Le Blog Amazon Web Services

Connecter les utilisateurs de plusieurs domaines ou forêts Active Directory au service Amazon AppStream 2.0

Les entreprises sont responsables de gestions d’identités complexes avec plusieurs domaines et forêts Active Directory (AD) aussi bien avec des contrôleurs de domaines sur site ou bien sur le cloud. Les défis se retrouvent alors dans la gestion des accès des utilisateurs et l’approvisionnement de ressources et l’intégration d’une solution comme Amazon AppStream 2.0. Ce service de streaming d’application et de Desktop as a Service permet aux utilisateurs d’accéder aux ressources interne d’une entreprise grâce au protocole de déport d’affichage Amazon DCV.
Traditionnellement, les administrateurs devaient gérer les comptes d’utilisateurs et les autorisations dans ces environnements Active Directory distincts, ce qui entraînait une charge opérationnelle accrue et des risques de sécurité potentiels.

AWS propose un ensemble de services qui peuvent aider les organisations à surmonter ces défis et à simplifier la gestion des utilisateurs pour leur déploiement d’Amazon AppStream 2.0. Dans ce blog, nous explorerons comment vous pouvez tirer parti d’AWS Managed Active Directory (AWS Managed AD) et d’AWS IAM Identity Center pour connecter les utilisateurs de plusieurs domaines et forêts Active Directory à votre solution Amazon AppStream 2.0.

Ce blog vous amènera pas à pas vers la création d’un Active Directory managé d’AWS en établissant également les relations d’approbations bi-directionnelle avec des contrôleurs de domaine externe. Vous pouvez suivre ensuite les étapes pour intégrer cette nouvelle source d’identité au service AWS IAM Identity Center qui sera votre portail d’accès aux applications Amazon AppStream 2.0.

Note: Si vous avez déjà une instance d’AWS IAM Identity Center déployée avec une source d’identité autre qu’AWS Managed Microsoft AD, ce cas n’est pas couvert dans cet article de blog.

Vue d’ensemble de la solution

La partie gauche du schéma représente un environnement sur site avec deux forêt Active Directory distinctes. Ces forêts contiennent les utilisateurs qui se connectent aux applications Amazon AppStream 2.0. Une troisième forêt Active Directory est déployé dans AWS à l’aide du service AWS Managed Microsoft AD afin d’opérer comme une forêt dédiée aux ressources Amazon AppStream 2.0. Des relations d’approbations bi-directionnelles sont mises en oeuvre entre les forêts sur site et la forêt de l’AWS Managed AD. Les instances Windows AppStream 2.0 auront un objet Active Directory de type Ordinateur dans le domaine appstream.labx.com. Les objets Utilisateurs des Active Directory forest1.onprem1.com et forest2.onprem2.com pourront s’authentifier sur ces instances AppStream 2.0. Afin d’authentifier les utilisateurs sur le portail d’accès Amazon AppStream 2.0, la forêt AWS Managed Microsoft AD est configurée comme source d’identité pour le service AWS IAM Identity Center lui même fédéré avec notre déploiement Amazon AppStream 2.0.

Prérequis

  • AWS Managed AD comme source d’identité dans l’IAM Identity Center
  • Une (ou plusieurs) relation(s) d’approbation bi-directionnelle entre les forêts Active Directory externes et l’AWS Managed AD.
  • Une flotte Amazon AppStream 2.0 jointe au domaine de l’AWS Managed AD domain

Les étapes de mise en place de la solution

Les étapes de mises en œuvre de la solution décrivent pas à pas le déploiement, l’intégration et la configuration des services AWS Managed Microsoft AD, AWS IAM Identity Center et Amazon AppStream 2.0.

AWS Managed Microsoft AD

AWS Managed Microsoft AD est un service d’AWS Directory Service qui vous permet de déployer et d’exécuter un Active Directory Domain and Services entièrement géré par AWS. Un déploiement AWS Managed Microsoft AD configure une nouvelle forêt Active Directory mono-domaine exécutée sur Windows Server 2019. AWS gère la haute disponibilité du service en déployant au moins deux contrôleurs de domaines sur deux zones de disponibilités distinctes dans la région de votre choix. Le service gère automatiquement certaines tâches d’administrations telles que la sauvegarde et la restauration, la réplication des données ou encore les mises à jours système.

  1. Pour déployer une nouvelle instance d’AWS Managed Microsoft AD, vous pouvez suivre la documentation suivante : Créez votre AWS compte Microsoft AD géré.

Note : Il est important de respecter les prérequis suivants pour l’intégration entre votre instance AWS Managed Microsoft AD et IAM Identity Center: Les prérequis AWS IAM Identity Center.

  1. Pour créer la ou les relations d’approbations avec des forêts Active Directory existantes : Tutoriel : créer une relation d’approbation entre votre AWS Managed Microsoft AD et votre domaine Active Directory.

Note : Pour en savoir plus sur les relations d’approbations en général et avec AWS Managed Microsoft AD, référez-vous à l’article de blog suivant : Tout ce qu’il y a à savoir sur les relations d’approbation avec AWS Managed Microsoft AD.

AWS IAM Identity Center

AWS IAM Identity Center est un service entièrement géré par AWS qui vous permet de connecter vos utilisateurs à des applications AWS telles que Amazon AppStream 2.0, Amazon QuickSight et d’autres ressources AWS. Vous pouvez connecter vos fournisseurs d’identité existants (Active Directory, Microsoft Entra ID, Okta et d’autres fournisseurs supportés) afin de synchroniser les utilisateurs et les groupes dans IAM Identity Center. Cela vous permet ensuite d’utiliser IAM Identity Center pour connecter vos utilisateurs à des applications ou à vos comptes AWS.

  1. Si vous avez déjà une instance d’IAM Identity Center déployée dans votre organisation, vous pouvez passer à l’étape suivante. Sinon, suivez la documentation pour déployer IAM Identity Center : Activation de l’AWS IAM Identity Center.

Note: Il est obligatoire d’utiliser une instance IAM Identity Center dans le compte de management et non pas dans un compte membre d’une organisation pour la création d’une application SAML2.0 customer managed. Pour plus d’informations, nous vous invitons à suivre la documentation sur les Instances d’organisation et de compte d’AWS IAM Identity Center.

  1. Connecter et configurer votre instance AWS Managed Microsoft AD comme source d’identité dans IAM Identity Center. Vous pouvez suivre la documentation suivante : Connectez un répertoire dans AWS Managed Microsoft AD vers IAM Identity Center.
  2. Le mappage des attributs dans la console IAM Identity Center se trouve dans Settings>Identity source> Actions> Manage Sync et choisir View Attribute Mapping. L’Active Directory UserPrincipalName (UPN) est par défaut mappé sur la valeur ${user:email}.
  3. Dans AWS IAM Identity Center, vous pouvez suivre les étapes de création d’une application SAML custom avec l’application Amazon AppStream 2.0 disponible dans le catalogue. Toutes les étapes sont à suivre dans ce blog post.
    L’attribut NameID de l’application custom doit pointer sur:
    • Attribut de l’utilisateur: Subject
    • Mappage de l’attribut vers: ${user:email}
    • Format: persistent
  1. Pour se connecter depuis le portail de AWS IAM Identity Center, l’utilisateur doit utiliser le format DOMAINE\username dans le cas d’exemple de ce blog: forest1\username ou forest2\username

Amazon AppStream 2.0 – Streaming d’applications sécurisé, fiable et évolutif

Amazon AppStream 2.0 est un service de streaming d’applications entièrement géré par AWS. Il permet aux utilisateurs d’accéder à des applications Windows et web depuis n’importe quel appareil, sans avoir à installer de logiciels sur leur poste de travail. Les flottes AppStream 2.0 s’intègrent facilement avec les domaines Active Directory des entreprises. Cela permet aux utilisateurs de se connecter à AppStream 2.0 en utilisant leurs identifiants AD existants. Cette intégration permet également d’appliquer les configurations de stratégies de groupe définies dans le domaine AD aux sessions AppStream 2.0 des utilisateurs. Ainsi, les entreprises peuvent s’assurer que les paramètres de sécurité, d’accès aux ressources internes et d’expérience utilisateur sont cohérents, que les utilisateurs accèdent à AppStream 2.0 ou à leur poste de travail local. Cette intégration approfondie facilite grandement la gestion des identités et des accès pour les administrateurs. Pour plus d’informations sur les concepts d’AppStream 2.0, lisez le guide d’administration.

Ajout des informations Active Directory dans le service Amazon AppStream 2.0

  1. Ouvrir la Console de Management AWS puis Amazon AppStream 2.0
  2. Dans le panel de navigation, cliquer sur Directory Configs

Ajout des informations Active Directory dans le service Amazon AppStream2.0

  1. Saisir les informations de l’AWS Managed Microsoft AD
  2. Optionnel : La configuration Certificate-Based Authentication permet d’authentifier l’utilisateur par certificat pour éviter une nouvelle saisie du mot de passe dans la session.

Note : Cette configuration nécessite qu’un certains nombre de flux (Active Directory) entre le déploiement Amazon AppStream 2.0 et l’AWS Managed Microsoft AD soient ouverts. Pour plus de détails sur les prérequis des ports, suivre la documentation suivante.

Création de la flotte avec intégration de l’Active Directory

  1. Ouvrir la Console de Management AWS puis Amazon AppStream 2.0
  2. Dans le panel de navigation, cliquer sur Fleet puis Create fleet – Vous pouvez retrouver toutes les options dans la documentation Create a Fleet in Amazon AppStream 2.0
  3. Dans la section Configure network, afficher l’option Active Directory domain pour sélectionner la précédente configuration de l’AWS Managed AD :

La dernière étape dans la console Amazon AppStream 2.0 sera la création d’une stack avec l’association à la flotte nouvellement créée.

Création de la flotte avec intégration de l’Active Directory
Lors de l’authentification sur le portail IAM Identity Center, l’utilisateur pourra renseigner un utilisateur d’une des forêts sur site ou d’un sous domaine et lancera ensuite une application Amazon AppStream 2.0 sur une instance jointe au domaine appstream.labx.com.

Conclusion

L’intégration de l’AWS Managed AD et de l’IAM Identity Center fournit aux organisations une solution robuste et évolutive pour gérer les identités et l’accès des utilisateurs dans plusieurs domaines et forêts Active Directory. En suivant les bonnes pratiques décrites dans cet article de blog, vous pouvez simplifier la gestion des utilisateurs, renforcer la sécurité et assurer un accès transparent à Amazon AppStream 2.0 et à d’autres ressources AWS. Que vous cherchiez à rationaliser votre infrastructure existante ou à vous lancer dans une nouvelle aventure dans le cloud, AWS vous offre les outils et l’expertise pour vous aider à atteindre vos objectifs. Franchissez la première étape aujourd’hui et libérez tout le potentiel de la gestion des identités et des accès de votre organisation. Ce workshop vous préparera pour « Commencer avec Amazon AppStream 2.0 », et pour approfondir vos connaissances Active Directory sur AWS, vous pouvez suivre le workshop « Active Directory on AWS Immersion Day ».

Iryna Oliinykova

Alexis Roger

Alexis Roger est un Specialist Solutions Architect chez AWS sur les technologies Microsoft. Après des années dans des entreprises de conseils et chez Microsoft, il accompagne les clients AWS à migrer, opérer et moderniser leurs applications Microsoft sur site vers le cloud.

Meriem Belhadj

Thomas Sagaspe

Thomas Sagaspe accompagne les clients AWS en tant que Specialist Solutions Architect sur les solutions AWS End User Computing. Après avoir travaillé sur des sujets VDI en entreprise, il participe aux discussions de migration et modernisation vers les solutions natives du cloud depuis 2022.