先决条件 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

先决条件

要为 Amazon WorkSpaces 客户端启用使用智能卡的 MTL 身份验证,您需要一个与自我管理的 AD 集成的运营智能卡基础设施。有关如何使用 Amazon WorkSpaces 和 AD 设置智能卡身份验证的更多信息,请参阅Amazon WorkSpaces 管理指南.

在为 WorkSpaces 启用智能卡身份验证之前,请查看以下注意事项:

CA 证书要求

AD Connector 需要证书颁发机构 (CA) 证书,该证书表示用户证书的颁发者,以实现智能卡身份验证。AD Connector 将 CA 证书与用户提供的证书与智能卡相匹配。请注意以下 CA 证书要求:

  • 要注册 CA 证书,该证书必须在 90 天以后才到期。

  • CA 证书必须采用隐私增强邮件 (PEM) 格式。如果要从 Active Directory 内部导出 CA 证书,请选择 base64 编码的 X.509 (.CER) 作为导出文件格式。

  • 必须上传从颁发 CA 到用户证书链接的所有根证书和中间 CA 证书,才能成功进行智能卡身份验证。

  • 每个 AD Connector 目录最多可存储 100 个 CA 证书。

  • AD Connector 不支持 CA 证书的 RSSAS-PSS 签名算法。

用户证书要求

向 AD Connector 提供的用户证书必须包含userPrincipalName (UPN)中的 AD 用户subjectAltName (SAN)证书的字段。

证书吊销检查过程

为了执行智能卡身份验证,AD Connector 必须使用在线证书状态协议 (OCSP) 检查用户证书的吊销状态。要执行证书吊销检查,OCSP 响应程序 URL 必须可以互联网访问。如果使用 DNS 名称,OCSP 响应程序 URL 必须使用互联网编号分配机构 (IANA) 根区域数据库.

AD Connector 证书吊销检查使用以下过程:

  • AD Connector 必须检查用户证书中的授权信息访问 (AIA) 扩展名以获取 OCSP 响应程序 URL,然后 AD Connector 使用该 URL 检查是否撤销。

  • 如果 AD Connector 无法解析在用户证书 AIA 扩展中找到的 URL,或者在用户证书中找到 OCSP 响应程序 URL,则 AD Connector 将使用在根 CA 证书注册过程中提供的可选 OCSP URL。

    如果用户证书 AIA 扩展中的 URL 解析但没有响应,则用户身份验证将失败。

  • 如果在根 CA 证书注册期间提供的 OCSP 响应程序 URL 无法解析、无响应或未提供 OCSP 响应程序 URL,则用户身份验证将失败。

注意

AD Connector 需要HTTPOCSP 响应程序 URL 的 URL。

其它考虑因素

在 AD Connector 中启用智能卡身份验证之前,请考虑以下事项:

  • AD Connector 使用基于证书的相互传输层安全身份验证 (双向 TLS) 使用基于硬件或软件的智能卡证书向 Active Directory 验证用户身份。目前只支持普通访问卡 (CAC) 和个人身份验证 (PIV) 卡。其他类型的硬件或基于软件的智能卡可能有效,但尚未经过与 WorkSpaces 流协议一起使用的测试。

  • 智能卡身份验证将替换 WorkSpaces 的用户名和密码身份

    如果有其他Amazon在 AD Connector 目录上配置的应用程序启用了智能卡身份验证,这些应用程序仍然显示用户名和密码输入屏幕

  • 启用智能卡身份验证可将 Kerberos 服务票证的用户会话长度限制为最长生命周期。您可以使用组策略配置此设置,默认情况下设置为 10 小时。有关此设置的更多信息,请参阅Microsoft 文档.