翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
シナリオ 1: AD コネクタを使用してオンプレミスの Active Directory Service に認証をプロキシする
このシナリオは、オンプレミス AD サービスを に拡張したくない場合や AWS、AD DS の新しいデプロイがオプションでないお客様を対象としています。次の図は、高レベル、各コンポーネント、およびユーザー認証フローを示しています。
図 5: AD Connector からオンプレミスの Active Directory へ
このシナリオでは、AD Connector を介して顧客のオンプレミス AD DS (次の図を参照) にプロキシされるすべてのユーザーまたは MFA 認証に AWS ディレクトリサービス (AD Connector) が使用されます。認証プロセスに使用されるプロトコルまたは暗号化の詳細については、このドキュメントのセキュリティ「」セクションを参照してください。
図 6: Authentication Gateway によるユーザー認証
シナリオ 1 は、顧客が既に にリソースを持っている可能性があるハイブリッドアーキテクチャと AWS、Amazon 経由でアクセスできるオンプレミスデータセンターのリソースを示しています WorkSpaces。ユーザーは、既存のオンプレミス AD DS サーバーと RADIUS サーバーを利用して、ユーザーと MFA 認証を行うことができます。
このアーキテクチャでは、次のコンポーネントまたはコンストラクトを使用します。
AWS
-
Amazon VPC — 2 つの AZs にまたがる少なくとも 2 つのプライベートサブネットを持つ Amazon VPC の作成。
-
DHCP オプションセット — Amazon VPC DHCP オプションセットの作成。これにより、お客様が指定したドメイン名とドメインネームサーバー (DNS) (オンプレミスサービス) を定義できます。詳細については、「DHCP オプションセット」を参照してください。
-
Amazon Virtual Private Gateway — IPsec VPN トンネルまたは AWS Direct Connect 接続を介した独自のネットワークとの通信を有効にします。
-
AWS Directory Service — AD Connector は Amazon VPC プライベートサブネットのペアにデプロイされます。
-
Amazon WorkSpaces — AD Connector と同じプライベートサブネットにデプロイ WorkSpaces されます。詳細については、このドキュメントの「Active Directory: サイトとサービス」セクションを参照してください。
カスタマー
-
ネットワーク接続 — 企業 VPN または Direct Connect エンドポイント。
-
AD DS — 企業 AD DS。
-
MFA (オプション) — 企業 RADIUS サーバー。
-
エンドユーザーデバイス — Amazon WorkSpaces サービスへのアクセスに使用される企業または Bring Your Own License (BYOL) エンドユーザーデバイス (Windows、Mac、iPads、Android タブレット、ゼロクライアント、Chromebooks など)。サポートされているデバイスおよびウェブブラウザについては、このクライアントアプリケーションのリストを参照してください。
このソリューションは、AD DS をクラウドにデプロイしたくないお客様に最適ですが、いくつかの注意点があります。
-
接続への依存 — データセンターへの接続が失われた場合、ユーザーはそれぞれの にログインできず WorkSpaces、既存の接続は Kerberos/Ticket-Granting チケット (TGT) の存続期間中も有効です。
-
レイテンシー — 接続を介してレイテンシーが存在する場合 (これは Direct Connect よりも VPN の場合が多い)、 WorkSpaces 認証とグループポリシー (GPO) の適用などの AD DS 関連のアクティビティには時間がかかります。
-
トラフィックコスト — すべての認証は VPN または Direct Connect リンクを経由する必要があるため、接続タイプによって異なります。これは、Amazon EC2 からインターネットへのデータ転送出力、またはデータ転送出力 (Direct Connect) のいずれかです。
注記
AD Connector はプロキシサービスです。ユーザー認証情報は保存またはキャッシュされません。代わりに、すべての認証、ルックアップ、および管理リクエストは AD によって処理されます。ディレクトリサービスには、すべてのユーザー情報を読み取り、コンピュータをドメインに参加させる権限を持つ委任権限を持つアカウントが必要です。
一般に、 WorkSpaces エクスペリエンスは前の図に示されている Active Directory 認証プロセスに大きく依存します。このシナリオでは、 WorkSpaces 認証エクスペリエンスはカスタマー AD と WorkSpaces VPC 間のネットワークリンクに大きく依存します。お客様は、リンクの可用性が高いことを確認する必要があります。
