設定憑證型驗證 - Amazon WorkSpaces
必要條件啟用憑證型驗證管理憑證型驗證啟用跨帳戶共享 PCA

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定憑證型驗證

您可以使用憑證型驗證 WorkSpaces 來移除 Active Directory 網域密碼的使用者提示。使用憑證型身分驗證搭配 Active Directory 網域,您可以:

  • 依靠您的 SAML 2.0 身分識別提供者來驗證使用者,並提供SAML判斷提供符合 Active Directory 中使用者的判斷提供者。

  • 賦予較少使用者提示的單一登入體驗。

  • 使用 SAML 2.0 身分識別提供者啟用無密碼驗證流程。

憑證型驗證會使用您帳戶中的 AWS Private CA AWS 資源。 AWS Private CA 允許建立私有憑證授權單位 (CA) 階層,包括根和從屬CAs階層。使用時 AWS Private CA,您可以建立自己的 CA 階層,並發行憑證以驗證內部使用者。如需詳細資訊,請參閱《AWS Private Certificate Authority 使用者指南》https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html

使用 AWS Private CA 憑證型驗證時, WorkSpaces 會在工作階段驗證期間自動為您的使用者要求憑證。使用者會使用隨著憑證佈建的虛擬智慧卡,對 Active Directory 進行驗證。

使用最新 WorkSpaces 網頁存取、Windows WorkSpaces 和 macOS 用戶端應用程式的 Windows WorkSpaces 串流通訊協定 (WSP) 套裝軟體支援憑證型驗證。開啟 Amazon WorkSpaces 用戶端下載以尋找最新版本:

  • Windows 用戶端 5.5.0 版或更新版本

  • macOS 用戶端 5.6.0 版或更新版本

如需使用 Amazon 設定憑證型身份驗證的詳細資訊 WorkSpaces,請參閱如何為 Amazon 設定憑證型身份驗證和在具有 2.0 WorkSpaces 和的憑證型身份驗證的高度監管環境中設計考量事項。 AppStream WorkSpaces

必要條件

啟用憑證型驗證之前,請先完成下列步驟。

  1. 使用 SAML 2.0 整合設定您的 WorkSpaces 目錄,以使用憑證型驗證。如需詳細資訊,請參閱與 SAML 2.0 WorkSpaces 整合

  2. 在SAML判斷提示中設定userPrincipalName屬性。如需詳細資訊,請參閱建立SAML驗證回應的宣告

  3. 在SAML判斷提示中設定ObjectSid屬性。執行強式對應至 Active Directory 使用者時,這是選擇性操作。如果屬性不符合在 _Subject 中指定的使用者的 Active Directory 安全性識別碼 (SID),則憑證型驗證將會失敗。SAML NameID如需詳細資訊,請參閱建立SAML驗證回應的宣告

  4. 如果您的 2.0 配置不存在,請將 sts: TagSession 權限添加到與 SAML 2.0 配置一起使用的IAM角色信任策略。需有此許可才能使用憑證型身分驗證。如需詳細資訊,請參閱建立 SAML 2.0 同盟IAM角色

  5. 建立私人憑證授權單位 (CA), AWS Private CA 如果您沒有使用您的 Active Directory 設定。 AWS Private CA 需要使用憑證型驗證。如需詳細資訊,請參閱規劃 AWS Private CA 部署,並遵循指引設定 CA 以進行憑證型驗證。以下是憑證型驗證使用案例最常見的 AWS Private CA 設定:

    1. CA 類型選項:

      1. 短期憑證 CA 使用模式 (如果您只使用 CA 來發行使用者憑證以進行憑證型驗證,則建議使用)

      2. 具有根 CA 的單一層級階層 (或者,如果要與現有 CA 階層整合,請選擇次級 CA)

    2. 主要演算法選項:RSA2048

    3. 主體辨別名稱選項:使用任何選項組合來識別 Active Directory 受信任的根憑證授權單位存放區中的 CA。

    4. 憑證撤銷選項:CRL發佈

      注意

      憑證型驗證需要可從桌面和網域控制站存取的線上CRL發佈點。這需要未經驗證存取針對私有 CA CRL 項目設定的 Amazon S3 儲存貯體,或者如果封鎖公用存取,則可存取 S3 儲存貯體的 CloudFront散發。如需這些選項的詳細資訊,請參閱規劃憑證撤銷清單 (CRL)

  6. 使用有權指定 CA 與憑證EUC型驗證搭配使用的金鑰euc-private-ca來標記您的私有 CA。此金鑰不需要值。如需詳細資訊,請參閱管理私有 CA 的標籤

  7. 憑證型驗證會利用虛擬智慧卡進行登入。遵循在 Active Directory 中啟用智慧卡登入第三方憑證授權單位的指導方針,執行下列步驟:

    • 使用網域控制站憑證設定網域控制站,以驗證智慧卡使用者。如果您在 Active Directory 中設定了 Active Directory Certificate Services 企業 CA,網域控制站會使用憑證自動註冊以啟用智慧卡登入。如果您沒有 Active Directory Certificate Services,請參閱來自第三方 CA 的網域控制站憑證需求。您可以使用 AWS Private CA建立網域控制站憑證。如果您這樣做,請勿使用為短期憑證設定的私有 CA。

      注意

      如果您使用的是 AWS Managed Microsoft AD,您可以在EC2執行個體上設定憑證服務,以滿足網域控制站憑證的需求。如AWS Launch Wizard需使用中目錄憑證服務 AWS Managed Microsoft AD 設定的範例部署,請參閱。 AWS 私有 CA 可以設定為使用中目錄憑證服務 CA 的從屬,也可以在使用 AWS Managed Microsoft AD時設定為其自己的根目錄。

      使用 AWS Managed Microsoft AD 和 Active Directory 憑證服務的其他組態工作是建立輸出規則,從控制器VPC安全性群組到EC2執行憑證服務的執行個體,允許TCP連接埠 135 和 49152-65535 啟用憑證自動註冊。此外,執行中的EC2執行個體必須允許網域執行個體 (包括網域控制站) 的相同連接埠上的輸入存取權。如需尋找安全性群組的詳細資訊, AWS Managed Microsoft AD 請參閱設定您的VPC子網路和安全性群組

    • 在 AWS Private CA 主控台上或使用SDK或CLI,選取您的 CA,然後在 CA 憑證下匯出 CA 私人憑證。如需詳細資訊,請參閱匯出私有憑證

    • 將 CA 發佈至 Active Directory。登入網域控制站或已加入網域的電腦。將 CA 私有憑證複製到任何 <path>\<file> 並以網域管理員的身分執行下列命令。或者,您可以使用群組原則和 Microsoft PKI Health 工具 (PKIView) 工具來發佈 CA。如需詳細資訊,請參閱設定指示

      certutil -dspublish -f <path>\<file> RootCA
certutil -dspublish -f  <path>\<file> NTAuthCA

      確定命令已順利完成,然後移除私有憑證檔案。根據 Active Directory 複寫設定,CA 可能需要幾分鐘的時間才能發佈至您的網域控制站和桌面執行個體。

      注意

      • 當 WorkSpaces 桌面加入網域時,Active Directory 必須自動將 CA 散發到受信任的根憑證授權單位和企業NTAuth存放區。

啟用憑證型驗證

完成下列步驟,以啟用憑證型身分驗證。

  1. 在開啟 WorkSpaces 主控台https://console.aws.amazon.com/workspaces

  2. 在導覽窗格中,選擇目錄

  3. 選擇您的目錄 ID WorkSpaces。

  4. 驗證之下,按一下編輯

  5. 按一下編輯憑證型驗證

  6. 核取啟用憑證型驗證

  7. 確認清單中ARN已關聯您的私有 CA。私有 CA 應位於同一 AWS 帳戶中 AWS 區域,且必須使用有權出現在清單中 euc-private-ca 的金鑰加上標記。

  8. 按一下 Save Changes (儲存變更)。憑證型驗證現在已啟用。

  9. WorkSpaces 在 WorkSpaces 串流通訊協定 (WSP) 套裝軟體上重新啟動 Windows,變更才會生效。如需詳細資訊,請參閱重新開機 a WorkSpace.

  10. 重新開機之後,當使用者透過 SAML 2.0 使用支援的用戶端進行驗證時,他們將不再收到網域密碼的提示。

注意

啟用憑證型驗證以登入時,即使在目錄中啟用 WorkSpaces,也不會提示使用者輸入多重要素驗證 (MFA)。使用憑證型驗證時,MFA可以透過 SAML 2.0 身分識別提供者啟用。如需詳細資訊 AWS Directory Service MFA,請參閱多因素驗證 (AD Connector)啟用多因素驗證。 AWS Managed Microsoft AD

管理憑證型驗證

CA 憑證

在一般組態中,私有 CA 憑證的有效期為 10 年。如需有關以過期憑證取代 CA 或以新的有效期重新發行 CA 的詳細資訊,請參閱管理私有 CA 生命週期

最終使用者憑證

AWS Private CA 針對憑證型驗證而發行的使用者 WorkSpaces 憑證不需要續約或撤銷。這些證書是短暫的。 WorkSpaces每 24 小時自動發行一次新憑證。這些一般使用者憑證的有效期比一般 AWS Private CA CRL散發短。因此,一般使用者憑證不需要撤銷,也不會出現在CRL.

稽核報告

您可以建立稽核報告,以列出私有 CA 已發行或撤銷的所有憑證。如需詳細資訊,請參閱使用包含您私有 CA 的稽核報告

記錄和監控

您可以使用AWS CloudTrail來記錄對 AWS Private CA 方的API呼叫 WorkSpaces。如需詳細資訊,請參閱使用 CloudTrail。在CloudTrail事件歷史記錄中,您可以從 WorkSpacesEcmAssumeRoleSession使用者名稱建立的acm-pca.amazonaws.com事件來源中檢視GetCertificateIssueCertificate事件名稱。每個EUC憑證型驗證要求都會記錄這些事件。

啟用跨帳戶共享 PCA

當您使用 Private CA 跨帳戶共用時,您可以授與其他帳戶使用集中式 CA 的權限,這樣就不需要每個帳戶中的 Private CA。CA 可以使用 AWS Resource Access Manager 來管理權限來產生和發行憑證。私有 CA 跨帳戶共用可與相同區域內的 WorkSpaces 憑證型驗證 (CBA) 搭配使用。 AWS

若要使用共用的私人 CA 資源 WorkSpaces CBA

  1. CBA在集中式 AWS 帳戶中設定私有 CA。如需詳細資訊,請參閱設定憑證型驗證

  2. CBA依照如何使用共用您的 Private CA 跨 AWS 帳戶中的步驟,與 WorkSpaces 資源使 AWS RAM用的資源帳號共用 ACM Private CA。您不需要完成步驟 3 即可建立憑證。您可以與個別 AWS 帳戶共用 Private CA,也可以透過 Organ AWS izations 共用。若要與個別帳號共用,您必須使用 Resource Access Manager (RAM) 主控台或接受資源帳號中的共用私人 CA APIs。設定共用時,請確認RAM資源帳號中 Private CA 的資源共用正在使用AWS RAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority受管理的權限範本。此範本會與發行CBA憑證時 WorkSpaces 服務角色所使用的PCA範本保持一致。

  3. 成功共用之後,您應該可以使用資源帳號中的私人 CA 主控台來檢視共用的私有 CA。

  4. 使用API或CLI將私ARN有 CA 與 WorkSpaces 目錄內容CBA中的關聯。目前, WorkSpaces 主控台不支援選取共用私有 CA ARNs。範例CLI指令:

    aws workspaces modify-certificate-based-auth-properties —resource-id <value> —certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>