Blog de Amazon Web Services (AWS)

Uso de Azure Active Directory Domain Services en su entorno de Amazon WorkSpaces

Por: Caio Ribeiro César y Claudia Charro

 

Amazon WorkSpaces es una solución de escritorio como servicio (DaaS) gestionada y segura.

Puede utilizar Amazon WorkSpaces para aprovisionar escritorios Windows o Linux en cuestión de minutos y escalar rápidamente para entregar miles de escritorios a empleados de todo el mundo. Amazon WorkSpaces ayuda a eliminar la complejidad de administrar el inventario de hardware, las versiones y parches del SO y la infraestructura de escritorio virtual (VDI), lo que ayuda a simplificar su estrategia de entrega de escritorios.

Con Amazon WorkSpaces, los usuarios obtienen un escritorio rápido y sensible de su elección al que se puede acceder desde cualquier lugar, en cualquier momento y desde cualquier dispositivo compatible. Comprueba aquí si tu dispositivo es compatible.

Amazon WorkSpaces utiliza directorios para almacenar y administrar información de WorkSpaces y usuarios. Para su directorio, puede elegir entre:

  • Simple Active Directory (no disponible en la región de São de Paulo).
  • AD Connector.
  • AWS Directory Service para Microsoft Active Directory, también conocido como «AD administrado»
  • Directorios externos, como Servicios de dominio de Azure Active Directory.

La gestión eficiente de las identidades de los usuarios a gran escala requiere nuevas soluciones que conecten las fuentes de identidad mutua utilizadas por muchas organizaciones. A lo largo de su viaje en la nube, nuestros clientes eligen establecer una única fuente de identidad (IdP) como estrategia de acceso para el proveedor de servicios (sus propias aplicaciones, SaaS y AWS).

En esta publicación, usaremos AD Connector y Azure Active Directory Domain Services para administrar WorkSpaces.

Paso 1: Conectividad.

Antes de comenzar la configuración de directorios y WorkSpaces, tenemos que tener conectividad entre entornos. En otras palabras, el entorno de Azure y AWS debería tener cierta comunicación. A continuación, crearemos una VPN entre Amazon Virtual Private Cloud (VPC) y Azure Virtual Network (VNET).

Si ya tiene comunicación entre las nubes de AWS y Azure, continúe directamente con el paso 2.

a. Cree un nuevo grupo de recursos en Azure o utilice un grupo de recursos creado anteriormente.

 

 

b. Cree una red virtual (VNET) o utilice una creada anteriormente (esta VNET debe tener 2 subredes, una para AD DS y otra para la puerta de enlace de red virtual). En el momento de crear Virtual Network Gateway, creará su propia subred, por lo que crearemos solo una en este paso.

 

 

c. Cree una puerta de enlace de red virtual, que será el software VPN de Azure para su VNET. Se requiere para VPN entre Azure y AWS.

 

 

 

Más información sobre la unidad de mantenimiento de existencias (SKU) para este servicio: https://docs.microsoft.com/es-es/azure/vpn-gateway/vpn-gateway-about-vpngateways

Después de la creación, copie la información de IP pública de esta puerta de enlace virtual y subred haciendo clic en el recurso y seleccionando Propiedades, tal como la usaremos en la configuración de AWS.

 

 

d. Ahora, en el portal de AWS, crearemos una VPC de Amazon con al menos dos subredes privadas, ya que más adelante tendremos que crear el conector de AD multi-az y dos subredes públicas para acomodar las instancias de WorkSpaces. Puede crear una nueva VPC de Amazon siguiendo el tutorial de documentación o utilizando uno existente.

Importante: las direcciones IP deben ser diferentes del entorno de Azure (CIDR) y la puerta de enlace de Internet debe especificarse en la tabla de enrutamiento.

e. Para permitir que Amazon WorkSpaces acceda a Internet, deberá crear una puerta de enlace de Internet. Para obtener un detallado paso a paso, acceda a la documentación a través de este enlace.

 

 

f. A continuación, para las subredes públicas, cree una ruta a la puerta de enlace de Internet con 0.0.0.0/0.

 

 

g. Ahora usaremos la información recopilada en el paso c para crear una puerta de enlace para clientes y, posteriormente, una puerta de enlace privada virtual.

 

 

Después de crear la puerta de enlace del cliente, su estado debe estar disponible.

 

h. Para Virtual Private Gateway, añadiremos una ruta a Azure CIDR.

 

Después de crear la puerta de enlace privada virtual, se debe separar su estado.

 

 

i. Asocie su puerta de enlace privada virtual con la VPC de Amazon creada anteriormente.

 

 

Después de asociarse, debe adjuntarse el estado de la puerta de enlace privada virtual.

 

j. Para la tabla de rutas de subredes privadas, cree la ruta a Virtual Private Gateway con Azure VNET CIDR.

 

k. Ahora vamos a crear la conexión de conexiones VPN de sitio a sitio (VPN) agregando Azure VNET a nuestro prefijo.

 

 

i.     Escriba el CIDR de VNET de Azure.

 

 

Espere hasta que la VPN esté disponible.

 

 

m. Seleccione la VPN y haga clic en la configuración de descarga para descargar el archivo de configuración de la puerta de enlace privada virtual y la información previa a la clave compartida, que se agregará en los siguientes pasos.

 

 

n. Al descargar, tenga en cuenta la IP de la puerta de enlace privada virtual de la sesión Direcciones IP externas.

Archivo de ejemplo con configuración de VPN.

 

 

Sesión de direcciones IP externas.

 

Sesión #1: Configuración del intercambio de claves de Internet (Internet Key Exchange Configuration)

 

 

o. De vuelta al portal de Azure, crearemos una puerta de enlace de red local (Local Network Gateway) con la información obtenida en el paso n.

 

 

p. Aún en Azure, en Virtual Network Gateway, seleccione la opción «Conexiones» y luego la opción «Agregar». Rellene la información con los datos recopilados en el entorno de AWS descargando la configuración de VPN en el paso n.

 

 

 

Después de la creación, el Estado debe ser Conectado.

 

 

q. Después de completar los pasos del lado de Azure, vuelva a la consola de AWS y asegúrese de que el estado del túnel es UP.

 

 

r. Para probar la comunicación entre redes, simplemente ejecute una máquina virtual en Azure y una EC2 en AWS y realice una prueba de red en un puerto liberado en el firewall.

[ec2-user@ip-172-16-0-163 ~]$ telnet 192.168.128.6 22
Trying 192.168.128.6… Connected to 192.168.128.6.
SSH-2.0-OpenSSH_7.6p1 Ubuntu-4ubuntu0.3
Ejemplo de una prueba de comunicación en el puerto 22 desde una instancia de EC2 en AWS a una máquina virtual en Azure.

Importante: Recuerde configurar las reglas del grupo de seguridad entrante de Amazon VPC asociadas a su instancia de prueba de AWS de Amazon EC2. Lo mismo se aplica a las reglas de firewall del lado de Azure, a la entrada de la instancia que utilizará para probar.

Por favor, tenga en cuenta: Dado que la arquitectura de AWS se encuentra en un entorno Multi-AZ, es ideal configurar dos túneles IPSec para que el entorno no tenga un solo punto de falla.

 

Paso 2: Servicios de dominio de Active Directory y Amazon WorkSpaces.

Para que Amazon WorkSpaces se una a Azure, tenemos que habilitar los Servicios de dominio de Active Directory. Esta parte de la publicación hace referencia al artículo creado por Justin Stokes, principal arquitecto de soluciones especializadas de AWS.

a. En el mismo grupo de recursos que los recursos donde tenemos Virtual Network Gateway, VNET y subredes, vamos a crear un recurso Azure AD Domain Services.

 

 

 

b. Una vez que el recurso aparezca como «Ejecución», copie la información de «Nombre de dominio DNS» y «Dirección IP en la red virtual».

 

 

 

 

c. Cree un usuario de servicio y agréguele al grupo de Azure AD DC. Esta cuenta realiza búsquedas de usuario al crear WorkSpaces y se utiliza para asociar WorkSpaces con su dominio de Azure. Por lo tanto, debe ser miembro del grupo Administradores de Azure AD DC.

El siguiente comando debe ejecutarse en Azure Pshell.

Connect-AzureAD
$password = “Password123!”
$displayName = “Amazon WorkSpaces Service Account”
$upn = “awssvc@seudominio.com”
$mailName = “awssvc”
$aadAdmins = “AAD DC Administrators”
$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.ForceChangePasswordNextLogin = $false
$PasswordProfile.Password = $password
$newaaduser = New-AzureADUser -DisplayName $displayName -PasswordProfile $PasswordProfile -UserPrincipalName $upn -AccountEnabled $true -MailNickName $mailName
Get-AzureADGroup |where {$_.displayname -like $aadAdmins} |Add-AzureADGroupMember -RefObjectId $newaaduser.ObjectId

 

 

Paso 3: Creación de AWS Directory Service

Ahora usaremos la información recopilada en el paso «b» para configurar el directorio de Amazon WorkSpaces.

d. Vaya a la consola de Amazon WorkSpaces y elija la región en la que desea crear sus instancias a través de https://console.aws.amazon.com/workspaces/ y acceda al menú Directorios.

e. A continuación, haga clic en Directorio de instalación y elija el tipo de directorio Conector de AD (AD Connector).

 

 

f.     Elija el tamaño del directorio, dependiendo del número de usuarios. Para obtener más información, acceda a la documentación a través de este enlace.

 

 

g. Seleccione la Amazon VPC creada anteriormente, así como las dos subredes privadas.

 

 

h. Seleccione la Amazon VPC creada anteriormente, así como las dos subredes privadas. Las direcciones IP DNS corresponden al paso b.

 

 

i. Espere hasta que su directorio esté en estado “Activo”.

 

 

Paso 4: Creación de un escritorio virtual con Amazon Workspaces

En este paso final, crearemos escritorios virtuales de Amazon Workspaces asociándonos con un usuario de Azure DS.

j. Vaya a la consola de Amazon WorkSpaces y elija la región en la que desea crear las instancias a través de https://console.aws.amazon.com/workspaces/ y acceda al menú WorkSpaces.

k. A continuación, haga clic en Iniciar espacios de trabajo y elija el directorio creado en el paso anterior.

 

 

i. Busque el usuario que desea asociar a este escritorio virtual y haga clic en Agregar seleccionados. Realice los siguientes pasos hasta crear el escritorio virtual. Para obtener más información sobre los tipos de paquetes y configuraciones adicionales, visite la documentación a través de este enlace.

 

 

m.     Al final, compruebe si su directorio está en estado Activo y registrado como “”.

 

Conclusión

En esta publicación, hablamos de la integración de entornos de AWS y Azure mediante Amazon WorkSpaces y métodos de identidad a través de los Servicios de dominio de Active Directory. WorkSpaces se ejecutan en instancias de Amazon EC2 alojadas en la VPC. La comunicación entre EC2 y el cliente se gestiona mediante el protocolo PCoIP (PC sobre IP). La conexión del cliente debe permitir conexiones TCP y UDP salientes en el puerto 4172, junto con conexiones TCP salientes en el puerto 443.

 


Sobre los autores

Claudia Charro es arquitecta de soluciones en AWS desde 2015. Se enfoca en las herramientas de gobernanza y trabaja en estrecha colaboración con los clientes empresariales para hacer un viaje exitoso a la nube de AWS.

Caio Ribeiro Cesar actualmente trabaja como arquitecto de soluciones especializado en tecnología de Microsoft en la nube de AWS. Comenzó su carrera profesional como administrador de sistemas, que continuó durante más de 13 años en áreas como seguridad de la información, identidad en línea y plataformas de correo electrónico corporativo. Recientemente se hizo fanático de la computación en la nube de AWS y ayuda a los clientes a aprovechar el poder de la tecnología de Microsoft en AWS.