在 Windows 主机上配置 WebAuthn 重定向 - Amazon DCV
配置 WebAuthn 重定向Webauthn Windows 故障排除
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Windows 主机上配置 WebAuthn 重定向

WebAuthn 可以使用webauthn-redirection权限启用或禁用。有关更多信息,请参阅使用权限文件

配置 WebAuthn 重定向

WebAuthn 默认情况下,在 DCV 上处于启用状态。您可以使用以下注册表启用或禁 WebAuthn 用:

HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\webauthn

Key: enabled
Value: 1 to enable, 0 to disable

此外,您可以通过添加字符串值来配置允许哪些应用程序和进程使用进程兼容性列表键重定向 WebAuthn 提示。

示例注册表项:

HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\webauthn\process-compatibilitylist

默认值(字符串):

['chrome.exe','msedge.exe','island.exe','firefox.exe','dcvwebauthnnativemsghost.exe','msedgewebview2.exe','Microsoft.AAD.BrokerPlugin.exe']

使用上述默认值,支持谷歌浏览器('chrome.exe')、Microsoft Edge('msedge.exe')、Island Browser('island.exe')和 Mozilla Firefox('firefox.exe')等应用程序进行 WebAuthn 重定向。 基于浏览器扩展的标准需要'dcvwebauthnativemsghost.exe',嵌入式微软 Edge 浏览器需要'msedgewebview2.exe ','microsoft.aad '需要'microsoft.aad。 WebAuthn BrokerPlugin需要在微软 Teams 和 WebAuthn 微软 Office365 应用程序上启用.exe。

您可以将可执行文件添加到进程兼容性列表,以增加对更多应用程序和进程的支持。

Windows 主机 WebAuthn 上有两种模式:

增强的 WebAuthn 重定向

从 DCV 2025.0 开始,你可以在 Windows DCV 服务器 WebAuthn 上使用增强版。增强版 WebAuthn 无需浏览器扩展程序,从而简化了初始设置并提高了性能。它还引入了 WebAuthn 对本机 Windows 应用程序的支持,允许用户在 Web 浏览器和 Windows 桌面应用程序中使用 WebAuthn 身份验证。

注意

要从标准版升级 WebAuthn 到增强版 WebAuthn,用户需要禁用或卸载之前为标准版安装的浏览器扩展程序 WebAuthn。

注意

Windows Server 2016 不支持系统级别 WebAuthn。要在 Windows Server 2016 上使用 WebAuthn 重定向,必须使用标准 WebAuthn版。

使用增强版 WebAuthn

启用后,增强版可以无缝 WebAuthn 运行,无需您进行任何其他配置。您可以在以下位置使用您的 WebAuthn 设备进行身份验证:

  • Web 浏览器(Chrome、Edge)

  • 支持的本机 Windows 应用程序 WebAuthn

  • 需要 WebAuthn 身份验证的 Windows 系统对话框

标准 WebAuthn 重定向

从 DCV 2023.1 开始,你可以在 Windows DCV 服务器 WebAuthn 上使用标准版。标准 WebAuthn 重定向要求在远程服务器上安装浏览器扩展程序。启用该功能并安装浏览器扩展程序后,会话中浏览器中运行的 Web 应用程序发起的任何 WebAuthn 请求都将无缝定向到本地客户端。然后,用户可以使用诸如 Windows Hello 之类 YubiKey 的设备或完成身份验证。

支持的浏览器:

  • Google Chrome 116 和更高版本

  • Microsoft Edge 116 和更高版本

设置 WebAuthn 重定向浏览器扩展

按照以下步骤设置标准 WebAuthn 重定向。

首次启动浏览器时自动提示

在安装启用了 WebAuthn 重定向功能的 Amazon DCV Server 2023.1 之后,当用户首次启动浏览器时,系统会提示他们启用浏览器扩展程序。如果他们选择不安装扩展程序或稍后将其卸载,则 WebAuthn 重定向将不起作用。管理员可以使用组策略强制进行安装。

使用组策略进行安装

对于希望更广泛地部署该扩展的组织,您可以使用组策略。

使用 Microsoft Edge:

  1. 下载并安装 Microsoft Edge 管理模板

  2. 启动组策略管理工具(gpmc.msc)。

  3. 导航:“林”>“域”>“您的 FQDN”(例如 example.com)>“组策略对象”。

  4. 选择所需的策略或创建新的策略,然后右键单击该策略并选择“编辑”。

  5. 采用以下路径:“计算机配置”>“管理模板”>“Microsoft Edge”>“扩展”。

  6. 访问“配置扩展管理设置”,并将其设置为“已启用”。

  7. 在“配置扩展管理设置”字段中,输入以下内容:

    {"ihejeaahjpbegmaaegiikmlphghlfmeh":{"installation_mode":"force_installed","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}

  8. 保存更改并重新引导服务器。

使用 Google Chrome:

  1. 获取并实施 Google Chrome 管理模板

  2. 与 Microsoft Edge 的步骤类似,通过组策略管理工具进行导航。

  3. 转到:“计算机配置”>“管理模板”>“Google Chrome”>“扩展”。

  4. 访问“配置扩展管理设置”,并将其设置为“已启用”。

  5. 在“配置扩展管理设置”字段中,输入以下内容:

    {"mmiioagbgnbojdbcjoddlefhmcocfpmn":{ "installation_mode":"force_installed","update_url":"https://clients2.google.com/service/update2/crx"}}

  6. 保存更改并重新引导服务器。

手动安装

可以从相应的浏览器商店中获取扩展:

对于手动安装:

  1. 连接到您的 Amazon DCV 会话。

  2. 打开您的首选浏览器,然后导航到相关的浏览器商店(上面的链接)。

  3. 选择“获取”(Microsoft Edge)或“添加到 Chrome”(Google Chrome)以继续。

  4. 按照屏幕上的说明进行操作。在成功添加扩展后,将显示确认消息。

在隐身模式下使用 WebAuthn 重定向(仅限 Chrome)

使用隐身模式时,需要特别允许 Amazon DCV WebAuthn 重定向扩展在其中运行,否则将不会发生 WebAuthn 重定向。要实现此目的,应按照以下步骤进行:

  1. 打开扩展设置。

  2. 在详细信息中找到允许无痕模式

  3. 将开关切换到

Webauthn Windows 故障排除

如果您在使用 WebAuthn 或增强版时遇到任何问题 WebAuthn:

  • 确保您的 DCV 服务器和客户端是最新的。

  • 对于标准 WebAuthn版,请确认浏览器扩展程序已安装并启用。

  • 对于增强版 WebAuthn,请在权限文件中确认其已启用。

  • 尝试重新启动浏览器或 DCV 会话。

  • 如果问题仍然存在,请联系 Supp Amazon ort。