

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Authentification
<a name="authentication"></a>

 Avec WorkSpaces Applications, l'authentification peut avoir lieu en dehors d'Amazon WorkSpaces Applications ou dans le cadre du service WorkSpaces Applications. La sélection de la manière dont l'authentification aura lieu pour le déploiement de vos WorkSpaces applications est une considération fondamentale de votre conception. Il n'est pas rare qu'une entreprise déploie plusieurs WorkSpaces applications pour différents cas d'utilisation. Chaque cas d'utilisation peut avoir une méthode d'authentification différente. 

 Il existe trois types de méthodes d'authentification pour les WorkSpaces applications : 
+  [https://en.wikipedia.org/wiki/SAML_2.0](https://en.wikipedia.org/wiki/SAML_2.0) 
+  [https://docs.aws.amazon.com/cognito/latest/developerguide/authentication.html](https://docs.aws.amazon.com/cognito/latest/developerguide/authentication.html) 
+  Programmatique 

## Déterminer la méthode optimisée
<a name="determining-optimized-method"></a>

 Amazon WorkSpaces Applications est conçu pour être flexible afin de s'appliquer à la plupart des exigences de conception organisationnelle. Lors de la détermination de la méthode d'authentification optimisée, il est recommandé de prendre en compte les objectifs et les finalités des utilisateurs du service, ainsi que les politiques et procédures de l'organisation. 

 Voici quelques exemples de combinaison de cas d'utilisation avec des objectifs organisationnels. 

 *Tableau 4 — Cas d'utilisation avec objectifs organisationnels* 


|  **Exemple**  |  **Description**  |  **Authentification**  | 
| --- | --- | --- | 
|  Des instances de flotte jointes à un domaine sont requises  |  Les applications installées sur l'image WorkSpaces Applications ne sont accessibles qu'aux ressources jointes au domaine.  |  SAML 2.0  | 
|  Intégration poussée avec les services Microsoft  |  Dépendance organisationnelle vis-à-vis du développement de politiques de groupe Microsoft et d'une infrastructure principale  |  SAML 2.0  | 
|  Entreprise unique existante Sign-on (SSO)  |  Tous les nouveaux services doivent tirer parti d'une solution SSO d'entreprise dotée de plusieurs processus de reporting et de sécurité établis.  |  SAML 2.0  | 
|  Support des cartes à puce pour les applications  |  Cartes à puce (telles que la vérification d'identité privée et les cartes d'accès communes) pour l'authentification en cours de session pour les applications diffusées via un lecteur de carte à puce.  |  SAML 2.0  | 
|  Main-d'œuvre saisonnière avec personnel temporaire  |  Quelques mois par an, les travailleurs temporaires se voient attribuer un petit ensemble de demandes qui n'incluent pas les ressources internes nécessaires pour mener à bien leurs activités.  |  Groupe d'utilisateurs  | 
|  Support informatique limité  |  Petites entreprises comptant moins de 50 utilisateurs et disposant d'un personnel informatique limité, qui cherchent à réduire les coûts liés à la gestion d'un fournisseur d'identité (IdP)  |  Groupe d'utilisateurs  | 
|  Fournisseur de logiciels indépendant (ISV)  |  Solution propriétaire conçue par votre organisation qui inclut les droits et l'authentification des utilisateurs, en étendant WorkSpaces les applications dans le cadre de votre solution. \*  |  Programmatique  | 
|  Vitrine technologique  |  Environnement totalement éphémère présentant une technologie propriétaire dans le cadre d'une visite guidée de votre solution, sans qu'il soit nécessaire de stocker les informations utilisateur.  |  Programmatique  | 
|  Expérience de site Web interactive  |  Rendez votre site Web interactif avec des applications Windows en streaming. \*\*  |  Programmatique  | 

 \*Consultez les [https://aws.amazon.com/appstream2/getting-started/isv-workshops/](https://aws.amazon.com/appstream2/getting-started/isv-workshops/) pour plus d'informations. 

 \*\*Reportez-vous à la section [https://docs.aws.amazon.com/appstream2/latest/developerguide/embed-streaming-sessions.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/embed-streaming-sessions.html) pour plus d'informations. 

 Si votre organisation a un cas d'utilisation ou une politique qui n'est pas répertoriée dans les exemples donnés précédemment, il est recommandé de prévoir l'état final souhaité de la consommation du flux de travail des WorkSpaces applications afin de garantir que la solution d'authentification n'entre pas en conflit avec cet état. 

## Configuration de votre fournisseur d'identité
<a name="configuring-your-identity-provider"></a>

### SAML 2.0
<a name="saml-2.0"></a>

 Le langage SAML (Security Assertion Markup Language) 2.0 est une option de déploiement courante [https://aws.amazon.com/identity/saml/](https://aws.amazon.com/identity/saml/). Différents [https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-further-info.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-further-info.html) WorkSpaces applications. [Que WorkSpaces les ressources de vos applications soient jointes à un domaine ou non, l'IdP SAML 2.0 vous oblige à utiliser IAM.](https://aws.amazon.com/iam/) 

Comme la plupart IdPs génèrent un fichier metadata.xml unique avec des attributs SAML spécifiques pour chaque application SAML, chaque pile d' WorkSpaces applications nécessite un rôle entretenant une relation de confiance avec l'IdP SAML et une politique dotée d'une autorisation unique sur AppStream:Stream avec des conditions répondant aux exigences de l'IdP SAML et de l'ARN de la pile d'applications. WorkSpaces 

Le guide WorkSpaces d'administration des applications fournit un exemple de configuration pour la conception d'une pile d' WorkSpaces applications unique. Pour les déploiements à piles multiples, reportez-vous aux étapes facultatives d'utilisation du catalogue d'applications [multi-piles SAML 2.0](https://docs.aws.amazon.com/appstream2/latest/developerguide/application-entitlements-saml.html#saml-application-catalog).

### Groupe d'utilisateurs
<a name="user-pool"></a>

 L'onglet **Groupe d'utilisateurs** dans WorkSpaces Applications est une option valide pour de petites démonstrations de concepts. Il est recommandé d'éviter les groupes d'utilisateurs pour tous les cas d'utilisation et toutes les organisations qui utilisent des WorkSpaces applications pour fournir des applications de production. 

 Il est important de noter à propos des groupes d'utilisateurs que les adresses e-mail des utilisateurs font la distinction entre majuscules et minuscules ; il est donc recommandé de s'assurer que les utilisateurs sont formés à la saisie correcte des informations d'identification des utilisateurs. 

### URL de diffusion
<a name="streaming-url"></a>

 Pour les déploiements qui appellent des ressources d' WorkSpaces applications à partir d'un service centralisé (généralement des ISV), l'authentification programmatique repose sur le fait qu'une application effectue des appels programmatiques afin de transmettre des informations de manière dynamique et de créer une session d' WorkSpaces applications AWS pour ses utilisateurs. Utilisez la méthode d'authentification API (communément appelée « programmatique ») lorsque vous créez des URL de streaming à l'aide de l'opération [https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html). L'utilisateur qui passe l'`CreateStreamingURL`appel doit utiliser un utilisateur ou un rôle valide autorisé pour`appstream:CreateStreamingURL`. 

 Lors de la création de la politique d'accès programmatique, il est recommandé de sécuriser l'accès en spécifiant l'ARN exact de la pile d' WorkSpaces applications dans la section **Ressources** à la place du « \* » par défaut. Par exemple :

**Example**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appstream:createStreamingURL"
            ],
            "Resource": "arn:aws:appstream:us-east-1:031421429609:stack/BestPracticesStack"
        }
    ]
}
```

**Note**  
[Vous pouvez rapidement récupérer les ARN de vos WorkSpaces applications Stacks à l'aide de l'API Describe Stacks [ou de l'AWS CLI](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_DescribeStacks.html).](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/appstream/describe-stacks.html)

 WorkSpaces Les instances d'applications doivent démarrer en tant qu'instances génériques. Grâce aux informations qui lui sont transmises par l'application, l'instance WorkSpaces Applications établit l'environnement en utilisant le [https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-stacks-fleets.html#managing-stacks-fleets-parameters](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-stacks-fleets.html#managing-stacks-fleets-parameters) pour rendre les choses dynamiques pour l'utilisateur. 

 Bien que les GPO locaux puissent être utilisés pour spécifier les paramètres lors de la connexion de l'utilisateur, le contexte de session est une bonne pratique lors de l'utilisation `CreateStreamingURL` et de la transmission d'attributs clés tels que l'ID client ou les paramètres de connexion à la base de données, à utiliser dans la session WorkSpaces Applications. 

### Admissibilité à la demande
<a name="application-entitlement"></a>

WorkSpaces Les applications peuvent créer dynamiquement le catalogue d'applications présenté aux utilisateurs. Les droits des applications sont basés sur les attributs SAML 2.0 ou à l'aide d' WorkSpaces Applications Dynamic Application Framework.

Attribute-based les droits d'application utilisant SAML 2.0 sont recommandés dans la plupart des scénarios. Pour gérer la livraison des packages d'applications, il est recommandé d'utiliser Dynamic Application Framework.