教程:设置 Active Directory - 亚马逊 AppStream 2.0
步骤 1:创建 Directory Config 对象步骤 2:使用加入域的映像生成器创建映像步骤 3:创建加入域的实例集步骤 4:配置 SAML 2.0

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

教程:设置 Active Directory

要在 AppStream 2.0 中使用 Active Directory,必须先通过在 AppStream 2.0 中创建 Directory Config 对象来注册目录配置。此对象包含将流实例加入 Active Directory 域所需的信息。您可以使用 AppStream 2.0 管理控制台创建 Directory Config 对象 AWS SDK,或 AWS CLI。之后,可以使用目录配置启动加入域的 Always-On 和 On-Demand 实例集和映像生成器。

注意

只能将 Always-On 和 On-Demand 实例集流实例加入 Active Directory 域。

步骤 1:创建 Directory Config 对象

您在 AppStream 2.0 中创建的 Directory Config 对象将在后续步骤中使用。

如果您使用的是 AWS SDK,则可以使用该CreateDirectoryConfig操作。如果您使用的是 AWS CLI,则可以使用create-directory-config命令。

使用 AppStream 2.0 控制台创建 Directory Config 对象

  1. 打开 AppStream 2.0 主机,网址为 https://console.aws.amazon.com/appstream2

  2. 在导航窗格中,选择 Directory Configs (目录配置)、Create Directory Config (创建目录配置)。

  3. 对于目录名称,请提供 Active Directory 域的完全限定域名 (FQDN)(例如corp.example.com)。每个区域只能有一个具有特定目录名称的 Directory Config 值。

  4. 对于 Service Account Name (服务账户名),输入可创建计算机对象 (有权加入域) 的账户的名称。有关更多信息,请参阅 授予创建和管理 Active Directory 计算机对象的权限。账户名的格式必须为 DOMAIN\username

  5. 对于 Password (密码) 和 Confirm Password (确认密码),键入指定账户的目录密码。

  6. 对于 Organizational Unit (OU),键入至少一个用于流实例计算机对象的 OU 的可分辨名称。

    注意

    OU 名称中不得包含空格。如果您指定包含空格的 OU 名称,则当队列或映像生成器尝试重新加入 Active Directory 域时, AppStream 2.0 将无法正确循环计算机对象,并且无法成功重新加入域。有关如何解决此问题的信息,请参阅中的 “账户已存在” 消息的 DOMAINJOININTERNALSERVICE_ _ _ _ ERROR 主题Active Directory 加入域故障排除

    此外,默认 “计算机” 容器不是 OU,无法在 AppStream 2.0 版本中使用。有关更多信息,请参阅 查找组织单位的可分辨名称

  7. 要添加多个 OU,请选择组织单位(OU)字段右侧的加号(+)。要删除OUs,请选择 x 图标。

  8. 选择下一步

  9. 检查配置信息并选择 Create

步骤 2:使用加入域的映像生成器创建映像

接下来,使用 AppStream 2.0 映像生成器创建具有 Active Directory 域加入功能的新映像。请注意,实例集和映像可以是不同域的成员。将映像生成器加入域中可启用域加入和安装应用程序。下一节中将讨论实例集如何加入域。

创建用于启动加入域的实例集的映像

  1. 按照 教程:使用 AppStream 2.0 控制台创建自定义 AppStream 2.0 镜像 所述的过程操作。

  2. 对于基本图像选择步骤,请使用 2017 年 7 月 24 日当天或之后发布 AWS 的基础图片。有关已发布 AWS 图像的最新列表,请参阅AppStream 2.0 基础映像和托管映像更新发行说明

  3. 在 “步骤 3:配置网络” 中,选择一个VPC和子网与您的 Active Directory 环境具有网络连接。选择设置为允许通过VPC子网访问您的目录的安全组。

  4. 此外,在 Step 3: Configure Network (步骤 3: 配置网络) 中,展开 Active Directory Domain (Optional) (Active Directory 域(可选)) 部分,选择映像生成器应加入的 Directory Name (目录名称) 和 Directory OU (目录 OU) 的值。

  5. 检查映像生成器配置并选择 Create

  6. 等待新的映像生成器进入 Running 状态后,选择 Connect

  7. 在管理员模式下或以具有本地管理员权限的目录用户身份登录到映像生成器。有关更多信息,请参阅 在映像生成器上授予本地管理员权限

  8. 完成教程:使用 AppStream 2.0 控制台创建自定义 AppStream 2.0 镜像中的步骤以安装应用程序并创建新映像。

步骤 3:创建加入域的实例集

使用在上一步中创建的私有映像,为流应用程序创建一个已加入 Active Directory 域的始终在线或按需实例集。此域可以不同于供映像生成器创建映像的域。

创建已加入域的 Always-On 或 On-Demand 实例集

  1. 按照 创建实例集 所述的过程操作。

  2. 对于映像选择步骤,使用上一步 步骤 2:使用加入域的映像生成器创建映像 中创建的映像。

  3. 在 “步骤 4:配置网络” 中,选择一个VPC和子网与您的 Active Directory 环境具有网络连接。选择设置为允许与您的域通信的安全组。

  4. 此外,在 Step 4: Configure Network (步骤 4: 配置网络) 中,展开 Active Directory Domain (Optional) (Active Directory 域(可选)) 部分,选择实例集应加入的 Directory Name (目录名称) 和 Directory OU (目录 OU) 的值。

  5. 检查实例集配置并选择 Create

  6. 完成创建 AppStream 2.0 舰队和堆栈中的其余步骤,以便您的实例集与堆栈关联并运行。

步骤 4:配置 SAML 2.0

您的用户必须使用SAML基于 2.0 的身份联合环境才能从已加入域的队列中启动直播会话。

配置 SAML 2.0 以实现单点登录访问

  1. 按照 正在设置 SAML 所述的过程操作。

  2. AppStream 2.0 要求以以下任一格式提供登录用户的 SAML _Subject NameID 值:

    • domain\username使用名sAMAccount字

    • username@domain.com使用 userPrincipalName

    如果您使用的是sAMAccount名称格式,则可以使用网络BIOS名称或完全限定域名 (FQDN) 来指定。domain

  3. 向您的 Active Directory 用户或群组提供访问权限,以便能够从您的身份提供商应用程序门户访问 AppStream 2.0 堆栈。

  4. 完成正在设置 SAML 中的其余步骤。

使用 SAML 2.0 登录用户

  1. 登录 SAML 2.0 提供商的应用程序目录,然后打开您在上一个过程中创建的 AppStream 2.0 SAML 应用程序。

  2. 显示 AppStream 2.0 应用程序目录时,选择要启动的应用程序。

  3. “正在加载”图标显示后,系统将提示提供密码。您的 SAML 2.0 身份提供商提供的域用户名显示在密码字段的上方。输入密码并选择 log in (登录)。

流实例将执行 Windows 登录过程,所选应用程序将打开。