Tutorial: Configuração do Active Directory

Para usar o Active Directory com AppStream 2.0, você deve primeiro registrar sua configuração de diretório criando um objeto Directory Config na AppStream versão 2.0. Esse objeto inclui as informações necessárias para ingressar instâncias de streaming em um domínio do Active Directory. Você cria um objeto Directory Config usando o console de gerenciamento AppStream 2.0, o AWS SDK ou. AWS CLI Depois, você pode usar a configuração do diretório para iniciar frotas e construtores de imagens sempre ativos e sob demanda associados a um domínio.

nota

Só é possível associar instâncias de streaming de frotas sempre ativas e sob demanda a um domínio do Active Directory.

Etapa 1: Criar um objeto de configuração do diretório

O objeto Directory Config que você cria na AppStream versão 2.0 será usado em etapas posteriores.

Se você estiver usando o AWS SDK, poderá usar a operação CreateDirectoryConfig. Se você estiver usando o AWS CLI, você pode usar o comando create-directory-config.

Para criar um objeto Directory Config usando o console 2.0 AppStream

1. Abra o console AppStream 2.0 em https://console.aws.amazon.com/appstream2.

2. No painel de navegação, selecione Directory Configs (Configurações de diretório), Create Directory Config (Criar configuração de diretório).

3. Em Directory Name (Nome do diretório), informe o nome do domínio totalmente qualificado (FQDN) do domínio do Active Directory (por exemplo, corp.example.com). Cada região pode ter apenas um valor de Directory Config com um nome de diretório específico.

4. Em Service Account Name (Nome da conta de serviço), digite o nome de uma conta que pode criar objetos de computador e que tenha permissões para ingressar no domínio. Para ter mais informações, consulte Conceder permissões para criar e gerenciar objetos de computador do Active Directory. O nome da conta deve estar no formato DOMAIN\username.

5. Em Password (Senha) e Confirm Password (Confirmar senha), digite a senha do diretório da conta especificada.

6. Em Organizational Unit (OU), digite o nome distinto de pelo menos uma UO para objetos de computador da instância de streaming.

   nota

   O nome da UO não pode conter espaços. Se você especificar um nome de OU que contenha espaços, quando um construtor de frotas ou imagens tentar se juntar novamente ao domínio do Active Directory, AppStream 2.0 não poderá alternar os objetos do computador corretamente e a reassociação ao domínio não será bem-sucedida. Para obter informações sobre como solucionar esse problema, consulte o tópico DOMAIN_JOIN_INTERNAL_SERVICE_ERROR para a mensagem “The account already exists” em Ingresso no Domínio do Active Directory.

   Além disso, o contêiner Computers padrão não é uma UO e não pode ser usado pela AppStream versão 2.0. Para ter mais informações, consulte Localizar o nome distinto da unidade organizacional.

7. Para adicionar mais de uma UO, selecione o sinal de mais (+) ao lado de Organizational Unit (OU). Para remover UOs, escolha o ícone x.

8. Escolha Próximo.

9. Revise as informações de configuração e selecione Create.

Etapa 2: Criar uma imagem usando um construtor de imagens ingressado no domínio

Em seguida, usando o construtor de imagens AppStream 2.0, crie uma nova imagem com recursos de associação de domínio do Active Directory. Observe que a frota e a imagem podem ser membros de domínios diferentes. Você ingressa o construtor de imagens em um domínio para habilitar o ingresso no domínio e para instalar aplicativos. O ingresso de frota no domínio é abordado na próxima seção.

Para criar uma imagem para a inicialização de frotas ingressadas em um domínio

1. Siga os procedimentos em Tutorial: Criar uma imagem personalizada do AppStream 2.0 usando o console do AppStream 2.0.

2. Para a etapa de seleção da imagem base, use uma imagem AWS base lançada em ou após 24 de julho de 2017. Para obter uma lista atual das AWS imagens lançadas, consulteAppStream Notas de versão da atualização de imagem básica e imagem gerenciada 2.0.

3. Na Step 3: Configure Network, selecione uma VPC e as sub-redes que tenham conectividade de rede com seu ambiente do Active Directory. Selecione os security groups configurados para permitir acesso ao diretório por meio das sub-redes da VPC.

4. Também na Step 3: Configure Network (Etapa 3: Configurar rede), expanda a seção Active Directory Domain (Optional) (Domínio de Active Directory (opcional)) e selecione valores para o Directory Name (Nome do diretório) e Directory OU (UO do diretório) nos quais o construtor de imagens deve ingressar.

5. Reveja as informações da configuração do construtor de imagens e selecione Create.

6. Aguarde até que o novo construtor de imagens atinja o estado Running e selecione Connect.

7. Faça login no construtor de imagens em modo de administrador ou como um usuário do diretório com permissões de administrador local. Para ter mais informações, consulte Concessão de direitos de administrador local em construtores de imagens.

8. Conclua as etapas em Tutorial: Criar uma imagem personalizada do AppStream 2.0 usando o console do AppStream 2.0 para instalar os aplicativos e criar uma nova imagem.

Etapa 3: Criar uma frota ingressada no domínio

Usando a imagem privada criada na etapa anterior, crie uma frota sempre ativa ou sob demanda associada a um domínio do Active Directory para aplicações de streaming. O domínio pode ser diferente do usado pelo construtor de imagens para criar a imagem.

Como criar uma frota sempre ativa ou sob demanda associada a um domínio

1. Siga os procedimentos em Criar uma frota.

2. Na etapa de seleção de imagem, use a imagem criada na etapa anterior Etapa 2: Criar uma imagem usando um construtor de imagens ingressado no domínio.

3. Na Step 4: Configure Network, selecione uma VPC e as sub-redes que tenham conectividade de rede com seu ambiente do Active Directory. Selecione os security groups configurados para permitir comunicação com seu domínio.

4. Também na Step 4: Configure Network (Etapa 4: Configurar rede), expanda a seção Active Directory Domain (Optional) (Domínio do Active Directory (opcional)) e selecione os valores para Directory Name (Nome do diretório) e Directory OU (UO do diretório) nos quais a frota deve ingressar.

5. Reveja a configuração da frota e selecione Create.

6. Conclua as etapas restantes em Crie uma frota AppStream 2.0 e empilhe para que sua frota seja associada a uma pilha e esteja em execução.

Etapa 4: Configurar o SAML 2.0

Seus usuários devem usar o ambiente de federação de identidades baseada no SAML 2.0 para iniciar sessões de streaming na frota ingressada no domínio.

Para configurar o SAML 2.0 para acesso de logon único

1. Siga os procedimentos em Configuração do SAML.

2. AppStream 2.0 exige que o NameID valor SAML_Subject para o usuário que está fazendo login seja fornecido em um dos seguintes formatos:

   • domain\usernameusando o SaM AccountName

   • username@domain.comusando o userPrincipalName

   Se você estiver usando o AccountName formato SaM, poderá especificar o domain usando o nome NetBIOS ou o nome de domínio totalmente qualificado (FQDN).

3. Forneça acesso aos seus usuários ou grupos do Active Directory para permitir o acesso à pilha AppStream 2.0 a partir do portal de aplicativos do seu provedor de identidade.

4. Conclua as etapas restantes em Configuração do SAML.

Para fazer login de um usuário com o SAML 2.0

1. Faça login no catálogo de aplicativos do seu provedor de SAML 2.0 e abra o aplicativo SAML AppStream 2.0 que você criou no procedimento anterior.

2. Quando o catálogo de aplicativos AppStream 2.0 for exibido, selecione um aplicativo para iniciar.

3. Quando um ícone de carregamento for exibido, você será solicitado a fornecer uma senha. O nome do usuário do domínio fornecido pelo provedor de identidade do SAML 2.0 aparece acima do campo de senha. Digite a senha e selecione log in (fazer login).

A instância de streaming executa o procedimento de login do Windows e o aplicativo selecionado é aberto.