本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
案例 1 ︰使用 AD 連接器對內部部署作用中 Directory Service 的代理驗證
這個案例適用於不想要擴充其內部部署 AD 服務 AWS,或 AD DS 的新部署不是選項的客戶。下圖顯示了高級別,每個組件和用戶身份驗證流程。
圖 5:AD Connector 到內部部署活動目錄
在這個案例中, AWS Directory Service (AD Connector) 會用於透過 AD 連接器代理至客戶內部部署 AD DS 的所有使用者或 MFA 驗證 (如下圖所示)。如需有關驗證程序所使用之通訊協定或加密的詳細資訊,請參閱本文件的安全章節。
圖 6:透過驗證閘道進行使用者驗證
案例 1 顯示客戶可能已經擁有資源的混合式架構 AWS,以及可透過 Amazon 存取的現場部署資料中心中的資源 WorkSpaces。客戶可以利用現有的內部部署 AD DS 和 RADIUS 伺服器進行使用者和 MFA 驗證。
此架構使用下列元件或建構:
AWS
-
Amazon VPC — 建立具有跨兩個 AZ 的至少兩個私有子網路的 Amazon VPC。
-
DHCP 選項集 — 建立一個 Amazon VPC 端 DHCP 選項集。這可讓您定義客戶指定的網域名稱和網域名稱伺服器 (DNS) (內部部署服務)。如需詳細資訊,請參閱 DHCP 選項集。
-
Amazon 虛擬私有閘道 — 啟用透過 IPSec VPN 通道或 AWS Direct Connect 連線與您自己的網路通訊。
-
AWS Directory Service — AD Connector 部署到一對 Amazon VPC 私有子網路中。
-
Amazon WorkSpaces — 部署 WorkSpaces 在與 AD Connector 相同的私有子網中。如需詳細資訊,請參閱本文件的 Active Directory:網站與服務一節。
客戶
-
網路連線 — 企業 VPN 或直 Connect 線端點。
-
廣告 DS — 企業廣告 DS.
-
MFA(可選)— 公司 RADIUS 服務器。
-
終端使用者裝置 — 用於存取 Amazon 服務的企業或自攜授權 (BYOL) 使用者裝置 (例如 Windows、Mac、iPads、安卓平板電腦、零用戶端和 Chromebook)。 WorkSpaces 如需支援的裝置和 Web 瀏覽器,請參閱此用戶端應用程式清單。
雖然此解決方案對於不想將 AD DS 部署到雲端的客戶來說非常有用,但確實有一些警告:
-
依賴連線 — 如果與資料中心的連線中斷,使用者將無法登入各自的連線 WorkSpaces,而且在 Kerberos /票證授權票證 (TGT) 期間,現有的連線將保持作用中。
-
延遲 — 如果透過連線存在延遲 (VPN 比直 Connect 線更多),則 WorkSpaces 驗證和任何 AD DS 相關活動 (例如群組原則 (GPO) 強制執行,將會花費更多時間。
-
流量成本 — 所有驗證都必須遍歷 VPN 或直接 Connect 鏈接,因此它取決於連接類型。這可能是從 Amazon EC2 傳出到網際網路的資料傳輸,也可以是資料傳出 (直 Connect)。
注意
AD Connector 是代理服務。它不存儲或緩存用戶憑據。相反地,所有驗證、查詢和管理要求都會由 AD 處理。目錄服務中需要具有委派權限的帳戶,並具有讀取所有使用者資訊並將電腦加入網域的權限。
一般而言,體 WorkSpaces 驗高度依賴於上圖所示的 Active Directory 驗證程序。在此案例中,驗 WorkSpaces 證體驗高度依賴於客戶 AD 和 WorkSpaces VPC 之間的網路連結。客戶應確保鏈接具有高可用性。
