

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Autenticación
<a name="authentication"></a>

 Con WorkSpaces las aplicaciones, la autenticación puede realizarse fuera de Amazon WorkSpaces Applications o como parte del servicio de WorkSpaces aplicaciones. La selección de cómo se realizará la autenticación para el despliegue de sus WorkSpaces aplicaciones es una consideración fundamental de su diseño. No es raro que una organización tenga múltiples despliegues de WorkSpaces aplicaciones para diferentes casos de uso. Cada caso de uso puede tener un método de autenticación diferente. 

 Existen tres tipos de métodos de autenticación para las aplicaciones: WorkSpaces 
+  [https://en.wikipedia.org/wiki/SAML_2.0](https://en.wikipedia.org/wiki/SAML_2.0) 
+  [https://docs.aws.amazon.com/cognito/latest/developerguide/authentication.html](https://docs.aws.amazon.com/cognito/latest/developerguide/authentication.html) 
+  Programática 

## Determinar el método optimizado
<a name="determining-optimized-method"></a>

 Amazon WorkSpaces Applications está diseñada para ser flexible y aplicarse a la mayoría de los requisitos de diseño organizativo. A la hora de determinar el método optimizado de autenticación, se recomienda tener en cuenta los objetivos y propósitos de quienes consumen el servicio, así como las políticas y los procedimientos organizacionales. 

 Estos son algunos ejemplos de cómo combinar casos de uso con objetivos organizacionales. 

 *Tabla 4: Casos de uso con objetivos organizacionales* 


|  **Ejemplo**  |  **Descripción**  |  **Autenticación**  | 
| --- | --- | --- | 
|  Se requieren instancias de flota unidas a un dominio  |  Las aplicaciones instaladas en la imagen de WorkSpaces aplicaciones solo son accesibles para los recursos unidos a un dominio.  |  SAML 2.0  | 
|  Fuerte integración con los servicios de Microsoft  |  Dependencia organizativa en el desarrollo de las políticas de grupo y la infraestructura de back-end de Microsoft  |  SAML 2.0  | 
|  Empresa única Sign-on (SSO) existente  |  Todos los servicios nuevos deben aprovechar una solución de SSO empresarial que tenga varios procesos de informes y seguridad establecidos.  |  SAML 2.0  | 
|  Asistencia de tarjetas inteligentes para aplicaciones  |  Tarjetas inteligentes (como las tarjetas de verificación de identidad privada y las tarjetas de acceso común) para la autenticación durante la sesión de las aplicaciones transmitidas a través de un lector de tarjetas inteligentes.  |  SAML 2.0  | 
|  Fuerza laboral estacional con personal temporal  |  Algunos meses al año, a los trabajadores temporales se les asigna un pequeño conjunto de solicitudes que no incluyen recursos internos para completar las actividades.  |  Grupo de usuarios  | 
|  Asistencia de TI limitado  |  Organizaciones más pequeñas con menos de 50 usuarios y personal de TI limitado que buscan eliminar la sobrecarga que supone el mantenimiento de un proveedor de identidades (IdP)  |  Grupo de usuarios  | 
|  Proveedor de software independiente (ISV)  |  Solución patentada creada por su organización que incluye los derechos y la autenticación de los usuarios, y que amplía WorkSpaces las aplicaciones como parte de su solución. \*  |  Programática  | 
|  Escaparate de tecnología  |  Entorno completamente efímero que presenta una tecnología patentada como parte de una visita guiada a su solución sin necesidad de almacenar información de usuario.  |  Programática  | 
|  Experiencia de sitio web interactiva  |  Haga que su sitio web sea interactivo con aplicaciones de Windows de transmisión.\*\*  |  Programática  | 

 \*Consulte [https://aws.amazon.com/appstream2/getting-started/isv-workshops/](https://aws.amazon.com/appstream2/getting-started/isv-workshops/) para obtener más información. 

 \*\*Consulte [https://docs.aws.amazon.com/appstream2/latest/developerguide/embed-streaming-sessions.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/embed-streaming-sessions.html) para obtener más información. 

 Si su organización tiene un caso de uso o una política que no figuran en los ejemplos anteriores, se recomienda pronosticar el estado final deseado del consumo del flujo de trabajo de WorkSpaces las aplicaciones para garantizar que la solución de autenticación no entre en conflicto con él. 

## Configurar su proveedor de identidad
<a name="configuring-your-identity-provider"></a>

### SAML 2.0
<a name="saml-2.0"></a>

 El lenguaje de marcado para afirmaciones de seguridad (SAML) 2.0 es una opción de implementación común que [https://aws.amazon.com/identity/saml/](https://aws.amazon.com/identity/saml/) a los usuarios utilizar los recursos. AWS Diversos [https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-further-info.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-further-info.html) admiten aplicaciones. WorkSpaces [Tanto si los recursos de sus WorkSpaces aplicaciones están unidos a un dominio como si no, el IdP de SAML 2.0 requiere que utilice IAM.](https://aws.amazon.com/iam/) 

Como la mayoría IdPs genera un archivo metadata.xml único con atributos de SAML específicos para cada aplicación de SAML, cada pila de WorkSpaces aplicaciones requiere un rol que tenga una relación de confianza con el IdP de SAML y una política que tenga un permiso único para AppStream:Stream con condiciones que coincidan con los requisitos del IdP de SAML y el ARN de la pila de aplicaciones. WorkSpaces 

La guía de administración de WorkSpaces aplicaciones proporciona un ejemplo de configuración para el diseño de una sola pila de aplicaciones. WorkSpaces Para las implementaciones de varias pilas, consulte los pasos opcionales para utilizar el [catálogo de aplicaciones de varias pilas de SAML 2.0](https://docs.aws.amazon.com/appstream2/latest/developerguide/application-entitlements-saml.html#saml-application-catalog).

### Grupo de usuarios
<a name="user-pool"></a>

 La pestaña **Grupo de usuarios** de WorkSpaces Aplicaciones es una opción válida para realizar pequeñas pruebas de concepto. Como práctica recomendada, es mejor evitar los grupos de usuarios para cualquier caso de uso y organización que utilice WorkSpaces aplicaciones para entregar aplicaciones de producción. 

 Algo importante que debe ser tenido en cuenta con relación a los grupos de usuarios es que las direcciones de correo electrónico de los usuarios distinguen mayúsculas de minúsculas; por lo tanto, se recomienda garantizar que los usuarios sepan cómo introducir correctamente las credenciales de usuario. 

### URL de transmisión
<a name="streaming-url"></a>

 En el caso de las implementaciones que WorkSpaces utilizan recursos de aplicaciones desde un servicio centralizado (normalmente ISV), la autenticación programática se basa en una aplicación para realizar llamadas programáticas a las que transmitir información de forma dinámica y crear una sesión de WorkSpaces aplicaciones AWS para sus usuarios. [https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) El usuario que realiza la llamada de `CreateStreamingURL` debe estar usando un rol válido con permiso para `appstream:CreateStreamingURL`. 

 Al crear la política de acceso programático, se recomienda proteger el acceso especificando el ARN exacto de la pila de WorkSpaces aplicaciones en la sección Recursos en lugar **del** «\*» predeterminado. Por ejemplo:

**Example**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appstream:createStreamingURL"
            ],
            "Resource": "arn:aws:appstream:us-east-1:031421429609:stack/BestPracticesStack"
        }
    ]
}
```

**nota**  
[Puede recuperar rápidamente los ARN de sus pilas de WorkSpaces aplicaciones mediante la API describe stacks [o](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_DescribeStacks.html) la AWS CLI.](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/appstream/describe-stacks.html)

 WorkSpaces Las instancias de aplicaciones deben empezar como instancias genéricas. A través de la información que recibe de la aplicación, la instancia de WorkSpaces Applications establece el entorno utilizando el [https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-stacks-fleets.html#managing-stacks-fleets-parameters](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-stacks-fleets.html#managing-stacks-fleets-parameters) para hacer que las cosas sean dinámicas para el usuario. 

 Si bien los GPO locales se pueden utilizar para especificar la configuración al iniciar sesión el usuario, se recomienda utilizar el contexto de la sesión y transferir atributos clave`CreateStreamingURL`, como el identificador de cliente o la configuración de conexión a la base de datos, para utilizarlos en la sesión de WorkSpaces aplicaciones. 

### Derechos de las aplicaciones
<a name="application-entitlement"></a>

WorkSpaces Las aplicaciones pueden crear dinámicamente el catálogo de aplicaciones que se presenta a los usuarios. Los derechos de las aplicaciones se basan en los atributos de SAML 2.0 o mediante el WorkSpaces Applications Dynamic Application Framework.

Attribute-based En la mayoría de los casos, se recomienda utilizar SAML 2.0 para los derechos de las aplicaciones. Para gestionar la entrega de paquetes de aplicaciones, se recomienda utilizar el marco dinámico de aplicaciones.