As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Direitos de aplicação baseados em atributos usando um provedor de identidades SAML 2.0 de terceiros
Os direitos de aplicativos controlam o acesso a aplicativos específicos em suas pilhas de WorkSpaces aplicativos. Isso funciona ao usar declarações de atributos SAML 2.0 de um provedor de identidades SAML 2.0 de terceiros. A afirmação corresponde a um valor quando a identidade do usuário é federada em um aplicativo SAML do WorkSpaces Applications 2.0. Se o direito for verdadeiro e o nome e o valor do atributo corresponderem, a identidade do usuário receberá acesso a uma ou mais aplicações na pilha.
Os direitos de aplicação baseados em atributos usando um provedor de identidades SAML 2.0 de terceiros não se aplicam aos cenários a seguir. Em outras palavras, o direito é ignorado em casos como os seguintes:
-
WorkSpaces Autenticação do grupo de usuários de aplicativos. Para obter mais informações, consulte Grupo de usuários do Amazon AppStream 2.0.
-
WorkSpaces Autenticação de URL de streaming de aplicativos. Para obter mais informações, consulte URL de streaming.
-
O aplicativo de desktop quando as frotas de WorkSpaces aplicativos são configuradas para a visualização do Desktop Stream. Para obter mais informações, consulte Crie uma frota e uma pilha de WorkSpaces aplicativos da Amazon.
-
Pilhas que usam o framework dinâmico de aplicações. O framework dinâmico de aplicações fornece recursos específicos de direitos de aplicações. Para obter mais informações, consulte Direitos de aplicações de um provedor dinâmico de aplicações usando o framework dinâmico de aplicações.
-
Quando os usuários se federam no catálogo de WorkSpaces aplicativos de aplicativos, os direitos do aplicativo exibirão somente os aplicativos aos quais o usuário tem direito. Os aplicativos não estão restritos de serem executados na sessão de WorkSpaces aplicativos. Por exemplo, em uma frota configurada para a visualização de streaming Desktop, um usuário pode iniciar uma aplicação diretamente pela área de trabalho.
Criar direitos de aplicações
Antes de criar direitos de aplicações, é necessário fazer o seguinte:
-
Crie uma frota e empilhe WorkSpaces aplicativos com uma imagem contendo um ou mais aplicativos (frota sempre ativa ou sob demanda) ou aplicativos atribuídos (frota elástica) que atenderão às suas necessidades. Para obter mais informações, consulte Crie uma frota e uma pilha de WorkSpaces aplicativos da Amazon.
-
Forneça acesso de usuário à pilha usando um provedor de identidades SAML 2.0 de terceiros. Para obter mais informações, consulte Integração WorkSpaces de aplicativos da Amazon com SAML 2.0. Se você estiver usando um provedor de identidade SAML 2.0 existente que você configurou anteriormente, consulte as etapas Etapa 2: Criar um perfil do IAM de federação SAML 2.0 para adicionar a TagSession permissão sts: à sua política de confiança da função do IAM. Para obter mais informações, consulte Passing session tags in AWS STS. Essa permissão é necessária para usar os direitos de aplicações.
Como criar direitos de aplicações
-
No painel de navegação à esquerda, escolha Pilhas e selecione a pilha para a qual deseja gerenciar direitos de aplicações.
-
Na caixa de diálogo Direitos de aplicações, escolha Criar.
-
Insira um Nome e uma Descrição para o direito.
-
Defina o nome e o valor do atributo para o direito.
Ao mapear atributos, especifique o atributo no formato https://aws.amazon.com/SAML/ Attributes/PrincipalTag: {TagKey}, onde {TagKey} é um dos seguintes atributos:
-
perfis
-
department
-
organização
-
groups
-
título
-
costCenter
-
userType
Os atributos que você definiu são usados para autorizar aplicativos em sua pilha a um usuário quando eles se federam em uma WorkSpaces sessão de aplicativos. O direito funciona por meio da combinação do nome do atributo com um nome de valor de chave na declaração SAML criada durante a federação. Para obter mais informações, consulte PrincipalTag Atributo SAML.
nota
Um ou mais valores podem ser incluídos em qualquer atributo compatível, separados por um sinal de dois pontos (:).
Por exemplo, as informações de grupos podem ser passadas em um atributo SAML chamado https://aws.amazon.com/SAML/ attributes/:groups PrincipalTag com o valor “group1:group2:group3” e seu direito pode permitir inscrições com base em um único valor de grupo, ou seja, “group1”. Para obter mais informações, consulte PrincipalTag Atributo SAML.
-
-
Defina configurações de aplicações na pilha para conceder direito a todas as aplicações ou a aplicações selecionadas. Escolher Todas as aplicações (*) aplica todas as aplicações disponíveis na pilha, incluindo aplicações que serão adicionadas no futuro. Escolher Selecionar aplicações filtrará os nomes de aplicações específicos.
-
Revise as configurações e crie o direito. Você pode repetir o processo e criar direitos adicionais. O direito às aplicações em uma pilha será uma união de todos os direitos que correspondem ao usuário com base nos nomes e valores de atributos.
-
Em seu provedor de identidade SAML 2.0, configure os mapeamentos de atributos do aplicativo SAML de seus WorkSpaces aplicativos para enviar o atributo e o valor definidos em seu direito. Quando os usuários se federam no catálogo de WorkSpaces aplicativos de aplicativos, os direitos do aplicativo exibirão somente os aplicativos aos quais o usuário tem direito.
Catálogo de aplicações em várias pilhas com SAML 2.0
Com direitos de aplicação baseados em atributos usando um provedor de identidades SAML 2.0 de terceiros, você pode habilitar o acesso a várias pilhas por um único URL em estado de retransmissão. Remova os parâmetros da pilha e da aplicação (se presentes) do URL do estado de retransmissão, da seguinte forma:
https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens
Quando os usuários se federam no catálogo de WorkSpaces aplicativos, eles recebem todas as pilhas nas quais os direitos do aplicativo corresponderam a um ou mais aplicativos ao usuário para o ID da conta e o endpoint do estado de retransmissão associados à região em que suas pilhas estão localizadas. Quando um usuário seleciona um catálogo, os direitos de aplicação exibirão somente as aplicações às quais o usuário tem direito. Para obter mais informações, consulte Etapa 6: configurar o estado de retransmissão da federação.
nota
Para usar os catálogos de aplicações em várias pilhas com SAML 2.0, é necessário configurar a política em linha para o perfil do IAM de federação SAML 2.0. Para obter mais informações, consulte Etapa 3: Incorporar uma política em linha para o perfil do IAM.
