Información general de los dominios de Active Directory - Amazon AppStream 2.0

Información general de los dominios de Active Directory

Para utilizar los dominios de Active Directory con AppStream 2.0, es necesario entender cómo trabajan ambos conjuntamente y las tareas de configuración que se deberán realizar. Deberá completar las tareas siguientes:

  1. Configurar las opciones de la política de grupo según sea necesario para definir la experiencia de usuario final y los requisitos de seguridad de las aplicaciones.

  2. Crear la pila de aplicaciones asociada al dominio en AppStream 2.0.

  3. Crear la aplicación de AppStream 2.0 en el proveedor de identidad SAML 2.0 y asignarla a los usuarios finales, ya sea directamente o a través de grupos de Active Directory.

Para que los usuarios se autentiquen en un dominio, se deben llevar a cabo varios pasos cuando inicien una sesión de streaming de AppStream 2.0. En el diagrama siguiente se ilustra el flujo de autenticación de usuario completo, desde la solicitud inicial del navegador hasta la autenticación de SAML y Active Directory.

Authentication flow diagram showing steps from user login to AWSWorkSpaces Applications session start.
Flujo de autenticación del usuario

  1. El usuario navega a https://applications.exampleco.com. La página de inicio de sesión solicita autenticación al usuario.

  2. El servicio de federación solicita autenticación al almacén de identidades de la organización.

  3. El almacén de identidades autentica al usuario y devuelve la respuesta de autenticación al servicio de federación.

  4. Una vez realizada la autenticación, el servicio de federación publica la declaración de SAML en el navegador del usuario.

  5. El navegador del usuario publica la declaración de SAML en el punto de conexión SAML de la página de inicio de sesión en AWS (https://signin.aws.amazon.com/saml). La página de inicio de sesión de AWS recibe la solicitud SAML, la procesa, autentica al usuario y reenvía el token de autenticación al servicio de AppStream 2.0.

  6. Con el token de autenticación de AWS, AppStream 2.0 autoriza al usuario y presenta las aplicaciones al navegador.

  7. El usuario elige una aplicación y, según el método de autenticación de inicio de sesión de Windows que esté habilitado en la pila de AppStream 2.0, se le pide que introduzca su contraseña de dominio de Active Directory o que elija una tarjeta inteligente. Si ambos métodos de autenticación están habilitados, el usuario puede elegir si desea introducir la contraseña de su dominio o utilizar la tarjeta inteligente. También puede utilizarse la autenticación basada en certificados para autenticar a los usuarios, lo que elimina la pregunta.

  8. El sistema se pone en contacto con el controlador de dominio para la autenticación del usuario.

  9. Una vez acabada la autenticación en el dominio, la sesión del usuario comienza con la conectividad de dominio.

Desde el punto de vista del usuario, este proceso es transparente. El usuario comienza a navegar por el portal interno de la organización. Desde ahí, se le redirige a un portal de aplicaciones de AppStream 2.0, sin necesidad de que escriba ninguna credencial de AWS. Solo se necesita una contraseña de dominio de Active Directory o credenciales de tarjeta inteligente.

Para que un usuario pueda iniciar este proceso, se debe configurar Active Directory con los derechos y la configuración de la política de grupo necesarios, así como crear una pila de aplicaciones unida al dominio.