EN | TH
Professional Service

Workspaces Deep Dive: Architecture Part 2

ยินดีต้อนรับสู่ตอนที่ 2 ของซีรีส์บล็อกเกี่ยวกับ AWS WorkSpaces ครับ เราได้เจาะลึกเข้าไปที่การเชื่อมต่อระหว่าง AWS WorkSpaces และ Azure Active Directory (AD) โดยใช้เทคโนโลยีชื่อว่า SAML 2.0

การเชื่อมต่อนี้เป็นสิ่งที่น่าสนใจอย่างยิ่ง เนื่องจากมันเปิดโอกาสให้ผู้ใช้งานเข้าถึงระบบได้อย่างราบรื่นและมีความปลอดภัย สิ่งที่สำคัญคือการเข้าใจว่า ถึงแม้ว่า SAML 2.0 จะนำเสนอความสะดวกในการเชื่อมต่อ แต่ ณ วันที่เขียนการเชื่อมต่อ ผ่าน SAML 2.0 สำหรับ AWS Workspaces ยังไม่รองรับ Single Sign-On (SSO) นะครับ

เมื่อพูดถึงการเชื่อมต่อสำหรับการรักษาความปลอดภัย SAML (Security Assertion Markup Language) เป็นเรื่องที่ต้องให้ความสำคัญ ภาษามาร์กอัปนี้มีบทบาทหลักในการยืนยันความปลอดภัยออนไลน์, เนื่องจากมันช่วยให้ผู้ใช้สามารถเข้าถึงแอปพลิเคชันหลาย ๆ แอปพลิเคชันโดยใช้ชุดข้อมูลรับรองการเข้าสู่ระบบเพียงชุดเดียว หลักการของมันคือการส่งข้อมูลการตรวจสอบความถูกต้องระหว่างสองฝ่าย คือ ผู้ให้บริการข้อมูลประจำตัว (idP) และเว็บแอปพลิเคชัน และในกรณีของเรา Azure AD ถูกเลือกใช้เป็น idP ส่วน AWS WorkSpaces เป็นผู้ให้บริการเว็บ แอปพลิเคชัน

เมื่อต้องการใช้งาน SAML 2.0 กับ AWS Workspaces มีข้อกำหนดดังนี้

1
การสนับสนุนภูมิภาค
ขั้นแรกคือต้องตรวจสอบว่าภูมิภาคที่คุณต้องการใช้งาน AWS Workspaces สนับสนุน SAML 2.0 หรือไม่
2
Simple AD
แม้ว่า SAML 2.0 จะสามารถทำงานร่วมกับ WorkSpaces ที่เปิดตัวโดยใช้ Simple AD แต่การใช้ Simple AD ไม่ถือเป็นทางเลือกที่แนะนำ เนื่องจาก Simple AD ไม่สามารถทำงานร่วมกับ SAML 2.0 IdP ได้อย่างเต็มรูปแบบ
3
รุ่นซองไคลเอ็นต์ WorkSpaces
เพื่อให้การรับรองความถูกต้องของ SAML 2.0 ทำงานได้อย่างถูกต้อง คุณต้องใช้งาน
a. Windows client application ตั้งแต่รุ่น 5.1.0.3029 ขึ้นไป
b. MacOS client ตั้งแต่รุ่น 5.x ขึ้นไป
4
การสร้างหรือลงทะเบียนไดเร็กทอรี
คุณจำเป็นต้องสร้างหรือลงทะเบียนไดเร็กทอรีสำหรับ WorkSpaces โดยใช้คอนโซลการจัดการ WorkSpaces และสามารถรองรับประเภทของไดเร็กทอรีต่อไปนี้
a. AD Connector
b. AWS Managed Microsoft AD
ข้อมูลเหล่านี้เป็นสิ่งที่จำเป็นสำหรับการเริ่มต้นการใช้งาน SAML กับ AWS Workspaces และเพื่อให้ความมั่นใจว่ามีการตั้งค่าที่ถูกต้องและสามารถทำงานร่วมกับบริการต่าง ๆ ของ AWS ได้อย่างราบรื่น

การเชื่อมต่อระหว่าง Azure Active Directory (Azure AD) และ AWS Identity and Access Management (IAM) ผ่าน SAWL ในเวลาเดียวกันนั้นเป็นวิธีการที่องค์กรใช้เพิ่มความน่าเชื่อถือและความปลอดภัยระหว่างบริการทั้งสอง เพื่อให้ผู้ใช้สามารถเข้าถึง AWS Workspaces แบบราบรื่น โดยไม่จำเป็นต้องมีการตรวจสอบความถูกต้องที่ซับซ้อน ในขณะเดียวกันยังสามารถรักษานโยบายความปลอดภัยและสิทธิ์การเข้าถึงขององค์ารได้อย่างมีประสิทธิภาพ

ขั้นตอนการลงทะเบียนและการลงชื่อเข้าใช้ของผู้ใช้นั้นถูกออกแบบมาให้ใช้งานได้ดีระหว่าง Azure AD และ AWS IAM ดังที่กล่าวไว้ก่อนหน้า การทำงานร่วมกับระหว่างสองบริการนี้จะช่วยให้ผู้ใช้เข้าถึง AWS Workspaces ได้ไดยปลอดภัย ทั้งนี้ผู้ใช้งานยังสามารถใช้ Azure AD และยืนยันความปลอดภัยด้วย Multi-Factor Authentication (MFA) ได้เช่นกัน

Use Cases

แนวทางการผสมผสานของ Azure AD และ AWS IAM Ginu SAML นี่เปิดโอกาสสำหรับองค์กรที่ต้องการขยายศักยภาพ ในการจัดการเอกลักษณ์และการเข้าถึงสิทธิ์ รวมทั้งเพิ่มความปลอดภัยด้วยการยืนยันความถูกต้องแบบหลายปัจจัย (MFA) โดยไม่ต้องใช้งบประมาณหรือทรัพยากรที่มากเกินไป

สรุป

การใช้งาน SAML 2.0 กับ AWS Workspaces และ Azure AD นี้ ไม่เพียงแต่จะช่วยเพิ่มประสิทธิภาพและความปลอดภัยในการเข้าถึงพื้นที่ทำงานของ AWS แต่ยังแสดงให้เห็นถึงความเป็นไปได้ของการที่ AWS อาจจะนำเสนอฟีเจอร์การลงชื่อเพียงครั้งเดียว (SSO) ในอนาคต ซึ่งส่งเสริมให้โซลูชันนี้จะพัฒนาและก้าวหน้าไปอย่างต่อเนื่อง
Back