View a markdown version of this page

Active Directory-Domänen – Übersicht - WorkSpaces Amazon-Anwendungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Active Directory-Domänen – Übersicht

Die Verwendung von Active Directory-Domänen mit WorkSpaces Anwendungen setzt voraus, dass Sie wissen, wie sie zusammenarbeiten und welche Konfigurationsaufgaben Sie ausführen müssen. Sie müssen die folgenden Aufgaben ausführen:

  1. Konfigurieren Sie Gruppenrichtlinieneinstellungen nach Bedarf, um die Endbenutzererfahrung und Sicherheitsanforderungen für Anwendungen zu definieren.

  2. Erstellen Sie den in die Domäne eingebundenen Anwendungsstapel unter Anwendungen. WorkSpaces

  3. Erstellen Sie die WorkSpaces Anwendungsanwendung im SAML 2.0-Identitätsanbieter und weisen Sie sie den Endbenutzern entweder direkt oder über Active Directory-Gruppen zu.

Damit Ihre Benutzer bei einer Domäne authentifiziert werden können, müssen mehrere Schritte ausgeführt werden, wenn diese Benutzer eine WorkSpaces Anwendungs-Streaming-Sitzung starten. Das folgende Diagramm zeigt die End-to-End-Benutzerauthentifizierung von der ersten Browser-Anforderung bis zur SAML- und Active Directory-Authentifizierung.

Flussdiagramm für die Authentifizierung, das die Schritte von der Benutzeranmeldung bis zum AWS WorkSpaces Applications Sitzungsstart zeigt.
Benutzer-Authentifizierungsfluss

  1. Der Benutzer ruft https://applications.exampleco.com auf. Die Anmeldeseite fordert die Authentifizierung für den Benutzer an.

  2. Der Verbundservice fordert die Authentifizierung vom Identitätsspeicher der Organisation an.

  3. Der Identitätsspeicher authentifiziert den Benutzer und gibt die Authentifizierungsantwort an den Verbundservice zurück.

  4. Bei einer erfolgreichen Authentifizierung sendet der Verbundservice die SAML-Zusicherung an den Browser des Benutzers.

  5. Der Browser des Benutzers sendet die SAML-Assertion an den AWS Sign-In SAML-Endpunkt (). https://signin.aws.amazon.com/saml AWS Sign-In empfängt die SAML-Anfrage, verarbeitet die Anfrage, authentifiziert den Benutzer und leitet das Authentifizierungstoken an den Anwendungsdienst weiter. WorkSpaces

  6. WorkSpaces Applications autorisiert den Benutzer mithilfe des Authentifizierungstokens von AWS und präsentiert Anwendungen dem Browser.

  7. Der Benutzer wählt eine Anwendung aus und wird, abhängig von der Windows-Anmeldeauthentifizierungsmethode, die im WorkSpaces Anwendungsstapel aktiviert ist, aufgefordert, sein Active Directory-Domänenkennwort einzugeben oder eine Smartcard auszuwählen. Wenn beide Authentifizierungsmethoden aktiviert sind, kann der Benutzer wählen, ob er sein Domänenkennwort eingeben oder seine Smartcard verwenden möchte. Certificate-based Die Authentifizierung kann auch zur Authentifizierung von Benutzern verwendet werden, wodurch die Aufforderung entfällt.

  8. Der Domänencontroller für die Benutzerauthentifizierung wird kontaktiert.

  9. Nach der Authentifizierung bei der Domäne beginnt die Sitzung des Benutzers mit Domänen-Konnektivität.

Für den Benutzer ist dieser Vorgang transparent. Der Benutzer navigiert zunächst zum internen Portal Ihrer Organisation und wird dann zu einem Anwendungsportal für WorkSpaces Anwendungen weitergeleitet, ohne dass er Anmeldeinformationen eingeben AWS muss. Es sind nur ein Active-Directory-Domainkennwort oder Smartcard-Anmeldeinformationen erforderlich.

Bevor ein Benutzer diesen Prozess starten kann, müssen Sie Active Directory mit den erforderlichen Berechtigungen und Gruppenrichtlinieneinstellungen konfigurieren und ein mit einer Domäne verbundenen Anwendungs-Stack erstellen.