Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Autenticación basada en certificados
Puede utilizar la autenticación basada en certificados WorkSpaces para eliminar la solicitud de usuario de la contraseña del dominio de Active Directory. Al usar la autenticación basada en certificados con su dominio de Active Directory, puede:
-
Confiar en su proveedor de identidades SAML 2.0 para autenticar al usuario y proporcionar declaraciones de SAML que coincidan con las del usuario de Active Directory.
-
Crear una experiencia de inicio de sesión único con menos solicitudes al usuario.
-
Habilitar los flujos de autenticación sin contraseña con su proveedor de identidades SAML 2.0.
La autenticación basada en certificados utiliza los AWS Private CA recursos de su cuenta. AWS AWS Private CA permite la creación de jerarquías de autoridades de certificación (CA) privadas, incluidas las CA raíz y subordinadas. Con él AWS Private CA, puede crear su propia jerarquía de entidades de certificación y emitir certificados con ella para autenticar a los usuarios internos. Para obtener más información, consulte la Guía del usuario de AWS Private Certificate Authority.
Cuando se utilice AWS Private CA para la autenticación basada en certificados, WorkSpaces solicitará los certificados para sus usuarios automáticamente durante la autenticación de la sesión. Autentica a los usuarios en Active Directory con una tarjeta inteligente virtual proporcionada con los certificados.
La autenticación basada en certificados es compatible con los paquetes de Windows WorkSpaces on WorkSpaces Streaming Protocol (WSP) que utilizan las aplicaciones cliente de WorkSpaces Web Access, Windows y macOS más recientes. Abre las descargas de Amazon WorkSpaces Client
Cliente de Windows (versión 5.5.0 o posterior)
Cliente para macOS (versión 5.6.0 o posterior)
Para obtener más información sobre la configuración de la autenticación basada en certificados con Amazon WorkSpaces, consulte Cómo configurar la autenticación basada en certificados para Amazon WorkSpaces
Requisitos previos
Realice los siguientes pasos antes de habilitar la autenticación basada en certificados.
-
Configure su WorkSpaces directorio con la integración de SAML 2.0 para utilizar la autenticación basada en certificados. Para obtener más información, consulte WorkSpacesIntegración con SAML 2.0.
-
Configurar el atributo
userPrincipalName
en su declaración de SAML. Para obtener más información, consulte Crear declaraciones para la respuesta de autenticación SAML. -
Configurar el atributo
ObjectSid
en su declaración de SAML. Esto es opcional para realizar un mapeo fuerte al usuario de Active Directory. La autenticación basada en certificados fallará si el atributo no coincide con el identificador de seguridad (SID) de Active Directory para el usuario especificado en SAML_SubjectNameID
. Para obtener más información, consulte Crear declaraciones para la respuesta de autenticación SAML. -
Añada el TagSession permiso sts: a la política de confianza de roles de IAM utilizada con su configuración de SAML 2.0 si aún no está presente. Este permiso es necesario para usar la autenticación basada en certificados. Para obtener más información, consulte Crear un rol de IAM de federación SAML 2.0..
-
Cree una autoridad de certificación (CA) privada utilizando AWS Private CA si no tiene ninguna configurada en su Active Directory. AWS Private CA es necesario para utilizar la autenticación basada en certificados. Para obtener más información, consulte Planear la AWS Private CA implementación y siga las instrucciones para configurar una CA para la autenticación basada en certificados. Los siguientes AWS Private CA ajustes son los más comunes para los casos de uso de la autenticación basada en certificados:
-
Opciones de tipo de CA
-
Modo de uso de CA con certificados de corta duración (se recomienda si la CA solo emite certificados de usuario final para la autenticación basada en certificados)
-
Jerarquía de un solo nivel con una CA raíz (también puede elegir una CA subordinada si quiere integrarla con una jerarquía de CA existente)
-
-
Opciones de algoritmos de clave: RSA 2048
-
Opciones de nombre distintivo por asunto: utilice la combinación de opciones más adecuada para identificar la CA en el almacén de entidades emisoras de certificados raíz de confianza de Active Directory.
-
Opciones de revocación de certificados: distribución de CRL
nota
La autenticación basada en certificados requiere un punto de distribución de CRL en línea al que se pueda acceder tanto desde los escritorios como desde el controlador de dominio. Esto requiere un acceso no autenticado al depósito de Amazon S3 configurado para las entradas privadas de la CRL de CA o a una CloudFront distribución que tendrá acceso al depósito de S3 si bloquea el acceso público. Para obtener más información sobre estas opciones, consulte Planificación de una lista de revocación de certificados (CRL).
-
-
Etiquete su CA privada con una clave
euc-private-ca
que permita designar la CA para su uso con la autenticación basada en certificados. Esta clave no requiere ningún valor. Para obtener más información, consulte Administrar las etiquetas de su CA privada. -
La autenticación basada en certificados utiliza tarjetas inteligentes virtuales para iniciar sesión. Siguiendo las directrices para habilitar el inicio de sesión con tarjetas inteligentes con entidades emisoras de certificados de terceros
en Active Directory, lleve a cabo los siguientes pasos: -
Configure los controladores de dominio con un certificado de controlador de dominio para autenticar a los usuarios de tarjetas inteligentes. Si tiene una CA empresarial de Active Directory Certificate Services configurada en su Active Directory, los controladores de dominio se inscriben automáticamente con certificados para permitir el inicio de sesión con tarjeta inteligente. Si no tiene los Servicios de certificados de Active Directory, consulte Requirements for domain controller certificates from a third-party CA
. Puede crear un certificado de controlador de dominio con AWS Private CA. Si lo hace, no utilice una CA privada configurada para certificados de corta duración. nota
Si lo está utilizando AWS Managed Microsoft AD, puede configurar los servicios de certificación en una instancia EC2 para cumplir con el requisito de los certificados de controlador de dominio. Consulte, AWS Launch Wizardpor ejemplo, las implementaciones de servicios de certificados AWS Managed Microsoft AD configurados con Active Directory. AWS La CA privada se puede configurar como una entidad subordinada a la CA de los servicios de certificados de Active Directory o se puede configurar como su propia raíz cuando se utiliza. AWS Managed Microsoft AD
Una tarea de configuración adicional con AWS Managed Microsoft AD los Servicios de certificados de Active Directory consiste en crear reglas de salida desde el grupo de seguridad de VPC del controlador hasta la instancia EC2 que ejecuta los Servicios de certificados, lo que permite que los puertos TCP 135 y 49152-65535 habiliten la inscripción automática de certificados. Además, la instancia EC2 en ejecución también debe permitir el acceso entrante a estos mismos puertos desde las instancias de dominio, incluidos los controladores de dominio. Para obtener más información sobre la ubicación del grupo de seguridad, AWS Managed Microsoft AD consulte Configurar las subredes y grupos de seguridad de la VPC.
-
En la AWS Private CA consola o mediante el SDK o la CLI, seleccione su CA y, en el certificado de CA, exporte el certificado privado de CA. Para obtener más información, consulte Exportación de un certificado privado.
-
Publique la CA en Active Directory. Inicie sesión en un controlador de dominio o en una máquina asociada a un dominio. Copie el certificado de CA privado en cualquier
<path>\<file>
y ejecute los siguientes comandos como administrador de dominio. También puede usar la política de grupo y la herramienta PKI Health Tool (PKIView) de Microsoft para publicar la CA. Para obtener más información, consulte Configuration instructions. certutil -dspublish -f <path>\<file> RootCA certutil -dspublish -f <path>\<file> NTAuthCA
Asegúrese de que los comandos se completen correctamente y, a continuación, elimine el archivo de certificado privado. Según la configuración de replicación de Active Directory, la CA puede tardar varios minutos en publicar en los controladores de dominio y en las instancias de escritorio.
nota
Es necesario que Active Directory distribuya la CA a las autoridades emisoras de certificados raíz de confianza y Enterprise NTauth las almacena automáticamente para los WorkSpaces escritorios cuando se unen al dominio.
Los controladores de dominio de Active Directory deben estar en modo de compatibilidad para que la aplicación estricta de los certificados admita la autenticación basada en certificados. Para obtener más información, consulte KB5014754: cambios en la autenticación basada en certificados en los controladores de dominio de Windows en
la documentación de Microsoft Support. Si utiliza Microsoft AD AWS administrado, consulte Configurar los ajustes de seguridad de los directorios para obtener más información.
-
Habilitación de la autenticación basada en certificados
Realice los siguientes pasos antes de habilitar la autenticación basada en certificados.
-
Abra la WorkSpaces consola enhttps://console.aws.amazon.com/workspaces
. -
En el panel de navegación, elija Directories (Directorios).
-
Elija el ID de directorio para su WorkSpaces.
-
En Autenticación, haga clic en Editar.
-
Haga clic en Editar la autenticación basada en certificados.
-
Elija Habilitar la autenticación basada en certificados.
-
Confirme que su ARN de CA privada esté asociado a la lista. La CA privada debe estar en la misma AWS cuenta y Región de AWS debe estar etiquetada con una clave euc-private-ca que pueda aparecer en la lista.
-
Haga clic en Save Changes (Guardar cambios). Ya está habilitada la autenticación basada en certificados.
-
Reinicie los paquetes de Windows WorkSpaces on WorkSpaces Streaming Protocol (WSP) para que los cambios surtan efecto. Para obtener más información, consulte Reiniciar un. WorkSpace
-
Tras el reinicio, cuando los usuarios se autentiquen mediante SAML 2.0 mediante un cliente compatible, ya no se les solicitará la contraseña del dominio.
nota
Cuando la autenticación basada en certificados está habilitada para iniciar sesión WorkSpaces, no se solicita a los usuarios la autenticación multifactor (MFA) aunque esté habilitada en el Directorio. Al usar la autenticación basada en certificados, la MFA se puede habilitar a través de su proveedor de identidad SAML 2.0. Para obtener más información sobre la AWS Directory Service MFA, consulte Autenticación multifactorial (AD Connector) o Habilitar la autenticación multifactorial para. AWS Managed Microsoft AD
Administración de la autenticación basada en certificados
Certificado de entidad de certificación
En una configuración típica, el certificado de CA privada tiene un período de validez de 10 años. Consulte Administración del ciclo de vida de entidad de certificación privada para obtener más información sobre cómo reemplazar una CA privada con un certificado vencido o cómo volver a emitir la CA privada con un nuevo período de validez.
Certificados de usuario final
Los certificados de usuario final emitidos AWS Private CA por la autenticación WorkSpaces basada en certificados no requieren renovación ni revocación. Estos certificados son de corta duración. WorkSpacesemite automáticamente un nuevo certificado cada 24 horas. Estos certificados de usuario final tienen un período de validez más corto que una distribución AWS Private CA CRL típica. Como resultado, no es necesario revocar los certificados de usuario final y no aparecerán en una CRL.
Informes de auditoría
Puede crear un informe de auditoría para mostrar todos los certificados que la CA privada ha emitido o revocado. Para obtener más información, consulte Using audit reports with your private CA.
Registro y supervisión
Se pueden utilizar AWS CloudTrailpara grabar las llamadas a la API a AWS Private CA by WorkSpaces. Para obtener más información, consulte Uso CloudTrail. En el historial de CloudTrail eventos, puede ver GetCertificate
los nombres de los IssueCertificate
acm-pca.amazonaws.com
eventos de la fuente de eventos creados por el nombre WorkSpaces EcmAssumeRoleSession
de usuario. Estos eventos se registrarán para cada solicitud de autenticación basada en certificados de EUC.
Habilite el uso compartido de PCA entre cuentas
Al utilizar el uso compartido entre cuentas de CA privada, puede conceder permisos a otras cuentas para usar una CA centralizada, lo que elimina la necesidad de una CA privada en todas las cuentas. La CA puede generar y emitir certificados mediante AWS Resource Access Manager
Para utilizar un recurso de CA privada compartido con la CBA WorkSpaces
Configure la CA privada para la CBA en una cuenta centralizada AWS . Para obtener más información, consulte Autenticación basada en certificados.
Comparta la CA privada con las AWS cuentas de recursos en las que WorkSpaces los recursos utilizan la CBA siguiendo los pasos de Cómo usar la AWS RAM para compartir una cuenta cruzada de ACM Private
CA. No necesita completar el paso 3 para crear un certificado. Puede compartir la CA privada con AWS cuentas individuales o compartirla a través de AWS Organizations. Para compartir con cuentas individuales, debe aceptar la CA privada compartida en su cuenta de recursos mediante la consola Resource Access Manager (RAM) o las API. Al configurar el recurso compartido, confirme que el recurso compartido de RAM de la CA privada de la cuenta de recursos utiliza la plantilla de permisos AWS RAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority
gestionados. Esta plantilla se alinea con la plantilla de PCA que utiliza el rol de WorkSpaces servicio al emitir los certificados CBA.Una vez que el intercambio se haya realizado correctamente, podrá ver la CA privada compartida mediante la consola de CA privada de la cuenta de recursos.
Utilice la API o la CLI para asociar el ARN de CA privado con el CBA en las propiedades de su WorkSpaces directorio. En este momento, la WorkSpaces consola no admite la selección de ARN de CA privados compartidos. Ejemplos de comandos CLI:
aws workspaces modify-certificate-based-auth-properties —resource-id <value> —certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>