証明書ベースの認証を有効にしたのに WorkSpace に接続できないのはなぜですか?

所要時間1分
0

Amazon WorkSpaces の証明書ベースの認証を有効にしましたが、自分の WorkSpace に接続できません。

解決策

証明書ベースの認証を有効にすると、次の問題が発生する可能性があります。

  • WorkSpaces クライアントまたは Windows のサインイン画面では、WorkSpace に接続する際にパスワードの入力を求められます。
  • WorkSpaces クライアントが WorkSpace に接続しようとしたが切断され、「接続が切断されました」というエラーが表示されます。
  • 認証しようとすると、「Workspace の起動中にエラーが発生しました」 というエラーが表示されます。

証明書ベースの認証の接続問題をトラブルシューティングするには、まず WorkSpace を再起動して、証明書ベースの認証を有効にします。

**注:**変更を有効にするには、WorkSpace を 2 回再起動する必要がある場合があります。

再起動後も接続の問題が解決しない場合は、次の操作を行います。

証明書ベースの認証を無効にして、SAML 2.0 認証が機能しているかどうかを確認します。SAML 2.0 認証に問題がある場合は、「 How do I troubleshoot SAML 2.0 authentication issues in WorkSpaces?」を参照してください。

AWS プライベート認証局の証明書に **euc-private-ca ** キー名のタグが付いていることを確認します。

AWS Identity and Access Management (IAM) コンソールを使用して、AmazonWorkspacePCAAccess ロールが存在するかどうかを確認します。ロールが見つからない場合は、AmazonWorkspacePCAAccess サービスロールを作成します

名前制約拡張機能を使用する場合、名前制約は完全修飾ドメイン名 (FQDN) である必要があります。host.example.comexample.comなどのホスト名またはドメイン名を使用します。詳細については、IETF Datatracker ウェブサイトの「名前制約」を参照してください。

ユーザーの Microsoft Active Directory オブジェクトの userPrincipalName フィールドを確認します。フィールドに代替サフィックスが含まれている場合は、そのサフィックスを PrincipalTag:Domaine 属性要素の属性値として含めます。詳細については、「ステップ 5: SAML 認証レスポンス用のアサーションの作成」を参照してください。

Amazon Simple Storage Service (Amazon S3) バケットポリシーで、Amazon CloudFront が S3 バケットオリジンにアクセスできることを確認します。また、S3 バケットポリシーで AWS Private CA が S3 バケットにアクセスできることも確認します。AWS Private CA は、証明書失効リスト (CRL) をバケットに入れ、CRL を定期的に更新します。

CRL の有効期限が切れているかどうかを確認します。S3 バケットから CRL をダウンロードし、OpenSSL を使用して CRL ファイルを表示し、次回の更新日を確認します。

それでも WorkSpace にアクセスできない場合は、「ユーザーは証明書ベースの認証を使用してログインできず、デスクトップセッションに接続すると、 WorkSpaces クライアントまたは Windows サインオン画面でパスワードの入力を求められます。」を参照してください。

関連情報

How to configure certificate-based authentication for Amazon WorkSpaces

AWS公式
AWS公式更新しました 3ヶ月前