憑證型身分驗證

您可以在加入 Microsoft Active Directory 的 AppStream 2.0 機群中使用憑證型身分驗證。若使用這種方式，就不會在使用者登入時提示使用者輸入 Active Directory 網域密碼。使用憑證型身分驗證搭配 Active Directory 網域，您可以：

• 依賴 SAML 2.0 身分提供者來驗證使用者，並提供 SAML 聲明以比對 Active Directory 中的使用者。

• 建立較少使用者提示的單一登入體驗。

• 使用 SAML 2.0 身分提供者啟用無密碼身分驗證流程。

憑證型身分驗證會在您的 中使用 AWS 私有憑證授權機構 (AWS Private CA) 資源 AWS 帳戶。使用 AWS 私有 CA，您可以建立私有憑證授權機構 (CA) 階層，包括根 CA 和次級 CAs。您也可以建立自己的 CA 階層並從中發行憑證，以驗證內部使用者。如需詳細資訊，請參閱什麼是 AWS Private CA 。

當您使用 AWS 私有 CA 進行憑證型身分驗證時，AppStream 2.0 會在每個 AppStream 2.0 機群執行個體的工作階段保留時自動為您的使用者請求憑證。它會使用隨憑證佈建的虛擬智慧卡，對 Active Directory 進行使用者身分驗證。

執行 Windows 執行個體的 AppStream 2.0 加入網域的機群 （單一工作階段和多工作階段機群） 支援憑證型身分驗證 (CBA)。若要在多工作階段機群上啟用 CBA，您必須使用 AppStream 2.0 映像，該映像使用 02-07-2025 當天或之後發行的 AppStream 2.0 代理程式。或者，您的映像必須使用 02-11-2025 當天或之後發行的受管 AppStream 2.0 映像更新。

目錄

• 先決條件

• 啟用憑證型身分驗證

• 管理憑證型身分驗證

• 啟用跨帳戶 PCA 共用