

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Autenticação
<a name="authentication"></a>

 Com WorkSpaces os aplicativos, a autenticação pode ocorrer fora dos WorkSpaces aplicativos da Amazon ou como parte do serviço de WorkSpaces aplicativos. Selecionar como a autenticação ocorrerá para a implantação de seus WorkSpaces aplicativos é uma consideração fundamental do seu design. Não é incomum que uma organização tenha várias implantações de WorkSpaces aplicativos para diferentes casos de uso. Cada caso de uso pode ter um método de autenticação diferente. 

 Há três tipos de métodos de autenticação para WorkSpaces aplicativos: 
+  [https://en.wikipedia.org/wiki/SAML_2.0](https://en.wikipedia.org/wiki/SAML_2.0) 
+  [https://docs.aws.amazon.com/cognito/latest/developerguide/authentication.html](https://docs.aws.amazon.com/cognito/latest/developerguide/authentication.html) 
+  Programático 

## Como determinar o método otimizado
<a name="determining-optimized-method"></a>

 O Amazon WorkSpaces Applications foi projetado para ser flexível para ser aplicado à maioria dos requisitos de design organizacional. Ao determinar o método otimizado para autenticação, é uma prática recomendada considerar os objetivos e propósitos das pessoas que consomem o serviço, bem como as políticas e os procedimentos organizacionais. 

 Veja alguns exemplos da combinação de casos de uso com objetivos organizacionais. 

 *Tabela 4: casos de uso com objetivos organizacionais* 


|  **Exemplo**  |  **Descrição**  |  **Autenticação**  | 
| --- | --- | --- | 
|  São necessárias instâncias de frota unidas ao domínio  |  Os aplicativos instalados na imagem WorkSpaces Applications só podem ser acessados por recursos associados ao domínio.  |  SAML 2.0  | 
|  Forte integração com os serviços da Microsoft  |  Dependência organizacional no desenvolvimento de políticas de grupo e infraestrutura de back-end da Microsoft  |  SAML 2.0  | 
|  Empresa única existente Sign-on (SSO)  |  Todos os novos serviços devem usar uma solução corporativa de SSO que tenha vários processos de geração de relatórios e segurança estabelecidos.  |  SAML 2.0  | 
|  Suporte de cartão inteligente para aplicativos  |  Cartões inteligentes (como verificação de identidade privada e cartões de acesso comuns) para autenticação na sessão em aplicativos transmitidos por meio de um leitor de cartão inteligente.  |  SAML 2.0  | 
|  Força de trabalho sazonal com equipe temporária  |  Alguns meses por ano, os trabalhadores temporários recebem um pequeno conjunto de aplicativos que não incluem recursos internos para concluir as atividades.  |  Grupo de usuários  | 
|  Suporte limitado da TI  |  Organizações de menor porte com menos de 50 usuários e equipe de TI limitada, que buscam eliminar a sobrecarga de manutenção de um provedor de identidades (IdP)  |  Grupo de usuários  | 
|  Provedor de software independente (ISV)  |  Solução proprietária criada por sua organização que inclui autorização e autenticação do usuário, estendendo os WorkSpaces aplicativos como parte de sua solução. \*  |  Programático  | 
|  Demonstração de tecnologia  |  Ambiente completamente efêmero que apresenta uma tecnologia proprietária como parte de uma visita guiada da solução, sem a necessidade de armazenar informações do usuário.  |  Programático  | 
|  Experiência interativa no site  |  Torne o site interativo com aplicativos de streaming do Windows.\*\*  |  Programático  | 

 \*Consulte [https://aws.amazon.com/appstream2/getting-started/isv-workshops/](https://aws.amazon.com/appstream2/getting-started/isv-workshops/) e obtenha mais informações. 

 \*\*Consulte [https://docs.aws.amazon.com/appstream2/latest/developerguide/embed-streaming-sessions.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/embed-streaming-sessions.html) para obter mais informações. 

 Se sua organização tiver um caso de uso ou política que não esteja listado nos exemplos fornecidos anteriormente, é uma prática recomendada prever o estado final desejado do consumo do fluxo de trabalho de WorkSpaces aplicativos para garantir que a solução de autenticação não entre em conflito com ele. 

## Configuração do provedor de identidade
<a name="configuring-your-identity-provider"></a>

### SAML 2.0
<a name="saml-2.0"></a>

 O Security Assertion Markup Language (SAML) 2.0 é uma opção comum de implantação para [https://aws.amazon.com/identity/saml/](https://aws.amazon.com/identity/saml/) recursos. AWS Vários [https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-further-info.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-further-info.html) oferecem suporte aos WorkSpaces aplicativos. [Independentemente de seus recursos de WorkSpaces aplicativos serem associados a um domínio ou não, o SAML 2.0 IdP exige que você use o IAM.](https://aws.amazon.com/iam/) 

Como a maioria IdPs gera um metadata.xml exclusivo com atributos SAML específicos para cada aplicativo SAML, cada pilha de WorkSpaces aplicativos exige uma função que tenha uma relação confiável com o IdP do SAML e uma política que tenha uma única permissão para o AppStream:stream com condições que correspondam aos requisitos do IdP do SAML e do ARN da pilha de aplicativos. WorkSpaces 

O guia de administração de WorkSpaces aplicativos fornece um exemplo de configuração para o design de uma única pilha de WorkSpaces aplicativos. Para implantações de várias pilhas, consulte as etapas opcionais para usar o [catálogo de aplicativos de várias pilhas do SAML 2.0](https://docs.aws.amazon.com/appstream2/latest/developerguide/application-entitlements-saml.html#saml-application-catalog).

### Grupo de usuários
<a name="user-pool"></a>

 A guia **Grupo de usuários** em WorkSpaces Aplicativos é uma opção válida para pequenas provas de conceito. Como prática recomendada, é melhor evitar grupos de usuários para qualquer caso de uso e organização que use WorkSpaces aplicativos para fornecer aplicativos de produção. 

 Um detalhe importante sobre grupos de usuários é que os endereços de e-mail dos usuários diferenciam maiúsculas de minúsculas; portanto, é uma prática recomendada garantir que os usuários sejam instruídos sobre como inserir corretamente as credenciais do usuário. 

### URL de streaming
<a name="streaming-url"></a>

 Para implantações que chamam recursos de WorkSpaces aplicativos de um serviço centralizado (normalmente ISVs), a autenticação programática depende de um aplicativo para o qual fazer chamadas programáticas para transmitir informações dinamicamente e criar uma sessão de aplicativos AWS para seus usuários. WorkSpaces Use o método de autenticação da API (comumente chamado de “programático”) ao criar URLs de streaming usando a operação de [https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html). O usuário que faz a chamada `CreateStreamingURL` deve usar um usuário ou uma função válida com permissão para `appstream:CreateStreamingURL`. 

 Ao criar a política para acesso programático, é uma prática recomendada proteger o acesso especificando o ARN exato da pilha de WorkSpaces aplicativos na seção Recursos em vez **do** padrão '\*'. Por exemplo:

**Example**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "appstream:createStreamingURL"
            ],
            "Resource": "arn:aws:appstream:us-east-1:031421429609:stack/BestPracticesStack"
        }
    ]
}
```

**nota**  
[Você pode recuperar rapidamente os ARNs de suas pilhas de WorkSpaces aplicativos usando a API de descrição das pilhas ou a [AWS](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_DescribeStacks.html) CLI.](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/appstream/describe-stacks.html)

 WorkSpaces As instâncias de aplicativos devem começar como instâncias genéricas. Por meio das informações passadas do aplicativo, a instância WorkSpaces Applications estabelece o ambiente usando o [https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-stacks-fleets.html#managing-stacks-fleets-parameters](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-stacks-fleets.html#managing-stacks-fleets-parameters) para tornar as coisas dinâmicas para o usuário. 

 Embora os GPOs locais possam ser usados para especificar configurações no logon do usuário, o contexto da sessão é uma prática recomendada ao usar e transmitir atributos-chave`CreateStreamingURL`, como ID do cliente ou configurações de conexão do banco de dados, para serem usados na sessão de WorkSpaces aplicativos. 

### Direito à inscrição
<a name="application-entitlement"></a>

WorkSpaces Os aplicativos podem criar dinamicamente o catálogo de aplicativos que é apresentado aos usuários. Os direitos do aplicativo são baseados nos atributos do SAML 2.0 ou no uso do WorkSpaces Applications Dynamic Application Framework.

Attribute-based direitos de aplicativos usando SAML 2.0 são recomendados na maioria dos cenários. Para gerenciar a entrega de pacotes de aplicativos, é recomendado usar o Dynamic Application Framework.