前提条件 - AWS Directory Service

前提条件

Amazon WorkSpaces クライアントでスマートカードを使用した mTLS 認証を有効にするには、セルフマネージド AD と統合された運用上のスマートカードインフラストラクチャが必要です。Amazon WorkSpaces と AD でスマートカード認証を設定する方法の詳細については、「Amazon WorkSpaces 管理ガイド」を参照してください。

WorkSpaces でスマートカード認証を有効にする前に、次の考慮事項を確認してください。

CA 証明書の要件

AD Connector では、スマートカード認証にユーザー証明書の発行者を表す認証機関 (CA) 証明書が必要です。AD Connector は、CA 証明書をユーザーがスマートカードで提示した証明書と照合します。次の CA 証明書の要件に注意してください。

  • CA 証明書を登録するには、有効期限までに 90 日超の期間があることが必要です。

  • CA 証明書は、プライバシー強化メール (PEM) 形式である必要があります。Active Directory 内から CA 証明書をエクスポートする場合は、エクスポートファイル形式として Base64 でエンコードされた X.509 (.CER) を選択します。

  • スマートカード認証を成功させるには、発行元 CA からユーザー証明書まで繋がるすべてのルートおよび中間 CA 証明書をアップロードする必要があります。

  • AD Connector ディレクトリごとに最大 100 個の CA 証明書を保存できます。

  • AD Connector は、CA 証明書の RSASSA-PSS 署名アルゴリズムをサポートしていません。

ユーザー証明書の要件

AD Connector に提示されるユーザー証明書には、証明書の subjectAltName (SAN) フィールドに AD ユーザーの userPrincipalName (UPN) を含める必要があります。

証明書失効チェックのプロセス

スマートカード認証を実行するには、AD Connector がオンライン証明書ステータスプロトコル (OCSP) を使用してユーザー証明書の失効ステータスをチェックする必要があります。証明書失効チェックを実行するには、OCSP レスポンダー URL がインターネットでアクセス可能である必要があります。DNS 名を使用する場合、OCSP レスポンダー URL は、「Internet Assigned Numbers Authority (IANA) Root Zone Database」(Internet Assigned Numbers Authority (IANA) のルートゾーンデータベース) にある最上位ドメインである必要があります。

AD Connector 証明書失効チェックでは、次のプロセスが使用されます。

  • AD Connector は、OCSP レスポンダー URL のユーザー証明書の機関情報アクセス (AIA) の拡張機能を確認する必要があります。その後、AD Connector は URL を使用して失効をチェックします。

  • AD Connector がユーザー証明書の AIA 拡張機能で見つかった URL を解決できない場合、またはユーザー証明書で OCSP レスポンダー URL が見つからない場合、AD Connector は、ルート CA 証明書の登録時に提供されるオプションの OCSP URL を使用します。

    ユーザー証明書の AIA 拡張機能の URL が解決しても応答しない場合、ユーザー認証は失敗します。

  • ルート CA 証明書の登録中に提供された OCSP レスポンダー URL が解決できない、応答しない、または OCSP レスポンダー URL が指定されていない場合、ユーザー認証は失敗します。

注記

AD Connector には OCSP レスポンダー URL の HTTP URL が必要です。

その他の考慮事項

AD Connector でスマートカード認証を有効にする前に、次の項目を考慮してください。

  • AD Connector は、証明書ベースの相互 Transport Layer Security 認証 (相互 TLS) を使用して、ハードウェアまたはソフトウェアベースのスマートカード証明書を使用した Active Directory へのユーザー認証を行います。現在、共通アクセスカード (CAC) および個人識別検証 (PIV) カードのみがサポートされています。他のタイプのハードウェアベースまたはソフトウェアベースのスマートカードも機能する可能性がありますが、WorkSpaces Streaming Protocol での使用はテストされていません。

  • スマートカード認証は、WorkSpaces へのユーザーネームとパスワードによる認証に代わるものです。

    スマートカード認証が有効になっている AD Connector ディレクトリに他の AWS アプリケーションが設定されている場合、これらのアプリケーションでは引き続きユーザーネームとパスワードの入力画面が表示されます。

  • スマートカード認証を有効にすると、ユーザーセッション期間が Kerberos サービスチケットの最大有効期間に制限されます。この設定はグループポリシーを使用して設定でき、デフォルトで 10 時間に設定されています。この設定の詳細については、Microsoft のドキュメントを参照してください。