本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Active Directory 域概述 将 Active Directory 域与 WorkSpaces 池一起使用需要了解它们是如何协同工作的,以及您需要完成的配置任务。需要完成以下任务: 1. 按需配置组策略设置以定义应用程序的最终用户体验和安全要求。 1. 在池中创建加入域的目录。 WorkSpaces 1. 在 SAML 2.0 身份提供商中创建 P WorkSpaces ools 应用程序,然后直接或通过 Active Directory 群组将其分配给最终用户。 **用户身份验证流程** 1. 用户浏览到 `https://applications.exampleco.com`。登录页请求对用户进行身份验证。 1. 联合身份验证服务请求从组织的身份存储进行身份验证。 1. 该身份存储将对用户进行身份验证,并将身份验证响应返回到联合身份验证服务。 1. 在成功进行身份验证后,联合身份验证服务会将 SAML 断言发布到用户的浏览器。 1. 用户的浏览器将 SAML 断言发布到 S AWS Sign-In AML 端点 ()。`https://signin.aws.amazon.com/saml` AWS Sign-In 接收 SAML 请求,处理请求,对用户进行身份验证,然后将身份验证令牌转发给 Pools 服务。 WorkSpaces 1. P WorkSpaces ools 使用中的 AWS身份验证令牌对用户进行授权并将应用程序呈现给浏览器。 1. 用户选择一个应用程序,根据在 P WorkSpaces ools 目录中启用的 Windows 登录身份验证方法,系统会提示他们输入 Active Directory 域密码或选择智能卡。如果启用了两种身份验证方法,则用户可以选择是输入域密码还是使用智能卡。 Certificate-based 身份验证还可用于对用户进行身份验证,从而删除提示。 1. 访问域控制器以进行用户身份验证。 1. 向域验证身份后,用户的会话从域连接开始。 从用户的角度来看,此过程以透明的方式进行。用户首先导航到贵组织的内部门户,然后重定向到 P WorkSpaces ools 门户,无需输入 AWS 凭据。只需提供 Active Directory 域密码或智能卡凭证。 在用户启动此过程之前,必须使用所需的授权和组策略设置配置 Active Directory,并创建加入域的池 WorkSpaces 目录。