Autenticación basada en cookies en Amazon AppStream 2.0 - Amazon AppStream 2.0

Autenticación basada en cookies en Amazon AppStream 2.0

AppStream 2.0 utiliza cookies de navegador para autenticar las sesiones de streaming y permitir que los usuarios vuelvan a conectarse a una sesión activa sin necesidad de volver a introducir las credenciales de inicio de sesión cada vez. Los tokens de autenticación se almacenan en las cookies del navegador para cada escenario de autenticación. Si bien las cookies son necesarias para muchos servicios en línea, pueden ser potencialmente vulnerables a los ataques de robo de cookies. Le recomendamos que adopte medidas proactivas para evitar el robo de cookies, como implementar soluciones eficaces de protección del punto de conexión para los dispositivos de sus usuarios. Además, para mitigar las posibles consecuencias en caso de robo de cookies, le recomendamos que considere adoptar las siguientes medidas:

  • Imponer un límite de sesión única: para las imágenes de Windows de AppStream 2.0, cree una clave de registro en HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management con el nombre max-concurrent-clients establecido en 1 para permitir solo una conexión a la vez. Esto limita el número de sesiones simultáneas a una e impide la duplicación de las sesiones activas. Para obtener más información, consulte Parámetros de administración de sesión.

  • Aplicar requisitos de caducidad de sesión y reautenticación

    • Reduzca el valor de SessionDuration para que el token de autenticación caduque una vez que el usuario inicie correctamente la sesión de streaming. La reutilización de las cookies de autenticación después de que caduque la duración de la sesión (sessionDuration) requiere que los usuarios se vuelvan a autenticar. SessionDuration especifica la cantidad máxima de tiempo que una sesión de streaming federada de un usuario puede permanecer activa antes de que se requiera reautenticación. El valor predeterminado es 60 minutos. Para obtener más información, consulte Paso 5: creación de aserciones para la respuesta de autenticación de SAML.

    • Para maximizar la seguridad, los usuarios deben finalizar las sesiones correctamente con la barra de herramientas (terminar sesión), en lugar de cerrar la ventana de streaming. Al finalizar la sesión a través de la barra de herramientas, se cierra tanto la sesión del usuario como la instancia de streaming. Esto requiere volver a autenticarse para futuros accesos, lo que evita el uso indebido de las cookies. Si un usuario cierra la ventana de streaming sin finalizar la sesión, la sesión y la instancia permanecen activas durante un tiempo de espera de desconexión configurable (en minutos). El tiempo de espera de desconexión debe ser un número entre 1 y 5760, y el valor predeterminado es de 15 minutos. Para evitar el uso indebido de las sesiones inactivas, se recomienda establecer un tiempo de espera de desconexión breve. Para obtener más información, consulte Creación de una flota en Amazon AppStream 2.0.

  • Limitar el acceso para transmitir aplicaciones de AppStream 2.0 a sus rangos de IP: le recomendamos que implemente políticas de IAM basadas en IP. Esto garantiza que solo se pueda acceder a las sesiones de AppStream 2.0 desde clientes cuya dirección IP pertenezca a un rango de IP autorizadas. Se denegarán todos los intentos de conexión iniciados por un usuario cuya dirección IP de cliente esté fuera de un rango autorizado, incluso si presenta una cookie de autenticación que, por lo demás, es válida (podría ser robada a un usuario). Para obtener más información, consulte Limit access to stream Amazon AppStream 2.0 applications to your IP ranges.

  • Añadir autenticación adicional: para lanzar instancias de streaming unidas a dominios, puede asociar sus flotas y generadores de imágenes de siempre activas y bajo demanda de Amazon AppStream 2.0 en Windows a dominios de Microsoft Active Directory, y utilizar los dominios existentes de Active Directory, tanto en la nube como en las instalaciones. Tras la autenticación basada en SAML inicial, se pedirá a los usuarios que proporcionen sus credenciales de dominio como medida de autenticación adicional en el dominio de la organización. Para obtener más información, consulte Uso de Active Directory con AppStream 2.0.

Si tiene alguna duda o necesita ayuda, póngase en contacto con Centro de AWS Support.