View a markdown version of this page

Configurazione di un dominio personalizzato per il portale - Browser WorkSpaces sicuro Amazon
Come funzionaPrerequisitiNozioni di baseConfigurazione CloudFront come proxy inverso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di un dominio personalizzato per il portale

Come funziona

Quando configuri un dominio personalizzato:

  • È possibile creare e configurare un reverse proxy con il dominio personalizzato per indirizzare il traffico verso l'endpoint del portale.

  • Gli utenti accedono al portale tramite il dominio personalizzato anziché l'endpoint predefinito del portale.

  • I certificati SSL garantiscono connessioni sicure durante tutto il processo.

Prerequisiti

Prima di configurare domini personalizzati, assicurati di avere:

  • Un nome di dominio che gestisci tramite un provider di servizi DNS come Amazon Route53.

  • Un portale WorkSpaces Secure Browser. Per ulteriori informazioni sulla creazione di un portale, vedereCreazione di un portale Web per Amazon WorkSpaces Secure Browser.

  • Assicurati di disporre delle autorizzazioni necessarie per gestire AWS Certificate Manager e le CloudFront configurazioni DNS.

Importante

Gli utenti devono abilitare i cookie di terze parti per il dominio personalizzato nei propri browser per garantire la corretta funzionalità del portale.

Assicurati di possedere e gestire correttamente il dominio personalizzato e i relativi record DNS per mantenere la sicurezza e la funzionalità del tuo portale.

Nota

Per abilitare l'estensione Single Sign-On per i domini personalizzati, gli utenti devono installare l'estensione nel proprio browser con una versione successiva alla 1.0.2505.6608.

Agli utenti viene richiesto di installare l'estensione quando accedono a un portale. Per informazioni dettagliate sull'esperienza utente con l'estensione, consulta Estensione Single Sign-On per Amazon Secure Browser WorkSpaces.

Nozioni di base

È possibile configurare il dominio personalizzato come attributo delle impostazioni del portale quando si crea un nuovo portale o quando si modifica un portale esistente. Questa operazione può essere eseguita utilizzando i AWS comandi Console, SDK CloudFormation o AWS CLI.

Ti consigliamo di configurare una CloudFront distribuzione Amazon come proxy inverso che indirizza il traffico dal tuo dominio personalizzato all'endpoint del portale WorkSpaces Secure Browser.

Nota

Sebbene Amazon CloudFront sia consigliato come soluzione di reverse proxy, puoi utilizzare configurazioni di reverse proxy alternative. Assicurati di soddisfare le impostazioni di origine e di configurazione della cache richieste, come descritto nei passaggi di CloudFront configurazione di Amazon.

Configurazione CloudFront come proxy inverso

Per completare la configurazione di un reverse proxy, è necessario:

  • Un certificato SSL tramite AWS Certificate Manager (ACM)

  • Una CloudFront distribuzione Amazon

  • Record DNS

  • Portale configurato con il tuo dominio personalizzato

Certificato SSL

Se non ne hai già uno, segui questi passaggi per richiederne uno tramite ACM:

  1. Accedi alla console ACM all'indirizzo. https://console.aws.amazon.com/acm

    Importante

    Utilizza la regione Stati Uniti orientali (Virginia settentrionale), poiché CloudFront richiede che i certificati vengano archiviati lì.

  2. Richiedi un certificato:

    • Per i nuovi utenti ACM: scegli Inizia nella sezione Provision certificates

    • Per gli utenti ACM esistenti: scegli Richiedi un certificato

  3. Scegli Richiedi un certificato pubblico, quindi scegli Richiedi un certificato.

    Nota

    Puoi anche importare un certificato esistente. Per ulteriori informazioni, consulta Importazione di certificati in ACM nella Guida per l'utente ACM.

  4. Inserisci il tuo nome di dominio principale (ad esempio,). myportal.example.com

  5. Scegli un metodo di convalida:

    • Convalida DNS (consigliata per gli utenti di Route 53): consente la creazione automatica di set di record nella zona ospitata. Per ulteriori informazioni, consulta la convalida DNS nella ACM User Guide.

    • Convalida e-mail: per ulteriori informazioni, consulta la sezione Convalida delle e-mail nella Guida per l'utente ACM.

  6. Controlla le impostazioni e scegli Conferma e richiedi.

CloudFront distribuzione

Crea una CloudFront distribuzione per le richieste proxy dal tuo dominio personalizzato all'endpoint del portale.

  1. Accedere alla CloudFront console all'indirizzohttps://console.aws.amazon.com/cloudfront.

  2. Scegliere Create Distribution (Crea distribuzione).

    • Nome della distribuzione: inserisci un nome per la distribuzione

    • Tipo di distribuzione: sito Web o app singola

    Nota

    Se il tuo dominio personalizzato è gestito in Route 53 nello stesso account AWS, CloudFront può gestire automaticamente il tuo DNS per te. Inserisci il tuo dominio personalizzato e fai clic su «Verifica dominio». Se hai un dominio di un altro provider DNS, salta questo passaggio e configura il dominio in un secondo momento.

  3. Configura le impostazioni di origine:

    • Tipo di origine: Altro

    • Origine personalizzata: inserisci l'endpoint del portale .workspaces-web.com <portalId>

    • Percorso di origine: lascia vuoto (impostazione predefinita)

  4. Personalizza le impostazioni di origine:

    • Aggiunta di intestazioni personalizzate

      Importante

      L'accesso al portale tramite dominio personalizzato funzionerà solo se questa intestazione è presente nelle richieste proxy. Assicurati che il nome e il valore dell'intestazione siano specificati esattamente come indicato.

      • Nome dell'intestazione: workspacessecurebrowser-custom-domain

      • Valore: il tuo dominio personalizzato (ad esempio,myportal.example.com)

    • Protocollo: solo HTTPS

    • Porta HTTPS: 443 (mantieni l'impostazione predefinita)

    • Protocollo SSL originale minimo: TLSv1 .2 (impostazione predefinita)

    • Tipo di indirizzo IP di origine: IPv4 solo (Amazon WorkSpaces Secure Browser non è supportato IPv6 al momento della stesura di questa guida amministrativa).

  5. Personalizza le impostazioni della cache:

    • Politica del protocollo Viewer: reindirizza HTTP a HTTPS

    • Metodi HTTP consentiti: GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE

    • Politica sulla cache: CachingDisabled

    • Politica di richiesta Origin: AllViewerExceptHostHeader

      Importante

      L'accesso al portale tramite un dominio personalizzato funzionerà solo se la policy di richiesta di origine è impostata su AllViewerExceptHostHeader. Come suggerisce il nome, questa politica filtra solo l'intestazione dell'host dalle intestazioni della richiesta e trasmette tutte le intestazioni rimanenti all'origine.

  6. È possibile configurare WAF se lo si desidera, ma non è necessario ai fini di questa configurazione.

  7. In Ottieni certificato TLS, seleziona il certificato TLS creato nel passaggio 1.

  8. Controlla le impostazioni e scegli Crea distribuzione.

Record DNS

Cloudfront può aggiornare i record DNS in Route 53 per indirizzare il traffico dai domini specificati alla distribuzione creata nella Fase 2, se la zona ospitata si trova nello stesso account AWS.

  1. Vai alle impostazioni CloudFront

  2. Fai clic su «Indirizza i domini verso CloudFront»

  3. Fai clic su «Configura il routing automaticamente»

Se hai configurato il DNS per il dominio personalizzato in un altro provider di servizi o in un altro account AWS, configura il provider DNS per indirizzare il traffico dal tuo dominio alla distribuzione. I passaggi seguenti descrivono come eseguire questa operazione utilizzando Route 53.

  1. Apri la console Amazon Route 53 all'indirizzohttps://console.aws.amazon.com/route53.

  2. Accedi alla gestione DNS:

    • Se non conosci Route 53 con questo AWS account, si apre la pagina di panoramica di Amazon Route 53. In Gestione DNS, scegli Inizia subito.

    • Se hai già utilizzato Route 53 con questo AWS account, procedi al passaggio successivo.

  3. Nel pannello di navigazione, scegli Zone ospitate.

  4. Crea una zona ospitata se non ne hai già una:

  5. Nella pagina Hosted Zones, scegli il nome della zona ospitata che desideri amministrare.

  6. Scegliere Create Record Set (Crea set di record).

  7. Crea una voce per il tuo dominio (ad esempio,myportal.example.com):

    • Tipo: A — IPv4 indirizzo

    • Alias: Yes (Sì)

    • Alias Target: URL CloudFront di distribuzione

    Mantieni i valori predefiniti per tutte le altre impostazioni.

Nota

Se non utilizzi Route 53 per gestire il DNS per il tuo dominio, usa il tuo provider di servizi DNS e aggiungi voci DNS che puntano al tuo dominio all'URL della tua distribuzione. CloudFront

In alternativa, puoi utilizzare il seguente CloudFormation modello per creare la tua distribuzione: CloudFront

Questo CloudFormation modello crea automaticamente la CloudFront distribuzione, configura le impostazioni del reverse proxy e, facoltativamente, crea i record DNS di Route53:

Esempio workspaces-web-custom-domain-template.yaml

AWSTemplateFormatVersion: '2010-09-09'
Description: 'CloudFront Distribution for custom domain configuration with existing AWS WorkSpaces Secure Browser Portal'

Parameters:
  PortalEndpoint:
    Type: String
    Description: 'The endpoint of your existing WorkSpaces Web Portal (e.g., abc123.workspaces-web.com)'
    AllowedPattern: '^[a-zA-Z0-9-]+(\.[a-zA-Z0-9-]+)?\.workspaces-web\.com$'
    ConstraintDescription: 'Must be a valid WorkSpaces Web portal endpoint'
  
  CustomDomainName:
    Type: String
    Description: 'Custom domain name for the portal (e.g., myportal.example.com)'
    AllowedPattern: '^([a-zA-Z0-9]?((?!-)([A-Za-z0-9-]*[A-Za-z0-9])\.)+[a-zA-Z0-9]+)$'
    ConstraintDescription: 'Must be a valid domain name'
  
  CertificateArn:
    Type: String
    Description: 'ARN of the validated SSL certificate in ACM (must be in us-east-1 region for CloudFront)'
    AllowedPattern: 'arn:aws:acm:us-east-1:[0-9]{12}:certificate/[a-f0-9]{8}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{12}'
    ConstraintDescription: 'Must be a valid ACM certificate ARN in us-east-1 region'
  
  CreateRoute53Record:
    Type: String
    Description: 'Create Route53 record for custom domain (requires existing hosted zone)'
    Default: 'No'
    AllowedValues:
      - 'Yes'
      - 'No'
  
  HostedZoneId:
    Type: String
    Description: 'Route53 Hosted Zone ID for the custom domain (required if creating Route53 record)'
    Default: ''

Conditions:
  ShouldCreateRoute53Record: !And
    - !Equals [!Ref CreateRoute53Record, 'Yes']
    - !Not [!Equals [!Ref HostedZoneId, '']]

Resources:
  # CloudFront Distribution
  CloudFrontDistribution:
    Type: AWS::CloudFront::Distribution
    Properties:
      DistributionConfig:
        Aliases:
          - !Ref CustomDomainName
        Comment: !Sub 'CloudFront distribution for WorkSpaces Web Portal - ${CustomDomainName}'
        Enabled: true
        HttpVersion: http2
        IPV6Enabled: false  # WorkSpaces Secure Browser does not support IPv6
        PriceClass: PriceClass_All
        
        # Origin Configuration
        Origins:
          - Id: WorkSpacesWebOrigin
            DomainName: !Ref PortalEndpoint
            CustomOriginConfig:
              HTTPSPort: 443
              OriginProtocolPolicy: https-only
              OriginSSLProtocols:
                - TLSv1.2
            OriginCustomHeaders:
              - HeaderName: workspacessecurebrowser-custom-domain
                HeaderValue: !Ref CustomDomainName
        
        # Default Cache Behavior
        DefaultCacheBehavior:
          TargetOriginId: WorkSpacesWebOrigin
          ViewerProtocolPolicy: https-only
          AllowedMethods:
            - GET
            - HEAD
            - OPTIONS
            - PUT
            - POST
            - PATCH
            - DELETE
          Compress: false
          # Cache Policy: CachingDisabled (using predefined managed policy)
          CachePolicyId: 4135ea2d-6df8-44a3-9df3-4b5a84be39ad
          # Origin Request Policy: AllViewerExceptHostHeader (using predefined managed policy)
          OriginRequestPolicyId: b689b0a8-53d0-40ab-baf2-68738e2966ac
        
        # SSL Configuration
        ViewerCertificate:
          AcmCertificateArn: !Ref CertificateArn
          SslSupportMethod: sni-only
          MinimumProtocolVersion: TLSv1.2_2021
      
      Tags:
        - Key: Name
          Value: !Sub '${AWS::StackName}-cloudfront'

  # Route 53 Record (optional - requires hosted zone to exist)
  Route53Record:
    Type: AWS::Route53::RecordSet
    Condition: ShouldCreateRoute53Record
    Properties:
      HostedZoneId: !Ref HostedZoneId
      Name: !Ref CustomDomainName
      Type: A
      AliasTarget:
        DNSName: !GetAtt CloudFrontDistribution.DomainName
        HostedZoneId: Z2FDTNDATAQYW2  # CloudFront Hosted Zone ID
        EvaluateTargetHealth: false

Outputs:
  PortalEndpoint:
    Description: 'WorkSpaces Web Portal endpoint used as origin'
    Value: !Ref PortalEndpoint
    Export:
      Name: !Sub '${AWS::StackName}-PortalEndpoint'
  
  CustomDomainEndpoint:
    Description: 'Custom domain endpoint for the portal'
    Value: !Sub 'https://${CustomDomainName}'
    Export:
      Name: !Sub '${AWS::StackName}-CustomDomainEndpoint'
  
  CloudFrontDistributionId:
    Description: 'CloudFront Distribution ID'
    Value: !Ref CloudFrontDistribution
    Export:
      Name: !Sub '${AWS::StackName}-CloudFrontDistributionId'
  
  CloudFrontDomainName:
    Description: 'CloudFront Distribution Domain Name'
    Value: !GetAtt CloudFrontDistribution.DomainName
    Export:
      Name: !Sub '${AWS::StackName}-CloudFrontDomainName'
  
  CertificateArn:
    Description: 'SSL Certificate ARN used by CloudFront'
    Value: !Ref CertificateArn
    Export:
      Name: !Sub '${AWS::StackName}-CertificateArn'

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
      - Label:
          default: "Existing Portal Configuration"
        Parameters:
          - PortalEndpoint
      - Label:
          default: "Custom Domain Configuration"
        Parameters:
          - CustomDomainName
          - CertificateArn
          - CreateRoute53Record
          - HostedZoneId
    ParameterLabels:
      PortalEndpoint:
        default: "Portal Endpoint"
      CustomDomainName:
        default: "Custom Domain Name"
      CertificateArn:
        default: "SSL Certificate ARN"
      CreateRoute53Record:
        default: "Create Route53 Record"
      HostedZoneId:
        default: "Hosted Zone ID"

Per utilizzare questo modello:

  1. Salva il modello qui sopra come workspaces-web-custom-domain-template.yaml

  2. Esegui la distribuzione utilizzando la AWS console, la AWS CLI AWS o l'SDK con i valori dei parametri specifici

  3. Dopo la distribuzione, configura il portale con il dominio personalizzato come descritto nel passaggio 4 di seguito

Configurazione del portale

Registra il tuo dominio personalizzato come attributo delle impostazioni del portale utilizzando la AWS console, l' UpdatePortal API o il comando CLI AWS update-portal.

  1. Apri la console WorkSpaces Secure Browser all'indirizzo. https://console.aws.amazon.com/workspaces-web/home

  2. Nel riquadro di navigazione scegli Portali web.

  3. Seleziona il portale web che desideri configurare e scegli Modifica.

  4. Nelle impostazioni del portale, aggiungi il tuo dominio personalizzato.

  5. Salva la configurazione del portale.

Verifica la tua configurazione

Per testare la tua configurazione, segui questi passaggi:

  1. Apri un browser Web e accedi all'URL del tuo dominio personalizzato (ad esempio,https://myportal.example.com).

  2. Se tutto è configurato correttamente, dovresti vedere la pagina di accesso al tuo portale.

  3. Successivamente, inserisci l'URL del portale nel tuo browser, dovresti essere reindirizzato al dominio personalizzato dopo aver effettuato l'accesso al tuo IdP.

  4. Infine, accedi al tuo IdP e fai clic sul riquadro dell'applicazione relativo al tuo portale. Dovresti essere reindirizzato al dominio personalizzato.