本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 基于证书的身份验证 你可以对加入 Microsoft Active Direct WorkSpaces ory 的应用程序队列使用基于证书的身份验证。这样,当用户登录时,系统就不会再提示输入 Active Directory 域密码。通过对您的 Active Directory 域使用基于证书的身份验证,您可以: + 依靠您的 SAML 2.0 身份提供商对用户进行身份验证,并提供 SAML 断言以匹配 Active Directory 中的用户。 + 使用更少的用户提示创建单点登录体验。 + 使用 SAML 2.0 身份提供商启用无密码身份验证流程。 基于证书的身份验证使用您的中的 AWS 私有证书颁发机构(AWS 私有 CA)资源。 AWS 账户使用 AWS 私有 CA,您可以创建私有证书颁发机构 (CA) 层次结构,包括根和从属 CAs结构。您还可以创建自己的 CA 层次结构,并从中颁发对内部用户进行身份验证的证书。有关更多信息,请参阅[什么是 AWS 私有 CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html)。 当您使用 AWS 私有 CA 进行基于证书的身份验证时, WorkSpaces 应用程序会在每个 WorkSpaces 应用程序队列实例的会话预留时自动为您的用户请求证书。它使用预置了证书的虚拟智能卡对用户进行 Active Directory 身份验证。 运行 Windows 实例的 WorkSpaces 应用程序加入域的队列(包括单会话和多会话队列)支持基于证书的身份验证 (CBA)。要在多会话队列上启用 CBA,必须使用使用在 2025 年 7 WorkSpaces 月 2 日当天或之后发布的 WorkSpaces 应用程序代理的应用程序映像。或者,您的映像必须使用 2025 年 11 月 2 日当天或之后发布的托管 WorkSpaces 应用程序映像更新。 **Topics** + [前提条件](certificate-based-authentication-prereq.md) + [启用基于证书的身份验证](certificate-based-authentication-enable.md) + [管理基于证书的身份验证](certificate-based-authentication-manage.md) + [启用跨账户 PCA 共享](pca-sharing.md)