View a markdown version of this page

Autentikasi - Praktik Terbaik untuk Menerapkan Aplikasi Amazon WorkSpaces

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Autentikasi

Dengan WorkSpaces Aplikasi, otentikasi dapat dilakukan di luar WorkSpaces Aplikasi Amazon, atau sebagai bagian dari layanan WorkSpaces Aplikasi. Memilih bagaimana otentikasi akan berlangsung untuk penerapan WorkSpaces Aplikasi Anda adalah pertimbangan mendasar dari desain Anda. Tidak jarang organisasi memiliki beberapa penerapan WorkSpaces Aplikasi untuk kasus penggunaan yang berbeda. Setiap kasus penggunaan dapat memiliki metode otentikasi yang berbeda.

Ada tiga jenis metode otentikasi untuk WorkSpaces Aplikasi:

Menentukan metode yang dioptimalkan

WorkSpaces Aplikasi Amazon dirancang agar fleksibel untuk diterapkan pada sebagian besar persyaratan desain organisasi. Ketika menentukan metode yang dioptimalkan untuk otentikasi, itu adalah praktik terbaik untuk mempertimbangkan tujuan dan tujuan dari mereka yang mengkonsumsi layanan, dan kebijakan dan prosedur organisasi.

Berikut adalah beberapa contoh menggabungkan kasus penggunaan dengan tujuan organisasi.

Tabel 4 - Gunakan kasus dengan tujuan organisasi

Contoh Deskripsi Autentikasi
Instance armada yang bergabung dengan domain diperlukan Aplikasi yang diinstal pada gambar WorkSpaces Aplikasi hanya dapat diakses oleh sumber daya yang bergabung dengan domain. SAML 2.0
Integrasi berat dengan layanan Microsoft Ketergantungan organisasi pada pengembangan Kebijakan Microsoft Group dan infrastruktur backend SAML 2.0
Perusahaan yang ada Single Sign-on (SSO) Semua layanan baru harus memanfaatkan solusi SSO perusahaan yang memiliki beberapa proses pelaporan dan keamanan yang ditetapkan. SAML 2.0
Dukungan kartu pintar untuk aplikasi Kartu pintar (seperti Verifikasi Identitas Pribadi dan kartu akses umum) untuk otentikasi dalam sesi ke aplikasi streaming melalui pembaca kartu pintar. SAML 2.0
Tenaga kerja musiman dengan staf sementara Beberapa bulan dalam setahun, pekerja sementara diberi satu set kecil aplikasi yang tidak termasuk sumber daya internal untuk menyelesaikan kegiatan. Kolam Pengguna
Dukungan TI Terbatas Organisasi yang lebih kecil dengan kurang dari 50 pengguna dan staf TI terbatas, ingin menghapus biaya pemeliharaan Penyedia Identitas (iDP) Kolam Pengguna
Vendor Perangkat Lunak Independen (ISV) Solusi berpemilik yang dibangun oleh organisasi Anda yang mencakup hak pengguna dan otentikasi, memperluas WorkSpaces Aplikasi sebagai bagian dari solusi Anda. * Terprogram
Pameran teknologi Lingkungan yang sepenuhnya fana yang menampilkan teknologi eksklusif sebagai bagian dari tur berpemandu solusi Anda tanpa persyaratan untuk menyimpan informasi pengguna. Terprogram
Pengalaman situs web interaktif

Jadikan situs web Anda interaktif dengan streaming aplikasi Windows. **

Terprogram

*Lihat vendor Perangkat Lunak: Kirimkan aplikasi Anda ke perangkat pengguna apa pun untuk informasi lebih lanjut.

** Lihat Sematkan Sesi Streaming WorkSpaces Aplikasi untuk informasi lebih lanjut.

Jika organisasi Anda memiliki kasus penggunaan atau kebijakan yang tidak tercantum dalam contoh yang diberikan sebelumnya, merupakan praktik terbaik untuk memperkirakan status akhir konsumsi alur kerja WorkSpaces Aplikasi yang diinginkan untuk memastikan solusi otentikasi tidak bertentangan dengannya.

Mengkonfigurasi penyedia identitas Anda

SAML 2.0

Security Assertion Markup Language (SAMP) 2.0 adalah opsi penerapan umum untuk memungkinkan pengguna menggunakan sumber daya. AWS Berbagai penyedia identitas SAMP 2.0 pihak ketiga mendukung WorkSpaces Aplikasi. Apakah sumber daya WorkSpaces Aplikasi Anda bergabung dengan domain atau tidak, SAMP 2.0 iDP mengharuskan Anda untuk menggunakan IAM.

Karena sebagian besar IdPs menghasilkan metadata.xml unik dengan atribut SAMP tertentu untuk setiap aplikasi SAMP, setiap tumpukan WorkSpaces Aplikasi memerlukan Peran yang memiliki hubungan tepercaya dengan SAMP iDP dan Kebijakan yang memiliki satu izin ke AppStream: Stream dengan kondisi yang sesuai dengan persyaratan SAMP iDP dan ARN dari Applications Stack. WorkSpaces

Panduan administrasi WorkSpaces Aplikasi menyediakan konfigurasi contoh untuk desain tumpukan WorkSpaces Aplikasi tunggal. Untuk beberapa penerapan tumpukan, lihat langkah-langkah opsional untuk menggunakan katalog aplikasi multi-stack SAMP 2.0.

Kolam pengguna

Tab User Pool di WorkSpaces Aplikasi adalah opsi yang valid untuk bukti konsep kecil. Sebagai praktik terbaik, yang terbaik adalah menghindari kumpulan pengguna untuk kasus penggunaan dan organisasi apa pun yang menggunakan WorkSpaces Aplikasi untuk mengirimkan aplikasi produksi.

Satu hal penting yang perlu diperhatikan tentang kumpulan pengguna adalah bahwa alamat email pengguna peka huruf besar/kecil; oleh karena itu merupakan praktik terbaik untuk memastikan pengguna dididik tentang cara memasukkan kredensyal pengguna dengan benar.

URL streaming

Untuk penerapan yang memanggil sumber daya WorkSpaces Aplikasi dari layanan terpusat (biasanya ISV), otentikasi terprogram bergantung pada aplikasi untuk membuat panggilan terprogram untuk meneruskan informasi secara dinamis dan membuat sesi Aplikasi AWS untuk penggunanya. WorkSpaces Gunakan metode otentikasi API (biasanya disebut sebagai 'programmatic') saat membuat URL streaming menggunakan operasi URL. CreateStreaming Pengguna yang melakukan CreateStreamingURL panggilan harus menggunakan pengguna atau peran yang valid dengan izin untukappstream:CreateStreamingURL.

Saat membuat kebijakan untuk akses terprogram, adalah praktik terbaik untuk mengamankan akses dengan menentukan ARN Tumpukan WorkSpaces Aplikasi yang tepat di bagian Sumber Daya sebagai pengganti default '*'. Contoh:

contoh
JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appstream:createStreamingURL" ], "Resource": "arn:aws:appstream:us-east-1:031421429609:stack/BestPracticesStack" } ] }

WorkSpaces Instans aplikasi harus dimulai sebagai instance generik. Melalui informasi yang diteruskan kepadanya dari aplikasi, instance WorkSpaces Applications menetapkan lingkungan menggunakan konteks sesi untuk membuat hal-hal dinamis bagi pengguna.

Meskipun GPO lokal dapat digunakan untuk menentukan pengaturan saat login pengguna, konteks sesi adalah praktik terbaik saat menggunakanCreateStreamingURL, dan meneruskan atribut kunci seperti ID Pelanggan atau pengaturan koneksi database, untuk digunakan dalam sesi WorkSpaces Aplikasi.

Hak aplikasi

WorkSpaces Aplikasi dapat secara dinamis membangun katalog aplikasi yang disajikan kepada pengguna. Hak aplikasi didasarkan pada atribut SAMP 2.0, atau dengan menggunakan WorkSpaces Applications Dynamic Application Framework.

Attribute-based hak aplikasi menggunakan SAMP 2.0 direkomendasikan di sebagian besar skenario. Untuk mengelola pengiriman paket aplikasi, Dynamic Application Framework direkomendasikan.