Autenticação única - AWS Directory Service
IE/ChromeFirefox

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autenticação única

AWS Directory Service fornece a capacidade de permitir que seus usuários acessem a Amazon WorkDocs a partir de um computador associado ao diretório sem precisar inserir suas credenciais separadamente.

Antes de habilitar a autenticação única, é necessário executar etapas adicionais para permitir que os navegadores da Web dos usuários ofereçam suporte à autenticação única. Os usuários podem precisar modificar suas configurações de navegador da Web para habilitar a autenticação única.

nota

O logon único só funciona quando usado em um computador ingressado no diretório do AWS Directory Service . Não pode ser usado em computadores que não estão ingressados no diretório.

Se o diretório for um diretório do AD Connector e a conta de serviço do AD Connector não tiver a permissão para adicionar ou remover o atributo do nome da entidade principal de serviço, você terá duas opções para as etapas 5 e 6 abaixo:

  1. Você poderá continuar e será solicitado o nome de usuário e a senha de um usuário do diretório que tenha essa permissão para adicionar ou remover o atributo do nome principal de serviço na conta de serviço do AD Connector. Essas credenciais são usadas apenas para habilitar a autenticação única e não são armazenadas pelo serviço. As permissões da conta de serviço do AD Connector não são alteradas.

  2. Você pode delegar permissões para permitir que a conta de serviço do AD Connector adicione ou remova o atributo do nome principal do serviço em si mesma. Você pode executar os PowerShell comandos abaixo em um computador associado ao domínio usando uma conta que tenha permissões para modificar as permissões na conta de serviço do AD Connector. O comando abaixo permitirá que a conta de serviço do AD Connector adicione e remova um atributo de nome de entidade principal de serviço somente na própria conta.

$AccountName = 'ConnectorAccountName'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$RootDse = Get-ADRootDSE 
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting AD Connector service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AclPath = $AccountProperties.DistinguishedName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for AD Connector service account.
$ObjectAcl = Get-ACL -Path "AD:\$AclPath" 
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
Para ativar ou desativar o login único com a Amazon WorkDocs

  1. No painel de navegação do console do AWS Directory Service selecione Diretórios.

  2. Na página Directories (Diretórios), escolha o ID do diretório.

  3. Na página Directory details (Detalhes do diretório), selecione a guia Application management (Gerenciamento de aplicativos).

  4. Na seção URL de acesso ao aplicativo, escolha Habilitar para habilitar o login único para a Amazon. WorkDocs

    Se você não vir o botão Habilitar, talvez seja necessário criar primeiro um URL de acesso para que essa opção seja exibida. Para obter mais informações sobre como criar uma URL de acesso, consulte Criar um URL de acesso.

  5. Na caixa de diálogo Habilitar autenticação única para este diretório, escolha Habilitar. O logon único é habilitado para o diretório.

  6. Se mais tarde você quiser desativar o login único com a Amazon WorkDocs, escolha Desativar e, na caixa de diálogo Desativar login único para este diretório, escolha Desativar novamente.

Autenticação única para IE e Chrome

Para permitir que os navegadores Microsoft Internet Explorer (IE) e o Google Chrome ofereçam suporte à autenticação única, as seguintes tarefas devem ser executadas no computador cliente:

  • Adicione o URL de acesso (por exemplo, https://<alias>.awsapps.com) à lista de sites aprovados para autenticação única.

  • Ative o script ativo (JavaScript).

  • Permita o login automático.

  • Habilitar a autenticação integrada.

Você ou seus usuários podem executar essas tarefas manualmente, ou você pode alterar essas configurações usando as configurações da Política de grupo.

Atualização manual para autenticação única no Windows

Para habilitar manualmente a autenticação única em um computador Windows, execute as seguintes etapas no computador cliente. Algumas dessas configurações já podem estar definidas corretamente.

Para habilitar manualmente o logon único para o Internet Explorer e o Chrome no Windows

  1. Para abrir a caixa de diálogo Internet Properties, feche o menu Start, digite Internet Options na caixa de pesquisa e escolha Internet Options.

  2. Adicione a URL de acesso à lista de sites aprovados para logon único executando as etapas a seguir:

    1. Na caixa de diálogo Internet Properties, selecione a guia Security.

    2. Selecione Local intranet e escolha Sites.

    3. Na caixa de diálogo Local intranet, escolha Advanced.

    4. Adicione a URL de acesso à lista de sites e escolha Close.

    5. Na caixa de diálogo Local intranet, escolha OK.

  3. Para habilitar scripts ativos, execute as seguintes etapas:

    1. Na guia Security da caixa de diálogo Internet Properties, escolha Custom level.

    2. Na caixa de diálogo Security Settings - Local Intranet Zone, role para baixo até Scripting e selecione Enable em Active scripting.

    3. Na caixa de diálogo Security Settings - Local Intranet Zone, escolha OK.

  4. Para habilitar o login automático, execute as seguintes etapas:

    1. Na guia Security da caixa de diálogo Internet Properties, escolha Custom level.

    2. Na caixa de diálogo Security Settings - Local Intranet Zone, role para baixo até User Authentication e selecione Automatic logon only in Intranet zone em Logon.

    3. Na caixa de diálogo Security Settings - Local Intranet Zone, escolha OK.

    4. Na caixa de diálogo Security Settings - Local Intranet Zone, escolha OK.

  5. Para habilitar a autenticação integrada, execute as seguintes etapas:

    1. Na caixa de diálogo Internet Properties, selecione a guia Advanced.

    2. Role para baixo até Security e selecione Enable Integrated Windows Authentication.

    3. Na caixa de diálogo Internet Properties, escolha OK.

  6. Feche e abra seu navegador novamente para que essas alterações entrem em vigor.

Atualização manual para autenticação única no OS X

Para habilitar manualmente a autenticação única para o Chrome no OS X, execute as seguintes etapas no computador cliente. Você precisará ter direitos de administrador no computador para concluir estas etapas.

Para habilitar manualmente logon único para o Chrome no OS X

  1. Adicione seu URL de acesso à AuthServerAllowlistpolítica executando o seguinte comando:

    defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com"

  2. Abra System Preferences, vá para o painel Profiles e exclua o perfil Chrome Kerberos Configuration.

  3. Reinicie o Chrome e abra chrome://policy no Chrome para confirmar se as configurações estão implantadas.

Configurações da política de grupo para autenticação única

O administrador do domínio pode implementar as configurações da Política de grupo para fazer as alterações de logon único em computadores cliente ingressados no domínio.

nota

Se você gerencia os navegadores da Web Chrome nos computadores do seu domínio com as políticas do Chrome, você deve adicionar seu URL de acesso à AuthServerAllowlistpolítica. Para obter mais informações sobre como definir políticas do Chrome, acesse Configurações de políticas no Chrome.

Para habilitar o logon único manualmente para o Internet Explorer e o Chrome usando as configurações de Política de grupo

  1. Crie um novo objeto de Política de grupo executando as seguintes etapas:

    1. Abra a ferramenta de gerenciamento de políticas de grupo, navegue até seu domínio e selecione Group Policy Objects.

    2. No menu principal, escolha Action e selecione New.

    3. Na caixa de diálogo Novo GPO, digite um nome descritivo para o objeto de política de grupo, como IAM Identity Center Policy e mantenha GPO iniciador de origem definido como (nenhum). Clique em OK.

  2. Adicione a URL de acesso à lista de sites aprovados para logon único executando as etapas a seguir:

    1. Na ferramenta de gerenciamento de políticas de grupo, navegue para seu domínio, selecione Objetos de política de grupo, abra o menu de contexto (clique com o botão direito do mouse) da sua política do Centro de Identidade do IAM e escolha Editar.

    2. Na árvore de políticas, navegue para User Configuration > Preferences > Windows Settings.

    3. Na lista Windows Settings, abra o menu de contexto (clique com o botão direito do mouse) de Registry e escolha New registry item.

    4. Na caixa de diálogo New Registry Properties, insira as configurações a seguir e escolha OK:

      Ação

      Update

      Hive

      HKEY_CURRENT_USER

      Path

      Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>

      O valor de <alias> é derivado do URL de acesso. Se sua URL de acesso for https://examplecorp.awsapps.com, o alias será examplecorp, e a chave do registro será Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp.

      Value name

      https

      Tipo de valor

      REG_DWORD

      Value data

      1

  3. Para habilitar scripts ativos, execute as seguintes etapas:

    1. Na ferramenta de gerenciamento de políticas de grupo, navegue para seu domínio, selecione Objetos de política de grupo, abra o menu de contexto (clique com o botão direito do mouse) da sua política do Centro de Identidade do IAM e escolha Editar.

    2. Na árvore de políticas, navegue para Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone.

    3. Na lista Intranet Zone, abra o menu de contexto (clique com o botão direito do mouse) de Allow active scripting e escolha Edit.

    4. Na caixa de diálogo Allow active scripting, insira as configurações a seguir e escolha OK:

      • Selecione o botão de opção Enabled.

      • Em Options, defina Allow active scripting como Enable.

  4. Para habilitar o login automático, execute as seguintes etapas:

    1. Na ferramenta de gerenciamento de políticas de grupo, navegue para seu domínio, selecione Group Policy Objects, abra o menu de contexto (clique com o botão direito do mouse) de sua política de SSO e escolha Edit.

    2. Na árvore de políticas, navegue para Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone.

    3. Na lista Intranet Zone, abra o menu de contexto (clique com o botão direito do mouse) de Logon options e escolha Edit.

    4. Na caixa de diálogo Logon options, insira as configurações a seguir e escolha OK:

      • Selecione o botão de opção Enabled.

      • Em Options defina Logon options como Automatic logon only in Intranet zone.

  5. Para habilitar a autenticação integrada, execute as seguintes etapas:

    1. Na ferramenta de gerenciamento de políticas de grupo, navegue para seu domínio, selecione Objetos de política de grupo, abra o menu de contexto (clique com o botão direito do mouse) da sua política do Centro de Identidade do IAM e escolha Editar.

    2. Na árvore de políticas, navegue para User Configuration > Preferences > Windows Settings.

    3. Na lista Windows Settings, abra o menu de contexto (clique com o botão direito do mouse) de Registry e escolha New registry item.

    4. Na caixa de diálogo New Registry Properties, insira as configurações a seguir e escolha OK:

      Ação

      Update

      Hive

      HKEY_CURRENT_USER

      Path

      Software\Microsoft\Windows\CurrentVersion\Internet Settings

      Value name

      EnableNegotiate

      Tipo de valor

      REG_DWORD

      Value data

      1

  6. Feche a janela Group Policy Management Editor se ainda estiver aberta.

  7. Atribua a nova política a seu domínio seguindo estas etapas:

    1. Na árvore de gerenciamento de políticas de grupo, abra o menu contexto (clique com o botão direito do mouse) de seu domínio e escolha Link an Existing GPO.

    2. Na lista Objetos da política de grupo, selecione sua política do Centro de Identidade do IAM e escolha OK.

Essas alterações entrarão em vigor depois da próxima atualização de Política de grupo no cliente, ou na próxima vez que o usuário fizer login.

Autenticação única para o Firefox

Para permitir que o navegador Mozilla Firefox ofereça suporte à autenticação única, adicione o URL de acesso (por exemplo, https://<alias>.awsapps.com) à lista de sites aprovados para autenticação única. Isso pode ser feito manualmente ou ser automatizado com um script.

Atualização manual para autenticação única

Para adicionar a URL de acesso manualmente à lista de sites aprovados no Firefox, execute as seguintes etapas no computador cliente.

Para adicionar manualmente a URL de acesso à lista de sites aprovados no Firefox

  1. Abra o Firefox e abra a página about:config.

  2. Abra a preferência network.negotiate-auth.trusted-uris e adicione seu URL de acesso à lista de sites. Use uma vírgula (,) para separar várias entradas.

Atualização automática para autenticação única

Como um administrador de domínio, você pode usar um script para adicionar o URL de acesso à preferência de usuário network.negotiate-auth.trusted-uris do Firefox a todos os computadores na rede. Para obter mais informações, acesse https://support.mozilla.org/en-US/questions/939037.