教程:设置 Active Directory - Amazon AppStream on
步骤 1:创建 Directory Config 对象步骤 2:使用加入域的映像生成器创建映像步骤 3:创建加入域的队列步骤 4:配置 SAML 2.0

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

教程:设置 Active Directory

要在 AppStream 2.0 中使用 Active Directory,必须首先通过在 AppStream 2.0 中创建目录Config 对象来注册您的目录配置。此对象包含将流实例加入 Active Directory 域所需的信息。您可以使用 AppStream 2.0 管理控制台、AWS SDK 或创建目录Config 对象AWS CLI。然后,您可以使用您的目录配置来启动加入域的 Always-On 和按需队列以及映像生成器。

注意

您只能将 Always-On 和按需队列流媒体实例加入 Active Directory 域。

步骤 1:创建 Directory Config 对象

您在 AppStream 2.0 中创建的目录Config 对象将在后续步骤中使用。

如果您使用的是 SAWS DK,则可以使用该CreateDirectoryConfig操作。如果您使用 AWS CLI,则可以使用 create-directory-config 命令。

使用 AppStream 2.0 控制台创建 Directory Config 对象

  1. 通过 https://console.aws.amazon.com/appstream2 打开 AppStream 2.0 控制台。

  2. 在导航窗格中,选择 Directory Configs (目录配置)、Create Directory Config (创建目录配置)。

  3. 对于 Directory Name (目录名称),提供 Active Directory 域的完全限定域名 (FQDN) (例如,corp.example.com)。每个区域只能有一个具有特定目录名称的 Directory Config 值。

  4. 对于 Service Account Name (服务账户名),输入可创建计算机对象 (有权加入域) 的账户的名称。有关更多信息,请参阅授予创建和管理 Active Directory 计算机对象的权限:账户名的格式必须为 DOMAIN\username

  5. 对于 Password (密码) 和 Confirm Password (确认密码),键入指定账户的目录密码。

  6. 对于 Organizational Unit (OU),键入至少一个用于流实例计算机对象的 OU 的可分辨名称。

    注意

    OU 名称中不得含有空格。如果您指定包含空格的 OU 名称,则当队列或映像生成器尝试重新加入 Active Directory 域时, AppStream 2.0 无法正确循环计算机对象,域重新加入也不会成功。有关如何解决此问题的信息,请参阅中的 “帐户已经存在” 消息的 DOMAIN_JOIN_INTERNAL _SERVICE_ERROR 主题Active Directory 加入域问题排查

    此外,默认 “计算机” 容器不是 OU,不能由 AppStream 2.0 使用。有关更多信息,请参阅查找组织单位的可分辨名称

  7. 要添加多个 OU,请选择组织单位 (OU) 旁边的加号 (+)。要删除 OU,请选择 x 图标。

  8. 选择 Next(下一步)

  9. 检查配置信息并选择 Create

步骤 2:使用加入域的映像生成器创建映像

接下来,使用 AppStream 2.0 映像生成器,创建一个具有 Active Directory 域加入功能的新映像。请注意,队列和映像可以是不同域的成员。将映像生成器加入域中可启用域加入和安装应用程序。下一节中将讨论队列如何加入域。

创建用于启动加入域的队列的映像

  1. 按照 教程:使用 AppStream 2.0 控制台创建自定义 AppStream 2.0 映像 所述的过程操作。

  2. 对于基础图像选择步骤,使用 2017 年 7 月 24 日当天或之后发布AWS的基础图片。有关已发布AWS图像的最新列表,请参阅AppStream 2.0 基础映像和托管映像更新发行说明

  3. 对于 Step 3: Configure Network,选择与您的 Active Directory 环境具有网络连接的 VPC 和子网。选择设置为允许经由 VPC 子网访问目录的安全组。

  4. 此外,在 Step 3: Configure Network (步骤 3: 配置网络) 中,展开 Active Directory Domain (Optional) (Active Directory 域(可选)) 部分,选择映像生成器应加入的 Directory Name (目录名称) 和 Directory OU (目录 OU) 的值。

  5. 检查映像生成器配置并选择 Create

  6. 等待新的映像生成器进入 Running 状态后,选择 Connect

  7. 在管理员模式下或以具有本地管理员权限的目录用户身份登录到映像生成器。有关更多信息,请参阅在映像生成器上授予本地管理员权限

  8. 完成教程:使用 AppStream 2.0 控制台创建自定义 AppStream 2.0 映像中的步骤以安装应用程序并创建新映像。

步骤 3:创建加入域的队列

使用在上一步中创建的私有映像,为流媒体应用程序创建加入了 Active Directory 域的 Always-On 或按需队列。此域可以不同于供映像生成器创建映像的域。

创建加入域名的 Always-On 或按需队列

  1. 按照 创建机群 所述的过程操作。

  2. 对于映像选择步骤,使用上一步 步骤 2:使用加入域的映像生成器创建映像 中创建的映像。

  3. 对于 Step 4: Configure Network,选择与您的 Active Directory 环境具有网络连接的 VPC 和子网。选择设置为允许与您的域通信的安全组。

  4. 此外,在 Step 4: Configure Network (步骤 4: 配置网络) 中,展开 Active Directory Domain (Optional) (Active Directory 域(可选)) 部分,选择队列应加入的 Directory Name (目录名称) 和 Directory OU (目录 OU) 的值。

  5. 检查队列配置并选择 Create

  6. 完成创建 AppStream 2.0 舰队和堆栈中的其余步骤,以便您的队列与堆栈关联并运行。

步骤 4:配置 SAML 2.0

您的用户必须使用基于 SAML 2.0 的联合身份环境从加入域的队列启动流会话。

配置 SAML 2.0 以进行单点登录访问

  1. 按照 设置 SAML 所述的过程操作。

  2. AppStream 2.0 要求以以下任一格式提供正在登录的用户的 saml_SubjectNameID 值:

    • domain\username使用 SaMAccountName

    • username@domain.com使用 userPrincipalName

    如果您使用的是 SAMAccountName 格式,则可以使用 NetBIOS 名称或完全限定域名 (FQDN) 指定。domain

  3. 向您的 Active Directory 用户或群组提供访问权限,以允许从您的身份提供商应用程序门户访问 AppStream 2.0 堆栈。

  4. 完成设置 SAML 中的其余步骤。

使用 SAML 2.0 让用户登录

  1. 登录 SAML 2.0 提供商的应用程序目录,然后打开您在上一个过程中创建的 AppStream 2.0 SAML 应用程序。

  2. 显示 AppStream 2.0 应用程序目录时,选择要启动的应用程序。

  3. “正在加载”图标显示后,系统将提示提供密码。SAML 2.0 身份提供商提供的域用户名将出现在密码字段上方。输入密码并选择 log in (登录)。

流实例将执行 Windows 登录过程,所选应用程序将打开。