Prérequis - AWS Directory Service
Exigences relatives aux certificats de CAExigences relatives aux certificats utilisateurProcessus de vérification de la révocation des certificatsAutres considérations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prérequis

Pour activer l'authentification mTLS (Mutual Transport Layer Security) basée sur des certificats à l'aide de cartes à puce pour le WorkSpaces client Amazon, vous avez besoin d'une infrastructure de cartes à puce opérationnelle intégrée à votre infrastructure autogérée. Active Directory Pour plus d'informations sur la configuration de l'authentification par carte à puce auprès WorkSpaces d'AmazonActive Directory, consultez le guide d' WorkSpaces administration Amazon.

Avant d'activer l'authentification par carte à puce pour WorkSpaces, veuillez prendre en compte les points suivants :

Exigences relatives aux certificats de CA

AD Connector nécessite un certificat d'autorité de certification (CA), qui représente l'émetteur de vos certificats utilisateur, pour l'authentification par carte à puce. AD Connector associe les certificats CA aux certificats présentés par vos utilisateurs avec leurs cartes à puce. Notez les exigences suivantes relatives aux certificats d'autorité de certification :

  • Avant de pouvoir enregistrer un certificat CA, celui-ci doit expirer dans plus de 90 jours.

  • Les certificats CA doivent être au format PEM (Privacy-Enhanced Mail). Si vous exportez des certificats CA à partir d'Active Directory, choisissez X.509 codé en base64 (.CER) comme format de fichier d'exportation.

  • Pour que l'authentification par carte à puce réussisse, tous les certificats CA racine et intermédiaire qui relient une CA émettrice aux certificats utilisateur doivent être téléchargés.

  • Cent (100) certificats CA au maximum peuvent être stockés par l'annuaire AD Connector.

  • AD Connector ne prend pas en charge l'algorithme de signature RSASSA-PSS pour les certificats CA.

  • Vérifiez que le service de propagation des certificats est défini sur Automatique et qu'il est en cours d'exécution.

Exigences relatives aux certificats utilisateur

Voici certaines des exigences relatives au certificat utilisateur :

  • Le certificat de carte à puce de l'utilisateur possède un nom alternatif d'objet (SAN) correspondant à celui de l'utilisateur userPrincipalName (UPN).

  • Le certificat de carte à puce de l'utilisateur comporte une utilisation améliorée des clés en tant que connexion par carte à puce (1.3.6.1.4.1.311.20.2.2) Authentification du client (1.3.6.1.5.5.7.3.2).

  • Les informations du protocole OCSP (Online Certificate Status Protocol) pour le certificat de carte à puce de l'utilisateur doivent être Access Method = On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) dans le champ Authority Information Access.

Pour plus d'informations sur les exigences relatives à l'AD Connector et à l'authentification par carte à puce, consultez la section Exigences du guide d' WorkSpaces administration Amazon. Pour obtenir de l'aide pour résoudre WorkSpaces les problèmes liés à Amazon, tels que la connexion WorkSpaces, la réinitialisation du mot de passe ou la connexion à Amazon WorkSpaces, consultez la section Résoudre les problèmes liés aux WorkSpaces clients dans le guide de WorkSpaces l'utilisateur Amazon.

Processus de vérification de la révocation des certificats

Pour effectuer l'authentification par carte à puce, AD Connector doit vérifier l'état de révocation des certificats utilisateur à l'aide du protocole OCSP (Online Certificate Status Protocol). Pour vérifier la révocation des certificats, l'URL d'un répondeur OCSP doit être accessible par Internet. Si vous utilisez un nom DNS, l'URL d'un répondeur OCSP doit utiliser un domaine de premier niveau figurant dans la Base de données de la zone racine de l'Internet Assigned Numbers Authority (IANA).

La vérification de la révocation des certificats AD Connector se déroule de la manière suivante :

  • AD Connector doit vérifier que l'extension Authority Information Access (AIA) du certificat utilisateur contient une URL de répondeur OCSP, puis AD Connector utilise l'URL pour vérifier la révocation.

  • Si AD Connector ne parvient pas à résoudre l'URL trouvée dans l'extension AIA du certificat utilisateur ou à trouver une URL de répondeur OCSP dans le certificat utilisateur, AD Connector utilise alors l'URL OCSP optionnelle fournie lors de l'enregistrement du certificat CA racine.

    Si l'URL de l'extension AIA du certificat utilisateur est résolue, mais ne répond pas, l'authentification de l'utilisateur échoue.

  • Si l'URL du répondeur OCSP fournie lors de l'enregistrement du certificat CA racine ne peut pas être résolue, ne répond pas ou si aucune URL du répondeur OCSP n'a été fournie, l'authentification de l'utilisateur échoue.

  • Le serveur OCSP doit être conforme à la norme RFC 6960. En outre, le serveur OCSP doit prendre en charge les demandes utilisant la méthode GET pour les demandes dont la valeur totale est inférieure ou égale à 255 octets.

Note

AD Connector nécessite une URL HTTP pour l'URL du répondeur OCSP.

Autres considérations

Avant d'activer l'authentification par carte à puce dans AD Connector, tenez compte des points suivants :

  • AD Connector utilise l'authentification mutuelle basée sur des certificats (protocole TLS mutuel) pour authentifier les utilisateurs auprès d'Active Directory à l'aide de certificats de carte à puce matériels ou logiciels. Seules les cartes d'accès communes (CAC) et les cartes de vérification d'identité personnelle (PIV) sont prises en charge pour le moment. D'autres types de cartes à puce matérielles ou logicielles peuvent fonctionner mais leur utilisation avec le protocole de WorkSpaces streaming n'a pas été testée.

  • L'authentification par carte à puce remplace l'authentification par nom d'utilisateur et mot de passe par WorkSpaces.

    Si d'autres AWS applications sont configurées sur votre annuaire AD Connector avec l'authentification par carte à puce activée, ces applications présentent toujours l'écran de saisie du nom d'utilisateur et du mot de passe.

  • L'activation de l'authentification par carte à puce limite la durée de session utilisateur à la durée de vie maximale des tickets de service Kerberos. Vous pouvez configurer ce paramètre à l'aide d'une politique de groupe, qui est fixé par défaut à 10 heures. Pour plus d'informations sur ce paramètre, veuillez consulter la documentation Microsoft.

  • Le type de chiffrement Kerberos pris en charge par le compte de service AD Connector doit correspondre à chacun des types de chiffrement Kerberos pris en charge par le contrôleur de domaine.