View a markdown version of this page

Autenticación - Mejores prácticas para implementar WorkSpaces aplicaciones de Amazon

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autenticación

Con WorkSpaces las aplicaciones, la autenticación puede realizarse fuera de Amazon WorkSpaces Applications o como parte del servicio de WorkSpaces aplicaciones. La selección de cómo se realizará la autenticación para el despliegue de sus WorkSpaces aplicaciones es una consideración fundamental de su diseño. No es raro que una organización tenga múltiples despliegues de WorkSpaces aplicaciones para diferentes casos de uso. Cada caso de uso puede tener un método de autenticación diferente.

Existen tres tipos de métodos de autenticación para las aplicaciones: WorkSpaces

Determinar el método optimizado

Amazon WorkSpaces Applications está diseñada para ser flexible y aplicarse a la mayoría de los requisitos de diseño organizativo. A la hora de determinar el método optimizado de autenticación, se recomienda tener en cuenta los objetivos y propósitos de quienes consumen el servicio, así como las políticas y los procedimientos organizacionales.

Estos son algunos ejemplos de cómo combinar casos de uso con objetivos organizacionales.

Tabla 4: Casos de uso con objetivos organizacionales

Ejemplo Descripción Autenticación
Se requieren instancias de flota unidas a un dominio Las aplicaciones instaladas en la imagen de WorkSpaces aplicaciones solo son accesibles para los recursos unidos a un dominio. SAML 2.0
Fuerte integración con los servicios de Microsoft Dependencia organizativa en el desarrollo de las políticas de grupo y la infraestructura de back-end de Microsoft SAML 2.0
Empresa única Sign-on (SSO) existente Todos los servicios nuevos deben aprovechar una solución de SSO empresarial que tenga varios procesos de informes y seguridad establecidos. SAML 2.0
Asistencia de tarjetas inteligentes para aplicaciones Tarjetas inteligentes (como las tarjetas de verificación de identidad privada y las tarjetas de acceso común) para la autenticación durante la sesión de las aplicaciones transmitidas a través de un lector de tarjetas inteligentes. SAML 2.0
Fuerza laboral estacional con personal temporal Algunos meses al año, a los trabajadores temporales se les asigna un pequeño conjunto de solicitudes que no incluyen recursos internos para completar las actividades. Grupo de usuarios
Asistencia de TI limitado Organizaciones más pequeñas con menos de 50 usuarios y personal de TI limitado que buscan eliminar la sobrecarga que supone el mantenimiento de un proveedor de identidades (IdP) Grupo de usuarios
Proveedor de software independiente (ISV) Solución patentada creada por su organización que incluye los derechos y la autenticación de los usuarios, y que amplía WorkSpaces las aplicaciones como parte de su solución. * Programática
Escaparate de tecnología Entorno completamente efímero que presenta una tecnología patentada como parte de una visita guiada a su solución sin necesidad de almacenar información de usuario. Programática
Experiencia de sitio web interactiva

Haga que su sitio web sea interactivo con aplicaciones de Windows de transmisión.**

Programática

*Consulte Proveedores de software: entregue sus aplicaciones a cualquier dispositivo de usuario para obtener más información.

**Consulte Incrustar WorkSpaces aplicaciones y sesiones de streaming para obtener más información.

Si su organización tiene un caso de uso o una política que no figuran en los ejemplos anteriores, se recomienda pronosticar el estado final deseado del consumo del flujo de trabajo de WorkSpaces las aplicaciones para garantizar que la solución de autenticación no entre en conflicto con él.

Configurar su proveedor de identidad

SAML 2.0

El lenguaje de marcado para afirmaciones de seguridad (SAML) 2.0 es una opción de implementación común que permite a los usuarios utilizar los recursos. AWS Diversos proveedores de identidad SAML 2.0 de terceros admiten aplicaciones. WorkSpaces Tanto si los recursos de sus WorkSpaces aplicaciones están unidos a un dominio como si no, el IdP de SAML 2.0 requiere que utilice IAM.

Como la mayoría IdPs genera un archivo metadata.xml único con atributos de SAML específicos para cada aplicación de SAML, cada pila de WorkSpaces aplicaciones requiere un rol que tenga una relación de confianza con el IdP de SAML y una política que tenga un permiso único para AppStream:Stream con condiciones que coincidan con los requisitos del IdP de SAML y el ARN de la pila de aplicaciones. WorkSpaces

La guía de administración de WorkSpaces aplicaciones proporciona un ejemplo de configuración para el diseño de una sola pila de aplicaciones. WorkSpaces Para las implementaciones de varias pilas, consulte los pasos opcionales para utilizar el catálogo de aplicaciones de varias pilas de SAML 2.0.

Grupo de usuarios

La pestaña Grupo de usuarios de WorkSpaces Aplicaciones es una opción válida para realizar pequeñas pruebas de concepto. Como práctica recomendada, es mejor evitar los grupos de usuarios para cualquier caso de uso y organización que utilice WorkSpaces aplicaciones para entregar aplicaciones de producción.

Algo importante que debe ser tenido en cuenta con relación a los grupos de usuarios es que las direcciones de correo electrónico de los usuarios distinguen mayúsculas de minúsculas; por lo tanto, se recomienda garantizar que los usuarios sepan cómo introducir correctamente las credenciales de usuario.

URL de transmisión

En el caso de las implementaciones que WorkSpaces utilizan recursos de aplicaciones desde un servicio centralizado (normalmente ISV), la autenticación programática se basa en una aplicación para realizar llamadas programáticas a las que transmitir información de forma dinámica y crear una sesión de WorkSpaces aplicaciones AWS para sus usuarios. Utilice el método de autenticación mediante API (comúnmente denominado «programático») al crear direcciones URL de streaming mediante la operación URL. CreateStreaming El usuario que realiza la llamada de CreateStreamingURL debe estar usando un rol válido con permiso para appstream:CreateStreamingURL.

Al crear la política de acceso programático, se recomienda proteger el acceso especificando el ARN exacto de la pila de WorkSpaces aplicaciones en la sección Recursos en lugar del «*» predeterminado. Por ejemplo:

ejemplo
JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appstream:createStreamingURL" ], "Resource": "arn:aws:appstream:us-east-1:031421429609:stack/BestPracticesStack" } ] }

WorkSpaces Las instancias de aplicaciones deben empezar como instancias genéricas. A través de la información que recibe de la aplicación, la instancia de WorkSpaces Applications establece el entorno utilizando el contexto de la sesión para hacer que las cosas sean dinámicas para el usuario.

Si bien los GPO locales se pueden utilizar para especificar la configuración al iniciar sesión el usuario, se recomienda utilizar el contexto de la sesión y transferir atributos claveCreateStreamingURL, como el identificador de cliente o la configuración de conexión a la base de datos, para utilizarlos en la sesión de WorkSpaces aplicaciones.

Derechos de las aplicaciones

WorkSpaces Las aplicaciones pueden crear dinámicamente el catálogo de aplicaciones que se presenta a los usuarios. Los derechos de las aplicaciones se basan en los atributos de SAML 2.0 o mediante el WorkSpaces Applications Dynamic Application Framework.

Attribute-based En la mayoría de los casos, se recomienda utilizar SAML 2.0 para los derechos de las aplicaciones. Para gestionar la entrega de paquetes de aplicaciones, se recomienda utilizar el marco dinámico de aplicaciones.