翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サードパーティーの SAML 2.0 アイデンティティプロバイダーを使用した属性ベースのアプリケーションの使用権限
アプリケーションエンタイトルメントは、WorkSpaces アプリケーションスタック内の特定のアプリケーションへのアクセスを制御します。これは、サードパーティーの SAML 2.0 アイデンティティプロバイダーからの SAML 2.0 属性アサーションを使用して動作します。ユーザー ID が WorkSpaces Applications 2.0 SAML アプリケーションにフェデレーションされると、アサーションは値と一致します。使用権限が true で、属性の名前と値が一致する場合、スタック内の 1 つ以上のアプリケーションに対するユーザーアイデンティティへのアクセス権が付与されます。
以下のシナリオでは、サードパーティーの SAML 2.0 アイデンティティプロバイダーを使用する属性ベースのアプリケーションの使用権限は適用されません。つまり、次のような場合、使用権限は無視されます。
-
WorkSpaces Applications ユーザープール認証。詳細については、「Amazon WorkSpaces アプリケーションユーザープール」を参照してください。
-
WorkSpaces アプリケーションストリーミング URL 認証。詳細については、「ストリーミング URL」を参照してください。
-
WorkSpaces アプリケーションフリートがデスクトップストリームビュー用に設定されている場合のデスクトップアプリケーション。詳細については、「Amazon WorkSpaces アプリケーションフリートとスタックを作成する」を参照してください。
-
動的アプリケーションフレームワークを使用するスタック。動的アプリケーションフレームワークは、個別のアプリケーションの使用権限機能を提供します。詳細については、「動的アプリケーションフレームワークを使用した動的アプリケーションプロバイダーからのアプリケーションの使用権限の適用」を参照してください。
-
ユーザーが WorkSpaces アプリケーションカタログにフェデレーションする場合、アプリケーションの使用権限には、ユーザーがアクセスできるアプリケーションのみが表示されます。アプリケーションは、WorkSpaces アプリケーションセッション内での実行を制限されません。例えば、デスクトップストリームビュー用に設定されたフリートでは、ユーザーはデスクトップから直接アプリケーションを起動できます。
アプリケーションの使用権限の作成
アプリケーションの使用権限を作成する前に、以下を実行する必要があります。
-
ニーズに合った 1 つ以上のアプリケーション (常時オンまたはオンデマンドフリート) または割り当てられたアプリケーション (Elastic フリート) を含むイメージを使用して WorkSpaces アプリケーションフリートとスタックを作成します。詳細については、「Amazon WorkSpaces アプリケーションフリートとスタックを作成する」を参照してください。
-
サードパーティーの SAML 2.0 アイデンティティプロバイダーを使用して、スタックへのユーザーアクセスを提供します。詳細については、「Amazon WorkSpaces アプリケーションと SAML 2.0 の統合」を参照してください。以前にセットアップした既存の SAML 2.0 アイデンティティプロバイダーを使用している場合は、「ステップ 2: SAML 2.0 フェデレーション IAM ロールを作成する」のIAM ロールの信頼ポリシーに sts:TagSession 許可を追加する手順を参照してください。詳細については、「AWS STSでのセッションタグの受け渡し」を参照してください。この許可は、アプリケーションの使用権限を使用するために必要です。
アプリケーション使用権限を作成するには
-
左のナビゲーションペインで、[Stacks] (スタック) を選択し、アプリケーションの使用権限を管理するスタックを選択します。
-
[Application Entitlements] (アプリケーションの使用権限) ダイアログボックスで、[Create] (作成) を選択します。
-
使用権限の[Name] (名前) と[Description] (説明) を入力します。
-
使用権限の属性名と値を定義します。
属性をマッピングする場合は、https://aws.amazon.com/SAML/Attributes/PrincipalTag:{TagKey} の形式で属性を指定します。{TagKey} は次の属性のいずれかです。
-
ロール
-
department
-
組織
-
グループ
-
title
-
costCenter
-
userType
定義した属性は、スタック内のアプリケーションが WorkSpaces アプリケーションセッションにフェデレーションするときにユーザーに権限を付与するために使用されます。使用権限は、フェデレーション中に作成された SAML アサーションのキーバリュー名と、属性名を一致させることによって機能します。詳細については、「SAML PrincipalTag 属性」を参照してください。
注記
1 つ以上の値をコロン (:) で区切って、サポートされている属性に含めることができます。
たとえば、グループ情報を SAML 属性名 https://aws.amazon.com/SAML/Attributes/PrincipalTag:groups に「group1: group2: group3」という値で渡すことができます。使用権限は、単一のグループ値、例えば「group1」に基づいてアプリケーションを許可できます。詳細については、「SAML PrincipalTag 属性」を参照してください。
-
-
スタック内のアプリケーション設定を構成して、すべてのアプリケーションに資格を付与するか、アプリケーションを選択します。[All applications (*)] (すべてのアプリケーション (*)) を選択すると、将来追加されるアプリケーションを含め、スタックで使用可能なすべてのアプリケーションを適用します。[Select applications] (アプリケーションの選択) を選択すると、特定のアプリケーション名をフィルタリングします。
-
設定を確認して使用権限を作成します。このプロセスを繰り返して、追加の使用権限を作成できます。スタック内のアプリケーションに対する使用権限は、属性名と値に基づいてユーザーと一致するすべての使用権限の組合わせとなります。
-
SAML 2.0 ID プロバイダーで、使用権限で定義された属性と値を送信するように WorkSpaces Applications SAML アプリケーション属性マッピングを設定します。ユーザーが WorkSpaces アプリケーションカタログにフェデレーションする場合、アプリケーションの使用権限には、ユーザーがアクセスできるアプリケーションのみが表示されます。
SAML 2.0 マルチスタックアプリケーションカタログ
サードパーティー SAML 2.0 アイデンティティプロバイダーを使用する属性ベースのアプリケーションの使用権限を使用すると、単一のリレー状態 URL から複数のスタックへのアクセスを有効にできます。次のように、リレー状態 URL からスタックと アプリケーション (存在する場合) パラメータを削除します。
https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens
ユーザーが WorkSpaces アプリケーションカタログにフェデレーションすると、スタックが配置されているリージョンに関連付けられたアカウント ID とリレーステートエンドポイントについて、アプリケーションの使用権限がユーザーと 1 つ以上のアプリケーションに一致したすべてのスタックが表示されます。ユーザーがカタログを選択すると、アプリケーションの使用権限には、そのユーザーが資格を持つアプリケーションのみが表示されます。詳細については、「ステップ 6: フェデレーションのリレーステートを設定する」を参照してください。
注記
SAML 2.0 マルチスタックアプリケーションカタログを使用するには、SAML 2.0 フェデレーション IAM ロールのインラインポリシーを設定する必要があります。詳細については、「ステップ 3: IAM ロールにインラインポリシーを埋め込む」を参照してください。
