教學:設定 Active Directory - Amazon AppStream 2.0
步驟 1:建立目錄組態物件步驟 2:使用加入網域的映像建置器建立映像步驟 3:建立加入網域的機群步驟四:設定 SAML 2.0

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

教學:設定 Active Directory

若要在 AppStream 2.0 中使用 Active Directory,您必須先在 AppStream 2.0 中建立目錄 Config 物件來註冊您的目錄組態。此物件包含將串流執行個體加入 Active Directory 網域的必要資訊。您可以使用 AppStream 2.0 管理主控台、 AWS SDK或來建立目錄 Config 物件 AWS CLI。然後您就可以使用您的目錄組態來啟動加入網域的 Always-On 和 On-Demand 機群和映像建置器。

注意

您只能將 Always-On 和 On-Demand 機群串流執行個體加入 Active Directory 網域。

步驟 1:建立目錄組態物件

您在 AppStream 2.0 中建立的「目錄 Config」物件將在後續步驟中使用。

如果您正在使用 AWS SDK,則可以使用此CreateDirectoryConfig作業。如果您正在使用 AWS CLI,則可以使用create-directory-config指令。

若要使用 AppStream 2.0 主控台建立目錄 Config 物件

  1. 請在以下位置開啟 AppStream 2.0 主控台。 https://console.aws.amazon.com/appstream2

  2. 在導覽窗格中,選擇 Directory Configs (目錄組態)Create Directory Config (建立目錄組態)

  3. 針對目錄名稱,請提供使用中目錄網域的完整網域名稱 (例如,corp.example.com)。FQDN每個區域只能有一個具備特定目錄名稱的 Directory Config (目錄組態) 值。

  4. 針對 Service Account Name (服務帳戶名稱),輸入可建立電腦物件並擁有加入網域許可的帳戶名稱。如需詳細資訊,請參閱授予許可來建立及管理 Active Directory 電腦物件。帳戶名稱的格式必須是 DOMAIN\username

  5. 針對 Password (密碼)Confirm Password (確認密碼),輸入指定帳戶的目錄密碼。

  6. 針對 Organizational Unit (OU) (組織單位 (OU)),輸入至少一個用於串流執行個體電腦物件的辨別名稱。

    注意

    OU 名稱不可包含有空格。如果您指定的 OU 名稱包含空格,則當叢集或映像產生器嘗試重新加入 Active Directory 網域時, AppStream 2.0 無法正確循環電腦物件,且網域重新加入不會成功。如需有關如何疑難排解此問ERROR題的詳細資訊,請參閱中的「帳戶已存在」訊息中的 DOMAINJOININTERNALSERVICE_ _ _ _ _ 主題Active Directory 加入網域

    此外,預設的 [電腦] 容器不是 OU,且無法由 AppStream 2.0 使用。如需詳細資訊,請參閱尋找組織單位辨別名稱

  7. 若要新增多個 OU,請選取組織單位 (OU) 旁邊的加號 (+)。若要移除OUs,請選擇 x 圖示。

  8. 選擇 Next (下一步)

  9. 檢閱組態資訊,然後選擇 Create (建立)

步驟 2:使用加入網域的映像建置器建立映像

接下來,使用 AppStream 2.0 映像產生器,建立具有使用中目錄網域加入功能的新映像檔。請注意,機群和映像可以是不同網域的成員。您會將映像建置器加入網域來啟用加入網域,並安裝應用程式。機群加入網域會在下一節討論。

建立用來啟動加入網域機群的映像

  1. 請遵循教學課程:使用 AppStream 2.0 主控台建立自訂 AppStream 2.0 映像中的程序。

  2. 對於基本影像選擇步驟,請使用 2017 年 7 月 24 日或之後發行的 AWS 基本影像。若要取得目前已發行 AWS 影像的清單,請參閱〈〉AppStream 2.0 基本映像和受管理映像更新版本說明

  3. 對於步驟 3:設定網路,請選取VPC與您的 Active Directory 環境具有網路連線能力的子網路。選取設定為允許透過VPC子網路存取目錄的安全性群組。

  4. 同時,在 Step 3: Configure Network (步驟 3:設定網路) 中,展開 Active Directory Domain (Optional) (Active Directory 網域 (選用)) 區段,然後選取 Directory Name (目錄名稱) 及要加入映像建置器的 Directory OU (目錄 OU) 值。

  5. 檢閱映像建置器組態,然後選擇 Create (建立)

  6. 等待新的映像建置器到達 Running (執行中) 狀態,然後選擇 Connect (連線)

  7. 以管理員模式或具備本機管理員許可的目錄使用者登入映像建置器。如需詳細資訊,請參閱在映像建置器上授予本機管理員權限

  8. 完成教學課程:使用 AppStream 2.0 主控台建立自訂 AppStream 2.0 映像中的步驟來安裝應用程式,並建立新映像。

步驟 3:建立加入網域的機群

使用在先前步驟中建立的私有映像,建立加入 Active Directory 網域的 Always-On 或 On-Demand 機群以用於串流應用程式。網域可以和您用來透過映像建置器建立映像的網域不同。

建立加入網域的 Always-On 或 On-Demand 機群

  1. 請遵循建立機群中的程序。

  2. 針對映像選取步驟,請使用在先前步驟 (步驟 2:使用加入網域的映像建置器建立映像) 中建立的映像。

  3. 對於步驟 4:設定網路,請選取VPC與您的 Active Directory 環境具有網路連線能力的子網路。選取已進行設定,允許和您網域進行通訊的安全群組。

  4. 同時,在 Step 4: Configure Network (步驟 4:設定網路) 中,展開 Active Directory Domain (Optional) (Active Directory 網域 (選用)) 區段,然後選取 Directory Name (目錄名稱) 及要加入機群的 Directory OU (目錄 OU) 值。

  5. 檢閱機群組態,然後選擇 Create (建立)

  6. 完成建立 AppStream 2.0 叢集與堆疊中剩餘的步驟,將您的機群與堆疊建立關聯並執行。

步驟四:設定 SAML 2.0

您的使用者必須使用 SAML 2.0 型身分識別同盟環境,才能從加入網域的叢集啟動串流工作階段。

若要設定 SAML 2.0 的單一登入存取

  1. 請遵循正在設定 SAML中的程序。

  2. AppStream 2.0 要求正在登入的使用者的 SAML _Subject NameID 值必須以下列其中一種格式提供:

    • domain\username使用名sAMAccount稱

    • username@domain.com使用 userPrincipalName

    如果您使用的是 sAMAccount Name 格式,則可以使domain用網路BIOS名稱或完整網域名稱 (FQDN) 來指定。

  3. 提供對 Active Directory 使用者或群組的存取權,以便從身分識別提供者應用程式入口網站存取 AppStream 2.0 堆疊。

  4. 完成正在設定 SAML 中剩餘的步驟。

使用 SAML 2.0 登入使用者

  1. 登入 SAML 2.0 提供者的應用程式目錄,然後開啟您在上一個程序中建立的 AppStream 2.0 SAML 應用程式。

  2. 顯示 AppStream 2.0 應用程式類別目錄時,選取要啟動的應用程式。

  3. 在顯示載入中的圖示時,您會收到提示,要求您提供密碼。您的 SAML 2.0 身分識別提供者提供的網域使用者名稱會顯示在密碼欄位上方。輸入您的密碼,然後選擇 log in (登入)

串流執行個體會執行 Windows 登入程序,並開啟所選取的應用程式。