Il ruolo dell' AWS AD Connector con Amazon WorkSpaces

AWS AD Connector è un AWS Directory Service che funge da servizio proxy per un Active Directory. Non memorizza né memorizza nella cache le credenziali utente, ma inoltra le richieste di autenticazione o ricerca all'Active Directory, in locale o in rete. AWS A meno che tu non lo stia utilizzando AWS Managed Microsoft AD, è anche l'unico modo per registrare Active Directory (locale o esteso a AWS) per utilizzarlo con Amazon WorkSpaces (WorkSpaces).

Un AD Connector può puntare al tuo Active Directory locale, a un Active Directory esteso a AWS (AD Domain Controllers su Amazon EC2) o a un. AWS Managed Microsoft AD

AD Connector svolge un ruolo importante nella maggior parte degli scenari di distribuzione descritti nelle sezioni seguenti. L'utilizzo di AD Connector con WorkSpaces offre una serie di vantaggi:

• Quando viene indirizzato all'Active Directory aziendale, consente agli utenti di utilizzare le credenziali aziendali esistenti per WorkSpaces accedere ad altri servizi, come Amazon WorkDocs.

• Puoi applicare in modo coerente le politiche di sicurezza esistenti (scadenza della password, blocco degli account, ecc.) indipendentemente dal fatto che gli utenti accedano alle risorse dell'infrastruttura locale o in, ad esempio. Cloud AWS WorkSpaces

• AD Connector consente una semplice integrazione con l'infrastruttura MFA esistente basata su RADIUS per fornire un ulteriore livello di sicurezza.

• Consente la segregazione degli utenti. Ad esempio, consente la configurazione di una serie di WorkSpaces opzioni per unità aziendale o persona, poiché più connettori AD possono puntare agli stessi controller di dominio (server DNS) di Active Directory per l'autenticazione degli utenti:

  • Dominio o unità organizzativa di destinazione per l'applicazione mirata di Active Directory Group Policy Objects (GPO)

  • Diversi gruppi di sicurezza per controllare il flusso di traffico da/verso WorkSpaces

  • Diverse opzioni di controllo degli accessi (dispositivi client consentiti) e gruppi di controllo degli accessi IP (accesso limitato agli intervalli IP)

  • Abilitazione selettiva delle autorizzazioni di amministratore locale

  • Autorizzazioni self-service diverse

  • Applicazione selettiva della Multi-Factor Authentication (MFA)

  • Posizionamento delle interfacce di rete WorkSpaces elastiche (ENI) in diversi VPC o sottoreti per l'isolamento

I connettori AD multipli consentono inoltre di supportare un numero maggiore di utenti, se si raggiunge il limite di prestazioni di un singolo connettore AD piccolo o grande. Consulta la Dimensionamento di AWS Managed Microsoft AD sezione per maggiori dettagli.

L'uso di AD Connectors con WorkSpaces è gratuito, a condizione che tu abbia almeno un WorkSpaces utente attivo in un connettore AD piccolo e almeno 100 WorkSpaces utenti attivi in un connettore AD di grandi dimensioni. Per ulteriori informazioni, consulta la pagina dei prezzi di AWS Directory Services.

L'importanza del collegamento di rete a AWS un Active Directory locale

WorkSpaces si basa sulla connettività con Active Directory. Pertanto, la disponibilità del collegamento di rete ad Active Directory è della massima importanza. Ad esempio, se il collegamento di rete nello Scenario 1 non è attivo, gli utenti non saranno in grado di autenticarsi e, di conseguenza, non saranno in grado di utilizzarlo. WorkSpaces

Se si desidera utilizzare un Active Directory locale come parte dello scenario, è necessario considerare la resilienza, la latenza e il costo del traffico del collegamento di rete a. AWS In una WorkSpaces distribuzione multiregionale, ciò può comportare più collegamenti di rete in diverse AWS regioni o più AWS Transit Gateway reti con peering stabilito tra di loro per instradare il traffico AD verso il VPC con connettività all'AD locale. Queste considerazioni sui collegamenti di rete si applicano alla maggior parte degli scenari descritti nelle sezioni seguenti, ma sono particolarmente importanti per quegli scenari in cui il traffico AD proveniente da AD Connectors WorkSpaces deve attraversare il collegamento di rete per raggiungere l'Active Directory locale. Lo scenario 1 evidenzia alcune delle avvertenze.

Utilizzo dell'autenticazione a più fattori con WorkSpaces

Se si prevede di utilizzare Multi-Factor Authentication (MFA) WorkSpaces con, è necessario utilizzare un AD AWS Connector o AWS Managed Microsoft AD un, poiché solo questi servizi consentono la registrazione della directory per l'uso WorkSpaces e la configurazione di RADIUS. Per il posizionamento dei server RADIUS, si applicano le considerazioni relative ai collegamenti di rete illustrate nella L'importanza del collegamento di rete a AWS un Active Directory locale sezione.

Separazione dell'account e del dominio delle risorse

Per motivi di sicurezza o per una migliore gestibilità, potrebbe essere opportuno separare il dominio dell'account dal dominio delle risorse. Ad esempio, posizionate gli oggetti del WorkSpaces computer in un dominio di risorse separato, mentre gli utenti fanno parte del dominio dell'account. Un'implementazione come questa può essere utilizzata per consentire a un'organizzazione partner di gestire l' WorkSpacesutilizzo delle politiche di gruppo AD nel dominio delle risorse, senza rinunciare al controllo o concedere l'accesso al dominio dell'account. Ciò può essere ottenuto utilizzando due Active Directory con un Active Directory Trust configurato. Le seguenti sezioni trattano questo argomento in modo più dettagliato:

• Scenario 4: AWS Microsoft AD e un trust transitivo bidirezionale per l'ambiente locale

• Scenario 6: AWS Microsoft AD, servizi condivisi, VPC e un trust unidirezionale per l'ambiente locale

Implementazioni di Active Directory di grandi dimensioni

È necessario assicurarsi che Active Directory Sites & Services sia configurato di conseguenza. Ciò è particolarmente importante se Active Directory è costituito da un gran numero di controller di dominio in diverse aree geografiche. I sistemi Windows WorkSpaces utilizzano il meccanismo standard di Microsoft per individuare il controller di dominio per il sito di Active Directory a cui sono assegnati. Questo processo DC Locator si basa sul DNS e può essere notevolmente prolungato nel caso in cui venga restituito un lungo elenco di controller di dominio con priorità e peso non specifici nella fase iniziale del processo DC Locator. Ancora più importante, se si viene « WorkSpaces bloccati «su un controller di dominio non ottimale, tutte le comunicazioni successive con questo controller di dominio potrebbero risentire dell'aumento della latenza di rete e della riduzione della larghezza di banda quando si attraversano collegamenti di rete WAN. Ciò rallenterà qualsiasi comunicazione con il controller di dominio, inclusa l'elaborazione di un numero potenzialmente elevato di Group Policy Object (GPO) e i trasferimenti di file dal controller di dominio. A seconda della topologia di rete, può anche aumentare i costi di rete, poiché i dati scambiati tra i controller di dominio WorkSpaces e i controller di dominio potrebbero attraversare inutilmente un percorso di rete più costoso. Consulta le Considerazioni di natura progettuale sezioni Progettazione VPC e per indicazioni su DHCP e DNS con la progettazione del tuo VPC e su Siti e servizi di Active Directory.

Utilizzo di Microsoft Azure Active Directory o Active Directory Domain Services con WorkSpaces

Se intendi usare Microsoft Azure Active Directory con WorkSpaces, puoi usare Azure AD Connect per sincronizzare la tua identità con Active Directory locale o con Active Directory su AWS (Controller di dominio su Amazon EC2 o). AWS Managed Microsoft AD Tuttavia, ciò non ti consentirà di accedere WorkSpaces al tuo Azure Active Directory. Per ulteriori informazioni, vedere la documentazione di Microsoft Hybrid Identity nella documentazione di Microsoft Azure.

Se desideri aggiungere il tuo WorkSpaces ad Azure Active Directory, dovrai distribuire Microsoft Azure Active Directory Domain Services (Azure AD DS), stabilire la connettività tra AWS e Azure e usare un AD Connector che punti ai controller di dominio Azure AWS AD DS. Per altre informazioni su come configurarlo, vedi il post di blog Aggiungere ad Azure AD usando Azure Active WorkSpaces Directory Domain Services.

Quando usi AWS Directory Service s with WorkSpaces, dovrai considerare le dimensioni della WorkSpaces distribuzione e la crescita prevista per dimensionarla in modo appropriato. AWS Directory Service Questa sezione fornisce indicazioni sul dimensionamento AWS Directory Service per l'uso con. WorkSpaces Ti consigliamo inoltre di consultare le AWS Managed Microsoft AD sezioni Best practice per AD Connector e Best practice per la Guida all'AWS Directory Service amministrazione.

Dimensionamento di AD Connector con WorkSpaces

L'Active Directory Connector (AD Connector) è disponibile in due dimensioni, Small e Large. Sebbene non siano previsti limiti di utenti o connessioni, consigliamo di utilizzare un connettore AD piccolo per un massimo di 500 utenti WorkSpaces autorizzati e un connettore AD grande per un massimo di 5000 utenti WorkSpaces autorizzati. Puoi distribuire i carichi di applicazioni su più AD Connector per adattarlo alle tue esigenze di prestazioni. Ad esempio, se devi supportare 1500 WorkSpaces utenti, puoi distribuirli WorkSpaces equamente su tre piccoli AD Connector, ognuno dei quali supporta 500 utenti. Se tutti i tuoi utenti risiedono nello stesso dominio, AD Connector può puntare tutti allo stesso set di server DNS che risolvono il tuo dominio Active Directory.

Nota, se hai iniziato con un connettore AD di piccole dimensioni e la tua WorkSpaces implementazione cresce nel tempo, puoi inviare un ticket di assistenza per modificare le dimensioni del tuo AD Connector da piccole a grandi in modo da gestire il maggior numero di utenti WorkSpaces autorizzati.

Dimensionamento di AWS Managed Microsoft AD

AWS Managed Microsoft ADconsente di eseguire Microsoft Active Directory come servizio gestito. È possibile scegliere tra Standard Edition ed Enterprise Edition all'avvio del servizio. La Standard Edition è consigliata per le piccole e medie imprese con un massimo di 5.000 utenti e supporta fino a circa 30.000 oggetti di directory, come utenti, gruppi e computer. L'Enterprise Edition è progettata per supportare fino a 500.000 oggetti di directory e offre anche una funzionalità aggiuntiva, come la replica in più regioni.

Se devi supportare più di 500.000 oggetti di directory, prendi in considerazione la distribuzione dei controller di dominio Microsoft Active Directory su Amazon EC2. Per il dimensionamento di questi controller di dominio, consulta il documento Microsoft sulla pianificazione della capacità per i servizi di dominio Active Directory.