單一登入 - AWS Directory Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

單一登入

AWS Directory Service提供允許您的使用者 WorkDocs 從加入目錄的電腦存取 Amazon 的功能,而無需單獨輸入其登入資料。

啟用單一登入之前,您需要採取額外的步驟,讓您使用者的 Web 瀏覽器支援單一登入。使用者可能需要修改其 Web 瀏覽器設定,才能啟用單一登入。

注意

單一登入僅適用於加入 AWS Directory Service 目錄的電腦。它無法用於未加入目錄的電腦。

如果您的目錄是 AD Connector 目錄,且 AD Connector 服務帳戶沒有新增或移除其服務主要名稱屬性的權限,則對於以下的步驟 5 和 6,您有兩個選項:

  1. 您可以繼續進行,且系統會提示您輸入具有此權限之目錄使用者的使用者名稱和密碼,以便在 AD Connector 服務帳戶上新增或移除服務主要名稱屬性。這些憑證只會用來啟用單一登入,服務不會存放此資料。 AD Connector 服務帳戶權限不會變更。

  2. 您可以委派權限以允許 AD Connector 服務帳戶新增或移除本身的服務主體名稱屬性,您可以使用具有修改 AD Connector 服務帳戶權限的帳戶,從加入網域的電腦執行下列 PowerShell 命令。下列命令會讓 AD Connector 服務帳戶只能為本身新增和移除服務主要名稱屬性。

$AccountName = 'ConnectorAccountName' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module 'ActiveDirectory' $RootDse = Get-ADRootDSE [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID # Getting AD Connector service account Information. $AccountProperties = Get-ADUser -Identity $AccountName $AclPath = $AccountProperties.DistinguishedName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value # Getting ACL settings for AD Connector service account. $ObjectAcl = Get-ACL -Path "AD:\$AclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself $AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None' $ObjectAcl.AddAccessRule($AddAccessRule) Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
使用 Amazon 啟用或停用單一登入 WorkDocs
  1. AWS Directory Service 主控台導覽窗格中,選取目錄

  2. Directories (目錄) 頁面中,選擇目錄 ID。

  3. Directory details (目錄詳細資訊) 頁面上,選取 Application management (應用程式管理) 索引標籤。

  4. 在「應用程式存取 URL」區段中,選擇「用」以啟用 Amazon 的單一登入 WorkDocs。

    如果您看不到啟用按鈕,您可能需要先建立存取 URL,此選項才會顯示。如需如何建立存取 URL 的詳細資訊,請參閱「建立存取 URL」。

  5. 啟用此目錄的單一登入對話方塊中,選擇啟用。這會啟用目錄的單一登入。

  6. 如果您稍後想要停用 Amazon 的單一登入 WorkDocs,請選擇 [停用],然後在 [停用此目錄的單一登入] 對話方塊中,再次選擇 [停用]。

IE 和 Chrome 的單一登入

若要讓 Microsoft Internet Explorer (IE) 和 Google Chrome 瀏覽器支援單一登入,您必須在用戶端電腦上執行下列任務:

  • 將您的存取 URL (例如 https://<別名>.awsapps.com) 新增至允許單一登入的網站清單。

  • 啟用主動腳本(JavaScript)。

  • 允許自動登入。

  • 啟用整合式身分驗證。

您或您的使用者可以手動執行這些任務,或者您可以使用群組原則設定來變更這些設定。

手動更新 Windows 上的單一登入

若要在 Windows 電腦上手動啟用單一登入,請在用戶端電腦上執行下列步驟。其中一些設定可能已正確設定。

在 Windows 上手動啟用 Internet Explorer 和 Chrome 的單一登入
  1. 若要開啟網際網路內容對話方塊,請選擇開始選單,在搜尋方塊中輸入 Internet Options,然後選擇網際網路選項

  2. 執行下列步驟,將您的存取 URL 新增至允許單一登入的網站清單:

    1. 網際網路內容對話方塊中,選取安全性標籤。

    2. 選取近端內部網路,然後選擇網站

    3. 近端內部網路對話方塊中,選擇進階

    4. 將您的存取 URL 新增至網站清單,然後選擇關閉

    5. 近端內部網路對話方塊中,選擇確定

  3. 若要啟用動態指令碼處理,請執行下列步驟:

    1. 網際網路內容對話方塊的安全性標籤中,選擇自訂等級

    2. 安全性設定 - 近端內部網路區域對話方塊中,向下捲動到指令碼處理,然後在 Active scripting 下選取啟用

      
                                            IE 瀏覽器啟用腳本設置。
    3. 安全性設定 - 近端內部網路區域對話方塊中,選擇確定

  4. 若要啟用自動登入,請執行下列步驟:

    1. 網際網路內容對話方塊的安全性標籤中,選擇自訂等級

    2. 安全性設定 - 近端內部網路區域對話方塊中,向下捲動到使用者驗證,然後在登入下選取只在近端內部網路區域自動登入

      
                                            IE 瀏覽器自動登錄設置。
    3. 安全性設定 - 近端內部網路區域對話方塊中,選擇確定

    4. 安全性設定 - 近端內部網路區域對話方塊中,選擇確定

  5. 若要啟用整合式身分驗證,請執行下列步驟:

    1. 網際網路內容對話方塊中,選取進階標籤。

    2. 向下捲動到安全性,然後選取啟用整合式 Windows 驗證

      
                                            IE 瀏覽器自動登錄設置。
    3. 網際網路內容對話方塊中,選擇確定

  6. 關閉並重新開啟您的瀏覽器,讓這些變更生效。

手動更新 OS X 的單一登入

若要在 OS X 上手動啟用 Chrome 的單一登入,請在用戶端電腦上執行下列步驟。您需要電腦的管理員權限,才能完成下列步驟。

在 OS X 上手動啟用 Chrome 的單一登入
  1. 執行下列命令,將您的存取 URL 新增至AuthServerAllowlist原則:

    defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com"
  2. 開啟 System Preferences,前往 Profiles 面板,然後刪除 Chrome Kerberos Configuration 描述檔。

  3. 重新啟動 Chrome,然後在 Chrome 中開啟 chrome://policy 以確認具有此新的設定。

單一登入的群組政策設定

網域管理員可以實作群組原則設定,在加入網域的用戶端電腦上進行單一登入變更。

注意

如果您使用 Chrome 政策在網域中的電腦上管理 Chrome 網路瀏覽器,就必須將存取網址新增至AuthServerAllowlist政策。如需設定 Chrome 政策的詳細資訊,請前往 Policy Settings in Chrome

使用群組原則設定啟用 Internet Explorer 和 Chrome 的單一登入
  1. 執行下列步驟,建立新的群組原則物件:

    1. 開啟群組原則管理工具,導覽至您的網域,然後選取 Group Policy Objects (群組原則物件)。

    2. 從主選單選擇動作,然後選取新增

    3. 新增 GPO 對話方塊中,輸入群組政策物件的描述性名稱 (例如 IAM Identity Center Policy),並將來源入門 GPO 保留設定為 (無)。按一下 OK (確定)

  2. 執行下列步驟,將存取 URL 新增至允許單一登入的網站清單:

    1. 在群組政策管理工具中,導覽至您的域並選取群組政策物件,開啟您 IAM Identity Center 政策的內容 (右鍵) 選單,然後選擇編輯

    2. 在原則樹狀目錄中,導覽至使用者設定 > 喜好設定 > Windows 設定

    3. Windows 設定清單中,開啟登錄的內容 (右鍵) 選單,然後選擇新增登錄項目

    4. 新登錄內容對話方塊中,輸入下列設定並選擇確定

      Action

      Update

      Hive

      HKEY_CURRENT_USER

      路徑

      Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>

      <別名> 的值是衍生自您的存取 URL。如果您的存取 URL 是 https://examplecorp.awsapps.com,則別名是 examplecorp 且登錄機碼會是 Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp

      值名稱

      https

      值類型

      REG_DWORD

      值資料

      1

  3. 若要啟用動態指令碼處理,請執行下列步驟:

    1. 在群組政策管理工具中,導覽至您的域並選取群組政策物件,開啟您 IAM Identity Center 政策的內容 (右鍵) 選單,然後選擇編輯

    2. 在原則樹狀目錄中,導覽至電腦設定 > 原則 > 系統管理範本 > Windows 元件 > Internet Explorer > 網際網路控制台 > 安全性畫面 > 內部網路區域

    3. 內部網路區域清單中,開啟允許動態指令碼處理的內容 (右鍵) 選單,然後選擇編輯

    4. 允許動態指令碼處理對話方塊中,輸入下列設定並選擇確定

      • 選取已啟用選項按鈕。

      • 選項下,將允許動態指令碼處理設定為啟用

  4. 若要啟用自動登入,請執行下列步驟:

    1. 在群組原則管理工具中,導覽至您的網域並選取群組原則物件,開啟您 SSO 原則的內容 (右鍵) 選單,然後選擇編輯

    2. 在原則樹狀目錄中,導覽至電腦設定 > 原則 > 系統管理範本 > Windows 元件 > Internet Explorer > 網際網路控制台 > 安全性畫面 > 內部網路區域

    3. 內部網路區域清單中,開啟登入選項的內容 (右鍵) 選單,然後選擇編輯

    4. 登入選項對話方塊中,輸入下列設定並選擇確定

      • 選取已啟用選項按鈕。

      • 選項下,將登入選項設定為只在近端內部網路區域自動登入

  5. 若要啟用整合式身分驗證,請執行下列步驟:

    1. 在群組政策管理工具中,導覽至您的域並選取群組政策物件,開啟您 IAM Identity Center 政策的內容 (右鍵) 選單,然後選擇編輯

    2. 在原則樹狀目錄中,導覽至使用者設定 > 喜好設定 > Windows 設定

    3. Windows 設定清單中,開啟登錄的內容 (右鍵) 選單,然後選擇新增登錄項目

    4. 新登錄內容對話方塊中,輸入下列設定並選擇確定

      Action

      Update

      Hive

      HKEY_CURRENT_USER

      路徑

      Software\Microsoft\Windows\CurrentVersion\Internet Settings

      值名稱

      EnableNegotiate

      值類型

      REG_DWORD

      值資料

      1

  6. 關閉仍然保持開啟狀態的群組原則管理編輯器視窗。

  7. 執行下列步驟,將新的原則指派給您的網域:

    1. 在群組原則管理樹狀目錄中,開啟網域的內容 (右鍵) 選單,然後選擇連結到現有的 GPO

    2. 群組政策物件清單中,選取您的 IAM Identity Center 政策,然後選擇確定

這些變更會在用戶端上的群組原則下次更新,或在使用者下次登入之後生效。

Firefox 的單一登入

若要讓 Mozilla 的 Firefox 瀏覽器支援單一登入,請將您的存取 URL (例如 https://<別名>.awsapps.com) 新增至允許單一登入的網站清單。這可手動或透過指令碼自動完成。

手動更新單一登入

若要在 Firefox 中將您的存取 URL 手動新增至允許的網站清單,請在用戶端電腦上執行下列步驟。

在 Firefox 中將您的存取 URL 手動新增至允許的網站清單
  1. 開啟 Firefox,然後開啟 about:config 頁面。

  2. 開啟 network.negotiate-auth.trusted-uris 偏好設定,然後將您的存取 URL 新增至網站清單。請使用逗號 (,) 來分隔多個項目。

    
                                    IE 瀏覽器自動登錄設置。

自動更新單一登入

身為域管理員,您可以使用指令碼,將存取 URL 新增至網路上所有電腦的 Firefox network.negotiate-auth.trusted-uris 使用者偏好設定。如需詳細資訊,請前往 https://support.mozilla.org/zh-TW/questions/939037