Autenticación basada en certificados - Amazon WorkSpaces
Requisitos previosHabilitación de la autenticación basada en certificadosAdministración de la autenticación basada en certificadosHabilite el uso compartido de PCA entre cuentas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autenticación basada en certificados

Puede utilizar la autenticación basada en certificados WorkSpaces para eliminar la solicitud de usuario de la contraseña del dominio de Active Directory. Al usar la autenticación basada en certificados con su dominio de Active Directory, puede:

  • Confiar en su proveedor de identidades SAML 2.0 para autenticar al usuario y proporcionar declaraciones de SAML que coincidan con las del usuario de Active Directory.

  • Crear una experiencia de inicio de sesión único con menos solicitudes al usuario.

  • Habilitar los flujos de autenticación sin contraseña con su proveedor de identidades SAML 2.0.

La autenticación basada en certificados utiliza los AWS Private CA recursos de su cuenta. AWS AWS Private CA permite la creación de jerarquías de autoridades de certificación (CA) privadas, incluidas las CA raíz y subordinadas. Con él AWS Private CA, puede crear su propia jerarquía de entidades de certificación y emitir certificados con ella para autenticar a los usuarios internos. Para obtener más información, consulte la Guía del usuario de AWS Private Certificate Authority.

Cuando se utilice AWS Private CA para la autenticación basada en certificados, WorkSpaces solicitará los certificados para sus usuarios automáticamente durante la autenticación de la sesión. Autentica a los usuarios en Active Directory con una tarjeta inteligente virtual proporcionada con los certificados.

La autenticación basada en certificados es compatible con los paquetes de Windows WorkSpaces on WorkSpaces Streaming Protocol (WSP) que utilizan las aplicaciones cliente de WorkSpaces Web Access, Windows y macOS más recientes. Abre las descargas de Amazon WorkSpaces Client para encontrar las versiones más recientes:

  • Cliente de Windows (versión 5.5.0 o posterior)

  • Cliente para macOS (versión 5.6.0 o posterior)

Para obtener más información sobre la configuración de la autenticación basada en certificados con Amazon WorkSpaces, consulte Cómo configurar la autenticación basada en certificados para Amazon WorkSpaces y Consideraciones de diseño en entornos altamente regulados para la autenticación basada en certificados con 2.0 y. AppStream WorkSpaces

Requisitos previos

Realice los siguientes pasos antes de habilitar la autenticación basada en certificados.

  1. Configure su WorkSpaces directorio con la integración de SAML 2.0 para utilizar la autenticación basada en certificados. Para obtener más información, consulte WorkSpacesIntegración con SAML 2.0.

  2. Configurar el atributo userPrincipalName en su declaración de SAML. Para obtener más información, consulte Crear declaraciones para la respuesta de autenticación SAML.

  3. Configurar el atributo ObjectSid en su declaración de SAML. Esto es opcional para realizar un mapeo fuerte al usuario de Active Directory. La autenticación basada en certificados fallará si el atributo no coincide con el identificador de seguridad (SID) de Active Directory para el usuario especificado en SAML_Subject NameID. Para obtener más información, consulte Crear declaraciones para la respuesta de autenticación SAML.

  4. Añada el TagSession permiso sts: a la política de confianza de roles de IAM utilizada con su configuración de SAML 2.0 si aún no está presente. Este permiso es necesario para usar la autenticación basada en certificados. Para obtener más información, consulte Crear un rol de IAM de federación SAML 2.0..

  5. Cree una autoridad de certificación (CA) privada utilizando AWS Private CA si no tiene ninguna configurada en su Active Directory. AWS Private CA es necesario para utilizar la autenticación basada en certificados. Para obtener más información, consulte Planear la AWS Private CA implementación y siga las instrucciones para configurar una CA para la autenticación basada en certificados. Los siguientes AWS Private CA ajustes son los más comunes para los casos de uso de la autenticación basada en certificados:

    1. Opciones de tipo de CA

      1. Modo de uso de CA con certificados de corta duración (se recomienda si la CA solo emite certificados de usuario final para la autenticación basada en certificados)

      2. Jerarquía de un solo nivel con una CA raíz (también puede elegir una CA subordinada si quiere integrarla con una jerarquía de CA existente)

    2. Opciones de algoritmos de clave: RSA 2048

    3. Opciones de nombre distintivo por asunto: utilice la combinación de opciones más adecuada para identificar la CA en el almacén de entidades emisoras de certificados raíz de confianza de Active Directory.

    4. Opciones de revocación de certificados: distribución de CRL

      nota

      La autenticación basada en certificados requiere un punto de distribución de CRL en línea al que se pueda acceder tanto desde los escritorios como desde el controlador de dominio. Esto requiere un acceso no autenticado al depósito de Amazon S3 configurado para las entradas privadas de la CRL de CA o a una CloudFront distribución que tendrá acceso al depósito de S3 si bloquea el acceso público. Para obtener más información sobre estas opciones, consulte Planificación de una lista de revocación de certificados (CRL).

  6. Etiquete su CA privada con una clave euc-private-ca que permita designar la CA para su uso con la autenticación basada en certificados. Esta clave no requiere ningún valor. Para obtener más información, consulte Administrar las etiquetas de su CA privada.

  7. La autenticación basada en certificados utiliza tarjetas inteligentes virtuales para iniciar sesión. Siguiendo las directrices para habilitar el inicio de sesión con tarjetas inteligentes con entidades emisoras de certificados de terceros en Active Directory, lleve a cabo los siguientes pasos:

    • Configure los controladores de dominio con un certificado de controlador de dominio para autenticar a los usuarios de tarjetas inteligentes. Si tiene una CA empresarial de Active Directory Certificate Services configurada en su Active Directory, los controladores de dominio se inscriben automáticamente con certificados para permitir el inicio de sesión con tarjeta inteligente. Si no tiene los Servicios de certificados de Active Directory, consulte Requirements for domain controller certificates from a third-party CA. Puede crear un certificado de controlador de dominio con AWS Private CA. Si lo hace, no utilice una CA privada configurada para certificados de corta duración.

      nota

      Si lo está utilizando AWS Managed Microsoft AD, puede configurar los servicios de certificación en una instancia EC2 para cumplir con el requisito de los certificados de controlador de dominio. Consulte, AWS Launch Wizardpor ejemplo, las implementaciones de servicios de certificados AWS Managed Microsoft AD configurados con Active Directory. AWS La CA privada se puede configurar como una entidad subordinada a la CA de los servicios de certificados de Active Directory o se puede configurar como su propia raíz cuando se utiliza. AWS Managed Microsoft AD

      Una tarea de configuración adicional con AWS Managed Microsoft AD los Servicios de certificados de Active Directory consiste en crear reglas de salida desde el grupo de seguridad de VPC del controlador hasta la instancia EC2 que ejecuta los Servicios de certificados, lo que permite que los puertos TCP 135 y 49152-65535 habiliten la inscripción automática de certificados. Además, la instancia EC2 en ejecución también debe permitir el acceso entrante a estos mismos puertos desde las instancias de dominio, incluidos los controladores de dominio. Para obtener más información sobre la ubicación del grupo de seguridad, AWS Managed Microsoft AD consulte Configurar las subredes y grupos de seguridad de la VPC.

    • En la AWS Private CA consola o mediante el SDK o la CLI, seleccione su CA y, en el certificado de CA, exporte el certificado privado de CA. Para obtener más información, consulte Exportación de un certificado privado.

    • Publique la CA en Active Directory. Inicie sesión en un controlador de dominio o en una máquina asociada a un dominio. Copie el certificado de CA privado en cualquier <path>\<file> y ejecute los siguientes comandos como administrador de dominio. También puede usar la política de grupo y la herramienta PKI Health Tool (PKIView) de Microsoft para publicar la CA. Para obtener más información, consulte Configuration instructions.

      certutil -dspublish -f <path>\<file> RootCA
certutil -dspublish -f  <path>\<file> NTAuthCA

      Asegúrese de que los comandos se completen correctamente y, a continuación, elimine el archivo de certificado privado. Según la configuración de replicación de Active Directory, la CA puede tardar varios minutos en publicar en los controladores de dominio y en las instancias de escritorio.

      nota

Habilitación de la autenticación basada en certificados

Realice los siguientes pasos antes de habilitar la autenticación basada en certificados.

  1. Abra la WorkSpaces consola enhttps://console.aws.amazon.com/workspaces.

  2. En el panel de navegación, elija Directories (Directorios).

  3. Elija el ID de directorio para su WorkSpaces.

  4. En Autenticación, haga clic en Editar.

  5. Haga clic en Editar la autenticación basada en certificados.

  6. Elija Habilitar la autenticación basada en certificados.

  7. Confirme que su ARN de CA privada esté asociado a la lista. La CA privada debe estar en la misma AWS cuenta y Región de AWS debe estar etiquetada con una clave euc-private-ca que pueda aparecer en la lista.

  8. Haga clic en Save Changes (Guardar cambios). Ya está habilitada la autenticación basada en certificados.

  9. Reinicie los paquetes de Windows WorkSpaces on WorkSpaces Streaming Protocol (WSP) para que los cambios surtan efecto. Para obtener más información, consulte Reiniciar un. WorkSpace

  10. Tras el reinicio, cuando los usuarios se autentiquen mediante SAML 2.0 mediante un cliente compatible, ya no se les solicitará la contraseña del dominio.

nota

Cuando la autenticación basada en certificados está habilitada para iniciar sesión WorkSpaces, no se solicita a los usuarios la autenticación multifactor (MFA) aunque esté habilitada en el Directorio. Al usar la autenticación basada en certificados, la MFA se puede habilitar a través de su proveedor de identidad SAML 2.0. Para obtener más información sobre la AWS Directory Service MFA, consulte Autenticación multifactorial (AD Connector) o Habilitar la autenticación multifactorial para. AWS Managed Microsoft AD

Administración de la autenticación basada en certificados

Certificado de entidad de certificación

En una configuración típica, el certificado de CA privada tiene un período de validez de 10 años. Consulte Administración del ciclo de vida de entidad de certificación privada para obtener más información sobre cómo reemplazar una CA privada con un certificado vencido o cómo volver a emitir la CA privada con un nuevo período de validez.

Certificados de usuario final

Los certificados de usuario final emitidos AWS Private CA por la autenticación WorkSpaces basada en certificados no requieren renovación ni revocación. Estos certificados son de corta duración. WorkSpacesemite automáticamente un nuevo certificado cada 24 horas. Estos certificados de usuario final tienen un período de validez más corto que una distribución AWS Private CA CRL típica. Como resultado, no es necesario revocar los certificados de usuario final y no aparecerán en una CRL.

Informes de auditoría

Puede crear un informe de auditoría para mostrar todos los certificados que la CA privada ha emitido o revocado. Para obtener más información, consulte Using audit reports with your private CA.

Registro y supervisión

Se pueden utilizar AWS CloudTrailpara grabar las llamadas a la API a AWS Private CA by WorkSpaces. Para obtener más información, consulte Uso CloudTrail. En el historial de CloudTrail eventos, puede ver GetCertificate los nombres de los IssueCertificate acm-pca.amazonaws.com eventos de la fuente de eventos creados por el nombre WorkSpaces EcmAssumeRoleSession de usuario. Estos eventos se registrarán para cada solicitud de autenticación basada en certificados de EUC.

Habilite el uso compartido de PCA entre cuentas

Al utilizar el uso compartido entre cuentas de CA privada, puede conceder permisos a otras cuentas para usar una CA centralizada, lo que elimina la necesidad de una CA privada en todas las cuentas. La CA puede generar y emitir certificados mediante AWS Resource Access Manager para administrar los permisos. El uso compartido entre cuentas privadas de CA se puede utilizar con la autenticación WorkSpaces basada en certificados (CBA) dentro de la misma región. AWS

Para utilizar un recurso de CA privada compartido con la CBA WorkSpaces

  1. Configure la CA privada para la CBA en una cuenta centralizada AWS . Para obtener más información, consulte Autenticación basada en certificados.

  2. Comparta la CA privada con las AWS cuentas de recursos en las que WorkSpaces los recursos utilizan la CBA siguiendo los pasos de Cómo usar la AWS RAM para compartir una cuenta cruzada de ACM Private CA. No necesita completar el paso 3 para crear un certificado. Puede compartir la CA privada con AWS cuentas individuales o compartirla a través de AWS Organizations. Para compartir con cuentas individuales, debe aceptar la CA privada compartida en su cuenta de recursos mediante la consola Resource Access Manager (RAM) o las API. Al configurar el recurso compartido, confirme que el recurso compartido de RAM de la CA privada de la cuenta de recursos utiliza la plantilla de permisos AWS RAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority gestionados. Esta plantilla se alinea con la plantilla de PCA que utiliza el rol de WorkSpaces servicio al emitir los certificados CBA.

  3. Una vez que el intercambio se haya realizado correctamente, podrá ver la CA privada compartida mediante la consola de CA privada de la cuenta de recursos.

  4. Utilice la API o la CLI para asociar el ARN de CA privado con el CBA en las propiedades de su WorkSpaces directorio. En este momento, la WorkSpaces consola no admite la selección de ARN de CA privados compartidos. Ejemplos de comandos CLI:

    aws workspaces modify-certificate-based-auth-properties —resource-id <value> —certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>