前提条件 - Amazon WorkSpaces

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

前提条件

証明書ベースの認証を使用する前に、以下のステップを完了します。

  1. 証明書ベースの認証を使用するように 2.0 SAML 統合で WorkSpaces Pools ディレクトリを設定します。詳細については、「2.0 SAML を設定し、 WorkSpaces プールディレクトリを作成する」を参照してください。

    注記

    証明書ベースの認証を使用する場合は、プールディレクトリでスマートカードサインインを有効にしないでください。

  2. SAML アサーションで userPrincipalName 属性を設定します。詳細については、「ステップ 7: SAML認証レスポンスのアサーションを作成する」を参照してください。

  3. (オプション) SAMLアサーションで ObjectSid 属性を設定します。この属性を使用して、Active Directory ユーザーとの強力なマッピングを実行できます。ObjectSid 属性が SAML_Subject で指定されたユーザーの Active Directory セキュリティ識別子 (SID) と一致しない場合、証明書ベースの認証は失敗しますNameID。詳細については、「ステップ 7: SAML認証レスポンスのアサーションを作成する」を参照してください。

  4. 2.0 設定で使用するIAMロール信頼ポリシーに SAML アクセスsts:TagSession許可を追加します。詳細については、「AWS Identity and Access Management  ユーザーガイド」「 AWS STS でのタグ付けの規則」を参照してください。この権限は、証明書ベースの認証を使用する場合に必要です。詳細については、「ステップ 5: 2.0 SAML フェデレーションIAMロールを作成する」を参照してください。

  5. Active Directory で設定されていない場合は、Private CA AWS を使用してプライベート認証機関 (CA) を作成します。証明書ベースの認証を使用するには AWS 、Private CA が必要です。詳細については、「 ユーザーガイドAWS Private CA 」の「デプロイの計画AWS Private Certificate Authority 」を参照してください。証明書ベースの認証の多くのユースケースでは、次の AWS Private CA 設定が一般的です。

    • CA タイプオプション

      • 使用期間が短い証明書 CA 使用モード – CA が証明書ベースの認証のためにエンドユーザー証明書のみを発行する場合に推奨されます。

      • ルート CA を含む単一レベルの階層 – 下位 CA を選択して既存の CA 階層と統合します。

    • 主要なアルゴリズムオプション – RSA 2048

    • サブジェクト識別名オプション – 最も適切なオプションを使用して、Active Directory の信頼されたルート証明機関ストアでこの CA を識別します。

    • 証明書失効オプション – CRLディストリビューション

      注記

      証明書ベースの認証では、 WorkSpaces プール WorkSpaces の とドメインコントローラーの両方からオンラインCRLディストリビューションポイントにアクセスする必要があります。これには、 AWS プライベート CA CRLエントリ用に設定された Amazon S3 バケットへの認証されていないアクセスが必要です。パブリックアクセスをブロックする場合は、Amazon S3 バケットへのアクセス権を持つ CloudFront ディストリビューションが必要です。これらのオプションの詳細については、「 ユーザーガイド」の「証明書失効リスト (CRL) の計画AWS Private Certificate Authority 」を参照してください。

  6. プライベート CA euc-private-caに、 WorkSpaces プール証明書ベースの認証で使用する CA を指定する権限を持つキーをタグ付けします。このキーには値は必要ありません。詳細については、「 ユーザーガイド」の「プライベート CA のタグの管理AWS Private Certificate Authority 」を参照してください。

  7. 証明書ベースの認証では、仮想スマートカードを使用してログオンします。詳細については、「サードパーティーの証明機関でスマートカードオンを有効にするためのガイドライン」を参照してください。以下のステップに従います。

    1. スマートカードユーザーを認証するには、ドメインコントローラー証明書を使用してドメインコントローラーを設定します。Active Directory 証明書サービスのエンタープライズ CA が Active Directory に設定されている場合、スマートカードによるログオンを可能にするドメインコントローラーが証明書に自動的に登録されます。Active Directory 証明書サービスがない場合は、「サードパーティー CA からのドメインコントローラー証明書の要件」を参照してください。 AWS Private CA を使用してドメインコントローラー証明書を作成できます。その場合は、使用期間の短い証明書用に設定されたプライベート CA を使用しないでください。

      注記

      AWS Managed Microsoft AD を使用する場合は、ドメインコントローラー証明書の要件を満たす Amazon EC2インスタンスで証明書サービスを設定できます。Active Directory Certificate Services で設定された Managed Microsoft AD のデプロイ例については、「新しい Amazon Virtual Private Cloud に Active Directory をデプロイする」を参照してください。 AWS

      AWS Managed Microsoft AD と Active Directory Certificate Services では、コントローラーVPCのセキュリティグループから Certificate Services を実行する Amazon EC2インスタンスへのアウトバウンドルールも作成する必要があります。証明書の自動登録を有効にするには、TCPポート 135、およびポート 49152~65535 へのアクセスをセキュリティグループに提供する必要があります。Amazon EC2インスタンスは、ドメインコントローラーを含むドメインインスタンスからのこれらの同じポートへのインバウンドアクセスも許可する必要があります。 AWS Managed Microsoft AD のセキュリティグループを見つける方法の詳細については、VPC「サブネットとセキュリティグループを設定する」を参照してください。

    2. AWS プライベート CA コンソール、または SDKまたは を使用してCLI、プライベート CA 証明書をエクスポートします。詳細については、「プライベート証明書のエクスポート」を参照してください。

    3. プライベート CA を Active Directory に公開します。ドメインコントローラーまたはドメイン結合マシンにログオンします。プライベート CA 証明書を任意の <path>\<file> にコピーし、ドメイン管理者として次のコマンドを実行します。グループポリシーと Microsoft PKI Health Tool (PKIView) を使用して CA を発行することもできます。詳細については、「設定手順」を参照してください。

      certutil -dspublish -f <path>\<file> RootCA
      certutil -dspublish -f <path>\<file> NTAuthCA

      コマンドが正常に完了したことを確認してから、プライベート CA 証明書ファイルを削除します。Active Directory のレプリケーション設定によっては、CA がドメインコントローラーと WorkSpaces プール WorkSpaces に公開されるまでに数分かかる場合があります。

      注記

      Active Directory は、ドメインに参加するときに WorkSpaces 、プール内の の信頼されたルート認証機関とエンタープライズNTAuthストア WorkSpaces に CA を自動的に配布する必要があります。

      注記

      証明書の強力な強制で証明書ベースの認証をサポートするには、Active Directory ドメインコントローラーを互換モードにする必要があります。詳細については、Microsoft サポートドキュメントのKB5「014754 — Windows ドメインコントローラーでの証明書ベースの認証の変更」を参照してください。 AWS Managed Microsoft AD を使用している場合は、「ディレクトリのセキュリティ設定の構成」を参照してください。