基于证书的身份验证 - 亚马逊 WorkSpaces
先决条件启用基于证书的身份验证管理基于证书的身份验证
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

基于证书的身份验证

您可以使用基于证书的身份验证 WorkSpaces 来移除用户输入 Active Directory 域密码的提示。通过对您的 Active Directory 域使用基于证书的身份验证,您可以:

  • 依靠您的 SAML 2.0 身份提供商对用户进行身份验证,并提供 SAML 断言以匹配 Active Directory 中的用户。

  • 使用更少的用户提示实现单点登录体验。

  • 使用 SAML 2.0 身份提供商启用无密码身份验证流程。

基于证书的身份验证使用您Amazon Private CAAmazon账户中的资源。 Amazon Private CA允许创建私有证书颁发机构 (CA) 层次结构,包括根证书颁发机构和从属 CA。使用Amazon Private CA,您可以创建自己的 CA 层次结构,并使用它颁发证书,用于对内部用户进行身份验证。有关更多信息,请参阅 Amazon Private Certificate Authority 用户指南

使用基于证书Amazon Private CA的身份验证时, WorkSpaces 将在会话身份验证期间自动为您的用户请求证书。使用配置了证书的虚拟智能卡对用户进行 Active Directory 的身份验证。

使用最新的 Windows 和 macOS 客户端应用程序的 Windows WorkSpaces WorkSpaces 流媒体协议 (WSP) 捆绑包支持基于证书的身份验证。 WorkSpaces 打开亚马逊 WorkSpaces 客户端下载以查找最新版本:

  • Windows 客户端版本 5.5.0 或更高版本

  • macOS 客户端版本 5.6.0 或更高版本

先决条件

在启用基于证书的身份验证之前,请完成以下步骤。

  1. 使用 SAML 2.0 集成配置您的 WorkSpaces 目录,以使用基于证书的身份验证。有关更多信息,请参阅与 SAML 2.0 WorkSpaces 集成

  2. 在 SAML 断言中配置该userPrincipalName属性。有关更多信息,请参阅为 SAML 身份验证响应创建断言

  3. 在 SAML 断言中配置该ObjectSid属性。这是可选的,可以对活动目录用户执行强映射。如果属性与 SAML_Subject 中指定的用户的 Active Directory 安全标识符 (SID) 不匹配,则基于证书的身份验证将失败。NameID有关更多信息,请参阅为 SAML 身份验证响应创建断言

  4. sts: TagSession 权限添加到用于 SAML 2.0 配置的 IAM 角色信任策略(如果尚未存在)。使用基于证书的身份验证需要此权限。有关更多信息,请参阅创建 SAML 2.0 联合 IAM 角色

  5. Amazon Private CA如果您的 Active Directory 中没有配置私有证书颁发机构 (CA),请使用创建私有证书颁发机构 (CA)。 Amazon Private CA必须使用基于证书的身份验证。有关更多信息,请参阅规划Amazon Private CA部署并按照指南为基于证书的身份验证配置 CA。以下Amazon Private CA设置是基于证书的身份验证用例中最常见的设置:

    1. CA 类型选项:

      1. 短期证书 CA 使用模式(如果您仅使用 CA 为基于证书的身份验证颁发最终用户证书,则建议使用)

      2. 具有根 CA 的单级层次结构(或者,如果您想与现有 CA 层次结构集成,请选择从属 CA)

    2. 关键算法选项:RSA 2048

    3. 主题可分辨名称选项:使用任意选项组合来识别 Active Directory 可信根证书颁发机构存储中的 CA。

    4. 证书吊销选项:CRL 分发

      注意

      基于证书的身份验证需要可从桌面和域控制器访问的在线 CRL 分发点。这需要对为私有 CA CRL 条目配置的 Amazon S3 存储桶进行未经身份验证的访问权限,或者如果 CloudFront分配阻止公开访问,则该分配将有权访问 S3 存储桶。有关这些选项的更多信息,请参阅规划证书吊销列表 (CRL)。

  6. 使用密钥标记您的私有 CA,该密钥euc-private-ca有权指定 CA 以用于基于 EUC 证书的身份验证。密钥不需要值。有关更多信息,请参阅管理私有 CA 的标签

  7. 基于证书的身份验证使用虚拟智能卡进行登录。按照在 Active Directory 中使用第三方证书颁发机构启用智能卡登录的指导原则,执行以下步骤:

    • 为域控制器配置域控制器证书,以对智能卡用户进行身份验证。如果您在 Active Directory 中配置了 Active Directory 证书服务企业 CA,则域控制器将自动注册证书以启用智能卡登录。如果您没有 Active Directory 证书服务,请参阅来自第三方 CA 的域控制器证书的要求。您可以使用创建域控制器证书Amazon Private CA。如果您这样做,请不要使用为短期证书配置的私有 CA。

      注意

      如果您正在使用Amazon Managed Microsoft AD,则可以在 EC2 实例上配置证书服务以满足域控制器证书的要求。有关Amazon Managed Microsoft AD配置Amazon Launch Wizard了 Active Directory 证书服务的部署示例,请参阅。

      Amazon Managed Microsoft AD和 Active Directory 证书服务的另一项配置任务是创建从控制器 VPC 安全组到运行证书服务的 EC2 实例的出站规则,允许 TCP 端口 135 和 49152-65535 启用证书自动注册。此外,正在运行的 EC2 实例必须允许来自域实例(包括域控制器)的相同端口进行入站访问。有关查找安全组的更多信息,Amazon Managed Microsoft AD请参阅配置您的 VPC 子网和安全组

    • 在Amazon Private CA控制台上或使用 SDK 或 CLI,选择您的 CA,然后在 CA 证书下导出 CA 私有证书。有关更多信息,请参阅导出私有证书

    • 将 CA 发布到活动目录。登录到域控制器或加入域的计算机。将 CA 私有证书复制到任<path>\<file>意,然后以域管理员身份运行以下命令。或者,你可以使用组策略和微软 PKI Health Tool (pkiView) 工具发布 CA。有关更多信息,请参阅配置说明

      certutil -dspublish -f <path>\<file> RootCA
certutil -dspublish -f  <path>\<file> NTAuthCA

      确保命令成功完成,然后删除私有证书文件。根据 Active Directory 复制设置,CA 可能需要几分钟才能发布到您的域控制器和桌面实例。

      注意

      Active Directory 要求 Active Directory 在 WorkSpaces 台式机加入域时自动将 CA 分发给受信任的根证书颁发机构和企业 nTauth 存储区。

启用基于证书的身份验证

完成以下步骤以启用基于证书的身份验证。

  1. 打开 WorkSpaces 控制台,网址为https://console.amazonaws.cn/workspaces

  2. 在导航窗格中,选择目录

  3. 选择您的目录 ID WorkSpaces。

  4. 在 “身份验证” 下,单击 “编辑”

  5. 单击 “编辑基于证书的身份验证”。

  6. 选中启用基于证书的身份验证

  7. 确认您的私有 CA ARN 已在列表中关联。私有 CA 应位于同一个Amazon账户中Amazon Web Services 区域,并且必须使用有权出现在列表中的密钥 euc-private-ca 进行标记。

  8. 单击 Save Changes(保存更改)。基于证书的身份验证现已启用。

  9. 重启你的 Window WorkSpaces s WorkSpaces 直播协议 (WSP) 捆绑包以使更改生效。有关更多信息,请参阅重启 a WorkSpace

  10. 重新启动后,当用户使用支持的客户端通过 SAML 2.0 进行身份验证时,他们将不再收到输入域密码的提示。

注意

启用基于证书的身份验证登录时,即使在目录中启用了多重身份验证 (MFA) WorkSpaces,也不会提示用户进行多重身份验证 (MFA)。使用基于证书的身份验证时,可以通过 SAML 2.0 身份提供商启用 MFA。有关 Amazon Directory Service MFA 的更多信息,请参阅多重身份验证 (AD Connector) 或为启用多因素身份验证。Amazon Managed Microsoft AD

管理基于证书的身份验证

CA 证书

在典型配置中,私有 CA 证书的有效期为 10 年。有关使用过期证书替换 CA 或重新颁发新有效期的 CA 的更多信息,请参阅管理私有 CA 生命周期。

最终用户证书

为 WorkSpaces 基于证书的身份验证Amazon Private CA而颁发的最终用户证书不需要续订或撤销。这些证书是短暂的。 WorkSpaces每 24 小时自动颁发一次新证书。这些最终用户证书的有效期比典型的 Amazon Private CA CRL 发行版短。因此,无需吊销最终用户证书,也不会出现在 CRL 中。

审计报告

您可以创建审核报告,以列出您的私有 CA 已颁发和吊销的所有证书。有关更多信息,请参阅使用私有 CA 的审计报告

日志记录和监控

您可以使用Amazon CloudTrail来记录对 by 的 API 调Amazon Private CA用 WorkSpaces。有关更多信息,请参阅使用 CloudTrail。在CloudTrail事件历史记录GetCertificateIssueCertificate您可以查看由 WorkSpacesEcmAssumeRoleSession用户名acm-pca.amazonaws.com创建的事件源中的事件名称。每个基于 EUC 证书的身份验证请求都将记录这些事件。