基于证书的身份验证

在 AppStream 2.0 队列加入微软 Active Directory 后，你可以使用基于证书的身份验证。这将删除用户登录时输入 Active Directory 域密码的提示。通过在 Active Directory 域中使用基于证书的身份验证，您可以：

• 依靠您的 SAML 2.0 身份提供商对用户进行身份验证，并提供 SAML 断言以匹配 Active Directory 中的用户。

• 使用更少的用户提示创建单点登录体验。

• 使用 SAML 2.0 身份提供商启用无密码身份验证流程。

基于证书的身份验证使用您的AWS私有证书颁发机构 (AWSPrivate CA) 资源AWS 账户。使用AWS私有 CA，您可以创建私有证书颁发机构 (CA) 层次结构，包括根证书颁发机构和下属 CA。您还可以创建自己的 CA 层次结构并从中颁发证书来验证内部用户。有关更多信息，请参阅什么是 AWS Private CA？ 。

当您使用 PriAWS vate CA 进行基于证书的身份验证时， AppStream 2.0 会在每个 AppStream 2.0 队列实例的会话预留时自动为您的用户请求证书。它使用配置了证书的虚拟智能卡对 Active Directory 的用户进行身份验证。

运行 Windows 实例的 AppStream 2.0 加入域的队列支持基于证书的身份验证。

目录

• 先决条件
• 启用基于证书的身份验证
• 管理基于证书的身份验证