As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Autenticação
Com WorkSpaces os aplicativos, a autenticação pode ocorrer fora dos WorkSpaces aplicativos da Amazon ou como parte do serviço de WorkSpaces aplicativos. Selecionar como a autenticação ocorrerá para a implantação de seus WorkSpaces aplicativos é uma consideração fundamental do seu design. Não é incomum que uma organização tenha várias implantações de WorkSpaces aplicativos para diferentes casos de uso. Cada caso de uso pode ter um método de autenticação diferente.
Há três tipos de métodos de autenticação para WorkSpaces aplicativos:
-
Programático
Como determinar o método otimizado
O Amazon WorkSpaces Applications foi projetado para ser flexível para ser aplicado à maioria dos requisitos de design organizacional. Ao determinar o método otimizado para autenticação, é uma prática recomendada considerar os objetivos e propósitos das pessoas que consomem o serviço, bem como as políticas e os procedimentos organizacionais.
Veja alguns exemplos da combinação de casos de uso com objetivos organizacionais.
Tabela 4: casos de uso com objetivos organizacionais
| Exemplo | Descrição | Autenticação |
|---|---|---|
| São necessárias instâncias de frota unidas ao domínio | Os aplicativos instalados na imagem WorkSpaces Applications só podem ser acessados por recursos associados ao domínio. | SAML 2.0 |
| Forte integração com os serviços da Microsoft | Dependência organizacional no desenvolvimento de políticas de grupo e infraestrutura de back-end da Microsoft | SAML 2.0 |
| Empresa única existente Sign-on (SSO) | Todos os novos serviços devem usar uma solução corporativa de SSO que tenha vários processos de geração de relatórios e segurança estabelecidos. | SAML 2.0 |
| Suporte de cartão inteligente para aplicativos | Cartões inteligentes (como verificação de identidade privada e cartões de acesso comuns) para autenticação na sessão em aplicativos transmitidos por meio de um leitor de cartão inteligente. | SAML 2.0 |
| Força de trabalho sazonal com equipe temporária | Alguns meses por ano, os trabalhadores temporários recebem um pequeno conjunto de aplicativos que não incluem recursos internos para concluir as atividades. | Grupo de usuários |
| Suporte limitado da TI | Organizações de menor porte com menos de 50 usuários e equipe de TI limitada, que buscam eliminar a sobrecarga de manutenção de um provedor de identidades (IdP) | Grupo de usuários |
| Provedor de software independente (ISV) | Solução proprietária criada por sua organização que inclui autorização e autenticação do usuário, estendendo os WorkSpaces aplicativos como parte de sua solução. * | Programático |
| Demonstração de tecnologia | Ambiente completamente efêmero que apresenta uma tecnologia proprietária como parte de uma visita guiada da solução, sem a necessidade de armazenar informações do usuário. | Programático |
| Experiência interativa no site |
Torne o site interativo com aplicativos de streaming do Windows.** |
Programático |
*Consulte Fornecedores de software: fornecimento de aplicativos para qualquer dispositivo de usuário
**Consulte Sessões de streaming de WorkSpaces aplicativos incorporados para obter mais informações.
Se sua organização tiver um caso de uso ou política que não esteja listado nos exemplos fornecidos anteriormente, é uma prática recomendada prever o estado final desejado do consumo do fluxo de trabalho de WorkSpaces aplicativos para garantir que a solução de autenticação não entre em conflito com ele.
Configuração do provedor de identidade
SAML 2.0
O Security Assertion Markup Language (SAML) 2.0 é uma opção comum de implantação para permitir que os usuários usem
Como a maioria IdPs gera um metadata.xml exclusivo com atributos SAML específicos para cada aplicativo SAML, cada pilha de WorkSpaces aplicativos exige uma função que tenha uma relação confiável com o IdP do SAML e uma política que tenha uma única permissão para o AppStream:stream com condições que correspondam aos requisitos do IdP do SAML e do ARN da pilha de aplicativos. WorkSpaces
O guia de administração de WorkSpaces aplicativos fornece um exemplo de configuração para o design de uma única pilha de WorkSpaces aplicativos. Para implantações de várias pilhas, consulte as etapas opcionais para usar o catálogo de aplicativos de várias pilhas do SAML 2.0.
Grupo de usuários
A guia Grupo de usuários em WorkSpaces Aplicativos é uma opção válida para pequenas provas de conceito. Como prática recomendada, é melhor evitar grupos de usuários para qualquer caso de uso e organização que use WorkSpaces aplicativos para fornecer aplicativos de produção.
Um detalhe importante sobre grupos de usuários é que os endereços de e-mail dos usuários diferenciam maiúsculas de minúsculas; portanto, é uma prática recomendada garantir que os usuários sejam instruídos sobre como inserir corretamente as credenciais do usuário.
URL de streaming
Para implantações que chamam recursos de WorkSpaces aplicativos de um serviço centralizado (normalmente ISVs), a autenticação programática depende de um aplicativo para o qual fazer chamadas programáticas para transmitir informações dinamicamente e criar uma sessão de aplicativos AWS para seus usuários. WorkSpaces Use o método de autenticação da API (comumente chamado de “programático”) ao criar URLs de streaming usando a operação de CreateStreamingURL. O usuário que faz a chamada CreateStreamingURL deve usar um usuário ou uma função válida com permissão para appstream:CreateStreamingURL.
Ao criar a política para acesso programático, é uma prática recomendada proteger o acesso especificando o ARN exato da pilha de WorkSpaces aplicativos na seção Recursos em vez do padrão '*'. Por exemplo:
exemplo
nota
WorkSpaces As instâncias de aplicativos devem começar como instâncias genéricas. Por meio das informações passadas do aplicativo, a instância WorkSpaces Applications estabelece o ambiente usando o contexto da sessão para tornar as coisas dinâmicas para o usuário.
Embora os GPOs locais possam ser usados para especificar configurações no logon do usuário, o contexto da sessão é uma prática recomendada ao usar e transmitir atributos-chaveCreateStreamingURL, como ID do cliente ou configurações de conexão do banco de dados, para serem usados na sessão de WorkSpaces aplicativos.
Direito à inscrição
WorkSpaces Os aplicativos podem criar dinamicamente o catálogo de aplicativos que é apresentado aos usuários. Os direitos do aplicativo são baseados nos atributos do SAML 2.0 ou no uso do WorkSpaces Applications Dynamic Application Framework.
Attribute-based direitos de aplicativos usando SAML 2.0 são recomendados na maioria dos cenários. Para gerenciar a entrega de pacotes de aplicativos, é recomendado usar o Dynamic Application Framework.