6. 作成されるCloud Directory環境
! Active Directory互換のディレクトリ環境
! Multi-‐‑‒AZ構成でVPC内の2つのサブネットに設置される
• ドメインコントローラ・DNSサーバとして機能する。
• コントローラはEC2インスタンスとして表⽰示されない。ENIは表⽰示される。
! Active Directoryの管理理ツールから操作可能
例例)
• Active Directory
ユーザーとコンピュータ
• グループポリシーの管理理
ドメインコントローラ
(PCoIP⽤用のテンプレートあり)
サブネット
アベイラビリティゾーン -‐‑‒ A
ドメインコントローラ
サブネット
アベイラビリティゾーン -‐‑‒ B
7. Cloud Directoryのネットワーク接続
プライベートサブネット
アベイラビリティゾーン
WorkSpaces
APIエンドポイント
Public IP
Public IP
個別ユーザの
WorkSpace
PCoIP
Cloud Directory
ドメイン参加・
ドメインログオン
認証
14. 作成されるConnect Directory環境
! VPC内に認証⽤用のプロキシが作成される
! Multi-‐‑‒AZ構成でVPC内の2つのサブネットに設置される
Connect Directory
サブネット
アベイラビリティゾーン -‐‑‒ A
Connect Directory
サブネット
アベイラビリティゾーン -‐‑‒ B
Direct
Connect/
VPN接続
オンプレミス
社内AD
ドメイン
コントローラ
15. Connect Directoryのネットワーク接続
プライベートサブネット
アベイラビリティゾーン A
WorkSpaces
ネットワーク
VPN接続
Public IP
Public IP
オンプレミス
個別ユーザWorkSpace
(社内AD参加)
社内AD
PCoIP
ユーザ情報確認
Connect
Directory
ドメイン参加・
ドメインログオン
認証
19. 多要素認証 Multi-‐‑‒Factor Authentication(MFA)
! Connect Directoryで利利⽤用可能
! RADIUSサーバーを経由したMFAに対応
• ワンタイムパスワード等に対応
• スマートカードや証明書には未対応
• Symantec Validation and ID Protection Service (VIP)
および Microsoft RADIUS Serverでテスト済
! 既にお使いのワンタイムトークンがそのまま
使える可能性もあり
20. (例例) Google Authenticatorを使った⽅方法
! スマートフォンに無料料でインストールできる
Google Authenticatorをソフトウェアトークンとして利利⽤用
! 仮想マシンEC2にオープンソースのFreeRADIUSと
Google AuthenticatorのPAM(Pluggable Authentication
Module)を連携させてRADIUSサーバを構築
※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。