

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Autenticazione
<a name="authentication"></a>

 Con WorkSpaces Applications, l'autenticazione può avvenire al di fuori di Amazon WorkSpaces Applications o come parte del servizio WorkSpaces Applications. La scelta del modo in cui avverrà l'autenticazione per la distribuzione delle WorkSpaces applicazioni è una considerazione fondamentale della progettazione. Non è raro che un'organizzazione disponga di più distribuzioni di WorkSpaces applicazioni per diversi casi d'uso. Ogni caso d'uso può avere un metodo di autenticazione diverso. 

 Esistono tre tipi di metodi di autenticazione per le WorkSpaces applicazioni: 
+  [https://en.wikipedia.org/wiki/SAML_2.0](https://en.wikipedia.org/wiki/SAML_2.0) 
+  [https://docs.aws.amazon.com/cognito/latest/developerguide/authentication.html](https://docs.aws.amazon.com/cognito/latest/developerguide/authentication.html) 
+  Programmatico 

## Determinazione del metodo ottimale
<a name="determining-optimized-method"></a>

 Amazon WorkSpaces Applications è progettato per essere flessibile e può essere applicato alla maggior parte dei requisiti di progettazione organizzativa. Nel determinare il metodo ottimizzato per l'autenticazione, è consigliabile considerare gli obiettivi e le finalità di coloro che utilizzano il servizio, nonché le politiche e le procedure organizzative. 

 Ecco alcuni esempi di combinazione di casi d'uso con obiettivi organizzativi. 

 *Tabella 4 — Casi d'uso con obiettivi organizzativi* 


|  **Esempio**  |  **Descrizione**  |  **Autenticazione**  | 
| --- | --- | --- | 
|  Sono necessarie istanze del parco istanze del parco istanze aggiunte al dominio  |  Le applicazioni installate nell'immagine WorkSpaces Applicazioni sono accessibili solo alle risorse aggiunte al dominio.  |  SAML 2.0  | 
|  Integrazione completa con i servizi Microsoft  |  Dipendenza organizzativa dallo sviluppo di Microsoft Group Policies e dall'infrastruttura di backend  |  SAML 2.0  | 
|  Single aziendale esistente (SSO Sign-on)  |  Tutti i nuovi servizi devono sfruttare una soluzione SSO aziendale che preveda diversi processi di reporting e sicurezza.  |  SAML 2.0  | 
|  Supporto tramite smart card per le applicazioni  |  Smart card (come Private Identity Verification e Common Access Card) per l'autenticazione durante la sessione di applicazioni in streaming tramite un lettore di smart card.  |  SAML 2.0  | 
|  Forza lavoro stagionale con personale temporaneo  |  Alcuni mesi all'anno, ai lavoratori temporanei viene assegnata una piccola serie di applicazioni che non includono risorse interne per il completamento delle attività.  |  Pool di utenti  | 
|  Supporto IT limitato  |  Organizzazioni più piccole con meno di 50 utenti e personale IT limitato, che cercano di eliminare il sovraccarico legato alla manutenzione di un Identity Provider (IdP)  |  Pool di utenti  | 
|  Fornitore di software indipendente (ISV)  |  Soluzione proprietaria creata dall'organizzazione che include i diritti e l'autenticazione degli utenti, estendendo WorkSpaces le applicazioni come parte della soluzione. \*  |  Programmatico  | 
|  Vetrina tecnologica  |  Ambiente completamente effimero che presenta una tecnologia proprietaria come parte di una visita guidata della soluzione senza la necessità di memorizzare le informazioni dell'utente.  |  Programmatico  | 
|  Esperienza web interattiva  |  Rendi interattivo il tuo sito Web con lo streaming di applicazioni Windows. \*\*  |  Programmatico  | 

 \*Per ulteriori informazioni, consulta [https://aws.amazon.com/appstream2/getting-started/isv-workshops/](https://aws.amazon.com/appstream2/getting-started/isv-workshops/). 

 \*\*Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/appstream2/latest/developerguide/embed-streaming-sessions.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/embed-streaming-sessions.html). 

 Se l'organizzazione ha un caso d'uso o una politica che non sono elencati negli esempi forniti in precedenza, è consigliabile prevedere lo stato finale desiderato di utilizzo del flusso di lavoro delle WorkSpaces applicazioni per garantire che la soluzione di autenticazione non sia in conflitto con esso. 

## Configurazione del provider di identità
<a name="configuring-your-identity-provider"></a>

### SAML 2.0
<a name="saml-2.0"></a>

 Security Assertion Markup Language (SAML) 2.0 è un'opzione di distribuzione comune per [https://aws.amazon.com/identity/saml/](https://aws.amazon.com/identity/saml/) di utilizzare le risorse. AWS Vari provider [https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-further-info.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-further-info.html) supportano le applicazioni. WorkSpaces [Indipendentemente dal fatto che le risorse delle WorkSpaces applicazioni appartengano o meno a un dominio, SAML 2.0 IdP richiede l'utilizzo di IAM.](https://aws.amazon.com/iam/) 

Poiché la maggior parte IdPs genera un file metadata.xml univoco con attributi SAML specifici per ogni applicazione SAML, ogni stack di WorkSpaces applicazioni richiede un ruolo che abbia una relazione di fiducia con l'IdP SAML e una policy che disponga di un'unica autorizzazione per AppStream:Stream con condizioni che corrispondono ai requisiti dell'IdP SAML e dell'ARN dello stack di applicazioni. WorkSpaces 

La guida all'amministrazione delle applicazioni fornisce un esempio di configurazione per la progettazione di un singolo stack di WorkSpaces applicazioni. WorkSpaces Per le distribuzioni a più stack, consulta i passaggi facoltativi per l'utilizzo del catalogo di applicazioni multi-stack [SAML 2.0.](https://docs.aws.amazon.com/appstream2/latest/developerguide/application-entitlements-saml.html#saml-application-catalog)

### Bacino d'utenza
<a name="user-pool"></a>

 La scheda **User Pool** in WorkSpaces Applications è un'opzione valida per piccole dimostrazioni di concetti. Come best practice, è consigliabile evitare i pool di utenti per qualsiasi caso d'uso e organizzazione che utilizzi WorkSpaces Applicazioni per fornire applicazioni di produzione. 

 Un aspetto importante da tenere presente sui pool di utenti è che gli indirizzi e-mail degli utenti fanno distinzione tra maiuscole e minuscole; pertanto è consigliabile assicurarsi che gli utenti siano istruiti su come inserire correttamente le credenziali utente. 

### URL di streaming
<a name="streaming-url"></a>

 Per le implementazioni che richiamano WorkSpaces le risorse delle applicazioni da un servizio centralizzato (in genere ISV), l'autenticazione programmatica si basa su un'applicazione a cui effettuare chiamate programmatiche per passare dinamicamente le informazioni e creare una AWS sessione di applicazioni per i relativi utenti. WorkSpaces [https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) L'utente che effettua la `CreateStreamingURL` chiamata deve utilizzare un utente o un ruolo valido con autorizzazione per. `appstream:CreateStreamingURL` 

 Quando si crea la policy per l'accesso programmatico, è consigliabile proteggere l'accesso specificando l'esatto WorkSpaces Applications Stack ARN nella sezione Risorse **al posto del** valore predefinito '\*'. Esempio:

**Example**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appstream:createStreamingURL"
            ],
            "Resource": "arn:aws:appstream:us-east-1:031421429609:stack/BestPracticesStack"
        }
    ]
}
```

**Nota**  
[Puoi recuperare rapidamente gli ARN dei tuoi stack di WorkSpaces applicazioni utilizzando l'API describe stacks o la CLI [AWS](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_DescribeStacks.html).](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/appstream/describe-stacks.html)

 WorkSpaces Le istanze delle applicazioni devono iniziare come istanze generiche. Tramite le informazioni trasmesse dall'applicazione, l'istanza WorkSpaces Applications stabilisce l'ambiente utilizzando il [https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-stacks-fleets.html#managing-stacks-fleets-parameters](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-stacks-fleets.html#managing-stacks-fleets-parameters) per rendere le cose dinamiche per l'utente. 

 Sebbene sia possibile utilizzare i GPO locali per specificare le impostazioni all'accesso dell'utente, il contesto della sessione è una procedura consigliata quando si utilizzano `CreateStreamingURL` e si passano attributi chiave come l'ID cliente o le impostazioni di connessione al database, da utilizzare nella WorkSpaces sessione Applicazioni. 

### Autorizzazione dell'applicazione
<a name="application-entitlement"></a>

WorkSpaces Le applicazioni possono creare dinamicamente il catalogo delle applicazioni che viene presentato agli utenti. I permessi delle applicazioni si basano sugli attributi SAML 2.0 o utilizzano WorkSpaces Applications Dynamic Application Framework.

Attribute-based i diritti delle applicazioni che utilizzano SAML 2.0 sono consigliati nella maggior parte degli scenari. Per gestire la consegna dei pacchetti applicativi, si consiglia Dynamic Application Framework.