J’ai activé l’authentification par certificat pour Amazon WorkSpaces, mais je n’arrive plus à me connecter à mon WorkSpace.
Résolution
Après avoir activé l’authentification basée sur les certificats, vous pouvez rencontrer les problèmes suivants :
- L’écran de connexion du client WorkSpaces ou de Windows vous invite à saisir le mot de passe lorsque vous vous connectez à votre WorkSpace.
- Le client WorkSpaces essaie de se connecter au WorkSpace mais se déconnecte, et vous recevez le message d’erreur Vous avez été déconnecté.
- Lorsque vous tentez de vous authentifier, vous recevez le message d'erreur An error occurred while launching your WorkSpace.
Pour résoudre les problèmes de connexion liés à l’authentification par certificat, redémarrez d'abord le WorkSpace pour activer l’authentification par certificat.
Remarque : vous devrez peut-être redémarrer le WorkSpace deux fois pour que les modifications soient prises en compte.
Si les problèmes de connexion persistent après le redémarrage, effectuez les actions suivantes.
Désactivez l’authentification basée sur les certificats et vérifiez si votre authentification SAML 2.0 fonctionne. Si l’authentification SAML 2.0 présente des problèmes, consultez Comment résoudre les problèmes d'authentification SAML 2.0 dans WorkSpaces ?
Vérifiez que le certificat AWS Private Certificate Authority possède une balise avec le nom de clé euc-private-ca.
Utilisez la console AWS Identity and Access Management (IAM) pour vérifier si le rôle AmazonWorkspaceSPCAAccess existe. Si le rôle est absent, créez le rôle de service AmazonWorkspaceSPCAAccess.
Si vous utilisez l’extension de contraintes de nom, la contrainte de nom doit être un nom de domaine complet (FQDN). Utilisez un nom d’hôte ou un nom de domaine, par exemple host.example.com ou example.com. Pour plus d’informations, consultez la section Contraintes de nom sur le site Web de l’IETF Datatracker.
Vérifiez le champ UserPrincipalName dans l’objet Microsoft Active Directory de l’utilisateur. Si le champ contient un suffixe alternatif, incluez-le en tant que valeur d’attribut de l’élément d'attribut PrincipalTag:Domain. Pour en savoir plus, consultez la section Étape 5 : Créez des assertions pour la réponse d'authentification SAML.
Vérifiez que votre politique de compartiment Amazon Simple Storage Service (Amazon S3) autorise Amazon CloudFront à accéder à l'origine du compartiment S3. Vérifiez également que la politique du compartiment S3 autorise AWS Private CA à accéder au compartiment S3. AWS Private CA place la liste de révocation des certificats (CRL) dans le compartiment et met régulièrement à jour la CRL.
Vérifiez si la CRL est expirée. Téléchargez la CRL depuis le compartiment S3 et utilisez OpenSSL pour afficher le fichier CRL et vérifier la date de la prochaine mise à jour.
Si vous ne parvenez toujours pas à accéder à votre espace de travail, consultez Mes utilisateurs ne peuvent pas se connecter à l’aide de l’authentification basée sur des certificats et sont invités à saisir le mot de passe sur le client WorkSpaces ou sur l’écran de connexion Windows lorsqu’ils se connectent à leur session de bureau.
Informations connexes
Comment configurer l’authentification basée sur des certificats pour Amazon WorkSpaces