Autenticação baseada em cookies nos aplicativos da Amazon WorkSpaces - WorkSpaces Aplicativos da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autenticação baseada em cookies nos aplicativos da Amazon WorkSpaces

WorkSpaces Os aplicativos usam cookies do navegador para autenticar sessões de streaming e permitir que os usuários se reconectem a uma sessão ativa sem precisar inserir novamente suas credenciais de login todas as vezes. Os tokens de autenticação são armazenados nos cookies do navegador para cada cenário de autenticação. Embora os cookies sejam necessários para muitos serviços on-line, eles podem ser vulneráveis a ataques de roubo de cookies. É altamente recomendável que você tome medidas proativas para evitar o roubo de cookies, como implementar soluções robustas de proteção de endpoints para os dispositivos dos usuários. Além disso, para mitigar o impacto potencial no caso de roubo de cookies, recomendamos que você considere as seguintes ações:

  • Imponha o limite de sessão única: para as imagens do Windows de seus WorkSpaces aplicativos, crie uma chave de registro abaixo HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management com o nome max-concurrent-clientsdefinido como 1 para permitir apenas uma conexão por vez. Isso limita o número de sessões simultâneas a uma e bloqueia o espelhamento de sessões ativas. Para obter mais informações, consulte session-management Parameters.

  • Impor a expiração e a reautenticação da sessão

    • Reduza o SessionDuration valor para que o token de autenticação expire depois que o usuário iniciar com êxito a sessão de streaming. A reutilização de cookies de autenticação após a expiração da SessionDuration exige que os usuários se autentiquem novamente. SessionDuration especifica o tempo máximo em que uma sessão de streaming federada para um usuário pode permanecer ativa antes que a reautenticação seja necessária. O valor padrão são 60 minutos. Para obter mais informações, consulte Etapa 5: criar declarações para a resposta de autenticação de SAML.

    • Para ajudar a maximizar a segurança, os usuários devem encerrar as sessões adequadamente com a barra de ferramentas (encerrar sessão), em vez de fechar a janela de streaming. Encerrar a sessão por meio da barra de ferramentas encerra tanto a sessão do usuário quanto a instância de streaming. Isso requer nova autenticação para acesso futuro, evitando o uso indevido de cookies. Se um usuário fechar a janela de streaming sem encerrar a sessão, a sessão e a instância permanecerão ativas por um tempo limite de desconexão configurável (em minutos). O tempo limite de desconexão deve ser um número entre 1 e 5.760, com um valor padrão de 15 minutos. Para evitar o uso indevido de sessões inativas, recomendamos definir um tempo limite de desconexão curto. Para obter mais informações, consulte Crie uma frota nos WorkSpaces aplicativos da Amazon.

  • Limite o acesso aos WorkSpaces aplicativos de streaming aos seus intervalos de IP: recomendamos que você implemente políticas de IAM baseadas em IP. Isso garante que as sessões de WorkSpaces aplicativos só possam ser acessadas por clientes cujo endereço IP pertença a um intervalo de IP autorizado. Todas as tentativas de conexão iniciadas por um usuário cujo endereço IP do cliente esteja fora de um intervalo autorizado serão negadas, mesmo que ele esteja apresentando um cookie de autenticação válido (possivelmente roubado de um usuário). Para obter mais informações, consulte Limitar o acesso para transmitir aplicativos Amazon AppStream 2.0 aos seus intervalos de IP.

  • Adicione autenticação adicional: para iniciar instâncias de streaming associadas ao domínio, você pode unir suas frotas e criadores de imagens do WorkSpaces Applications Always-On e On-Demand Windows aos domínios no Microsoft Active Directory e usar seus domínios existentes do Active Directory, baseados na nuvem ou no local. Após a autenticação inicial baseada em SAML, os usuários serão solicitados a fornecer suas credenciais de domínio para autenticação adicional no domínio da organização. Para obter mais informações, consulte Usando o Active Directory com WorkSpaces aplicativos.

Se você tiver alguma dúvida ou precisar de ajuda, entre em contato com a Central do AWS Support.