View a markdown version of this page

先决条件 - Amazon WorkSpaces
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

先决条件

重要

“ WorkSpaces 池” 功能不适用于北京和宁夏区域。

使用基于证书的身份验证之前,请完成以下步骤。

  1. 使用 SAML 2.0 集成配置 P WorkSpaces ools 目录,以使用基于证书的身份验证。有关更多信息,请参阅 配置 SAML 2.0 并创建 WorkSpaces 池目录

    注意

    如果您要使用基于证书的身份验证,请不要启用池目录中的智能卡登录

  2. 在 SAML 断言中配置 userPrincipalName 属性。有关更多信息,请参阅 步骤 7:为 SAML 身份验证响应创建断言

  3. 在 SAML 断言中配置 ObjectSid 属性。您可以使用此属性与 Active Directory 用户执行强映射。 Certificate-based 如果该ObjectSid属性与 SAML NameID _subject 中指定的用户的 Active Directory 安全标识符 (SID) 不匹配,则身份验证将失败。有关更多信息,请参阅 步骤 7:为 SAML 身份验证响应创建断言

    注意

    根据 Microsoft KB5014754,2025 年 9 月 10 日之后,基于证书的身份验证要求必须配置 ObjectSid 属性。

  4. sts:TagSession 权限添加到与您的 SAML 2.0 配置一起使用的 IAM 角色信任策略。有关更多信息,请参阅《Amazon Identity and Access Management 用户指南》中的在 Amazon STS中传递会话标签。使用基于证书的身份验证时需要此权限。有关更多信息,请参阅 步骤 5:创建 SAML 2.0 联合身份验证 IAM 角色

  5. 如果您的 Active Directory 中没有配置 Amazon 私有证书颁发机构 (CA),请使用私有 CA 创建私有证书颁发机构 (CA)。 Amazon 私有 CA 必须使用基于证书的身份验证。有关更多信息,请参阅《Amazon 私有证书颁发机构 用户指南》中的规划您的 Amazon 私有 CA 部署。在许多基于证书的身份验证用例中,以下 Amazon 私有 CA 设置很常见:

    • CA 类型选项

      • Short-lived 证书 CA 使用模式 — 如果 CA 仅为基于证书的身份验证颁发最终用户证书,则建议使用。

      • 带有根 CA 的单级层次结构 – 选择从属 CA 以将其与现有 CA 层次结构集成。

    • 密钥算法选项 – RSA 2048

    • 主题可分辨名称选项 – 使用合适的选项在 Active Directory 受信任的根证书颁发机构存储中识别此 CA。

    • 证书吊销选项 – CRL 分发

      注意

      Certificate-based 身份验证需要在线 CRL 分发点,可以从 WorkSpaces 池 WorkSpaces 内和域控制器访问。这需要对为 Amazon 私有 CA CRL 条目配置的 Amazon S3 存储桶进行未经身份验证的访问权限,或者如果 CloudFront 分配阻止了公开访问,则需要有权访问 Amazon S3 存储桶。有关这些选项的更多信息,请参阅《Amazon 私有证书颁发机构 用户指南》中的规划证书吊销列表(CRL)

  6. 使用密钥标记您的私有 CA,该密钥有权指定 CA euc-private-ca 以用于基于 P WorkSpaces ools 证书的身份验证。此键不需要值。有关更多信息,请参阅《Amazon 私有证书颁发机构 用户指南》中的管理私有 CA 的标签

  7. Certificate-based 身份验证使用虚拟智能卡登录。有关更多信息,请参阅 Guidelines for enabling smart card logon with third-party certification authorities。按照以下步骤进行操作:

    1. 使用域控制器证书配置域控制器,以对智能卡用户进行身份验证。如果您在 Active Directory 中配置了 Active Directory 证书服务企业 CA,它会自动使用启用智能卡登录的证书注册域控制器。如果您没有 Active Directory 证书服务,请参阅对第三方 CA 的域控制器证书的要求。您可以使用 Amazon 私有 CA 创建域控制器证书。如果这样做,请不要使用为短期证书配置的私有 CA。

      注意

      如果您使用 Amazon 托管 Microsoft AD,则可以在满足域控制器证书要求的 Amazon EC2 实例上配置证书服务。有关配置了 A ctive Directory 证书服务的 Amazon 托管 Microsoft AD 的部署示例,请参阅将 Active Directory 部署到新的亚马逊虚拟私有云

      使用 Amazon 托管 Microsoft AD 和 Active Directory 证书服务,您还必须创建从控制器的 VPC 安全组到运行证书服务的亚马逊 EC2 实例的出站规则。您必须为安全组提供对 TCP 端口 135 以及端口 49152 至 65535 的访问权限,才能启用证书自动注册。Amazon EC2 实例还必须允许域实例(包括域控制器)在这些相同的端口上进行入站访问。有关查找 Amazon 托管 Microsoft AD 的安全组的更多信息,请参阅配置您的 VPC 子网和安全组

    2. 在 Amazon 私有 CA 控制台上,或者使用 SDK 或 CLI 导出私有 CA 证书。有关更多信息,请参阅导出私有证书

    3. 将私有 CA 发布到 Active Directory。登录到域控制器或已加入域的计算机。将私有 CA 证书复制到任意 <path>\<file>,然后以域管理员身份运行以下命令。您也可以使用组策略和 Microsoft PKI Health Tool(PKIView)发布 CA。有关更多信息,请参阅配置说明

      certutil -dspublish -f <path>\<file> RootCA
      certutil -dspublish -f <path>\<file> NTAuthCA

      确保命令成功完成,然后删除私有 CA 证书文件。根据您的 Active Directory 复制设置,CA 可能需要几分钟才能发布到您的域控制器和 WorkSpaces 池 WorkSpaces 中。

      注意

      Active Directory 必须自动将 CA 分发给受信任的根证书颁发机构和 Enterprise NTauth 存储,以便 WorkSpaces 在 WorkSpaces 池中加入域时。

      注意

      Active Directory 域控制器必须处于兼容模式,证书强制执行才能支持基于证书的身份验证。有关更多信息,请参阅 Microsoft Support 文档中的 KB5014754 — Windows 域控制器上的Certificate-based 身份验证更改。如果你使用的是 Amazon 托管 Microsoft AD,请参阅配置目录安全设置了解更多信息。