

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Autentikasi
<a name="authentication"></a>

 Dengan WorkSpaces Aplikasi, otentikasi dapat dilakukan di luar WorkSpaces Aplikasi Amazon, atau sebagai bagian dari layanan WorkSpaces Aplikasi. Memilih bagaimana otentikasi akan berlangsung untuk penerapan WorkSpaces Aplikasi Anda adalah pertimbangan mendasar dari desain Anda. Tidak jarang organisasi memiliki beberapa penerapan WorkSpaces Aplikasi untuk kasus penggunaan yang berbeda. Setiap kasus penggunaan dapat memiliki metode otentikasi yang berbeda. 

 Ada tiga jenis metode otentikasi untuk WorkSpaces Aplikasi: 
+  [https://en.wikipedia.org/wiki/SAML_2.0](https://en.wikipedia.org/wiki/SAML_2.0) 
+  [https://docs.aws.amazon.com/cognito/latest/developerguide/authentication.html](https://docs.aws.amazon.com/cognito/latest/developerguide/authentication.html) 
+  Terprogram 

## Menentukan metode yang dioptimalkan
<a name="determining-optimized-method"></a>

 WorkSpaces Aplikasi Amazon dirancang agar fleksibel untuk diterapkan pada sebagian besar persyaratan desain organisasi. Ketika menentukan metode yang dioptimalkan untuk otentikasi, itu adalah praktik terbaik untuk mempertimbangkan tujuan dan tujuan dari mereka yang mengkonsumsi layanan, dan kebijakan dan prosedur organisasi. 

 Berikut adalah beberapa contoh menggabungkan kasus penggunaan dengan tujuan organisasi. 

 *Tabel 4 - Gunakan kasus dengan tujuan organisasi* 


|  **Contoh**  |  **Deskripsi**  |  **Autentikasi**  | 
| --- | --- | --- | 
|  Instance armada yang bergabung dengan domain diperlukan  |  Aplikasi yang diinstal pada gambar WorkSpaces Aplikasi hanya dapat diakses oleh sumber daya yang bergabung dengan domain.  |  SAML 2.0  | 
|  Integrasi berat dengan layanan Microsoft  |  Ketergantungan organisasi pada pengembangan Kebijakan Microsoft Group dan infrastruktur backend  |  SAML 2.0  | 
|  Perusahaan yang ada Single Sign-on (SSO)  |  Semua layanan baru harus memanfaatkan solusi SSO perusahaan yang memiliki beberapa proses pelaporan dan keamanan yang ditetapkan.  |  SAML 2.0  | 
|  Dukungan kartu pintar untuk aplikasi  |  Kartu pintar (seperti Verifikasi Identitas Pribadi dan kartu akses umum) untuk otentikasi dalam sesi ke aplikasi streaming melalui pembaca kartu pintar.  |  SAML 2.0  | 
|  Tenaga kerja musiman dengan staf sementara  |  Beberapa bulan dalam setahun, pekerja sementara diberi satu set kecil aplikasi yang tidak termasuk sumber daya internal untuk menyelesaikan kegiatan.  |  Kolam Pengguna  | 
|  Dukungan TI Terbatas  |  Organisasi yang lebih kecil dengan kurang dari 50 pengguna dan staf TI terbatas, ingin menghapus biaya pemeliharaan Penyedia Identitas (iDP)  |  Kolam Pengguna  | 
|  Vendor Perangkat Lunak Independen (ISV)  |  Solusi berpemilik yang dibangun oleh organisasi Anda yang mencakup hak pengguna dan otentikasi, memperluas WorkSpaces Aplikasi sebagai bagian dari solusi Anda. \*  |  Terprogram  | 
|  Pameran teknologi  |  Lingkungan yang sepenuhnya fana yang menampilkan teknologi eksklusif sebagai bagian dari tur berpemandu solusi Anda tanpa persyaratan untuk menyimpan informasi pengguna.  |  Terprogram  | 
|  Pengalaman situs web interaktif  |  Jadikan situs web Anda interaktif dengan streaming aplikasi Windows. \*\*  |  Terprogram  | 

 \*Lihat [https://aws.amazon.com/appstream2/getting-started/isv-workshops/](https://aws.amazon.com/appstream2/getting-started/isv-workshops/) informasi lebih lanjut. 

 \*\* Lihat [https://docs.aws.amazon.com/appstream2/latest/developerguide/embed-streaming-sessions.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/embed-streaming-sessions.html) lebih lanjut. 

 Jika organisasi Anda memiliki kasus penggunaan atau kebijakan yang tidak tercantum dalam contoh yang diberikan sebelumnya, merupakan praktik terbaik untuk memperkirakan status akhir konsumsi alur kerja WorkSpaces Aplikasi yang diinginkan untuk memastikan solusi otentikasi tidak bertentangan dengannya. 

## Mengkonfigurasi penyedia identitas Anda
<a name="configuring-your-identity-provider"></a>

### SAML 2.0
<a name="saml-2.0"></a>

 Security Assertion Markup Language (SAMP) 2.0 adalah opsi penerapan umum untuk [https://aws.amazon.com/identity/saml/](https://aws.amazon.com/identity/saml/) menggunakan sumber daya. AWS Berbagai [https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-further-info.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-further-info.html) mendukung WorkSpaces Aplikasi. [Apakah sumber daya WorkSpaces Aplikasi Anda bergabung dengan domain atau tidak, SAMP 2.0 iDP mengharuskan Anda untuk menggunakan IAM.](https://aws.amazon.com/iam/) 

Karena sebagian besar IdPs menghasilkan metadata.xml unik dengan atribut SAMP tertentu untuk setiap aplikasi SAMP, setiap tumpukan WorkSpaces Aplikasi memerlukan Peran yang memiliki hubungan tepercaya dengan SAMP iDP dan Kebijakan yang memiliki satu izin ke AppStream: Stream dengan kondisi yang sesuai dengan persyaratan SAMP iDP dan ARN dari Applications Stack. WorkSpaces 

Panduan administrasi WorkSpaces Aplikasi menyediakan konfigurasi contoh untuk desain tumpukan WorkSpaces Aplikasi tunggal. Untuk beberapa penerapan tumpukan, lihat langkah-langkah opsional untuk menggunakan katalog aplikasi [multi-stack SAMP 2.0](https://docs.aws.amazon.com/appstream2/latest/developerguide/application-entitlements-saml.html#saml-application-catalog).

### Kolam pengguna
<a name="user-pool"></a>

 Tab **User Pool** di WorkSpaces Aplikasi adalah opsi yang valid untuk bukti konsep kecil. Sebagai praktik terbaik, yang terbaik adalah menghindari kumpulan pengguna untuk kasus penggunaan dan organisasi apa pun yang menggunakan WorkSpaces Aplikasi untuk mengirimkan aplikasi produksi. 

 Satu hal penting yang perlu diperhatikan tentang kumpulan pengguna adalah bahwa alamat email pengguna peka huruf besar/kecil; oleh karena itu merupakan praktik terbaik untuk memastikan pengguna dididik tentang cara memasukkan kredensyal pengguna dengan benar. 

### URL streaming
<a name="streaming-url"></a>

 Untuk penerapan yang memanggil sumber daya WorkSpaces Aplikasi dari layanan terpusat (biasanya ISV), otentikasi terprogram bergantung pada aplikasi untuk membuat panggilan terprogram untuk meneruskan informasi secara dinamis dan membuat sesi Aplikasi AWS untuk penggunanya. WorkSpaces [https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) Pengguna yang melakukan `CreateStreamingURL` panggilan harus menggunakan pengguna atau peran yang valid dengan izin untuk`appstream:CreateStreamingURL`. 

 Saat membuat kebijakan untuk akses terprogram, adalah praktik terbaik untuk mengamankan akses dengan menentukan ARN Tumpukan WorkSpaces Aplikasi yang tepat di bagian **Sumber Daya** sebagai pengganti default '\*'. Contoh:

**Example**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appstream:createStreamingURL"
            ],
            "Resource": "arn:aws:appstream:us-east-1:031421429609:stack/BestPracticesStack"
        }
    ]
}
```

**catatan**  
[Anda dapat dengan cepat mengambil ARN dari Tumpukan WorkSpaces Aplikasi Anda dengan menggunakan API describe stacks atau [AWS](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_DescribeStacks.html) CLI.](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/appstream/describe-stacks.html)

 WorkSpaces Instans aplikasi harus dimulai sebagai instance generik. Melalui informasi yang diteruskan kepadanya dari aplikasi, instance WorkSpaces Applications menetapkan lingkungan menggunakan [https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-stacks-fleets.html#managing-stacks-fleets-parameters](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-stacks-fleets.html#managing-stacks-fleets-parameters) untuk membuat hal-hal dinamis bagi pengguna. 

 Meskipun GPO lokal dapat digunakan untuk menentukan pengaturan saat login pengguna, konteks sesi adalah praktik terbaik saat menggunakan`CreateStreamingURL`, dan meneruskan atribut kunci seperti ID Pelanggan atau pengaturan koneksi database, untuk digunakan dalam sesi WorkSpaces Aplikasi. 

### Hak aplikasi
<a name="application-entitlement"></a>

WorkSpaces Aplikasi dapat secara dinamis membangun katalog aplikasi yang disajikan kepada pengguna. Hak aplikasi didasarkan pada atribut SAMP 2.0, atau dengan menggunakan WorkSpaces Applications Dynamic Application Framework.

Attribute-based hak aplikasi menggunakan SAMP 2.0 direkomendasikan di sebagian besar skenario. Untuk mengelola pengiriman paket aplikasi, Dynamic Application Framework direkomendasikan.