Amazon WorkSpaces の証明書ベースの認証を有効にしましたが、自分の WorkSpace に接続できません。
証明書ベースの認証を有効にすると、次の問題が発生する可能性があります。
証明書ベースの認証の接続問題をトラブルシューティングするには、まず WorkSpace を再起動して、証明書ベースの認証を有効にします。
**注:**変更を有効にするには、WorkSpace を 2 回再起動する必要がある場合があります。
再起動後も接続の問題が解決しない場合は、次の操作を行います。
証明書ベースの認証を無効にして、SAML 2.0 認証が機能しているかどうかを確認します。SAML 2.0 認証に問題がある場合は、「 How do I troubleshoot SAML 2.0 authentication issues in WorkSpaces?」を参照してください。
AWS プライベート認証局の証明書に **euc-private-ca ** キー名のタグが付いていることを確認します。
AWS Identity and Access Management (IAM) コンソールを使用して、AmazonWorkspacePCAAccess ロールが存在するかどうかを確認します。ロールが見つからない場合は、AmazonWorkspacePCAAccess サービスロールを作成します。
名前制約拡張機能を使用する場合、名前制約は完全修飾ドメイン名 (FQDN) である必要があります。host.example.com や example.comなどのホスト名またはドメイン名を使用します。詳細については、IETF Datatracker ウェブサイトの「名前制約」を参照してください。
ユーザーの Microsoft Active Directory オブジェクトの userPrincipalName フィールドを確認します。フィールドに代替サフィックスが含まれている場合は、そのサフィックスを PrincipalTag:Domaine 属性要素の属性値として含めます。詳細については、「ステップ 5: SAML 認証レスポンス用のアサーションの作成」を参照してください。
Amazon Simple Storage Service (Amazon S3) バケットポリシーで、Amazon CloudFront が S3 バケットオリジンにアクセスできることを確認します。また、S3 バケットポリシーで AWS Private CA が S3 バケットにアクセスできることも確認します。AWS Private CA は、証明書失効リスト (CRL) をバケットに入れ、CRL を定期的に更新します。
CRL の有効期限が切れているかどうかを確認します。S3 バケットから CRL をダウンロードし、OpenSSL を使用して CRL ファイルを表示し、次回の更新日を確認します。
それでも WorkSpace にアクセスできない場合は、「ユーザーは証明書ベースの認証を使用してログインできず、デスクトップセッションに接続すると、 WorkSpaces クライアントまたは Windows サインオン画面でパスワードの入力を求められます。」を参照してください。
How to configure certificate-based authentication for Amazon WorkSpaces