Prérequis - Amazon AppStream 2.0

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prérequis

Effectuez les étapes suivantes avant d’utiliser l’authentification par certificat.

  1. Configurez une flotte jointe à un domaine et configurez SAML la version 2.0. Assurez-vous d'utiliser le username@domain.com userPrincipalName format du SAML _SubjectNameID. Pour de plus amples informations, veuillez consulter Étape 5 : créer des assertions pour la réponse SAML d'authentification.

    Note

    N’activez pas la connexion par carte à puce pour Active Directory dans votre pile si vous souhaitez utiliser l’authentification par certificat. Pour de plus amples informations, veuillez consulter Cartes à puce.

  2. Utilisez la version de l'agent AppStream 2.0 10-13-2022 ou ultérieure avec votre image. Pour de plus amples informations, veuillez consulter Tenir votre image AppStream 2.0 à jour.

  3. (Facultatif) Configurez l'ObjectSidattribut dans votre SAML assertion. Vous pouvez utiliser cet attribut pour effectuer un mappage fort avec l’utilisateur Active Directory. L'authentification par certificat échoue si l'ObjectSidattribut ne correspond pas à l'identifiant de sécurité Active Directory (SID) de l'utilisateur spécifié dans le SAML _Subject. NameID Pour de plus amples informations, veuillez consulter Étape 5 : créer des assertions pour la réponse SAML d'authentification.

  4. Ajoutez l'sts:TagSessionautorisation à la politique de confiance des IAM rôles que vous utilisez avec votre configuration SAML 2.0. Pour plus d’informations, consultez Transmission des balises de session dans AWS STS. Cette autorisation est requise pour utiliser l’authentification par certificat. Pour de plus amples informations, veuillez consulter Étape 2 : créer un IAM rôle de fédération SAML 2.0.

  5. Créez une autorité de certification (CA) AWS privée à l'aide de l'autorité de certification privée, si aucune n'est configurée avec votre Active Directory. AWS Une autorité de certification privée est requise pour utiliser l'authentification basée sur des certificats. Pour de plus amples informations, consultez Planification du déploiement de votre AWS Private CA. Les paramètres AWS Private CA suivants sont courants dans de nombreux cas d'utilisation de l'authentification basée sur des certificats :

    • Options de type de CA

      • Mode d’utilisation de l’autorité de certification de courte durée : recommandé si l’autorité de certification émet uniquement des certificats d’utilisateur final pour l’authentification par certificat.

      • Hiérarchie à un seul niveau avec une autorité de certification racine : choisissez une autorité de certification subordonnée pour l’intégrer à une hiérarchie d’autorités de certification existante.

    • Principales options de l'algorithme — RSA 2048

    • Options de nom unique de l’objet : utilisez les options les plus appropriées pour identifier cette autorité de certification dans votre magasin Active Directory Autorités de certification racine de confiance.

    • Options de révocation des certificats — distribution CRL

      Note

      L'authentification basée sur des certificats nécessite un point de CRL distribution en ligne accessible à la fois depuis l'instance de flotte AppStream 2.0 et le contrôleur de domaine. Cela nécessite un accès non authentifié au compartiment Amazon S3 configuré pour les CRL entrées de l'autorité de certification AWS privée, ou une CloudFront distribution avec accès au compartiment Amazon S3 s'il bloque l'accès public. Pour plus d'informations sur ces options, voir Planification d'une liste de révocation de certificats (CRL).

  6. Marquez votre autorité de certification privée avec une clé habilitée euc-private-ca à désigner l'autorité de certification à utiliser avec l'authentification basée sur des certificats AppStream 2.0. Cette clé ne nécessite aucune valeur. Pour plus d’informations, consultez Gestion des balises pour votre autorité de certification privée. Pour plus d'informations sur les politiques AWS gérées utilisées avec la AppStream version 2.0 pour accorder des autorisations aux ressources de votre Compte AWS ordinateur, consultezAWS Politiques gérées requises pour accéder aux ressources AppStream 2.0.

  7. L’authentification par certificat utilise des cartes à puce virtuelles pour la connexion. Pour plus d’informations, consultez Recommandations pour l’activation de l’ouverture de session par carte à puce auprès d’autorités de certification tierces. Procédez comme suit :

    1. Configurez les contrôleurs de domaine avec un certificat de contrôleur de domaine pour authentifier les utilisateurs de carte à puce. Si une autorité de certification d’entreprise des services de certificats Active Directory est configurée dans votre Active Directory, elle inscrit automatiquement les contrôleurs de domaine avec des certificats qui permettent l’ouverture de session par carte à puce. Si vous ne disposez pas des services de certificats Active Directory, consultez la section Exigences relatives aux certificats de contrôleur de domaine délivrés par une autorité de certification tierce. AWS recommande aux autorités de certification Active Directory d'entreprise de gérer automatiquement l'inscription aux certificats de contrôleur de domaine.

      Note

      Si vous utilisez AWS Managed Microsoft AD, vous pouvez configurer les services de certificats sur une EC2 instance Amazon qui répond aux exigences relatives aux certificats de contrôleur de domaine. Consultez la section Déployer Active Directory sur un nouvel Amazon Virtual Private Cloud pour des exemples de déploiements de Microsoft AD AWS gérés configurés avec les services de certificats Active Directory.

      Avec AWS Managed Microsoft AD et Active Directory Certificate Services, vous devez également créer des règles sortantes depuis le groupe de VPC sécurité du contrôleur vers l'EC2instance Amazon exécutant les services de certificats. Vous devez fournir au groupe de sécurité l'accès au TCP port 135 et aux ports 49152 à 65535 pour permettre l'inscription automatique des certificats. L'EC2instance Amazon doit également autoriser l'accès entrant sur ces mêmes ports depuis les instances de domaine, y compris les contrôleurs de domaine. Pour plus d'informations sur la localisation du groupe de sécurité pour AWS Managed Microsoft AD, voir Configurer vos VPC sous-réseaux et groupes de sécurité.

    2. Sur la console de l'autorité de certification AWS privée, ou avec le SDK ouCLI, exportez le certificat de l'autorité de certification privée. Pour plus d’informations, consultez Exportation d’un certificat privé.

    3. Publiez l’autorité de certification privée dans Active Directory. Connectez-vous à un contrôleur de domaine ou à une machine jointe à un domaine. Copiez le certificat de l’autorité de certification privée dans n’importe quel <path>\<file> et exécutez les commandes suivantes en tant qu’administrateur de domaine. Vous pouvez également utiliser la stratégie de groupe et le Microsoft PKI Health Tool (PKIView) pour publier l'autorité de certification. Pour plus d’informations, consultez Instructions de configuration.

      certutil -dspublish -f <path>\<file> RootCA
      certutil -dspublish -f <path>\<file> NTAuthCA

      Assurez-vous que les commandes s’exécutent correctement, puis supprimez le fichier du certificat de l’autorité de certification privée. En fonction de vos paramètres de réplication Active Directory, la publication sur vos contrôleurs de domaine et vos instances de flotte AppStream 2.0 par l'autorité de certification peut prendre plusieurs minutes.

      Note

      Active Directory doit distribuer automatiquement l'autorité de certification aux autorités de certification racine fiables et aux NTAuth magasins Enterprise pour les instances de flotte AppStream 2.0 lorsqu'elles rejoignent le domaine.

Pour les systèmes d'exploitation Windows, la distribution de l'autorité de certification (CA) s'effectue automatiquement. Toutefois, pour Red Hat Enterprise Linux, vous devez télécharger le ou les certificats de l'autorité de certification racine à partir de l'autorité de certification utilisée par votre configuration de répertoire AppStream 2.0. Si vos certificats d'autorité de certification KDC racine sont différents, vous devez également les télécharger. Avant d'utiliser l'authentification basée sur les certificats, il est nécessaire d'importer ces certificats sur une image ou un instantané.

Sur l'image, il doit y avoir un fichier nommé/etc/sssd/pki/sssd_auth_ca_db.pem. Il devrait se présenter comme suit :

-----BEGIN CERTIFICATE-----
Base64-encoded certificate chain from ACM Private CA 
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded certificate body from ACM private CA
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64-encoded root CA KDC certificate chain
-----END CERTIFICATE-----
Note

Lorsque vous copiez une image entre des régions ou des comptes, ou que vous associez à nouveau une image à un nouvel Active Directory, ce fichier doit être reconfiguré avec les certificats appropriés sur un générateur d'images et capturé à nouveau avant utilisation.

Vous trouverez ci-dessous des instructions pour télécharger les certificats de l'autorité de certification racine :

  1. Dans le générateur d'images, créez un fichier nommé/etc/sssd/pki/sssd_auth_ca_db.pem.

  2. Ouvrez la console AWS Private CA.

  3. Choisissez le certificat privé utilisé avec votre Config de répertoire AppStream 2.0.

  4. Choisissez l'onglet Certificat CA.

  5. Copiez la chaîne de certificats et le corps du certificat dans /etc/sssd/pki/sssd_auth_ca_db.pem le générateur d'images.

Si les certificats de l'autorité de certification racine utilisés par le KDCs sont différents du certificat de l'autorité de certification racine utilisé par votre configuration de répertoire AppStream 2.0, suivez ces exemples d'étapes pour les télécharger :

  1. Connectez-vous à une instance Windows associée au même domaine que votre générateur d'images.

  2. Ouvrir certlm.msc.

  3. Dans le volet de gauche, choisissez Trusted Root Certificate Authorities, puis sélectionnez Certificates.

  4. Pour chaque certificat CA racine, ouvrez le menu contextuel (clic droit).

  5. Choisissez Toutes les tâches, sélectionnez Exporter pour ouvrir l'assistant d'exportation de certificats, puis cliquez sur Suivant.

  6. Choisissez X.509 codé en Base64 (. CER), puis choisissez Next.

  7. Choisissez Parcourir, entrez un nom de fichier, puis cliquez sur Suivant.

  8. Choisissez Finish (Terminer).

  9. Ouvrez le certificat exporté dans un éditeur de texte.

  10. Copiez le contenu du fichier dans /etc/sssd/pki/sssd_auth_ca_db.pem le générateur d'images.