Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Attributbasierte Anwendungsberechtigungen mithilfe eines Drittanbieter-SAML-2.0-Identitätsanbieters
Anwendungsberechtigungen steuern den Zugriff auf bestimmte Anwendungen in Ihren WorkSpaces Anwendungsstapeln. Dies funktioniert durch die Verwendung von SAML-2.0-Attribut-Assertionen von einem Drittanbieter-SAML-2.0-Identitätsanbieter. Die Assertion wird einem Wert zugeordnet, wenn eine Benutzeridentität mit einer Applications WorkSpaces 2.0-SAML-Anwendung verbunden wird. Wenn die Berechtigung wahr ist und der Attributname und der Wert übereinstimmen, ist der Zugriff der Benutzeridentität auf eine oder mehrere Anwendungen innerhalb des Stacks zulässig.
Attributbasierte Anwendungsberechtigungen, die einen Drittanbieter-SAML-2.0-Identitätsanbieter verwenden, sind in den folgenden Szenarien nicht anwendbar. Das heißt, die Berechtigung wird in den folgenden Fällen ignoriert:
-
WorkSpaces Authentifizierung des Benutzerpools für Anwendungen. Weitere Informationen finden Sie unter Benutzerpools WorkSpaces von Amazon Applications.
-
WorkSpaces URL-Authentifizierung für das Streaming von Anwendungen. Weitere Informationen finden Sie unter Streaming-URL.
-
Die Desktop-Anwendung, wenn WorkSpaces Anwendungsflotten für die Desktop-Stream-Ansicht konfiguriert sind. Weitere Informationen finden Sie unter Erstellen Sie eine WorkSpaces Amazon-Anwendungsflotte und einen Stack.
-
Stacks, die das Dynamic Application Framework verwenden. Dynamic Application Framework bietet separate Funktionen für Anwendungsberechtigungen. Weitere Informationen finden Sie unter Anwendungsberechtigungen von einem Anbieter dynamischer Apps unter Verwendung des Dynamic Application Framework.
-
Wenn Benutzer einen Verbund mit dem Anwendungskatalog der WorkSpaces Anwendungen herstellen, werden in den Anwendungsberechtigungen nur die Anwendungen angezeigt, für die der Benutzer berechtigt ist. Die Ausführung von Anwendungen innerhalb der Anwendungssitzung ist nicht eingeschränkt. WorkSpaces So kann ein Benutzer beispielsweise in einer Flotte, die für die Desktop-Stream-Ansicht konfiguriert ist, eine Anwendung direkt vom Desktop aus starten.
Erstellen von Anwendungsberechtigungen
Bevor Sie Anwendungsberechtigungen erstellen, müssen Sie die folgenden Schritte ausführen:
-
Erstellen Sie eine WorkSpaces Anwendungsflotte und einen Stack mit einem Image, das eine oder mehrere Anwendungen (Always-On- oder On-Demand-Flotte) oder zugewiesene Anwendungen (Elastic Fleet) enthält, die Ihren Anforderungen entsprechen. Weitere Informationen finden Sie unter Erstellen Sie eine WorkSpaces Amazon-Anwendungsflotte und einen Stack.
-
Stellen Sie Benutzern den Zugriff auf den Stack mithilfe eines Drittanbieter-SAML-2.0-Identitätsanbieters zur Verfügung. Weitere Informationen finden Sie unter Integration von WorkSpaces Amazon-Anwendungen mit SAML 2.0. Wenn Sie einen vorhandenen SAML 2.0-Identitätsanbieter verwenden, den Sie zuvor eingerichtet haben, finden Sie die Schritte Schritt 2: Erstellen einer IAM-Rolle für den SAML-2.0-Verbund zum Hinzufügen der STS: TagSession -Berechtigung zu Ihrer IAM-Rollenvertrauensrichtlinie. Weitere Informationen finden Sie unter Übergeben von Sitzungs-Tags in AWS STS. Diese Berechtigung ist für die Verwendung von Anwendungsberechtigungen erforderlich.
So erstellen Sie eine Anwendungsberechtigung
-
Klicken Sie im linken Navigationsbereich auf Stacks und wählen Sie den Stack aus, für den Sie die Anwendungsberechtigungen verwalten möchten.
-
Wählen Sie im Dialogfeld Anwendungsberechtigungen die Option Erstellen aus.
-
Geben Sie einen Namen und eine Beschreibung für Ihre Berechtigung ein.
-
Definieren Sie den Namen und den Wert des Attributs Ihrer Berechtigung.
Geben Sie beim Zuordnen von Attributen das Attribut im Format https://aws.amazon.com/SAML/ Attributes/PrincipalTag: {TagKey} an, wobei {TagKey} für eines der folgenden Attribute steht:
-
Rollen
-
Abteilung
-
Organisation
-
Gruppen
-
Titel
-
costCenter
-
userType
Die von Ihnen definierten Attribute werden verwendet, um einem Benutzer Berechtigungen für Anwendungen in Ihrem Stack zuzuweisen, wenn sie sich zu einer Anwendungssitzung zusammenschließen. WorkSpaces Die Berechtigung erfolgt durch den Abgleich des Attributnamens mit einem Schlüsselwertnamen in der SAML-Assertion, die während des Verbunds erstellt wurde. Weitere Informationen finden Sie unter PrincipalTag SAML-Attribut.
Anmerkung
Ein oder mehrere Werte können in jedem unterstützten Attribut enthalten sein, getrennt durch einen Doppelpunkt (:).
Gruppeninformationen können beispielsweise in einem SAML-Attributnamen https://aws.amazon.com/SAML/ attributes/:groups PrincipalTag mit dem Wert „group1:group2:group3“ übergeben werden, und Ihre Berechtigung kann Anwendungen zulassen, die auf einem einzelnen Gruppenwert basieren, d. h. „group1“. Weitere Informationen PrincipalTag finden Sie unter SAML-Attribut.
-
-
Konfigurieren Sie die Anwendungseinstellungen in Ihrem Stack, um alle Anwendungen zu berechtigen, oder wählen Sie Anwendungen aus. Wenn Sie Alle Anwendungen (*) auswählen, werden alle auf dem Stack verfügbaren Anwendungen angewendet, einschließlich der Anwendungen, die in Zukunft hinzugefügt werden. Wenn Sie Anwendungen auswählen auswählen, wird nach bestimmten Anwendungsnamen gefiltert.
-
Überprüfen Sie Ihre Einstellungen und erstellen Sie Ihre Berechtigung. Sie können den Vorgang wiederholen und zusätzliche Berechtigungen erstellen. Die Berechtigung für Anwendungen in einem Stapel ist eine Vereinigung aller Berechtigungen, die dem Benutzer auf Grundlage der Attributnamen und -werte entsprechen.
-
Konfigurieren Sie in Ihrem SAML 2.0-Identitätsanbieter die SAML-Anwendungsattributzuordnungen für WorkSpaces Anwendungen so, dass das in Ihrer Berechtigung definierte Attribut und der Wert gesendet werden. Wenn Benutzer sich mit dem Anwendungskatalog verbinden, zeigen Anwendungsberechtigungen nur die WorkSpaces Anwendungen an, für die der Benutzer berechtigt ist.
SAML-2.0-Multi-Stack-Anwendungskatalog
Mit attributbasierten Anwendungsberechtigungen, die einen Drittanbieter-SAML-2.0-Identitätsanbieter verwenden, können Sie den Zugriff auf mehrere Stacks von einer einzigen Relay-State-URL aus ermöglichen. Entfernen Sie die Stack- und App-Parameter (falls vorhanden) wie folgt aus der Relay-State-URL:
https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens
Wenn Benutzer einen Verbund mit dem Anwendungskatalog für WorkSpaces Anwendungen herstellen, werden ihnen alle Stapel angezeigt, in denen Anwendungsberechtigungen eine oder mehrere Anwendungen dem Benutzer anhand der Konto-ID und des Relay-State-Endpunkts zugeordnet haben, die mit der Region verknüpft sind, in der sich Ihre Stacks befinden. Wenn ein Benutzer einen Katalog auswählt, werden in den Anwendungsberechtigungen nur die Anwendungen angezeigt, für die der Benutzer berechtigt ist. Weitere Informationen finden Sie unter Schritt 6: Konfigurieren des RelayState für den Verbund.
Anmerkung
Konfigurieren Sie die Inline-Richtlinie für Ihre IAM-Rolle im SAML-2.0-Verbund, um SAML-2.0-Multi-Stack-Anwendungskataloge zu verwenden. Weitere Informationen finden Sie unter Schritt 3: Einbetten einer Inline-Richtlinie für die IAM-Rolle.
