O papel do AWS AD Connector com a Amazon WorkSpaces

O AWS AD Connector é um AWS Directory Service que atua como um serviço de proxy para um Active Directory. Ele não armazena nem armazena em cache nenhuma credencial de usuário, mas encaminha solicitações de autenticação ou pesquisa para o Active Directory, no local ou no local. AWS A menos que você esteja usando AWS Managed Microsoft AD, também é a única maneira de registrar seu Active Directory (local ou estendido para AWS) para uso com a Amazon WorkSpaces (WorkSpaces).

Um AD Connector pode apontar para seu Active Directory local, para um Active Directory estendido para AWS (controladores de domínio AD no Amazon EC2) ou para um. AWS Managed Microsoft AD

O AD Connector desempenha um papel importante na maioria dos cenários de implantação abordados nas seções a seguir. O uso do AD Connector com WorkSpaces oferece vários benefícios:

• Quando direcionado para o Active Directory corporativo, ele permite que seus usuários usem suas credenciais corporativas existentes para WorkSpaces fazer login em outros serviços, como a Amazon WorkDocs.

• Você pode aplicar consistentemente as políticas de segurança existentes (expiração de senha, bloqueios de conta etc.), independentemente de seus usuários estarem acessando recursos em sua infraestrutura local ou na Nuvem AWS, como. WorkSpaces

• O AD Connector permite uma integração simples com sua infraestrutura de MFA baseada em RADIUS existente para fornecer uma camada adicional de segurança.

• Ele permite a segregação de seus usuários. Por exemplo, ele permite a configuração de várias WorkSpaces opções por unidade de negócios ou pessoa, já que vários conectores AD podem estar apontando para os mesmos controladores de domínio (servidores DNS) do Active Directory para autenticação do usuário:

  • Domínio de destino ou unidade organizacional para aplicação direcionada de Objetos de Política de Grupo (GPOs) do Active Directory

  • Diferentes grupos de segurança para controlar o fluxo de tráfego de/para WorkSpaces

  • Diferentes opções de controle de acesso (dispositivos clientes permitidos) e grupos de controle de acesso IP (limite o acesso aos intervalos de IP)

  • Ativação seletiva de permissões de administrador local

  • Permissões de autoatendimento diferentes

  • Aplicação seletiva da Autenticação Multi-Factor (MFA)

  • Posicionamento de suas interfaces de rede WorkSpaces elástica (ENI) em diferentes VPCs ou sub-redes para isolamento

Vários AD Connectors também permitem oferecer suporte a um número maior de usuários, se você estiver atingindo o limite de desempenho de um único AD Connector pequeno ou grande. Consulte a Dimensionamento de AWS Managed Microsoft AD seção para obter mais detalhes.

O uso de AD Connectors com WorkSpaces é gratuito, desde que você tenha pelo menos um WorkSpaces usuário ativo em um AD Connector pequeno e pelo menos 100 WorkSpaces usuários ativos em um AD Connector grande. Para obter mais informações, consulte a página de preços dos serviços de AWS diretório.

A importância de seu link de rede AWS com um Active Directory local

WorkSpaces depende da conectividade com seu Active Directory. Portanto, a disponibilidade do link de rede para o Active Directory é de extrema importância. Por exemplo, se seu link de rede no Cenário 1 estiver inativo, seus usuários não conseguirão se autenticar e, como resultado, não poderão usá-los WorkSpaces.

Se um Active Directory local for usado como parte do cenário, você precisará considerar a resiliência, a latência e o custo do tráfego do seu link de rede. AWS Em uma WorkSpaces implantação multirregional, isso pode envolver vários links de rede em diferentes AWS regiões ou vários AWS Transit Gateway s com emparelhamento estabelecido entre eles para rotear o tráfego do AD para a VPC com conectividade com o AD local. Essas considerações sobre links de rede se aplicam à maioria dos cenários descritos nas seções a seguir, mas são especialmente importantes para aqueles cenários em que o tráfego do AD a partir dos conectores AD WorkSpaces precisa atravessar o link de rede para chegar ao Active Directory local. O cenário 1 destaca algumas das ressalvas.

Usando a autenticação multifatorial com WorkSpaces

Se você planeja usar o Multi-Factor Authentication (MFA) WorkSpaces com, você deve usar um AD AWS Connector ou AWS Managed Microsoft AD um, pois somente esses serviços permitem o registro do diretório para uso WorkSpaces e a configuração do RADIUS. Para o posicionamento de seus servidores RADIUS, as considerações sobre links de rede abordadas na A importância de seu link de rede AWS com um Active Directory local seção se aplicam.

Separando a conta e o domínio do recurso

Por motivos de segurança ou para melhorar a capacidade de gerenciamento, talvez seja desejável separar o domínio da conta do domínio do recurso. Por exemplo, coloque os objetos do WorkSpaces computador em um domínio de recursos separado, enquanto os usuários fazem parte do domínio da conta. Uma implementação como essa pode ser usada para permitir que uma organização parceira gerencie o WorkSpaces uso de políticas de grupo do AD no domínio de recursos, sem abrir mão do controle ou conceder acesso ao domínio da conta. Isso pode ser feito usando dois Active Directories com um Active Directory Trust configurado. As seções a seguir abordam isso com mais detalhes:

• Cenário 4: AWS Microsoft AD e uma confiança transitiva bidirecional para o local

• Cenário 6: AWS Microsoft AD, VPC de serviços compartilhados e uma confiança unidirecional no local

Grandes implantações do Active Directory

Você deve garantir que os Sites e Serviços do Active Directory estejam configurados adequadamente. Isso é especialmente importante se o Active Directory consistir em um grande número de controladores de domínio em diferentes localizações geográficas. Seu Windows WorkSpaces usa o mecanismo padrão da Microsoft para descobrir seu controlador de domínio para o site do Active Directory ao qual está atribuído. Esse processo do DC Locator depende do DNS e pode ser significativamente prolongado caso uma longa lista de controladores de domínio com prioridade e peso inespecíficos seja retornada no estágio inicial do processo do DC Locator. Mais importante ainda, se você WorkSpaces ficar “preso” a um controlador de domínio abaixo do ideal, toda comunicação subsequente com esse controlador de domínio poderá sofrer com o aumento da latência da rede e a redução da largura de banda ao atravessar links de rede de longa distância. Isso diminuirá qualquer comunicação com o controlador de domínio, incluindo o processamento de um número potencialmente grande de Objetos de Política de Grupo (GPOs) e transferências de arquivos do controlador de domínio. Dependendo da topologia da rede, isso também pode aumentar seu custo de rede, porque os dados trocados entre os controladores de domínio WorkSpaces e os controladores de domínio podem percorrer desnecessariamente um caminho de rede mais caro. Consulte as Considerações sobre design seções Design em VPC e para obter orientação sobre DHCP e DNS com seu design de VPC e sites e serviços do Active Directory.

Usando o Microsoft Azure Active Directory ou os Serviços de Domínio do Active Directory com WorkSpaces

Se você pretende usar o Microsoft Azure Active Directory com WorkSpaces, você pode usar o Azure AD Connect para sincronizar sua identidade com o Active Directory local ou com o Active Directory em AWS (controlador de domínio no Amazon AWS Managed Microsoft AD EC2 ou). No entanto, isso não permitirá que você participe WorkSpaces do Azure Active Directory. Para obter mais informações, consulte a Documentação de Identidade Híbrida da Microsoft na Documentação do Microsoft Azure.

Se quiser associá-lo ao Azure Active Directory, você precisará implantar o Microsoft Azure Active Directory Domain Services (Azure AD DS), estabelecer conectividade entre o Azure AWS e usar um AWS AD Connector apontando para seus Controladores de Domínio do Azure AD DS. WorkSpaces Para obter mais informações sobre como configurar isso, consulte a postagem do blog Adicione seu WorkSpaces ao Azure AD usando o Azure Active Directory Domain Services.

Ao usar AWS Directory Service s with WorkSpaces, você precisará considerar o tamanho de sua WorkSpaces implantação e o crescimento esperado para dimensioná-la AWS Directory Service adequadamente. Esta seção fornece orientação sobre o dimensionamento do AWS Directory Service para uso com WorkSpaces. Também recomendamos que você revise as melhores práticas para o AD Connector e as melhores práticas para AWS Managed Microsoft AD as seções do Guia de AWS Directory Service administração.

Dimensionamento do AD Connector com WorkSpaces

O conector do Active Directory (AD Connector) está disponível em dois tamanhos, pequeno e grande. Embora não haja limites forçados de usuários ou conexões, recomendamos usar um pequeno AD Connector para até 500 usuários WorkSpaces autorizados e um AD Connector grande para até 5.000 usuários WorkSpaces autorizados. Você pode distribuir cargas de aplicativos em vários AD Connector para escalar de acordo com suas necessidades de desempenho. Por exemplo, se você precisar oferecer suporte a 1500 WorkSpaces usuários, poderá distribuí-los WorkSpaces igualmente por três pequenos AD Connector, cada um suportando 500 usuários. Se todos os seus usuários residirem no mesmo domínio, o AD Connector pode apontar todos para o mesmo conjunto de servidores DNS resolvendo seu domínio do Active Directory.

Observe que, se você começou com um AD Connector pequeno e sua WorkSpaces implantação cresce com o tempo, você pode criar um ticket de suporte para que o tamanho do AD Connector seja alterado de pequeno para grande, a fim de lidar com o maior número de usuários WorkSpaces autorizados.

Dimensionamento de AWS Managed Microsoft AD

AWS Managed Microsoft ADpermite que você execute o Microsoft Active Directory como um serviço gerenciado. Você pode escolher entre a Standard Edition e a Enterprise Edition ao iniciar o serviço. A Standard Edition é recomendada para empresas de pequeno e médio porte com até 5.000 usuários e oferece suporte a aproximadamente 30.000 objetos de diretório, como usuários, grupos e computadores. A Enterprise Edition foi projetada para suportar até 500.000 objetos de diretório e também oferece um recurso adicional, como replicação multirregional.

Se você precisar oferecer suporte a mais de 500.000 objetos de diretório, considere a implantação de controladores de domínio do Microsoft Active Directory no Amazon EC2. Para saber o tamanho desses controladores de domínio, consulte o documento Planejamento de capacidade para serviços de domínio do Active Directory da Microsoft.