Comment utiliser Amazon AWS Directory Service et Amazon Connect avec Microsoft Active Directory ?

Résolution

Suivez ces étapes pour configurer AWS Directory Service avec Amazon Connect :

1. Créez un Active Directory dans AWS Directory Service.
2. Créez une instance Windows Amazon Elastic Compute Cloud (Amazon EC2) afin de créer et de gérer des utilisateurs pour l'annuaire.
3. Créez un nouvel utilisateur dans l'annuaire.
4. Créez une instance Amazon Connect avec le répertoire nouvellement créer.
5. Ajoutez et gérez de nouveaux utilisateurs dans Amazon Connect.

AWS Directory Service propose trois types de services. Les trois types fonctionnent avec Amazon Connect pour la gestion des utilisateurs. Pour plus d'informations sur AWS Directory Services, consultez la section Qu'est-ce cet AWS Directory Service ?

Prérequis

Assurez-vous que Amazon Virtual Private Cloud (Amazon VPC) est configuré avec les options suivantes :

• Il existe au moins deux sous-réseaux, les deux se trouvant dans des zones de disponibilité différentes.
• Le VPC utilise la location matérielle par défaut.
• Le VPC n'utilise pas d'adresses IP dans l'espace d'adressage 198.18.0/15.

Pour configurer Amazon VPC, consultez la section Démarrer avec Amazon VPC. 

Remarque : Pour plus d'informations sur les conditions préalables précédentes, consultez la section Conditions requises pour AWS Managed Microsoft AD. Pour plus d'informations sur les prérequis liés aux autres types de AWS Directory Service, consultez la section Conditions requises pour le connecteur AD ou Conditions requises pour Simple AD.

Création d'un Active Directory dans AWS Directory Service

Suivez ces étapes pour configurer AWS Managed Microsoft AD :

1. Dans la console AWS Directory Service Management, choisissez Configurer le répertoire.
2. Complétez le formulaire comme suit :
   Pour le type de répertoire, sélectionnez AWS Managed Microsoft AD.
   Pour Edition, sélectionnez votre édition, Norme ou Enterprise.
   Pour le nom DNS du répertoire, entrez le nom de domaine complet de votre choix.
   Pour le nom NetBIOS du répertoire (facultatif), entrez un identifiant court pour le domaine.
   Pour la description du répertoire (facultatif), fournissez une brève description du répertoire (128 mots maximum).
   Pour le mot de passe administrateur, entrez un mot de passe. Enregistrez ce mot de passe car vous l'utiliserez ultérieurement pour vous connecter à l’instance EC2.
   Pour confirmer le mot de passe, entrez à nouveau le mot de passe.
3. Cliquez sur Suivant pour continuer.
4. Sélectionnez le VPC et les sous-réseaux que vous avez configurés comme prérequis. Ensuite, choisissez Suivant pour continuer.
5. Choisissez Créer un répertoire. La génération et l'initialisation peuvent prendre un certain temps. Pour plus d'informations à [ce sujet], consultez la section Créer votre répertoire Microsoft AD géré par AWS.
6. Connectez-vous à l'annuaire en tant qu'administrateur avec vos nouvelles informations d'identification :
   Nom d'utilisateur : Administrateur
   Mot de passe : [Le mot de passe que vous avez créé à l'étape 2.]

Création d'une instance Amazon EC2 pour Microsoft Windows Server

Pour gérer les utilisateurs du nouveau répertoire que vous avez créé, vous devez créer une instance EC2. Vous utiliserez ultérieurement cette instance EC2 pour ajouter, modifier ou supprimer des utilisateurs.

La création d'une instance se fait en trois étapes :

Configurer le rôle IAM pour l’instance

L’instance EC2 nécessite un rôle AWS Identity and Access Management (IAM) afin de pouvoir communiquer avec le service d'annuaire. Procédez comme suit pour créer un rôle IAM pour l’instance :

1. Dans la console IAM, choisissez Rôles, puis Créer un rôle.
2. Pour Entité de confiance, sélectionnez EC2. Ensuite, choisissez Suivant.
3. Configurez les autorisations et les politiques de service comme suit :
4. Pour la politique d'autorisations, sélectionnez les deux politiques gérées par AWS :
   • AmazonSSMManagedInstanceCore
   • AmazonSSMDirectoryServiceAccess
5. Ensuite, choisissez Suivant.

Création d'un groupe de sécurité pour l’instance

Vous devez créer un groupe de sécurité pour une instance EC2. Vous utiliserez ce groupe de sécurité ultérieurement lors de la création de l’instance.

1. Dans la console EC2, choisissez Groupes de sécurité, puis Créer un groupe de sécurité.
2. Entrez le nom du groupe de sécurité. Par exemple, vous pouvez utiliser AWSDirectoryEC2SecurityGroup.
3. Sélectionnez le même VPC que celui dans lequel vous avez créé AWS Managed Microsoft AD.
4. Pour les règles entrantes, choisissez Ajouter une règle. Entrez ensuite la plage d'adresses IP pour le trafic RDP (Remote Desktop Protocol) comme suit :
   Type : RDP
   Source : IP_range_to_allow_the_RDP_traffic
   Remarque : Remplacez IP_range_to_allow_the_RDP_traffic pare la plage requise.
5. Pour les règles sortantes, choisissez Ajouter une règle, puis entrez comme suit :
   Type : Tout le trafic
   Destination : Choisissez Personnalisé, puis sélectionnez le groupe de sécurité du répertoire.
   **Remarque :**Le groupe de sécurité du répertoire possède le format de nom suivant par défaut :
   directoryid_controllers. Par exemple, si l'identifiant du répertoire est d9x1234abcd, le groupe de sécurité est d-9x1234abcd_controllers.
6. Choisissez Créer un groupe de sécurité pour créer le groupe de sécurité.

Création d'une instance EC2

Pour créer une instance EC2, procédez comme suit :

1. Dans la console EC2, choisissez Instances, Lancer des instances.
2. Nommez l’instance EC2 (facultatif).
3. Ensuite, configurez les éléments suivants :
   Pour les images de l'application et du système d'exploitation, sélectionnez Windows.
   Pour la paire de clés, sélectionnez la paire de clés dans la liste déroulante si elle a déjà été créée, ou créez une nouvelle paire de clés pour l’instance.
   Pour les paramètres réseau, sélectionnez le même VPC que celui dans lequel vous avez créé le répertoire AWS Managed Microsoft AD.
   Pour les Sous-réseaux, choisissez l'un des sous-réseaux publics associés à l'annuaire. Activez l'attribution automatique IP publique.
4. Pour **Firewall ** (groupe de sécurité), sélectionnez le groupe de sécurité que vous avez créé précédemment.
   Par exemple, AWSDirectoryEC2SecurityGroup.
   **Important :**Vous pouvez sélectionner n'importe quel groupe de sécurité. Cependant, vous devez modifier le groupe de sécurité associé à l'annuaire afin que le réseau puisse se connecter entre l’instance EC2 et l'annuaire.
5. Développez l'onglet desDétails avancés .
   Pour le répertoire de jointure au domaine, sélectionnez le répertoire que vous avez créé précédemment.
   Pour le **profil de rôle IAM, ** sélectionnez AWSDirectoryEC2Role, le rôle que vous avez créé précédemment.
6. Laissez le reste de la configuration tel quel, puis choisissez Lancer une instance. Consultez la section Joindre une instance EC2 à votre annuaire Microsoft AD géré par AWS pour plus d'informations sur la création d'une instance EC2.

Pour plus d'informations sur la jointure d'une instance EC2 avec AD Connector, consultez la section Joindre facilement une instance EC2 Windows. Pour plus d'informations sur la jointure d'une instance EC2 avec Simple AD, consultez la section Joindre facilement une instance EC2 Windows.

Création d'un nouvel utilisateur dans l'annuaire

Après le lancement, ouvrez une session à distance dans l’instance pour configurer le répertoire et y créer un utilisateur.

1. Utilisez vos informations d'identification d'annuaire pour vous connecter à l’instance EC2 :
   Nom d'utilisateur : Admin@Domain.
   Remarque : Par exemple, si le domaine du répertoire est article.awssupport.com, alors :
   Le nom d'utilisateur est Admin@article.awssupport.com.
   Le mot de passe est le mot de passe administrateur que vous avez créé précédemment.
2. Ouvrez une session à distance. Pour ouvrir une session à distance avec vos informations d'identification :
   • Assurez-vous que le groupe de sécurité associé à l’instance autorise le trafic RDP. Consultez la section Se connecter à votre instance Windows à l'aide du protocole RDP pour plus d'informations.
   • L’instance EC2 se connecte de manière fluide au service d'annuaire. Si le problème persiste, essayez de configurer une jointure manuelle pour l’instance EC2. Consultez la section Joindre manuellement une instance Windows pour plus d'informations.

Une fois la session active, procédez comme suit pour créer un nouvel utilisateur :

1. Installez les outils Active Directory en suivant les étapes décrites dans la section Installation des outils d'administration Active Directory sur Windows Server 2012 à Windows Server 2019.
2. Pour ouvrir les outils d'administration Windows, dans la session à distance de l’instance Windows EC2, choisissez Démarrer.
3. Ouvrez Utilisateurs et ordinateurs Active Directory. La nouvelle fenêtre affiche le domaine de votre répertoire.
4. Dans la liste déroulante, choisissez Domaine, Unité organisationnelle, Utilisateurs. Par exemple, si le domaine est article.awssupport.com, choisissez article.awssupport.com, Article, Utilisateurs.
   Remarque : L'écran affiche Admin en tant qu'utilisateur. Créez un deuxième utilisateur avec un nom différent car Admin est un mot réservé dans Amazon Connect.
5. Dans la liste déroulante, choisissez Action, Nouveau, Utilisateur
6. Entrez le prénom, le nom de famille et l’identifiant l'utilisateur. Ensuite, choisissez Suivant pour continuer.
7. Créez un mot de passe, puis confirmez-le.
8. Décochez la case L'utilisateur doit changer de mot de passe lors de la prochaine connexion et cochez la case le mot de passe n'expire jamais. Ensuite, choisissez Suivant.
9. Choisissez Terminer.

Consultez la section Créer un utilisateur pour plus d'informations sur les étapes de création d'un nouvel utilisateur dans l'annuaire. Vous êtes maintenant prêt à créer une instance dans Amazon Connect.

Création d'une instance Amazon Connect

Procédez comme suit pour créer l’instance :

1. Connectez-vous à la console Amazon Connect à l'aide de vos informations d'identification AWS.
2. Choisissez Ajouter une instance.
   Remarque : Choisissez Démarrer s'il s'agit de la première instance d'Amazon Connect.
3. Pour la gestion des identités, sélectionnez Lier à un répertoire existant. Sélectionnez le répertoire que vous avez configuré précédemment dans la liste déroulante.
4. Entrez l'URL d'accès. Ensuite, choisissez Suivant pour continuer.
5. Pour Ajouter un administrateur, entrez un nom d'utilisateur (par exemple, Jane). Ne saisissez pas le nom de connexion complet de l'utilisateur, y compris le domaine de l'annuaire.
6. Laissez le reste de la configuration tel quel, puis choisissez Create instance.
7. Pour vous connecter à l’instance, utilisez le nom d'utilisateur et le mot de passe.

Ajouter et gérer de nouveaux utilisateurs dans l’instance Amazon Connect

Vous avez précédemment créé un nouvel utilisateur dans l'annuaire. Ajoutez maintenant l'utilisateur à l’instance Amazon Connect :

1. Lancez le tableau de bord de votre instance Connect avec les informations d'identification de l’instance Connect.
2. Dans le tableau de bord de l’instance Amazon Connect, choisissez Utilisateurs, Gestion des utilisateurs.
3. Choisissez Ajouter un nouvel utilisateur dans le coin supérieur droit.
4. Sélectionnez l'utilisateur que vous avez créé dans la liste des utilisateurs.
5. Sélectionnez le profil de sécurité, le profil de routage et la configuration du téléphone pour le nouvel utilisateur. Choisissez Enregistrer dans le coin supérieur droit.
6. Testez les informations d'identification du nouvel utilisateur. Connectez-vous à l’instance Amazon Connect avec les autorisations du profil de sécurité sélectionnées par l'utilisateur. Consultez la section Ajouter des utilisateurs à Amazon Connect pour plus d'informations.

Problèmes courants lors de l'installation

Cette section fournit des instructions pour résoudre les problèmes courants que vous pouvez rencontrer lors de l'installation.

Impossible de se connecter à l’instance Windows EC2 avec les informations d'identification d'administrateur du répertoire.

Tenez compte des points suivants :

• Les sous-réseaux de l’instance EC2 et du répertoire peuvent ne pas correspondre. Assurez-vous que l’instance EC2 se trouve dans l'un des sous-réseaux appartenant au répertoire.
• Le groupe de sécurité de l’instance EC2 ou de l'annuaire n'autorise pas le trafic. Lorsque vous créez un annuaire, le système crée un groupe de sécurité par défaut associé à l'annuaire pour autoriser le trafic. Utilisez ce groupe de sécurité pour éviter tout problème lié au groupe de sécurité.
• Parfois, les informations d'identification ne fonctionnent pas si la jointure transparente EC2 ne fonctionne pas. Essayez de joindre manuellement l’instance EC2 au Répertoire

Les outils d'administration ne sont pas présents dans l’instance EC2.

• Si vous avez besoin d'outils d'administration pour l’instance EC2, suivez les étapes décrites dans la section Installer les outils d'administration Active Directory sur Windows Server 2012 à Windows Server 2019 pour les installer.

Le domaine Directory de l’instance Windows EC2 n'est pas disponible dans l'écran Utilisateurs et ordinateurs d'Active Directory.

• Vérifiez que le répertoire et l’instance EC2 sont connectés. Assurez d'avoir créé l’instance conformément aux étapes décrites dans la section Joindre une instance EC2 à votre répertoire AWS Managed Microsoft AD.
• Assurez que l'utilisateur du répertoire possède le statut d'administrateur et qu'il est connecté à l’instance EC2.

---