado de controlador de dominio con una CAAWS privada. Si lo hace, no utilice una CA privada configurada para certificados de corta duración.

      nota

      Si utiliza Microsoft ADAWS administrado, puede configurar los servicios de certificados en una instancia de Amazon EC2 que cumpla con los requisitos de los certificados de controlador de dominio. Consulte Implementar Active Directory en una nueva Amazon Virtual Private Cloud para ver, por ejemplo, las implementaciones de Microsoft ADAWS administrado configuradas con los servicios de certificados de Active Directory.

      Con los servicios de certificadosAWS gestionados de Microsoft AD y Active Directory, también debe crear reglas de salida desde el grupo de seguridad de VPC del controlador hasta la instancia de Amazon EC2 que ejecuta Certificate Services. Debe proporcionar al grupo de seguridad acceso al puerto TCP 135 y a los puertos 49152 a 65535 para habilitar la inscripción automática de certificados. La instancia de Amazon EC2 también debe permitir el acceso entrante a estos mismos puertos desde las instancias de dominio, incluidos los controladores de dominio. Para obtener más información sobre cómo localizar el grupo de seguridad de Microsoft ADAWS administrado, consulte Configurar las subredes y los grupos de seguridad de VPC.

    2. En la consola de CAAWS privada, o con el SDK o la CLI, exporte el certificado de CA privada. Para obtener más información, consulte Exportación de certificados privados.

    3. Publique la CA privada en Active Directory. Inicie sesión en un controlador de dominio o en un equipo unido a un dominio. Copie el certificado de CA privado en cualquier otro<path>\<file> y ejecute los siguientes comandos como administrador de dominio. También puede usar la política de grupo y la herramienta de Health de PKI de Microsoft (PKIView) para publicar la CA. Para obtener más información, consulte Instrucciones de configuración.

      certutil -dspublish -f <path>\<file> RootCA
      certutil -dspublish -f <path>\<file> NTAuthCA

      Asegúrese de que los comandos se completen correctamente y, a continuación, elimine el archivo de certificado de CA privado. Según la configuración de replicación de Active Directory, la CA puede tardar varios minutos en publicar en los controladores de dominio y en las instancias de la flota AppStream 2.0.

      nota

      Active Directory debe distribuir la CA a las autoridades de certificación raíz de confianza y Enterprise NTAuth almacena automáticamente las instancias de la flota AppStream 2.0 cuando se unan al dominio.