View a markdown version of this page

Tutorial: Einrichten von Active Directory - WorkSpaces Amazon-Anwendungen
Schritt 1: Erstellen eines Directory Config-ObjektsSchritt 2: Erstellen Sie ein Image mithilfe eines Domain-Joined Image BuilderSchritt 3: Erstellen Sie eine Domain-Joined FlotteSchritt 4: SAML 2.0 konfigurieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tutorial: Einrichten von Active Directory

Um Active Directory mit WorkSpaces Anwendungen verwenden zu können, müssen Sie zunächst Ihre Verzeichniskonfiguration registrieren, indem Sie in WorkSpaces Applications ein Directory Config-Objekt erstellen. Dieses Objekt enthält die Informationen, die erforderlich sind, um Streaming-Instances mit einer Active Directory-Domäne zu verbinden. Sie erstellen ein Directory Config-Objekt mithilfe der WorkSpaces Applications Management Console, des AWS SDK oder AWS CLI. Anschließend können Sie Ihre Verzeichniskonfiguration verwenden, um Domain-Joined Always-On sowie On-Demand Fleets und Image Builder zu starten.

Anmerkung

Sie können nur Streaming-Instances zu einer Active Directory-Domäne hinzufügen Always-On und diese per On-Demand Flotten verwalten.

Schritt 1: Erstellen eines Directory Config-Objekts

Das Directory Config-Objekt, das Sie in WorkSpaces Applications erstellen, wird in späteren Schritten verwendet.

Wenn Sie das AWS SDK verwenden, können Sie den CreateDirectoryConfigVorgang verwenden. Wenn Sie den verwenden AWS CLI, können Sie den Befehl create-directory-config verwenden.

So erstellen Sie ein Directory Config-Objekt mithilfe der WorkSpaces Anwendungskonsole

  1. Öffnen Sie die WorkSpaces Anwendungskonsole unter https://console.aws.amazon.com/appstream2.

  2. Wählen Sie im linken Navigationsbereich Directory-Konfigurationen und Directory-Konfigurationen erstellen aus.

  3. Geben Sie für Directory Name den vollständig qualifizierten Domänennamen (FQDN) der Active Directory-Domäne an (z. B. corp.example.com). Jede Region kann nur einen Directory Config- Wert mit einem spezifischen Directory-Namen haben.

  4. Geben Sie für Servicekonto-Name den Namen eines Kontos ein, das Computerobjekte erstellen kann und über Berechtigungen zum Verbinden mit der Domäne verfügt. Weitere Informationen finden Sie unter Gewähren von Berechtigungen zum Erstellen und Verwalten von Active Directory-Computerobjekten. Der Kontoname muss das Format DOMAIN\username haben.

  5. Für Passwort und Passwort bestätigen geben Sie das Directory-Passwort für das angegebene Konto ein.

  6. Für Organisationseinheit (OU) geben Sie den spezifischen Namen von mindestens einer der OUs ein, in denen Streaming-Instance-Computerobjekte erstellt werden sollen.

    Anmerkung

    Die OU darf keine Leerzeichen enthalten. Wenn Sie einen OU-Namen angeben, der Leerzeichen enthält, können WorkSpaces Anwendungen beim Versuch einer Flotte oder eines Image Builders, der Active Directory-Domäne wieder beizutreten, die Computerobjekte nicht korrekt durchlaufen, und der erneute Domänenbeitritt ist nicht erfolgreich. Informationen zur Behebung dieses Problems finden Sie im Thema DOMAIN_JOIN_INTERNAL_SERVICE_ERROR für die Meldung „Das Konto ist bereits vorhanden“ unter Verbindung mit der Active Directory-Domäne.

    Darüber hinaus ist der Standardcontainer „Computer“ keine Organisationseinheit und kann nicht von WorkSpaces Anwendungen verwendet werden. Weitere Informationen finden Sie unter Den spezifischen Namen der Organisationseinheit finden.

  7. Um mehrere OUs hinzuzufügen, wählen Sie das Pluszeichen (+) neben dem Feld Organisationseinheit (OU). Klicken Sie zum Entfernen der OUs auf das x Zeichen.

  8. Wählen Sie Weiter aus.

  9. Prüfen Sie die Konfigurationsinformationen und wählen Sie Erstellen.

Schritt 2: Erstellen Sie ein Image mithilfe eines Domain-Joined Image Builder

Erstellen Sie als Nächstes mithilfe des WorkSpaces Applications Image Builder ein neues Image mit Active Directory-Funktionen für den Domänenbeitritt. Beachten Sie, dass die Flotte und das Abbild unterschiedliche Domänen angehören können. Sie verbinden den Image Builder mit einer Domäne, um die Domänenverbindung zu aktivieren und Anwendungen zu installieren. Die Domänenverbindung von Flotten ist im nächsten Abschnitt beschrieben.

Ein Abbild für das Starten der mit der Domäne verbundenen Flotten erstellen

  1. Folgen Sie den Verfahren in Tutorial: Erstellen eines benutzerdefinierten WorkSpaces Anwendungsabbilds mithilfe der WorkSpaces Anwendungskonsole.

  2. Verwenden Sie für den Schritt zur Auswahl des Basis-Images ein AWS Basis-Image, das am oder nach dem 24. Juli 2017 veröffentlicht wurde. Eine aktuelle Liste der veröffentlichten AWS Images finden Sie unterWorkSpaces Versionshinweise für das Basis-Image und das Managed Image-Update für Anwendungen.

  3. Für Schritt 3: Netzwerk konfigurieren wählen Sie eine VPC und Subnetze mit Netzwerkkonnektivität zu Ihrer Active Directory-Umgebung aus. Wählen Sie die Sicherheitsgruppen, die darauf ausgelegt sind, Zugriff auf Ihr Directory über Ihre VPC-Subnetze zu ermöglichen.

  4. Ebenfalls in Schritt 3: Netzwerk konfigurieren erweitern Sie den Abschnitt Active Directory-Domäne (optional), und wählen Werte für Directory Name und Directory OU aus, mit denen der Image Builder verbunden werden soll.

  5. Prüfen Sie die Konfiguration des Image Builders und wählen Sie Erstellen.

  6. Warten Sie, bis der neue Image Builder den Status Ausführung erreicht, und wählen Sie Verbinden.

  7. Melden Sie sich beim Image Builder im Administratormodus oder als Directory-Benutzer mit lokalen Administratorberechtigungen an. Weitere Informationen finden Sie unter Gewähren von lokalen Administratorrechten für Image Builder.

  8. Führen Sie die Schritte in Tutorial: Erstellen eines benutzerdefinierten WorkSpaces Anwendungsabbilds mithilfe der WorkSpaces Anwendungskonsole aus, um Anwendungen zu installieren und ein neues Abbild zu erstellen.

Schritt 3: Erstellen Sie eine Domain-Joined Flotte

Verwenden Sie das im vorherigen Schritt erstellte private Image, um eine Active Directory-Domäne Always-On oder eine On-Demand Flotte für Streaming-Anwendungen zu erstellen. Die Domäne kann eine andere sein, als Sie für den Image Builder zum Erstellen des Abbilds verwendet haben.

So erstellen Sie ein in eine Domäne eingebundenes Objekt oder eine Flotte Always-On On-Demand

  1. Folgen Sie den Verfahren in Erstellen Sie eine Flotte in Amazon WorkSpaces Applications.

  2. Für den Schritt zur Auswahl des Abbilds verwenden Sie das Abbild aus dem vorherigen Schritt, Schritt 2: Erstellen Sie ein Image mithilfe eines Domain-Joined Image Builder.

  3. Für Schritt 4: Netzwerk konfigurieren wählen Sie eine VPC und Subnetze mit Netzwerkkonnektivität zu Ihrer Active Directory-Umgebung aus. Wählen Sie die Sicherheitsgruppen, die eingerichtet wurden, um eine Kommunikation in Ihrer Domäne zuzulassen.

  4. Ebenfalls in Schritt 4: Netzwerk konfigurieren erweitern Sie den Abschnitt Active Directory-Domäne (optional) und wählen die Werte für Directory Name und Directory OU aus, mit denen die Flotte verknüpft werden soll.

  5. Prüfen Sie die Flottenkonfiguration und wählen Sie Erstellen.

  6. Führen Sie die verbleibenden Schritte aus Erstellen Sie eine WorkSpaces Amazon-Anwendungsflotte und einen Stack aus, sodass Ihre Flotte einem Stack zugeordnet ist und ausgeführt wird.

Schritt 4: SAML 2.0 konfigurieren

Ihre Benutzer müssen Ihren auf SAML 2.0 basierenden Identitätsverbundumgebung verwenden, um Streaming-Sitzungen aus Ihrer mit der Domäne verbundenen Flotte zu starten.

SAML 2.0 für einen Zugriff nach einmaligem Anmelden konfigurieren

  1. Folgen Sie den Verfahren in Einrichten von SAML.

  2. WorkSpaces Für Anwendungen muss der NameID SAML_Subject-Wert für den Benutzer, der sich anmeldet, in einem der folgenden Formate bereitgestellt werden:

    • domain\usernamemit dem s AMAccountName

    • username@domain.commit dem Benutzer PrincipalName

    Wenn Sie das AMAccountName Format s verwenden, können Sie das entweder domain mithilfe des NetBIOS-Namens oder des vollqualifizierten Domänennamens (FQDN) angeben.

  3. Gewähren Sie Ihren Active Directory-Benutzern oder -Gruppen Zugriff, um den Zugriff auf den WorkSpaces Anwendungsstapel von Ihrem Identity Provider-Anwendungsportal aus zu ermöglichen.

  4. Führen Sie die verbleibenden Schritte unter Einrichten von SAML aus.

Anmeldung eines Benutzers mit SAML 2.0

  1. Melden Sie sich beim Anwendungskatalog Ihres SAML 2.0-Anbieters an und öffnen Sie die SAML-Anwendung WorkSpaces Applications, die Sie im vorherigen Verfahren erstellt haben.

  2. Wenn der Anwendungskatalog WorkSpaces für Anwendungen angezeigt wird, wählen Sie eine Anwendung aus, die gestartet werden soll.

  3. Wenn ein Ladesymbol angezeigt wird, werden Sie aufgefordert, ein Passwort einzugeben. Der von Ihrem SAML 2.0 Identitätsanbieter bereitgestellte Domänenbenutzername wird oberhalb des Passwortfelds angezeigt. Geben Sie Ihr Passwort ein und wählen Sie Anmelden aus.

Die Streaming-Instance führt das Windows-Anmeldeverfahren aus und die ausgewählte Anwendung wird geöffnet.