教程:设置 Active Directory - 亚马逊 AppStream 2.0
步骤 1:创建 Directory Config 对象步骤 2:使用加入域的映像生成器创建映像步骤 3:创建加入域的实例集步骤 4:配置 SAML 2.0

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

教程:设置 Active Directory

要在 AppStream 2.0 中使用 Active Directory,必须先通过在 AppStream 2.0 中创建 Directory Config 对象来注册目录配置。此对象包含将流实例加入 Active Directory 域所需的信息。您可以使用 AppStream 2.0 管理控制台、 AWS SDK 或创建 Directory Config 对象 AWS CLI。之后,可以使用目录配置启动加入域的 Always-On 和 On-Demand 实例集和映像生成器。

注意

只能将 Always-On 和 On-Demand 实例集流实例加入 Active Directory 域。

步骤 1:创建 Directory Config 对象

您在 AppStream 2.0 中创建的 Directory Config 对象将在后续步骤中使用。

如果您使用的是 S AWS DK,则可以使用该CreateDirectoryConfig操作。如果您使用的是 AWS CLI,则可以使用create-directory-config命令。

使用 AppStream 2.0 控制台创建 Directory Config 对象

  1. https://console.aws.amazon.com/appst AppStream ream2 上打开 2.0 控制台。

  2. 在导航窗格中,选择 Directory Configs (目录配置)、Create Directory Config (创建目录配置)。

  3. 对于 Directory Name (目录名称),提供 Active Directory 域的完全限定域名 (FQDN) (例如,corp.example.com)。每个区域只能有一个具有特定目录名称的 Directory Config 值。

  4. 对于 Service Account Name (服务账户名),输入可创建计算机对象 (有权加入域) 的账户的名称。有关更多信息,请参阅 授予创建和管理 Active Directory 计算机对象的权限。账户名的格式必须为 DOMAIN\username

  5. 对于 Password (密码) 和 Confirm Password (确认密码),键入指定账户的目录密码。

  6. 对于 Organizational Unit (OU),键入至少一个用于流实例计算机对象的 OU 的可分辨名称。

    注意

    OU 名称中不得包含空格。如果您指定包含空格的 OU 名称,则当队列或映像生成器尝试重新加入 Active Directory 域时, AppStream 2.0 将无法正确循环计算机对象,并且无法成功重新加入域。有关如何解决此问题的信息,请参阅 Active Directory 加入域故障排除DOMAIN_JOIN_INTERNAL_SERVICE_ERROR 主题的“账户已存在”消息。

    此外,默认 “计算机” 容器不是 OU,无法在 AppStream 2.0 版本中使用。有关更多信息,请参阅 查找组织单位的可分辨名称

  7. 要添加多个 OU,请选择组织单位(OU)字段右侧的加号(+)。要删除 OUs,请选择 x 图标。

  8. 选择下一步

  9. 检查配置信息并选择 Create

步骤 2:使用加入域的映像生成器创建映像

接下来,使用 AppStream 2.0 映像生成器创建具有 Active Directory 域加入功能的新映像。请注意,实例集和映像可以是不同域的成员。将映像生成器加入域中可启用域加入和安装应用程序。下一节中将讨论实例集如何加入域。

创建用于启动加入域的实例集的映像

  1. 按照 教程:使用 AppStream 2.0 控制台创建自定义 AppStream 2.0 镜像 所述的过程操作。

  2. 对于基本图像选择步骤,请使用 2017 年 7 月 24 日当天或之后发布 AWS 的基础图片。有关已发布 AWS 图像的最新列表,请参阅AppStream 2.0 基础映像和托管映像更新发行说明

  3. 对于 Step 3: Configure Network,选择与您的 Active Directory 环境具有网络连接的 VPC 和子网。选择设置为允许经由 VPC 子网访问目录的安全组。

  4. 此外,在 Step 3: Configure Network (步骤 3: 配置网络) 中,展开 Active Directory Domain (Optional) (Active Directory 域(可选)) 部分,选择映像生成器应加入的 Directory Name (目录名称) 和 Directory OU (目录 OU) 的值。

  5. 检查映像生成器配置并选择 Create

  6. 等待新的映像生成器进入 Running 状态后,选择 Connect

  7. 在管理员模式下或以具有本地管理员权限的目录用户身份登录到映像生成器。有关更多信息,请参阅 在映像生成器上授予本地管理员权限

  8. 完成教程:使用 AppStream 2.0 控制台创建自定义 AppStream 2.0 镜像中的步骤以安装应用程序并创建新映像。

步骤 3:创建加入域的实例集

使用在上一步中创建的私有映像,为流应用程序创建一个已加入 Active Directory 域的始终在线或按需实例集。此域可以不同于供映像生成器创建映像的域。

创建已加入域的 Always-On 或 On-Demand 实例集

  1. 按照 在 Amazon AppStream 2.0 中创建舰队 所述的过程操作。

  2. 对于映像选择步骤,使用上一步 步骤 2:使用加入域的映像生成器创建映像 中创建的映像。

  3. 对于 Step 4: Configure Network,选择与您的 Active Directory 环境具有网络连接的 VPC 和子网。选择设置为允许与您的域通信的安全组。

  4. 此外,在 Step 4: Configure Network (步骤 4: 配置网络) 中,展开 Active Directory Domain (Optional) (Active Directory 域(可选)) 部分,选择实例集应加入的 Directory Name (目录名称) 和 Directory OU (目录 OU) 的值。

  5. 检查实例集配置并选择 Create

  6. 完成创建 Amazon AppStream 2.0 舰队和堆栈中的其余步骤,以便您的实例集与堆栈关联并运行。

步骤 4:配置 SAML 2.0

您的用户必须使用基于 SAML 2.0 的身份联合验证环境从加入域的实例集启动流式传输会话。

配置 SAML 2.0 以进行单点登录访问

  1. 按照 设置 SAML 所述的过程操作。

  2. AppStream 2.0 要求使用以下任一格式提供正在登录的用户的 saml_subject NameID 值:

    • domain\username使用 s 的AMAccount名字

    • username@domain.com使用 userPrincipalName

    如果您使用的是AMAccount名称格式,则可以使用 NetBIOS 名称或完全限定域名 (FQDN) 来指定。domain

  3. 向您的 Active Directory 用户或群组提供访问权限,以便能够从您的身份提供商应用程序门户访问 AppStream 2.0 堆栈。

  4. 完成设置 SAML 中的其余步骤。

使用 SAML 2.0 让用户登录

  1. 登录您的 SAML 2.0 提供商的应用程序目录,然后打开您在上一个过程中创建的 AppStream 2.0 SAML 应用程序。

  2. 显示 AppStream 2.0 应用程序目录时,选择要启动的应用程序。

  3. “正在加载”图标显示后,系统将提示提供密码。SAML 2.0 身份提供商提供的域用户名将出现在密码字段上方。输入密码并选择 log in (登录)。

流实例将执行 Windows 登录过程,所选应用程序将打开。