启用单点登录 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用单点登录

Amazon Directory Service 允许您的用户通过加入目录 WorkDocs 的计算机访问 Amazon,而无需单独输入凭证。

启用单点登录之前,您需要执行其他步骤,以便使用户的 Web 浏览器可以支持单点登录。用户可能需要修改其 Web 浏览器设置来启用单点登录。

注意

只有在已加入到 Amazon Directory Service 目录中的计算机上才支持单点登录。未加入目录中的计算机上无法使用单点登录。

如果您的目录是 AD Connector 目录,且 AD Connector 服务账户没有权限添加或删除其服务委托人名称属性,则对于下面的步骤 5 和 6,您有两个选项:

  1. 您可以继续操作,系统将提示您输入具有以下权限的目录用户的用户名和密码:可在 AD Connector 服务账户上添加或删除服务委托人名称属性。这些凭证仅用于启用单点登录,不由服务进行存储。不会更改 AD Connector 服务账户权限。

  2. 您可以委托权限以允许 AD Connector 服务帐户添加或删除自身的服务主体名称属性,您可以使用有权修改 AD Connector 服务帐户权限的帐户在加入域的计算机上运行以下 PowerShell 命令。以下命令将使 AD Connector 服务账户能够仅为其自身添加和删除服务委托人名称属性。

$AccountName = 'ConnectorAccountName' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module 'ActiveDirectory' $RootDse = Get-ADRootDSE [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID # Getting AD Connector service account Information. $AccountProperties = Get-ADUser -Identity $AccountName $AclPath = $AccountProperties.DistinguishedName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value # Getting ACL settings for AD Connector service account. $ObjectAcl = Get-ACL -Path "AD:\$AclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself $AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None' $ObjectAcl.AddAccessRule($AddAccessRule) Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
启用或禁用 Amazon 单点登录 WorkDocs
  1. Amazon Directory Service 控制台导航窗格中,选择目录

  2. 目录页面上,选择您的目录 ID。

  3. Directory details (目录详细信息) 页面上,选择 Application management (应用程序管理) 选项卡。

  4. 在 “应用程序访问权限 URL” 部分,选择 “启用” 以启用 Amazon WorkDocs 的单点登录。

    如果看不到 “启用” 按钮,则可能需要先创建一个 Acces URL s,然后才能显示此选项。有关如何创建访问权限的更多信息URL,请参阅为 Amazon 托管的 Microsoft AD 创建访问权限 URL

  5. 为此目录启用单点登录对话框中,选择启用。单点登录已为目录启用。

  6. 如果您以后想禁用 Amazon 的单点登录 WorkDocs,请选择 “禁用”,然后在 “禁用此目录的单点登录” 对话框中,再次选择 “禁用”。

IE 和 Chrome 的单点登录

要使 Microsoft 的 Internet Explorer(IE)和 Google 的 Chrome 浏览器可以支持单点登录,必须在客户端计算机上执行以下任务:

  • 添加您的访问权限URL(例如,https://<alias>.awsapps.com) 到批准的单点登录网站列表中。

  • 启用活动脚本 (JavaScript)。

  • 允许自动登录。

  • 启用集成身份验证。

您或您的用户手动执行这些任务,也可以使用组策略设置更改这些设置。

Windows 上单点登录的手动更新

要在 Windows 计算机上手动启用单点登录,请在客户端计算机上执行以下步骤。其中一些设置可能已正确设置。

在 Windows 上为 Internet Explorer 和 Chrome 手动启用单点登录
  1. 要打开 Internet Properties 对话框,请选择 Start 菜单,在搜索框中键入 Internet Options,然后选择 Internet Options

  2. 通过执行以下步骤,将您的访问权限URL添加到允许单点登录的网站列表中:

    1. Internet Properties 对话框中选择 Security 选项卡。

    2. 选择 Local intranet,然后选择 Sites

    3. Local intranet 对话框中,选择 Advanced

    4. 将您的访问权限URL添加到网站列表中,然后选择 “关闭”。

    5. Local intranet 对话框中,选择 OK

  3. 要启用活动脚本,请执行以下步骤:

    1. Internet Properties 对话框的 Security 选项卡中,选择 Custom level

    2. Security Settings - Local Intranet Zone 对话框中,向下滚动到 Scripting,然后在 Active scripting 下选择 Enable

    3. Security Settings - Local Intranet Zone 对话框中,选择 OK

  4. 要启用自动登录,请执行以下步骤:

    1. Internet Properties 对话框的 Security 选项卡中,选择 Custom level

    2. Security Settings - Local Intranet Zone 对话框中,向下滚动到 User Authentication 并在 Logon 下选择 Automatic logon only in Intranet zone

    3. Security Settings - Local Intranet Zone 对话框中,选择 OK

    4. Security Settings - Local Intranet Zone 对话框中,选择 OK

  5. 要启用集成身份验证,请执行以下步骤:

    1. Internet Properties 对话框中选择 Advanced 选项卡。

    2. 向下滚动到 Security,然后选择 Enable Integrated Windows Authentication

    3. Internet Properties 对话框中,选择 OK

  6. 关闭并重新打开浏览器让这些更改生效。

OS X 上单点登录的手动更新

要在 OS X 上为 Chrome 手动启用单点登录,请在客户端计算机上执行以下步骤。需要计算机上的管理员权限才能完成这些步骤。

在 OS X 上为 Chrome 手动启用单点登录
  1. 通过运行以下命令URL来添加对AuthServerAllowlist策略的访问权限:

    defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com"
  2. 打开 System Preferences,转到 Profiles 面板,然后删除 Chrome Kerberos Configuration 配置文件。

  3. 重新启动 Chrome,然后在 Chrome 中打开 chrome://policy 以确认新设置已实施。

单点登录的组策略设置

域管理员可以实施组策略设置以在加入域的客户端计算机上进行单点登录更改。

注意

如果您使用 Chrome 政策管理网域内计算机上的 Chrome 网络浏览器,则必须添加URL对AuthServerAllowlist政策的访问权限。有关设置 Chrome 策略的更多信息,请转到 Policy Settings in Chrome

使用组策略设置为 Internet Explorer 和 Chrome 启用单点登录
  1. 通过执行以下步骤创建新的组策略对象:

    1. 打开组策略管理工具,导航到您的域并选择 Group Policy Objects

    2. 在主菜单中,选择 Action,然后选择 New

    3. 在 GPO “新建” 对话框中,输入组策略对象的描述性名称,例如IAM Identity Center Policy,并将 S ource Starter GPO 设置为(无)。单击 确定

  2. 通过执行以下步骤,将访问权限URL添加到允许单点登录的站点列表中:

    1. 在组策略管理工具中,导航到您的域,选择组策略对象,打开您的 Ident IAM ity Center 策略的上下文(右键单击)菜单,然后选择编辑

    2. 在策略树中,导航到 User Configuration > Preferences > Windows Settings

    3. Windows Settings 列表中,打开 Registry 的上下文 (右键单击) 菜单并选择 New registry item

    4. New Registry Properties 对话框中,输入以下设置,然后选择 OK

      操作

      Update

      Hive

      HKEY_CURRENT_USER

      路径

      Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>

      的价值 <alias> 源自您的访问权限URL。如果您的访问权限URL为https://examplecorp.awsapps.com,则别名为examplecorp,注册表项将是Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp

      Value name

      https

      值类型

      REG_DWORD

      Value data

      1

  3. 要启用活动脚本,请执行以下步骤:

    1. 在组策略管理工具中,导航到您的域,选择组策略对象,打开您的 Ident IAM ity Center 策略的上下文(右键单击)菜单,然后选择编辑

    2. 在策略树中,导航到 Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone

    3. Intranet Zone 列表中,打开 Allow active scripting 的上下文 (右键单击) 菜单,选择 Edit

    4. Allow active scripting 对话框中,输入以下设置,然后选择 OK

      • 选择 Enabled 单选按钮。

      • Options 下,将 Allow active scripting 设置为 Enable

  4. 要启用自动登录,请执行以下步骤:

    1. 在组策略管理工具中,导航到您的域,选择组策略对象,打开SSO策略的上下文(右键单击)菜单,然后选择编辑

    2. 在策略树中,导航到 Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone

    3. Intranet Zone 列表中,打开 Logon options 的上下文 (右键单击) 菜单,选择 Edit

    4. Logon options 对话框中,输入以下设置,然后选择 OK

      • 选择 Enabled 单选按钮。

      • Options 下,将 Logon options 设置为 Automatic logon only in Intranet zone

  5. 要启用集成身份验证,请执行以下步骤:

    1. 在组策略管理工具中,导航到您的域,选择组策略对象,打开您的 Ident IAM ity Center 策略的上下文(右键单击)菜单,然后选择编辑

    2. 在策略树中,导航到 User Configuration > Preferences > Windows Settings

    3. Windows Settings 列表中,打开 Registry 的上下文 (右键单击) 菜单并选择 New registry item

    4. New Registry Properties 对话框中,输入以下设置,然后选择 OK

      操作

      Update

      Hive

      HKEY_CURRENT_USER

      路径

      Software\Microsoft\Windows\CurrentVersion\Internet Settings

      Value name

      EnableNegotiate

      值类型

      REG_DWORD

      Value data

      1

  6. 如果 Group Policy Management Editor 窗口仍打开,关闭该窗口。

  7. 通过执行以下步骤将新策略分配给您的域:

    1. 在 “组策略管理” 树中,打开您的域的上下文(右键单击)菜单,然后选择 “链接现有的” GPO。

    2. 组策略对象列表中,选择您的 Ident IAM ity Center 策略,然后选择确定

这些更改会在客户端上的下一次策略更新之后,或是在下次用户登录时生效。

Firefox 的单点登录

要允许 Mozilla Firefox 浏览器支持单点登录,请添加您的访问权限URL(例如,https://<alias>.awsapps.com) 到批准的单点登录网站列表中。这可以手动执行,也可以使用脚本自动进行。

单点登录的手动更新

要手动将您的访问权限添加URL到 Firefox 中允许的网站列表中,请在客户端计算机上执行以下步骤。

在 Firefox 中手动将您的访问权限添加URL到 Firefox 中已批准的网站列表
  1. 打开 Firefox,然后打开 about:config 页面。

  2. 打开首network.negotiate-auth.trusted-uris选项并将您的访问权限URL添加到网站列表中。使用逗号 (,) 分隔多个条目。

单点登录的自动更新

作为域管理员,您可以使用脚本在网络上的所有计算机上添加对 Firefox network.negotiate-auth.trusted-uris 用户首选项的访问权限URL。欲了解更多信息,请访问 https://support.mozilla。 org/en-US/questions/939037