Restringir el acceso a WorkSpaces a los dispositivos de confianza - Amazon WorkSpaces

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Restringir el acceso a WorkSpaces a los dispositivos de confianza

De forma predeterminada, los usuarios pueden obtener acceso a WorkSpaces desde cualquier dispositivo compatible conectado a Internet. Si en su organización se limita el acceso a datos corporativos a los dispositivos de confianza (también conocidos como dispositivos administrados), puede restringir el acceso a WorkSpaces a los dispositivos de confianza con certificados válidos.

Al habilitar esta característica, WorkSpaces utiliza la autenticación basada en certificados para determinar si un dispositivo es de confianza. Si la aplicación cliente de WorkSpaces no puede verificar si un dispositivo es de confianza, bloquea los intentos de iniciar sesión o de reconectar desde el dispositivo.

Para cada directorio, puede importar hasta dos certificados raíz. Si importa dos certificados raíz, WorkSpaces presenta ambos al cliente y este busca el primer certificado coincidente válido que se encadena hasta uno de los certificados raíz.

Clients admitidos

  • Android, que se ejecuta en sistemas Chrome OS compatibles con Android o Android

  • macOS

  • Windows

importante

Esta característica no es compatible con los siguientes clientes:

  • Aplicaciones cliente de WorkSpaces para Linux o iPad

  • WorkSpaces Web Access

  • Cliente de terceros, entre ellos Teradici PCoIP, clientes RDP y aplicaciones de Escritorio remoto.

Paso 1: Creación de los certificados

Esta característica requiere dos tipos de certificados: certificados raíz generados por una entidad de certificación (CA) interna y certificados de cliente que se encadenan hasta un certificado raíz.

Requisitos

  • Los certificados deben ser archivos de certificado codificados en Base64, con formato CRT, CERT o PEM.

  • Los certificados deben incluir un Nombre común.

  • La longitud máxima que se admite para una cadena de certificados es 4.

  • Actualmente WorkSpaces no admite los mecanismos de revocación de dispositivos, por ejemplo, listas de revocación de certificados (CRL) u Online Certificate Status Protocol (OCSP), para los certificados de cliente.

  • Utilice un algoritmo de cifrado sólido. Recomendamos SHA256 con RSA, SHA256 con ECDSA, SHA384 con ECDSA o SHA512 con ECDSA.

  • Asegúrate de «uso de claves: Firma digital» está presente en la clave pública del certificado del cliente; de lo contrario, se producirá un error en la autenticación del dispositivo incluso si las claves públicas y privadas están presentes en el equipo y en la consola de WorkSpaces.

  • Con sistemas operativos Mac, si el dispositivo está en el llavero del sistema, recomendamos que autorice a la aplicación cliente de WorkSpaces el acceso a los certificados. De lo contrario, los usuarios tendrán que escribir las credenciales de llavero cuando inician sesión o vuelven a conectarse.

Paso 2: Implementación de certificados de cliente en los dispositivos de confianza

Debe instalar los certificados de cliente en los dispositivos de confianza para sus usuarios. Puede utilizar la solución que prefiera para instalar los certificados en la flota de dispositivos cliente, por ejemplo, System Center Configuration Manager (SCCM) o Mobile Device Management (MDM). Tenga en cuenta que SCCM y MDM pueden; opcionalmente, realizar una evaluación para determinar si los dispositivos cumplen las políticas de su organización para el acceso a WorkSpaces.

Las aplicaciones cliente de WorkSpaces buscan certificados de la siguiente manera:

  • Android: en Android, busca certificados de cliente en el llavero. En los sistemas Chrome OS compatibles con Android, busca certificados de usuario en el llavero.

  • macOS: busca certificados de cliente en el llavero.

  • Windows: busca los certificados del cliente de los almacenes de certificados de usuario y raíz.

Paso 3: Configurar la restricción

Una vez que ha implementado los certificados de cliente en los dispositivos de confianza, puede permitir el acceso restringido en el nivel de directorio. Esto requiere que la aplicación cliente de WorkSpaces valide el certificado en un dispositivo para permitir que un usuario inicie sesión en WorkSpaces.

Para configurar la restricción

  1. Abra la consola de WorkSpaces en.https://console.aws.amazon.com/workspaces/.

  2. En el panel de navegación, elija Directories (Directorios).

  3. Seleccione el directorio y después elija Actions, Update Details.

  4. Amplíe Access Control Options.

  5. Seleccione el tipo de dispositivo enPara cada tipo de dispositivo, especifique qué dispositivos pueden acceder a WorkSpaces.

  6. Importe hasta dos certificados raíz. Con cada certificado raíz, haga lo siguiente:

    1. Elija Importar.

    2. Copie el cuerpo del certificado en el formulario.

    3. Elija Importar.

  7. (Opcional) Especifique si otros tipos de dispositivos tienen acceso a los WorkSpaces.

    1. Desplácese hacia abajo hasta la sección Other platforms (Otras plataformas). De forma predeterminada, los clientes de WorkSpaces Web Access y los clientes Linux están deshabilitados y los usuarios acceden a los WorkSpaces desde sus dispositivos de iOS, Android y Chromebooks, así como sus dispositivos de cliente cero de PCoIP.

    2. Seleccione los tipos de dispositivo que va a habilitar y deseleccione los que va a deshabilitar.

    3. Para bloquear el acceso de todos los tipos dispositivos seleccionados, elija Block.

  8. Elija Update and Exit.