单点登录 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

单点登录

Amazon Directory Service提供允许您的用户访问亚马逊的功能WorkDocs来自已加入目录的计算机,无需单独输入其凭据。

在启用单点登录之前,您需要采取其他步骤使您的用户的 Web 浏览器支持单点登录。用户可能需要修改其 Web 浏览器设置才能启用单点登录。

注意

只有在已加入到 Amazon Directory Service 目录中的计算机上才支持单点登录。它不能在未加入目录的计算机上使用。

如果您的目录是 AD Connector 目录,且 AD Connector 服务账户没有权限添加或删除其服务委托人名称属性,则对于下面的步骤 5 和 6,您有两个选项:

  1. 您可以继续,系统会提示您输入具有此权限的目录用户的用户名和密码,以便在 AD Connector 服务帐户上添加或删除服务主体名称属性。这些凭证仅用于启用单点登录,不由服务存储。不会更改 AD Connector 服务账户权限。

  2. 您可以委派权限以允许 AD Connector 服务帐户在其自身上添加或删除服务主体名称属性,您可以运行以下命令PowerShell来自使用有权修改 AD Connector 服务帐户权限的帐户加入域的计算机的命令。以下命令将使 AD Connector 服务账户能够仅为其自身添加和删除服务委托人名称属性。

$AccountName = 'ConnectorAccountName' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module 'ActiveDirectory' $RootDse = Get-ADRootDSE [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID # Getting AD Connector service account Information. $AccountProperties = Get-ADUser -Identity $AccountName $AclPath = $AccountProperties.DistinguishedName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value # Getting ACL settings for AD Connector service account. $ObjectAcl = Get-ACL -Path "AD:\$AclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself $AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None' $ObjectAcl.AddAccessRule($AddAccessRule) Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
启用或禁用亚马逊单点登录WorkDocs
  1. Amazon Directory Service控制台导航窗格,选择目录

  2. Directories 页面上,选择您的目录 ID。

  3. Directory details (目录详细信息) 页面上,选择 Application management (应用程序管理) 选项卡。

  4. 应用程序访问网址部分,选择启用为亚马逊启用单点登录WorkDocs。

    如果你看不到启用按钮,在显示此选项之前,您可能需要先创建 Access URL。有关如何创建访问 URL 的更多信息,请参阅创建访问 URL

  5. 为此目录启用单点登录对话框,选择启用。单点登录已为目录启用。

  6. 如果您稍后想禁用亚马逊的单点登录WorkDocs,选择禁用,然后在禁用此目录的单点登录对话框,选择禁用再次。

适用于 IE 和 Chrome 的单点登录

要允许微软 Internet Explorer (IE) 和谷歌浏览器支持单点登录,必须在客户端计算机上执行以下任务:

  • 添加您的访问网址(例如 https://<alias>.awsapps.com) 添加到允许单点登录的站点列表中。

  • 启用活动脚本 (JavaScript)。

  • 允许自动登录。

  • 启用集成身份验证。

您或您的用户手动执行这些任务,也可以使用组策略设置更改这些设置。

在 Windows 上手动更新单点登录

要在 Windows 计算机上手动启用单点登录,请在客户端计算机上执行以下步骤。其中一些设置可能已正确设置。

在 Windows 上为 Internet Explorer 和 Chrome 手动启用单点登录
  1. 要打开 Internet Properties 对话框,请选择 Start 菜单,在搜索框中键入 Internet Options,然后选择 Internet Options

  2. 通过执行以下步骤将访问 URL 添加到适用于单点登录的经审批站点列表中:

    1. Internet Properties 对话框中选择 Security 选项卡。

    2. 选择 Local intranet,然后选择 Sites

    3. Local intranet 对话框中,选择 Advanced

    4. 将访问 URL 添加到网站列表,然后选择 Close

    5. Local intranet 对话框中,选择 OK

  3. 要启用活动脚本,请执行以下步骤:

    1. Internet Properties 对话框的 Security 选项卡中,选择 Custom level

    2. Security Settings - Local Intranet Zone 对话框中,向下滚动到 Scripting,然后在 Active scripting 下选择 Enable

      
                                            Internet Explorer 启用脚本设置
    3. Security Settings - Local Intranet Zone 对话框中,选择 OK

  4. 要启用自动登录,请执行以下步骤:

    1. Internet Properties 对话框的 Security 选项卡中,选择 Custom level

    2. Security Settings - Local Intranet Zone 对话框中,向下滚动到 User Authentication 并在 Logon 下选择 Automatic logon only in Intranet zone

      
                                            Internet Explorer 自动登录设置
    3. Security Settings - Local Intranet Zone 对话框中,选择 OK

    4. Security Settings - Local Intranet Zone 对话框中,选择 OK

  5. 要启用集成身份验证,请执行以下步骤:

    1. Internet Properties 对话框中选择 Advanced 选项卡。

    2. 向下滚动到 Security,然后选择 Enable Integrated Windows Authentication

      
                                            Internet Explorer 自动登录设置
    3. Internet Properties 对话框中,选择 OK

  6. 关闭并重新打开浏览器让这些更改生效。

在 OS X 上手动更新单点登录

要在 OS X 上手动启用 Chrome 的单点登录,请在客户端计算机上执行以下步骤。需要计算机上的管理员权限才能完成这些步骤。

在 OS X 上为 Chrome 手动启用单点登录
  1. 将您的访问网址添加到AuthServerAllowlist通过运行以下命令来制定策略:

    defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com"
  2. 打开 System Preferences,转到 Profiles 面板,然后删除 Chrome Kerberos Configuration 配置文件。

  3. 重新启动 Chrome,然后在 Chrome 中打开 chrome://policy 以确认新设置已实施。

单点登录的群组策略设置

域管理员可以实施组策略设置以在加入域的客户端计算机上进行单点登录更改。

注意

如果您使用 Chrome 政策管理域内计算机上的 Chrome 网络浏览器,则必须将您的访问网址添加到AuthServerAllowlist政策。有关设置 Chrome 策略的更多信息,请转到 Policy Settings in Chrome

使用组策略设置为 Internet Explorer 和 Chrome 启用单点登录
  1. 通过执行以下步骤创建新的组策略对象:

    1. 打开组策略管理工具,导航到您的域并选择 Group Policy Objects

    2. 在主菜单中,选择 Action,然后选择 New

    3. 全新 GPO对话框中,输入组策略对象的描述性名称,例如IAM Identity Center Policy,然后离开源代码入门版 GPO设置为(无)。单击 OK(确定)。

  2. 通过执行以下步骤将访问 URL 添加到适用于单点登录的经审批站点列表中:

    1. 在组策略管理工具中,导航到您的域,选择组策略对象,打开 IAM 身份中心策略的上下文(右键单击)菜单,然后选择编辑

    2. 在策略树中,导航到 User Configuration > Preferences > Windows Settings

    3. Windows Settings 列表中,打开 Registry 的上下文 (右键单击) 菜单并选择 New registry item

    4. New Registry Properties 对话框中,输入以下设置,然后选择 OK

      Action

      Update

      Hive

      HKEY_CURRENT_USER

      路径

      Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>

      的价值<alias>源自您的访问网址。如果访问 URL 是 https://examplecorp.awsapps.com,则别名是 examplecorp,注册表项是 Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp

      Value name

      https

      值类型

      REG_DWORD

      Value data

      1

  3. 要启用活动脚本,请执行以下步骤:

    1. 在组策略管理工具中,导航到您的域,选择组策略对象,打开 IAM 身份中心策略的上下文(右键单击)菜单,然后选择编辑

    2. 在策略树中,导航到 Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone

    3. Intranet Zone 列表中,打开 Allow active scripting 的上下文 (右键单击) 菜单,选择 Edit

    4. Allow active scripting 对话框中,输入以下设置,然后选择 OK

      • 选择 Enabled 单选按钮。

      • Options 下,将 Allow active scripting 设置为 Enable

  4. 要启用自动登录,请执行以下步骤:

    1. 在组策略管理工具中,导航到您的域,选择“Group Policy Objects”,打开 SSO 策略的上下文 (右键单击) 菜单,然后选择 Edit

    2. 在策略树中,导航到 Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone

    3. Intranet Zone 列表中,打开 Logon options 的上下文 (右键单击) 菜单,选择 Edit

    4. Logon options 对话框中,输入以下设置,然后选择 OK

      • 选择 Enabled 单选按钮。

      • Options 下,将 Logon options 设置为 Automatic logon only in Intranet zone

  5. 要启用集成身份验证,请执行以下步骤:

    1. 在组策略管理工具中,导航到您的域,选择组策略对象,打开 IAM 身份中心策略的上下文(右键单击)菜单,然后选择编辑

    2. 在策略树中,导航到 User Configuration > Preferences > Windows Settings

    3. Windows Settings 列表中,打开 Registry 的上下文 (右键单击) 菜单并选择 New registry item

    4. New Registry Properties 对话框中,输入以下设置,然后选择 OK

      Action

      Update

      Hive

      HKEY_CURRENT_USER

      路径

      Software\Microsoft\Windows\CurrentVersion\Internet Settings

      Value name

      EnableNegotiate

      值类型

      REG_DWORD

      Value data

      1

  6. 如果 Group Policy Management Editor 窗口仍打开,关闭该窗口。

  7. 通过执行以下步骤将新策略分配给您的域:

    1. 在组策略管理树中,打开您的域的上下文 (右键单击) 菜单,然后选择 Link an Existing GPO

    2. 组策略对象列表,选择您的 IAM 身份中心策略并选择好吧

这些更改会在客户端上的下一次策略更新之后,或是在下次用户登录时生效。

火狐单点登录

要允许 Mozilla Firefox 浏览器支持单点登录,请添加您的访问网址(例如 https://<alias>.awsapps.com) 添加到允许单点登录的站点列表中。这可以手动执行,也可以使用脚本自动进行。

手动更新单点登录

要在 Firefox 中将访问 URL 手动添加到经审批站点列表中,请在客户端计算机上执行以下步骤。

在 Firefox 中将访问 URL 手动添加到经审批站点列表中
  1. 打开 Firefox,然后打开 about:config 页面。

  2. 打开network.negotiate-auth.trusted-uris优先选择并将您的访问网址添加到网站列表中。使用逗号 (,) 分隔多个条目。

    
                                    Internet Explorer 自动登录设置

自动更新单点登录

作为域管理员,您可以使用脚本将您的访问网址添加到 Firefoxnetwork.negotiate-auth.trusted-uris网络上所有计算机上的用户首选项。有关更多信息,请转到 https://support.mozilla.org/en-US/questions/939037