Peran Konektor AWS AD dengan Amazon WorkSpaces

AWS AD Connector adalah AWS Directory Service yang bertindak sebagai layanan proxy untuk Active Directory. Itu tidak menyimpan atau menyimpan kredensi pengguna apa pun, tetapi meneruskan otentikasi atau permintaan pencarian ke Direktori Aktif Anda—di lokasi atau di tempat. AWS Kecuali Anda menggunakan AWS Managed Microsoft AD, ini juga satu-satunya cara untuk mendaftarkan Active Directory (lokal atau diperluas ke AWS) untuk digunakan dengan Amazon WorkSpaces (WorkSpaces).

Konektor AD dapat mengarah ke Active Directory lokal, ke Active Directory yang diperluas ke AWS (Pengontrol Domain AD di Amazon EC2), atau ke file. AWS Managed Microsoft AD

AD Connector memainkan peran penting dengan sebagian besar skenario penerapan yang tercakup dalam bagian berikut. Menggunakan AD Connector dengan WorkSpaces memberikan sejumlah manfaat:

• Ketika diarahkan ke Active Directory perusahaan Anda, ini memungkinkan pengguna Anda untuk menggunakan kredensi perusahaan yang ada untuk masuk WorkSpaces dan layanan lainnya, seperti Amazon. WorkDocs

• Anda dapat secara konsisten menerapkan kebijakan keamanan yang ada (kedaluwarsa kata sandi, penguncian akun, dll.) Apakah pengguna Anda mengakses sumber daya di infrastruktur lokal Anda atau di, seperti. AWS Cloud WorkSpaces

• AD Connector memungkinkan integrasi sederhana dengan infrastruktur MFA berbasis Radius yang ada untuk memberikan lapisan keamanan tambahan.

• Ini memungkinkan pemisahan pengguna Anda. Misalnya, memungkinkan konfigurasi sejumlah WorkSpaces opsi per unit bisnis atau persona, karena beberapa Konektor AD dapat menunjuk ke Pengontrol Domain (server DNS) Direktori Aktif yang sama untuk otentikasi pengguna:

  • Domain Target atau Unit Organisasi untuk aplikasi yang ditargetkan dari Objek Kebijakan Grup Direktori Aktif (GPO)

  • Grup Keamanan yang berbeda untuk mengontrol arus lalu lintas ke/dari WorkSpaces

  • Opsi Kontrol Akses yang Berbeda (perangkat klien yang diizinkan) dan Grup Kontrol Akses IP (membatasi akses ke rentang IP)

  • Pengaktifan Selektif Izin Administrator Lokal

  • Izin Layanan Mandiri yang Berbeda

  • Penegakan Selektif Multi-Factor Authentication (MFA)

  • Penempatan Antarmuka Jaringan WorkSpaces Elastis (ENI) Anda ke dalam VPC atau Subnet yang berbeda untuk isolasi

Beberapa Konektor AD juga memungkinkan untuk mendukung jumlah pengguna yang lebih besar, jika Anda mencapai batas kinerja satu AD Connector kecil atau besar. Silakan merujuk ke Ukuran AWS Managed Microsoft AD bagian untuk detail lebih lanjut.

Penggunaan Konektor AD dengan WorkSpaces gratis, selama Anda memiliki setidaknya satu WorkSpaces pengguna aktif di AD Connector kecil dan setidaknya 100 WorkSpaces pengguna aktif dalam AD Connector besar. Untuk informasi selengkapnya, lihat halaman Harga Layanan AWS Direktori.

Pentingnya Tautan Jaringan Anda AWS dengan Direktori Aktif Lokal

WorkSpaces bergantung pada konektivitas ke Active Directory Anda. Oleh karena itu, ketersediaan tautan jaringan ke Direktori Aktif Anda adalah yang paling penting. Misalnya, jika tautan jaringan Anda di Skenario 1 tidak aktif, pengguna Anda tidak akan dapat mengautentikasi, dan akibatnya tidak akan dapat menggunakannya. WorkSpaces

Jika Active Directory lokal akan digunakan sebagai bagian dari skenario, Anda harus mempertimbangkan ketahanan, latensi, dan biaya lalu lintas tautan jaringan Anda. AWS Dalam WorkSpaces penerapan multi-wilayah, ini mungkin melibatkan beberapa tautan jaringan di AWS Wilayah yang berbeda, atau beberapa AWS Transit Gateway detik dengan peering yang dibuat di antara mereka untuk merutekan lalu lintas AD Anda ke VPC dengan konektivitas ke AD lokal Anda. Pertimbangan tautan jaringan ini berlaku untuk sebagian besar skenario yang diuraikan di bagian berikut, tetapi sangat penting untuk skenario di mana lalu lintas AD Anda dari Konektor AD dan WorkSpaces perlu melintasi tautan jaringan untuk mencapai Direktori Aktif di lokasi Anda. Skenario 1 menyoroti beberapa peringatan.

Menggunakan Otentikasi Multi-Faktor dengan WorkSpaces

Jika Anda berencana untuk menggunakan Multi-Factor Authentication (MFA) dengan, WorkSpaces Anda harus menggunakan AD AWS Connector atau, karena hanya layanan ini AWS Managed Microsoft AD yang mengizinkan pendaftaran direktori untuk digunakan dengan dan konfigurasi RADIUS. WorkSpaces Untuk penempatan server RADIUS Anda, pertimbangan tautan jaringan yang tercakup dalam Pentingnya Tautan Jaringan Anda AWS dengan Direktori Aktif Lokal bagian ini berlaku.

Memisahkan Akun dan Domain Sumber Daya

Untuk alasan keamanan atau untuk pengelolaan yang lebih baik, mungkin diinginkan untuk memisahkan Domain Akun dari Domain Sumber Daya. Misalnya, tempatkan Objek WorkSpaces Komputer ke dalam Domain Sumber Daya terpisah, sedangkan Pengguna adalah bagian dari Domain Akun. Implementasi seperti ini dapat digunakan untuk memungkinkan organisasi mitra mengelola Kebijakan Grup AD yang WorkSpaces menggunakan di Domain Sumber Daya, sementara tidak melepaskan kontrol atau memberikan akses ke Domain Akun. Ini dapat dicapai dengan menggunakan dua Direktori Aktif dengan Active Directory Trust yang dikonfigurasi. Bagian berikut membahas ini secara lebih rinci:

• Skenario 4: AWS Microsoft AD dan kepercayaan transitif dua arah ke lokal

• Skenario 6: AWS Microsoft AD, VPC layanan bersama, dan kepercayaan satu arah ke lokal

Penerapan Direktori Aktif Besar

Anda harus memastikan bahwa Situs & Layanan Direktori Aktif dikonfigurasi sesuai dengan itu. Ini sangat penting jika Active Directory Anda terdiri dari sejumlah besar pengontrol domain di lokasi geografis yang berbeda. Windows Anda WorkSpaces menggunakan mekanisme Microsoft standar untuk menemukan pengontrol domain mereka untuk Situs Direktori Aktif tempat mereka ditugaskan. Proses Locator DC ini bergantung pada DNS dan dapat diperpanjang secara signifikan jika daftar panjang pengontrol domain dengan prioritas dan bobot yang tidak spesifik dikembalikan pada tahap awal proses Pencari Lokasi DC. Lebih penting lagi, jika WorkSpaces Anda “disematkan” ke pengontrol domain sub-optimal, semua komunikasi selanjutnya dengan pengontrol domain ini mungkin mengalami peningkatan latensi jaringan dan pengurangan bandwidth saat melintasi tautan jaringan area luas. Ini akan memperlambat komunikasi apa pun dengan pengontrol domain, termasuk pemrosesan sejumlah besar Objek Kebijakan Grup (GPO), dan transfer file dari pengontrol domain. Tergantung pada topologi jaringan, itu juga dapat meningkatkan biaya jaringan Anda, karena data yang dipertukarkan antara WorkSpaces dan pengontrol domain mungkin tidak perlu melintasi jalur jaringan yang lebih mahal. Lihat Pertimbangan desain bagian Desain VPC dan untuk panduan tentang DHCP dan DNS dengan desain VPC Anda, dan Situs & Layanan Direktori Aktif.

Menggunakan Microsoft Azure Active Directory atau Layanan Domain Direktori Aktif dengan WorkSpaces

Jika ingin menggunakan Microsoft Azure Active Directory WorkSpaces, Anda dapat menggunakan Azure AD Connect untuk menyinkronkan identitas Anda dengan Active Directory lokal atau dengan Active Directory aktif AWS (Pengontrol Domain di Amazon EC2 atau). AWS Managed Microsoft AD Namun, ini tidak akan memungkinkan Anda untuk bergabung WorkSpaces ke Azure Active Directory Anda. Untuk informasi selengkapnya, lihat Dokumentasi Identitas Microsoft Hybrid di Dokumentasi Microsoft Azure.

Jika Anda ingin bergabung dengan Azure Active Directory, Anda harus menggunakan Microsoft Azure Active Directory Domain Services (Azure AD DS), membangun konektivitas antara AWS dan Azure, dan menggunakan Konektor AD yang menunjuk ke Pengontrol Domain Azure AWS AD DS Anda. WorkSpaces Untuk informasi selengkapnya tentang cara mengaturnya, lihat posting blog Tambahkan Anda WorkSpaces ke Azure AD menggunakan Azure Active Directory Domain Services.

Saat menggunakan AWS Directory Service s with WorkSpaces, Anda harus mempertimbangkan ukuran WorkSpaces penerapan Anda dan pertumbuhan yang diharapkan untuk mengukur ukuran yang AWS Directory Service tepat. Bagian ini memberikan panduan tentang ukuran AWS Directory Service untuk digunakan dengan WorkSpaces. Kami juga menyarankan Anda meninjau Praktik Terbaik untuk AD Connector dan Praktik Terbaik untuk AWS Managed Microsoft AD bagian dalam Panduan AWS Directory Service Administrasi.

Ukuran Konektor AD dengan WorkSpaces

Konektor Direktori Aktif (AD Connector) tersedia dalam dua ukuran, Kecil dan Besar. Meskipun tidak ada batasan pengguna atau koneksi yang diberlakukan, kami merekomendasikan untuk menggunakan AD Connector kecil untuk hingga 500 pengguna yang WorkSpaces berhak, dan Konektor AD besar untuk hingga 5000 pengguna yang WorkSpaces berhak. Anda dapat menyebarkan beban aplikasi di beberapa AD Connector untuk disesuaikan dengan kebutuhan kinerja Anda. Misalnya, jika Anda perlu mendukung 1500 WorkSpaces pengguna, Anda dapat menyebarkan WorkSpaces secara merata ke tiga AD Connector kecil, masing-masing mendukung 500 pengguna. Jika semua pengguna Anda berada di Domain yang sama, AD Connector dapat mengarah ke kumpulan Server DNS yang sama yang menyelesaikan Domain Direktori Aktif Anda.

Catatan, jika Anda memulai dengan AD Connector kecil, dan WorkSpaces penyebaran Anda bertambah seiring waktu, Anda dapat meningkatkan tiket dukungan agar ukuran AD Connector Anda diubah dari kecil menjadi besar untuk menangani lebih banyak pengguna yang WorkSpaces berhak.

Ukuran AWS Managed Microsoft AD

AWS Managed Microsoft ADmemungkinkan Anda menjalankan Microsoft Active Directory sebagai layanan terkelola. Anda dapat memilih antara Edisi Standar dan Edisi Perusahaan saat meluncurkan layanan. Edisi Standar direkomendasikan untuk bisnis kecil dan menengah dengan hingga 5.000 pengguna, dan mendukung hingga sekitar 30.000 objek direktori, seperti pengguna, grup, dan komputer. Enterprise Edition dirancang untuk mendukung hingga 500.000 objek direktori dan juga menawarkan fitur tambahan, seperti replikasi Multi-region.

Jika Anda perlu mendukung lebih dari 500.000 objek direktori, pertimbangkan untuk menerapkan Microsoft Active Directory Domain Controllers di Amazon EC2. Untuk ukuran Pengontrol Domain ini, lihat dokumen Perencanaan Kapasitas Microsoft untuk Layanan Domain Direktori Aktif.