Active Directory 網域概觀

使用 Active Directory 網域搭配 WorkSpaces 集區需要瞭解它們如何協同運作，以及您需要完成的設定工作。您將需要完成以下任務：

1. 視需要設定群組政策設定，來定義最終使用者體驗和應用程式的安全需求。

2. 在 WorkSpaces 集區中建立加入網域的目錄。

3. 在 SAML 2.0 身分識別提供者中建立 WorkSpaces 集區應用程式，並直接或透過 Active Directory 群組將其指派給使用者。

使用者身分驗證流程

1. 使用者瀏覽到 https://applications.exampleco.com。登入頁面會要求使用者的身分驗證。

2. 聯合服務要求組織的身分存放區提供身分驗證。

3. 身分存放區驗證該名使用者，並向聯合服務傳回驗證回應。

4. 成功驗證後，同盟服務會將SAML宣告張貼至使用者的瀏覽器。

5. 用戶的瀏覽器將SAML斷言發佈到 AWS 登錄SAML端點（https://signin.aws.amazon.com/saml）。 AWS 登入會接收SAML要求、處理要求、驗證使用者，以及將驗證權杖轉寄至 Poons 服務。 WorkSpaces

6. Poons 會使用來源的驗證 Token 授權使用者 AWS， WorkSpaces 並向瀏覽器顯示應用程式。

7. 使用者會選擇應用程式，然後根據在 WorkSpaces 集區目錄上啟用的 Windows 登入驗證方法，提示他們輸入其 Active Directory 網域密碼或選擇智慧卡。如果兩種驗證方法同時啟用，使用者可以選擇要輸入其網域密碼或使用智慧卡。憑證型身分驗證也可以用來驗證使用者，不過不會出現提示。

8. 接著會聯絡網域控制站進行使用者身分驗證。

9. 在向網域進行身分驗證後，使用者工作階段便會啟動，並帶有網域連線能力。

從使用者的觀點來看，此程序簡單明瞭。使用者會從導覽至組織的內部入口網站開始，然後重新導向至 Po WorkSpaces als 入口網站，而無需輸入 AWS 認證。只需要 Active Directory 網域密碼或智慧卡憑證。

在使用者可以啟動此程序之前，您必須先使用必要的權利和群組原則設定來設定 Active Directory，並建立加入網域 WorkSpaces 的集區目錄。