기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Authentication
WorkSpaces 애플리케이션을 사용하면 Amazon WorkSpaces 애플리케이션 외부에서 또는 WorkSpaces 애플리케이션 서비스의 일부로 인증을 수행할 수 있습니다. WorkSpaces 애플리케이션 배포에 대한 인증 방법을 선택하는 것은 설계의 기본 고려 사항입니다. 조직에서 다양한 사용 사례에 맞게 WorkSpaces 애플리케이션을 여러 번 배포하는 것은 드문 일이 아닙니다. 사용 사례마다 인증 방법이 다를 수 있습니다.
WorkSpaces 애플리케이션에는 세 가지 유형의 인증 방법이 있습니다.
최적화된 방법 결정
Amazon WorkSpaces 애플리케이션은 대부분의 조직 설계 요구 사항에 유연하게 적용할 수 있도록 설계되었습니다. 최적화된 인증 방법을 결정할 때는 서비스를 사용하는 사용자의 목적과 목적, 조직 정책 및 절차를 고려하는 것이 가장 좋습니다.
다음은 사용 사례와 조직 목표를 결합한 몇 가지 예입니다.
표 4 — 조직 목표를 포함한 사용 사례
| 예제 | 설명 | Authentication |
|---|---|---|
| 도메인에 가입된 플릿 인스턴스가 필요합니다. | WorkSpaces 애플리케이션 이미지에 설치된 애플리케이션은 도메인에 조인된 리소스에만 액세스할 수 있습니다. | SAML 2.0 |
| Microsoft 서비스와의 긴밀한 통합 | Microsoft 그룹 정책 및 백엔드 인프라 개발에 대한 조직의 의존도 | SAML 2.0 |
| 기존 엔터프라이즈 SSO(Single Sign-On) | 모든 신규 서비스는 여러 보고 및 보안 프로세스가 설정된 엔터프라이즈 SSO 솔루션을 활용해야 합니다. | SAML 2.0 |
| 애플리케이션에 대한 스마트 카드 지원 | 스마트 카드 리더를 통해 스트리밍되는 애플리케이션에 대한 세션 내 인증을 위한 스마트 카드(예: 프라이빗 ID 확인 및 일반 액세스 카드). | SAML 2.0 |
| 임시 직원이 포함된 계절별 인력 | 1년 중 몇 달 동안 임시 근로자에게는 활동을 완료하는 데 필요한 내부 리소스가 포함되지 않은 소수의 애플리케이션이 할당됩니다. | 사용자 풀 |
| 제한적 IT 지원 | IdP(자격 증명 공급자) 유지 관리에 따르는 오버헤드를 없애고자 하고 사용자 수가 50명 미만이고 IT 직원이 제한된 소규모 조직 | 사용자 풀 |
| ISV(독립 소프트웨어 개발 판매 회사) | 사용자 권한 및 인증을 포함하여 조직에서 구축한 독점 솔루션으로, WorkSpaces 애플리케이션을 솔루션의 일부로 확장합니다.* | 프로그래밍 방식 |
| 기술 쇼케이스 | 사용자 정보를 저장할 필요 없이 솔루션 둘러보기의 일환으로 독점 기술을 소개하는 완전한 임시 환경입니다. | 프로그래밍 방식 |
| 대화형 웹 사이트 환경 |
스트리밍 Windows 애플리케이션을 사용하여 대화형 웹 사이트를 만드세요. ** |
프로그래밍 방식 |
*자세한 내용은 소프트웨어 공급업체: 모든 사용자 디바이스에 애플리케이션 제공
**자세한 내용은 WorkSpaces 애플리케이션 스트리밍 세션 임베드를 참조하세요.
조직에 이전에 제공된 예제에 나열되지 않은 사용 사례 또는 정책이 있는 경우 인증 솔루션이 충돌하지 않도록 WorkSpaces 애플리케이션 워크플로 소비의 원하는 최종 상태를 예측하는 것이 좋습니다.
자격 증명 공급자 구성
SAML 2.0
SAML(Security Assertion Markup Language) 2.0은 사용자가 AWS 리소스를 사용할 수 있도록
대부분의 IdPs 각 SAML 애플리케이션에 대한 특정 SAML 속성이 있는 고유한 metadata.xml을 생성하므로 모든 WorkSpaces 애플리케이션 스택에는 SAML IdP와 신뢰할 수 있는 관계가 있는 역할과 SAML IdP의 요구 사항 및 WorkSpaces 애플리케이션 스택의 IdP ARN과 일치하는 조건으로 appstream:Stream에 대한 단일 권한이 있는 정책이 필요합니다.
WorkSpaces 애플리케이션 관리 가이드는 단일 WorkSpaces 애플리케이션 스택 설계에 대한 예제 구성을 제공합니다. 다중 스택 배포의 경우 SAML 2.0 다중 스택 애플리케이션 카탈로그 사용을 위한 선택적 단계를 참조하세요.
사용자 풀
WorkSpaces 애플리케이션의 사용자 풀 탭은 작은 개념 증명을 위한 유효한 옵션입니다. 가장 좋은 방법은 WorkSpaces 애플리케이션을 사용하여 프로덕션 애플리케이션을 제공하는 사용 사례 및 조직에 대한 사용자 풀을 피하는 것입니다.
사용자 풀에 대해 한 가지 중요한 점은 사용자의 이메일 주소는 대소문자를 구분한다는 점입니다. 따라서 사용자에게 사용자 자격 증명을 올바르게 입력하는 방법을 교육하는 것이 가장 좋습니다.
스트리밍 URL
중앙 집중식 서비스(일반적으로 ISVs)에서 WorkSpaces 애플리케이션 리소스를 호출하는 배포의 경우 프로그래밍 인증은 애플리케이션을 사용하여에 프로그래밍 방식으로 호출 AWS 하여 정보를 동적으로 전달하고 사용자를 위한 WorkSpaces 애플리케이션 세션을 생성합니다. CreateStreamingURL 작업을 사용하여 스트리밍 URL을 만들 때는 API 인증 방법(일반적으로 '프로그래밍 방식'이라고 함)을 사용하세요. CreateStreamingURL 호출하는 사용자는 appstream:CreateStreamingURL 권한이 있는 유효한 사용자 또는 역할을 사용하고 있어야 합니다.
프로그래밍 방식 액세스를 위한 정책을 생성할 때 기본 '*' 대신 리소스 섹션에 정확한 WorkSpaces 애플리케이션 스택 ARN을 지정하여 액세스를 보호하는 것이 가장 좋습니다. 예제:
예
WorkSpaces 애플리케이션 인스턴스는 일반 인스턴스로 시작해야 합니다. 애플리케이션에서 전달된 정보를 통해 WorkSpaces 애플리케이션 인스턴스는 세션 컨텍스트를 사용하여 환경을 설정하여 사용자를 동적으로 만듭니다.
로컬 GPOs 사용하여 사용자 로그온 시 설정을 지정할 수 있지만, 세션 컨텍스트는를 사용하고 WorkSpaces 애플리케이션 세션에서 사용할 고객 ID 또는 데이터베이스 연결 설정CreateStreamingURL과 같은 키 속성을 전달할 때 가장 좋습니다.
애플리케이션 사용 권한
WorkSpaces 애플리케이션은 사용자에게 제공되는 애플리케이션 카탈로그를 동적으로 빌드할 수 있습니다. 애플리케이션 권한은 SAML 2.0 속성을 기반으로 하거나 WorkSpaces 애플리케이션 동적 애플리케이션 프레임워크를 사용하여 부여됩니다.
대부분의 시나리오에서 SAML 2.0을 사용하는 속성 기반 애플리케이션 권한을 사용하는 것이 좋습니다. 애플리케이션 패키지 전송을 관리하려면 동적 애플리케이션 프레임워크를 사용하는 것이 좋습니다.