View a markdown version of this page

Autenticazione - Best practice per la distribuzione di applicazioni Amazon WorkSpaces

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autenticazione

Con WorkSpaces Applications, l'autenticazione può avvenire al di fuori di Amazon WorkSpaces Applications o come parte del servizio WorkSpaces Applications. La scelta del modo in cui avverrà l'autenticazione per la distribuzione delle WorkSpaces applicazioni è una considerazione fondamentale della progettazione. Non è raro che un'organizzazione disponga di più distribuzioni di WorkSpaces applicazioni per diversi casi d'uso. Ogni caso d'uso può avere un metodo di autenticazione diverso.

Esistono tre tipi di metodi di autenticazione per le WorkSpaces applicazioni:

Determinazione del metodo ottimale

Amazon WorkSpaces Applications è progettato per essere flessibile e può essere applicato alla maggior parte dei requisiti di progettazione organizzativa. Nel determinare il metodo ottimizzato per l'autenticazione, è consigliabile considerare gli obiettivi e le finalità di coloro che utilizzano il servizio, nonché le politiche e le procedure organizzative.

Ecco alcuni esempi di combinazione di casi d'uso con obiettivi organizzativi.

Tabella 4 — Casi d'uso con obiettivi organizzativi

Esempio Descrizione Autenticazione
Sono necessarie istanze del parco istanze del parco istanze aggiunte al dominio Le applicazioni installate nell'immagine WorkSpaces Applicazioni sono accessibili solo alle risorse aggiunte al dominio. SAML 2.0
Integrazione completa con i servizi Microsoft Dipendenza organizzativa dallo sviluppo di Microsoft Group Policies e dall'infrastruttura di backend SAML 2.0
Single aziendale esistente (SSO Sign-on) Tutti i nuovi servizi devono sfruttare una soluzione SSO aziendale che preveda diversi processi di reporting e sicurezza. SAML 2.0
Supporto tramite smart card per le applicazioni Smart card (come Private Identity Verification e Common Access Card) per l'autenticazione durante la sessione di applicazioni in streaming tramite un lettore di smart card. SAML 2.0
Forza lavoro stagionale con personale temporaneo Alcuni mesi all'anno, ai lavoratori temporanei viene assegnata una piccola serie di applicazioni che non includono risorse interne per il completamento delle attività. Pool di utenti
Supporto IT limitato Organizzazioni più piccole con meno di 50 utenti e personale IT limitato, che cercano di eliminare il sovraccarico legato alla manutenzione di un Identity Provider (IdP) Pool di utenti
Fornitore di software indipendente (ISV) Soluzione proprietaria creata dall'organizzazione che include i diritti e l'autenticazione degli utenti, estendendo WorkSpaces le applicazioni come parte della soluzione. * Programmatico
Vetrina tecnologica Ambiente completamente effimero che presenta una tecnologia proprietaria come parte di una visita guidata della soluzione senza la necessità di memorizzare le informazioni dell'utente. Programmatico
Esperienza web interattiva

Rendi interattivo il tuo sito Web con lo streaming di applicazioni Windows. **

Programmatico

*Per ulteriori informazioni, consulta i fornitori di software: distribuisci le tue applicazioni a qualsiasi dispositivo utente.

**Per ulteriori informazioni, consulta Embed WorkSpaces Applications Streaming Sessions.

Se l'organizzazione ha un caso d'uso o una politica che non sono elencati negli esempi forniti in precedenza, è consigliabile prevedere lo stato finale desiderato di utilizzo del flusso di lavoro delle WorkSpaces applicazioni per garantire che la soluzione di autenticazione non sia in conflitto con esso.

Configurazione del provider di identità

SAML 2.0

Security Assertion Markup Language (SAML) 2.0 è un'opzione di distribuzione comune per consentire agli utenti di utilizzare le risorse. AWS Vari provider di identità SAML 2.0 di terze parti supportano le applicazioni. WorkSpaces Indipendentemente dal fatto che le risorse delle WorkSpaces applicazioni appartengano o meno a un dominio, SAML 2.0 IdP richiede l'utilizzo di IAM.

Poiché la maggior parte IdPs genera un file metadata.xml univoco con attributi SAML specifici per ogni applicazione SAML, ogni stack di WorkSpaces applicazioni richiede un ruolo che abbia una relazione di fiducia con l'IdP SAML e una policy che disponga di un'unica autorizzazione per AppStream:Stream con condizioni che corrispondono ai requisiti dell'IdP SAML e dell'ARN dello stack di applicazioni. WorkSpaces

La guida all'amministrazione delle applicazioni fornisce un esempio di configurazione per la progettazione di un singolo stack di WorkSpaces applicazioni. WorkSpaces Per le distribuzioni a più stack, consulta i passaggi facoltativi per l'utilizzo del catalogo di applicazioni multi-stack SAML 2.0.

Bacino d'utenza

La scheda User Pool in WorkSpaces Applications è un'opzione valida per piccole dimostrazioni di concetti. Come best practice, è consigliabile evitare i pool di utenti per qualsiasi caso d'uso e organizzazione che utilizzi WorkSpaces Applicazioni per fornire applicazioni di produzione.

Un aspetto importante da tenere presente sui pool di utenti è che gli indirizzi e-mail degli utenti fanno distinzione tra maiuscole e minuscole; pertanto è consigliabile assicurarsi che gli utenti siano istruiti su come inserire correttamente le credenziali utente.

URL di streaming

Per le implementazioni che richiamano WorkSpaces le risorse delle applicazioni da un servizio centralizzato (in genere ISV), l'autenticazione programmatica si basa su un'applicazione a cui effettuare chiamate programmatiche per passare dinamicamente le informazioni e creare una AWS sessione di applicazioni per i relativi utenti. WorkSpaces Utilizzate il metodo di autenticazione API (comunemente denominato «programmatico») durante la creazione di URL di streaming utilizzando l'operazione URL. CreateStreaming L'utente che effettua la CreateStreamingURL chiamata deve utilizzare un utente o un ruolo valido con autorizzazione per. appstream:CreateStreamingURL

Quando si crea la policy per l'accesso programmatico, è consigliabile proteggere l'accesso specificando l'esatto WorkSpaces Applications Stack ARN nella sezione Risorse al posto del valore predefinito '*'. Esempio:

Esempio
JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appstream:createStreamingURL" ], "Resource": "arn:aws:appstream:us-east-1:031421429609:stack/BestPracticesStack" } ] }

WorkSpaces Le istanze delle applicazioni devono iniziare come istanze generiche. Tramite le informazioni trasmesse dall'applicazione, l'istanza WorkSpaces Applications stabilisce l'ambiente utilizzando il contesto della sessione per rendere le cose dinamiche per l'utente.

Sebbene sia possibile utilizzare i GPO locali per specificare le impostazioni all'accesso dell'utente, il contesto della sessione è una procedura consigliata quando si utilizzano CreateStreamingURL e si passano attributi chiave come l'ID cliente o le impostazioni di connessione al database, da utilizzare nella WorkSpaces sessione Applicazioni.

Autorizzazione dell'applicazione

WorkSpaces Le applicazioni possono creare dinamicamente il catalogo delle applicazioni che viene presentato agli utenti. I permessi delle applicazioni si basano sugli attributi SAML 2.0 o utilizzano WorkSpaces Applications Dynamic Application Framework.

Attribute-based i diritti delle applicazioni che utilizzano SAML 2.0 sono consigliati nella maggior parte degli scenari. Per gestire la consegna dei pacchetti applicativi, si consiglia Dynamic Application Framework.