View a markdown version of this page

Authentification - Bonnes pratiques pour le déploiement des WorkSpaces applications Amazon

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification

Avec WorkSpaces Applications, l'authentification peut avoir lieu en dehors d'Amazon WorkSpaces Applications ou dans le cadre du service WorkSpaces Applications. La sélection de la manière dont l'authentification aura lieu pour le déploiement de vos WorkSpaces applications est une considération fondamentale de votre conception. Il n'est pas rare qu'une entreprise déploie plusieurs WorkSpaces applications pour différents cas d'utilisation. Chaque cas d'utilisation peut avoir une méthode d'authentification différente.

Il existe trois types de méthodes d'authentification pour les WorkSpaces applications :

Déterminer la méthode optimisée

Amazon WorkSpaces Applications est conçu pour être flexible afin de s'appliquer à la plupart des exigences de conception organisationnelle. Lors de la détermination de la méthode d'authentification optimisée, il est recommandé de prendre en compte les objectifs et les finalités des utilisateurs du service, ainsi que les politiques et procédures de l'organisation.

Voici quelques exemples de combinaison de cas d'utilisation avec des objectifs organisationnels.

Tableau 4 — Cas d'utilisation avec objectifs organisationnels

Exemple Description Authentification
Des instances de flotte jointes à un domaine sont requises Les applications installées sur l'image WorkSpaces Applications ne sont accessibles qu'aux ressources jointes au domaine. SAML 2.0
Intégration poussée avec les services Microsoft Dépendance organisationnelle vis-à-vis du développement de politiques de groupe Microsoft et d'une infrastructure principale SAML 2.0
Entreprise unique existante Sign-on (SSO) Tous les nouveaux services doivent tirer parti d'une solution SSO d'entreprise dotée de plusieurs processus de reporting et de sécurité établis. SAML 2.0
Support des cartes à puce pour les applications Cartes à puce (telles que la vérification d'identité privée et les cartes d'accès communes) pour l'authentification en cours de session pour les applications diffusées via un lecteur de carte à puce. SAML 2.0
Main-d'œuvre saisonnière avec personnel temporaire Quelques mois par an, les travailleurs temporaires se voient attribuer un petit ensemble de demandes qui n'incluent pas les ressources internes nécessaires pour mener à bien leurs activités. Groupe d'utilisateurs
Support informatique limité Petites entreprises comptant moins de 50 utilisateurs et disposant d'un personnel informatique limité, qui cherchent à réduire les coûts liés à la gestion d'un fournisseur d'identité (IdP) Groupe d'utilisateurs
Fournisseur de logiciels indépendant (ISV) Solution propriétaire conçue par votre organisation qui inclut les droits et l'authentification des utilisateurs, en étendant WorkSpaces les applications dans le cadre de votre solution. * Programmatique
Vitrine technologique Environnement totalement éphémère présentant une technologie propriétaire dans le cadre d'une visite guidée de votre solution, sans qu'il soit nécessaire de stocker les informations utilisateur. Programmatique
Expérience de site Web interactive

Rendez votre site Web interactif avec des applications Windows en streaming. **

Programmatique

*Consultez les fournisseurs de logiciels : diffusez vos applications sur n'importe quel appareil utilisateur pour plus d'informations.

**Reportez-vous à la section Intégrer des sessions de streaming d' WorkSpaces applications pour plus d'informations.

Si votre organisation a un cas d'utilisation ou une politique qui n'est pas répertoriée dans les exemples donnés précédemment, il est recommandé de prévoir l'état final souhaité de la consommation du flux de travail des WorkSpaces applications afin de garantir que la solution d'authentification n'entre pas en conflit avec cet état.

Configuration de votre fournisseur d'identité

SAML 2.0

Le langage SAML (Security Assertion Markup Language) 2.0 est une option de déploiement courante permettant aux utilisateurs d'utiliser AWS des ressources. Différents fournisseurs d'identité SAML 2.0 tiers prennent en charge les WorkSpaces applications. Que WorkSpaces les ressources de vos applications soient jointes à un domaine ou non, l'IdP SAML 2.0 vous oblige à utiliser IAM.

Comme la plupart IdPs génèrent un fichier metadata.xml unique avec des attributs SAML spécifiques pour chaque application SAML, chaque pile d' WorkSpaces applications nécessite un rôle entretenant une relation de confiance avec l'IdP SAML et une politique dotée d'une autorisation unique sur AppStream:Stream avec des conditions répondant aux exigences de l'IdP SAML et de l'ARN de la pile d'applications. WorkSpaces

Le guide WorkSpaces d'administration des applications fournit un exemple de configuration pour la conception d'une pile d' WorkSpaces applications unique. Pour les déploiements à piles multiples, reportez-vous aux étapes facultatives d'utilisation du catalogue d'applications multi-piles SAML 2.0.

Groupe d'utilisateurs

L'onglet Groupe d'utilisateurs dans WorkSpaces Applications est une option valide pour de petites démonstrations de concepts. Il est recommandé d'éviter les groupes d'utilisateurs pour tous les cas d'utilisation et toutes les organisations qui utilisent des WorkSpaces applications pour fournir des applications de production.

Il est important de noter à propos des groupes d'utilisateurs que les adresses e-mail des utilisateurs font la distinction entre majuscules et minuscules ; il est donc recommandé de s'assurer que les utilisateurs sont formés à la saisie correcte des informations d'identification des utilisateurs.

URL de diffusion

Pour les déploiements qui appellent des ressources d' WorkSpaces applications à partir d'un service centralisé (généralement des ISV), l'authentification programmatique repose sur le fait qu'une application effectue des appels programmatiques afin de transmettre des informations de manière dynamique et de créer une session d' WorkSpaces applications AWS pour ses utilisateurs. Utilisez la méthode d'authentification API (communément appelée « programmatique ») lorsque vous créez des URL de streaming à l'aide de l'opération CreateStreamingURL. L'utilisateur qui passe l'CreateStreamingURLappel doit utiliser un utilisateur ou un rôle valide autorisé pourappstream:CreateStreamingURL.

Lors de la création de la politique d'accès programmatique, il est recommandé de sécuriser l'accès en spécifiant l'ARN exact de la pile d' WorkSpaces applications dans la section Ressources à la place du « * » par défaut. Par exemple :

Exemple
JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appstream:createStreamingURL" ], "Resource": "arn:aws:appstream:us-east-1:031421429609:stack/BestPracticesStack" } ] }

WorkSpaces Les instances d'applications doivent démarrer en tant qu'instances génériques. Grâce aux informations qui lui sont transmises par l'application, l'instance WorkSpaces Applications établit l'environnement en utilisant le contexte de session pour rendre les choses dynamiques pour l'utilisateur.

Bien que les GPO locaux puissent être utilisés pour spécifier les paramètres lors de la connexion de l'utilisateur, le contexte de session est une bonne pratique lors de l'utilisation CreateStreamingURL et de la transmission d'attributs clés tels que l'ID client ou les paramètres de connexion à la base de données, à utiliser dans la session WorkSpaces Applications.

Admissibilité à la demande

WorkSpaces Les applications peuvent créer dynamiquement le catalogue d'applications présenté aux utilisateurs. Les droits des applications sont basés sur les attributs SAML 2.0 ou à l'aide d' WorkSpaces Applications Dynamic Application Framework.

Attribute-based les droits d'application utilisant SAML 2.0 sont recommandés dans la plupart des scénarios. Pour gérer la livraison des packages d'applications, il est recommandé d'utiliser Dynamic Application Framework.