Otentikasi berbasis sertifikat

Anda dapat menggunakan otentikasi berbasis sertifikat WorkSpaces untuk menghapus prompt pengguna untuk kata sandi domain Active Directory. Dengan menggunakan otentikasi berbasis sertifikat dengan domain Active Directory, Anda dapat:

• Andalkan penyedia identitas SAMP 2.0 Anda untuk mengautentikasi pengguna dan memberikan pernyataan SAMP agar sesuai dengan pengguna di Active Directory.

• Aktifkan pengalaman masuk masuk tunggal dengan lebih sedikit permintaan pengguna.

• Aktifkan alur autentikasi tanpa kata sandi menggunakan penyedia identitas SAFL 2.0 Anda.

Otentikasi berbasis sertifikat menggunakan AWS Private CA sumber daya di akun Anda. AWS AWS Private CA memungkinkan pembuatan hierarki otoritas sertifikat pribadi (CA), termasuk CA root dan subordinat. Dengan AWS Private CA, Anda dapat membuat hierarki CA Anda sendiri dan mengeluarkan sertifikat dengannya untuk mengautentikasi pengguna internal. Untuk informasi selengkapnya, silakan lihat Panduan Pengguna AWS Private Certificate Authority.

Saat menggunakan AWS Private CA untuk otentikasi berbasis sertifikat, WorkSpaces akan meminta sertifikat untuk pengguna Anda secara otomatis selama otentikasi sesi. Pengguna diautentikasi ke Active Directory menggunakan kartu pintar virtual yang disediakan dengan sertifikat.

Otentikasi berbasis sertifikat didukung dengan bundel Windows WorkSpaces on WorkSpaces Streaming Protocol (WSP) menggunakan aplikasi klien Akses WorkSpaces Web, Windows, dan macOS terbaru. Buka unduhan WorkSpaces Klien Amazon untuk menemukan versi terbaru:

• Klien Windows versi 5.5.0 atau yang lebih baru

• klien macOS versi 5.6.0 atau yang lebih baru

Untuk informasi selengkapnya tentang mengonfigurasi autentikasi berbasis sertifikat dengan Amazon WorkSpaces, lihat Cara mengonfigurasi otentikasi berbasis sertifikat untuk Amazon dan pertimbangan Desain di lingkungan yang sangat diatur untuk Otentikasi Berbasis Sertifikat dengan 2.0 WorkSpaces dan. AppStream WorkSpaces

Prasyarat

Selesaikan langkah-langkah berikut sebelum mengaktifkan otentikasi berbasis sertifikat.

1. Konfigurasikan WorkSpaces direktori Anda dengan integrasi SALL 2.0 untuk menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat WorkSpacesIntegrasi dengan SAFL 2.0.

2. Konfigurasikan userPrincipalName atribut dalam pernyataan SAFL Anda. Untuk informasi selengkapnya, lihat Membuat Pernyataan untuk Respons Otentikasi SAMB.

3. Konfigurasikan ObjectSid atribut dalam pernyataan SAFL Anda. Ini opsional untuk melakukan pemetaan yang kuat ke pengguna Active Directory. Otentikasi berbasis sertifikat akan gagal jika atribut tidak cocok dengan pengenal keamanan Direktori Aktif (SID) untuk pengguna yang ditentukan dalam SAML_subject. NameID Untuk informasi selengkapnya, lihat Membuat Pernyataan untuk Respons Otentikasi SAMB.

4. Tambahkan TagSession izin sts: ke kebijakan kepercayaan peran IAM Anda yang digunakan dengan konfigurasi SAMP 2.0 Anda jika belum ada. Izin ini diperlukan untuk menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat Membuat Peran IAM Federasi SAMB 2.0.

5. Buat otoritas sertifikat pribadi (CA) menggunakan AWS Private CA jika Anda tidak memiliki satu yang dikonfigurasi dengan Active Directory Anda. AWS Private CA diperlukan untuk menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat Merencanakan AWS Private CA penerapan Anda dan ikuti panduan untuk mengonfigurasi CA untuk otentikasi berbasis sertifikat. AWS Private CA Pengaturan berikut adalah yang paling umum untuk kasus penggunaan otentikasi berbasis sertifikat:

   1. Opsi tipe CA:

      1. Mode penggunaan CA sertifikat berumur pendek (disarankan jika Anda hanya menggunakan CA untuk menerbitkan sertifikat pengguna akhir untuk otentikasi berbasis sertifikat)

      2. Hirarki tingkat tunggal dengan Root CA (sebagai alternatif, pilih CA bawahan jika Anda ingin mengintegrasikan dengan hierarki CA yang ada)

   2. Opsi algoritma utama: RSA 2048

   3. Opsi nama yang dibedakan subjek: Gunakan kombinasi opsi apa pun untuk mengidentifikasi CA di toko Otoritas Sertifikasi Root Tepercaya Direktori Aktif Anda.

   4. Opsi pencabutan sertifikat: Distribusi CRL

      catatan

      Otentikasi berbasis sertifikat memerlukan titik distribusi CRL online yang dapat diakses dari desktop dan pengontrol domain. Ini memerlukan akses tidak terautentikasi ke bucket Amazon S3 yang dikonfigurasi untuk entri Private CA CRL, atau distribusi CloudFront yang akan memiliki akses ke bucket S3 jika memblokir akses publik. Untuk informasi selengkapnya tentang opsi ini, lihat Merencanakan daftar pencabutan sertifikat (CRL).

6. Tandai CA pribadi Anda dengan kunci yang berhak menunjuk CA euc-private-ca untuk digunakan dengan otentikasi berbasis sertifikat EUC. Kuncinya tidak membutuhkan nilai. Untuk informasi selengkapnya, lihat Mengelola tag untuk CA pribadi Anda.

7. Otentikasi berbasis sertifikat menggunakan kartu pintar virtual untuk logon. Mengikuti Pedoman untuk mengaktifkan logon kartu pintar dengan otoritas sertifikasi pihak ketiga di Active Directory, lakukan langkah-langkah berikut:

   • Konfigurasikan pengontrol domain dengan sertifikat pengontrol domain untuk mengautentikasi pengguna kartu pintar. Jika Anda memiliki CA perusahaan Layanan Sertifikat Direktori Aktif yang dikonfigurasi di Direktori Aktif Anda, pengontrol domain secara otomatis terdaftar dengan sertifikat untuk mengaktifkan logon kartu pintar. Jika Anda tidak memiliki Layanan Sertifikat Direktori Aktif, lihat Persyaratan untuk sertifikat pengontrol domain dari CA pihak ketiga. Anda dapat membuat sertifikat pengontrol domain dengan AWS Private CA. Jika Anda melakukan ini, jangan gunakan CA pribadi yang dikonfigurasi untuk sertifikat berumur pendek.

     catatan

     Jika Anda menggunakan AWS Managed Microsoft AD, Anda dapat mengonfigurasi Layanan Sertifikat pada instans EC2 untuk memenuhi persyaratan sertifikat pengontrol domain. Lihat AWS Launch Wizardmisalnya penerapan yang AWS Managed Microsoft AD dikonfigurasi dengan Layanan Sertifikat Direktori Aktif. AWS Private CA dapat dikonfigurasi sebagai bawahan dari Active Directory Certificate Services CA, atau dapat dikonfigurasi sebagai root sendiri saat menggunakan AWS Managed Microsoft AD.

     Tugas konfigurasi tambahan dengan AWS Managed Microsoft AD dan Layanan Sertifikat Direktori Aktif adalah membuat aturan keluar dari grup keamanan VPC pengontrol ke instans EC2 yang menjalankan Layanan Sertifikat yang memungkinkan port TCP 135 dan 49152-65535 untuk mengaktifkan pendaftaran otomatis sertifikat. Selain itu, instans EC2 yang berjalan harus memungkinkan akses masuk pada port yang sama dari instance domain, termasuk pengontrol domain. Untuk informasi selengkapnya tentang menemukan grup keamanan untuk AWS Managed Microsoft AD lihat Mengonfigurasi subnet VPC dan grup keamanan Anda.

   • Di AWS Private CA konsol atau menggunakan SDK atau CLI, pilih CA Anda dan di bawah sertifikat CA, ekspor sertifikat pribadi CA. Untuk informasi selengkapnya, lihat Mengekspor sertifikat pribadi.

   • Publikasikan CA ke Active Directory. Logon ke pengontrol domain atau mesin yang bergabung dengan domain. Salin sertifikat pribadi CA ke salah satu <path>\<file> dan jalankan perintah berikut sebagai administrator domain. Atau, Anda dapat menggunakan Kebijakan Grup dan alat Microsoft PKI Health Tool (PKIView) untuk mempublikasikan CA. Untuk informasi selengkapnya, lihat Petunjuk konfigurasi.

     certutil -dspublish -f <path>\<file> RootCA
     certutil -dspublish -f  <path>\<file> NTAuthCA

     Pastikan bahwa perintah berhasil diselesaikan, dan kemudian hapus file sertifikat pribadi. Bergantung pada pengaturan replikasi Active Directory, diperlukan beberapa menit agar CA dipublikasikan ke pengontrol domain dan instans desktop Anda.

     catatan

     • Diperlukan bahwa Active Directory mendistribusikan CA ke Otoritas Sertifikasi Root Tepercaya dan Enterprise NTAuth menyimpan secara otomatis untuk WorkSpaces desktop ketika mereka bergabung ke domain.

     • Pengontrol domain Active Directory harus dalam mode Kompatibilitas untuk penegakan sertifikat yang kuat guna mendukung otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat KB5014754—Perubahan autentikasi berbasis sertifikat pada pengontrol domain Windows di dokumentasi Dukungan Microsoft. Jika Anda menggunakan Microsoft AD yang AWS Dikelola, lihat Mengkonfigurasi pengaturan keamanan direktori untuk informasi selengkapnya.

Aktifkan otentikasi berbasis sertifikat

Selesaikan langkah-langkah berikut untuk mengaktifkan otentikasi berbasis sertifikat.

1. Buka WorkSpaces konsol dihttps://console.aws.amazon.com/workspaces.

2. Di panel navigasi, pilih Direktori.

3. Pilih ID Direktori untuk Anda WorkSpaces.

4. Di bawah Otentikasi, klik Edit.

5. Klik Edit Otentikasi Berbasis Sertifikat.

6. Periksa Aktifkan Otentikasi Berbasis Sertifikat.

7. Konfirmasikan bahwa CA ARN pribadi Anda terkait dalam daftar. CA pribadi harus berada di AWS akun yang sama dan Wilayah AWS, dan harus ditandai dengan kunci yang euc-private-ca berhak muncul dalam daftar.

8. Klik Simpan perubahan. Otentikasi berbasis sertifikat sekarang diaktifkan.

9. Reboot bundel Windows WorkSpaces on WorkSpaces Streaming Protocol (WSP) Anda agar perubahan diterapkan. Untuk informasi selengkapnya, lihat Reboot a WorkSpace.

10. Setelah reboot, ketika pengguna mengautentikasi melalui SAMP 2.0 menggunakan klien yang didukung, mereka tidak akan lagi menerima prompt untuk kata sandi domain.

catatan

Ketika otentikasi berbasis sertifikat diaktifkan untuk masuk WorkSpaces, pengguna tidak diminta untuk otentikasi multi-faktor (MFA) bahkan jika diaktifkan pada Direktori. Saat menggunakan otentikasi berbasis sertifikat, MFA dapat diaktifkan melalui penyedia identitas SAMP 2.0 Anda. Untuk informasi selengkapnya tentang AWS Directory Service MFA, lihat Autentikasi multi-faktor (AD Connector) atau Aktifkan otentikasi multi-faktor untuk. AWS Managed Microsoft AD

Kelola otentikasi berbasis sertifikat

sertifikat CA

Dalam konfigurasi tipikal, sertifikat CA pribadi memiliki masa berlaku 10 tahun. Lihat Mengelola siklus hidup CA pribadi untuk informasi selengkapnya tentang mengganti CA dengan sertifikat yang kedaluwarsa, atau menerbitkan kembali CA dengan masa berlaku baru.

Sertifikat Pengguna Akhir

Sertifikat pengguna akhir yang dikeluarkan oleh AWS Private CA untuk otentikasi WorkSpaces berbasis sertifikat tidak memerlukan perpanjangan atau pencabutan. Sertifikat ini berumur pendek. WorkSpacessecara otomatis mengeluarkan sertifikat baru setiap 24 jam. Sertifikat pengguna akhir ini memiliki masa berlaku yang lebih pendek daripada distribusi AWS Private CA CRL biasa. Akibatnya, sertifikat pengguna akhir tidak perlu dicabut dan tidak akan muncul di CRL.

Laporan Audit

Anda dapat membuat laporan audit untuk mencantumkan semua sertifikat yang telah dikeluarkan atau dicabut oleh CA privat Anda. Untuk informasi selengkapnya, lihat Menggunakan laporan audit dengan CA pribadi Anda.

Pembuatan Log dan Pemantauan

Anda dapat menggunakan AWS CloudTrailuntuk merekam panggilan API ke AWS Private CA by WorkSpaces. Untuk informasi selengkapnya, lihat Menggunakan CloudTrail. Dalam Riwayat CloudTrail acara, Anda dapat melihat GetCertificate dan nama IssueCertificate acm-pca.amazonaws.com acara dari sumber acara yang dibuat oleh nama WorkSpaces EcmAssumeRoleSession pengguna. Peristiwa ini akan direkam untuk setiap permintaan otentikasi berbasis sertifikat EUC.

Aktifkan berbagi PCA lintas akun

Saat Anda menggunakan berbagi lintas akun CA Pribadi, Anda dapat memberikan izin akun lain untuk menggunakan CA terpusat, yang menghilangkan kebutuhan akan CA Pribadi di setiap akun. CA dapat menghasilkan dan menerbitkan sertifikat dengan menggunakan AWS Resource Access Manager untuk mengelola izin. Berbagi lintas akun CA pribadi dapat digunakan dengan Otentikasi WorkSpaces berbasis sertifikat (CBA) dalam Wilayah yang sama. AWS

Untuk menggunakan sumber daya Private CA bersama dengan WorkSpaces CBA

1. Konfigurasikan CA Pribadi untuk CBA di akun terpusat AWS . Untuk informasi selengkapnya, lihat Otentikasi berbasis sertifikat.

2. Bagikan CA Pribadi dengan AWS akun sumber daya tempat WorkSpaces sumber daya menggunakan CBA dengan mengikuti langkah-langkah di Cara menggunakan AWS RAM untuk membagikan akun silang ACM Private CA Anda. Anda tidak perlu menyelesaikan langkah 3 untuk membuat sertifikat. Anda dapat berbagi CA Pribadi dengan AWS akun individual, atau berbagi melalui AWS Organizations. Untuk berbagi dengan akun individual, Anda harus menerima CA Pribadi bersama di akun sumber daya Anda dengan menggunakan konsol Resource Access Manager (RAM) atau API. Saat mengonfigurasi pembagian, konfirmasikan bahwa pembagian sumber daya RAM untuk CA Pribadi di akun sumber daya menggunakan templat izin AWS RAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority terkelola. Template ini sejajar dengan template PCA yang digunakan oleh peran WorkSpaces layanan saat menerbitkan sertifikat CBA.

3. Setelah pembagian berhasil, Anda harus dapat melihat CA Pribadi bersama dengan menggunakan konsol CA Pribadi di akun sumber daya.

4. Gunakan API atau CLI untuk mengaitkan Private CA ARN dengan CBA di properti direktori Anda. WorkSpaces Saat ini, WorkSpaces konsol tidak mendukung pemilihan ARN CA Pribadi bersama. Contoh perintah CLI:

   aws workspaces modify-certificate-based-auth-properties —resource-id <value> —certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>