Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Authentifizierung
Bei WorkSpaces Applications kann die Authentifizierung entweder außerhalb von Amazon WorkSpaces Applications oder als Teil des WorkSpaces Applications-Service erfolgen. Die Entscheidung, wie die Authentifizierung für Ihre WorkSpaces Anwendungsbereitstellung erfolgen soll, ist eine grundlegende Überlegung Ihres Entwurfs. Es ist nicht ungewöhnlich, dass ein Unternehmen mehrere WorkSpaces Anwendungen für unterschiedliche Anwendungsfälle bereitstellt. Jeder Anwendungsfall kann eine andere Authentifizierungsmethode haben.
Es gibt drei Arten von Authentifizierungsmethoden für WorkSpaces Anwendungen:
-
Programmatisch
Bestimmung der optimierten Methode
Amazon WorkSpaces Applications ist so konzipiert, dass es flexibel ist und die meisten organisatorischen Designanforderungen erfüllt. Bei der Festlegung der optimierten Authentifizierungsmethode empfiehlt es sich, die Ziele und Zwecke der Nutzer des Services sowie die Unternehmensrichtlinien und -verfahren zu berücksichtigen.
Im Folgenden finden Sie einige Beispiele für die Kombination von Anwendungsfällen mit organisatorischen Zielen.
Tabelle 4 — Anwendungsfälle mit organisatorischen Zielen
| Beispiel | Beschreibung | Authentifizierung |
|---|---|---|
| In eine Domäne eingebundene Flotteninstanzen sind erforderlich | Auf Anwendungen, die auf dem WorkSpaces Anwendungs-Image installiert sind, können nur Ressourcen zugreifen, die einer Domäne angehören. | SAML 2.0 |
| Starke Integration mit Microsoft-Diensten | Organisatorische Abhängigkeit von der Entwicklung Microsoft Microsoft-Gruppenrichtlinien und der Backend-Infrastruktur | SAML 2.0 |
| Bestehendes Single Sign-on (SSO) für Unternehmen | Alle neuen Dienste müssen eine SSO-Lösung für Unternehmen nutzen, für die mehrere Berichts- und Sicherheitsprozesse eingerichtet wurden. | SAML 2.0 |
| Smartcard-Unterstützung für Anwendungen | Smartcards (wie Private Identity Verification und Common Access Cards) für die Sitzungsauthentifizierung bei gestreamten Anwendungen über ein Smartcard-Lesegerät. | SAML 2.0 |
| Saisonarbeitskräfte mit Zeitarbeitskräften | Wenige Monate im Jahr erhalten Zeitarbeitskräfte eine kleine Anzahl von Bewerbungen, die keine internen Ressourcen für die Durchführung der Aktivitäten enthalten. | Benutzerpool |
| Eingeschränkter IT-Support | Kleinere Unternehmen mit weniger als 50 Benutzern und begrenztem IT-Personal, die den Aufwand für die Wartung eines Identity Providers (IdP) verringern möchten | Benutzerpool |
| Unabhängiger Softwareanbieter (ISV) | Proprietäre Lösung, die von Ihrem Unternehmen entwickelt wurde und Benutzerberechtigungen und Authentifizierung umfasst und WorkSpaces Anwendungen als Teil Ihrer Lösung erweitert. * | Programmatisch |
| Technologisches Schaufenster | Vollständig kurzlebige Umgebung, in der eine proprietäre Technologie im Rahmen einer Führung durch Ihre Lösung vorgestellt wird, ohne dass Benutzerinformationen gespeichert werden müssen. | Programmatisch |
| Interaktives Website-Erlebnis |
Machen Sie Ihre Website interaktiv mit Streaming-Windows-Anwendungen. ** |
Programmatisch |
*Weitere Informationen erhalten Sie bei den Softwareanbietern: Stellen Sie Ihre Anwendungen auf jedem beliebigen Benutzergerät
**Weitere Informationen finden Sie unter Streaming-Sitzungen für WorkSpaces Anwendungen einbetten.
Wenn Ihr Unternehmen über einen Anwendungsfall oder eine Richtlinie verfügt, die in den zuvor genannten Beispielen nicht aufgeführt sind, empfiehlt es sich, den gewünschten Endstatus der Workflow-Nutzung von WorkSpaces Anwendungen vorherzusagen, um sicherzustellen, dass die Authentifizierungslösung nicht damit in Konflikt gerät.
Konfiguration Ihres Identitätsanbieters
SAML 2.0
Security Assertion Markup Language (SAML) 2.0 ist eine gängige Bereitstellungsoption, mit der Benutzer Ressourcen nutzen können
Da die meisten eine eindeutige metadata.xml mit spezifischen SAML-Attributen für jede SAML-Anwendung IdPs generieren, benötigt jeder WorkSpaces Anwendungsstapel eine Rolle, die eine vertrauenswürdige Beziehung zum SAML-IdP hat, und eine Richtlinie, die über eine einzige Berechtigung für AppStream:Stream mit Bedingungen verfügt, die den Anforderungen des SAML-IdP und des ARN des Anwendungsstapels entsprechen. WorkSpaces
Das Handbuch zur WorkSpaces Anwendungsadministration enthält eine Beispielkonfiguration für das Design eines einzelnen Anwendungsstapels. WorkSpaces Informationen zu Bereitstellungen mit mehreren Stacks finden Sie in den optionalen Schritten zur Verwendung des SAML 2.0-Multi-Stack-Anwendungskatalogs.
Benutzerpool
Die Registerkarte „Benutzerpool“ in WorkSpaces Anwendungen ist eine gültige Option für kleine Machbarkeitsnachweise. Es hat sich bewährt, Benutzerpools für jeden Anwendungsfall und jede Organisation zu vermeiden, die WorkSpaces Anwendungen zur Bereitstellung von Produktionsanwendungen verwendet.
Ein wichtiger Punkt bei Benutzerpools ist, dass bei den E-Mail-Adressen von Benutzern Groß- und Kleinschreibung unterschieden wird. Daher ist es eine bewährte Methode, sicherzustellen, dass Benutzer in der korrekten Eingabe von Benutzeranmeldeinformationen geschult werden.
Streaming-URL
Bei Bereitstellungen, die WorkSpaces Anwendungsressourcen von einem zentralen Dienst (in der Regel ISVs) aufrufen, basiert die programmatische Authentifizierung darauf, dass eine Anwendung programmatische Aufrufe tätigt, AWS um Informationen dynamisch weiterzuleiten und eine WorkSpaces Anwendungssitzung für ihre Benutzer zu erstellen. Verwenden Sie die API-Authentifizierungsmethode (allgemein als „programmatisch“ bezeichnet), wenn Sie Streaming-URLs mithilfe der URL-Operation erstellen. CreateStreaming Der Benutzer, der den CreateStreamingURL Anruf tätigt, muss einen gültigen Benutzer oder eine gültige Rolle mit der entsprechenden Berechtigung verwenden. appstream:CreateStreamingURL
Bei der Erstellung der Richtlinie für den programmatischen Zugriff hat es sich bewährt, den Zugriff zu sichern, indem im Abschnitt Ressourcen anstelle des Standardwerts '*' der genaue ARN für den WorkSpaces Anwendungsstapel angegeben wird. Beispiel:
Beispiel
Anmerkung
WorkSpaces Anwendungsinstanzen sollten als generische Instanzen beginnen. Mithilfe von Informationen, die ihr von der Anwendung übermittelt werden, richtet die WorkSpaces Anwendungsinstanz die Umgebung mithilfe des Sitzungskontextes ein, um die Dinge für den Benutzer dynamisch zu gestalten.
Lokale GPOs können zwar verwendet werden, um Einstellungen bei der Benutzeranmeldung festzulegen, aber der Sitzungskontext ist eine bewährte MethodeCreateStreamingURL, wenn wichtige Attribute wie Kunden-ID oder Datenbankverbindungseinstellungen verwendet und übergeben werden, die in der WorkSpaces Anwendungssitzung verwendet werden sollen.
Anspruch auf Anwendungen
WorkSpaces Anwendungen können den Anwendungskatalog, der Benutzern präsentiert wird, dynamisch erstellen. Anwendungsberechtigungen basieren auf SAML 2.0-Attributen oder mithilfe des WorkSpaces Applications Dynamic Application Framework.
Attribute-based Anwendungsberechtigungen mit SAML 2.0 werden in den meisten Szenarien empfohlen. Für die Verwaltung der Bereitstellung von Anwendungspaketen wird Dynamic Application Framework empfohlen.