Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Attributbasierte Anwendungsberechtigungen unter Verwendung eines 2.0-Identitätsanbieters eines Drittanbieters SAML
Anwendungsberechtigungen steuern den Zugriff auf bestimmte Anwendungen innerhalb Ihrer 2.0-Stacks. AppStream Dies funktioniert mithilfe von SAML 2.0-Attributzusicherungen eines 2.0-Identitätsanbieters eines DrittanbietersSAML. Die Assertion wird einem Wert zugeordnet, wenn eine Benutzeridentität mit einer AppStream 2.0 2.0-Anwendung verbunden wird. SAML Wenn die Berechtigung wahr ist und der Attributname und der Wert übereinstimmen, ist der Zugriff der Benutzeridentität auf eine oder mehrere Anwendungen innerhalb des Stacks zulässig.
Attributbasierte Anwendungsberechtigungen, die einen SAML 2.0-Identitätsanbieter eines Drittanbieters verwenden, gelten in den folgenden Szenarien nicht. Das heißt, die Berechtigung wird in den folgenden Fällen ignoriert:
-
AppStream 2.0-Benutzerpool-Authentifizierung. Weitere Informationen finden Sie unter Amazon AppStream 2.0-Benutzerpools.
-
AppStream 2.0 URL Streaming-Authentifizierung. Weitere Informationen finden Sie unter Streamen URL.
-
Die Desktop-Anwendung, wenn AppStream 2.0-Flotten für die Desktop-Stream-Ansicht konfiguriert sind. Weitere Informationen finden Sie unter Erstellen Sie eine Amazon AppStream 2.0-Flotte und einen Amazon 2.0-Stack.
-
Stacks, die das Dynamic Application Framework verwenden. Dynamic Application Framework bietet separate Funktionen für Anwendungsberechtigungen. Weitere Informationen finden Sie unter Anwendungsberechtigungen von einem Anbieter dynamischer Apps unter Verwendung des Dynamic Application Framework.
-
Wenn Benutzer einen Verbund mit dem AppStream 2.0-Anwendungskatalog herstellen, werden in den Anwendungsberechtigungen nur die Anwendungen angezeigt, für die der Benutzer berechtigt ist. Die Ausführung von Anwendungen innerhalb der AppStream 2.0-Sitzung ist nicht eingeschränkt. So kann ein Benutzer beispielsweise in einer Flotte, die für die Desktop-Stream-Ansicht konfiguriert ist, eine Anwendung direkt vom Desktop aus starten.
Erstellen von Anwendungsberechtigungen
Bevor Sie Anwendungsberechtigungen erstellen, müssen Sie die folgenden Schritte ausführen:
-
Erstellen Sie eine AppStream 2.0-Flotte und stapeln Sie sie mit einem Image, das eine oder mehrere Anwendungen (Always-On- oder On-Demand-Flotte) oder zugewiesene Anwendungen (Elastic Fleet) enthält, die Ihren Anforderungen entsprechen. Weitere Informationen finden Sie unter Erstellen Sie eine Amazon AppStream 2.0-Flotte und einen Amazon 2.0-Stack.
-
Bieten Sie Benutzern mithilfe eines SAML 2.0-Identitätsanbieters eines Drittanbieters Zugriff auf den Stack. Weitere Informationen finden Sie unter Amazon AppStream 2.0-Integration mit SAML 2.0. Wenn Sie einen vorhandenen SAML 2.0-Identitätsanbieter verwenden, den Sie zuvor eingerichtet haben, finden Schritt 2: Erstellen Sie eine SAML IAM 2.0-Verbundrolle Sie die Schritte zum Hinzufügen der STS: TagSession -Berechtigung zu Ihrer IAM Rollenvertrauensrichtlinie. Weitere Informationen finden Sie unter Übergeben von Sitzungs-Tags in AWS STS. Diese Berechtigung ist für die Verwendung von Anwendungsberechtigungen erforderlich.
So erstellen Sie eine Anwendungsberechtigung
-
Klicken Sie im linken Navigationsbereich auf Stacks und wählen Sie den Stack aus, für den Sie die Anwendungsberechtigungen verwalten möchten.
-
Wählen Sie im Dialogfeld Anwendungsberechtigungen die Option Erstellen aus.
-
Geben Sie einen Namen und eine Beschreibung für Ihre Berechtigung ein.
-
Definieren Sie den Namen und den Wert des Attributs Ihrer Berechtigung.
Geben Sie beim Zuordnen von Attributen das Attribut im Format https://aws.amazon.com/SAML/ Attributes/PrincipalTag: {TagKey} an, wobei {TagKey} eines der folgenden Attribute ist:
-
Rollen
-
Abteilung
-
Organisation
-
Gruppen
-
Titel
-
costCenter
-
userType
Die von Ihnen definierten Attribute werden verwendet, um einem Benutzer Berechtigungen für Anwendungen in Ihrem Stack zuzuweisen, wenn sie sich zu einer 2.0-Sitzung zusammenschließen. AppStream Die Berechtigung funktioniert, indem der Attributname einem Schlüsselwertnamen in der SAML Assertion zugeordnet wird, die während des Verbunds erstellt wurde. Weitere Informationen finden Sie unter SAML PrincipalTag Attribut.
Anmerkung
Ein oder mehrere Werte können in jedem unterstützten Attribut enthalten sein, getrennt durch einen Doppelpunkt (:).
Gruppeninformationen können beispielsweise in einem SAML Attributnamen https://aws.amazon.com/SAML/ attributes/:groups PrincipalTag mit dem Wert „group1:group2:group3“ übergeben werden, und Ihre Berechtigung kann Anwendungen zulassen, die auf einem einzelnen Gruppenwert basieren, d. h. „group1“. Weitere Informationen SAML PrincipalTag finden Sie unter Attribut.
-
-
Konfigurieren Sie die Anwendungseinstellungen in Ihrem Stack, um alle Anwendungen zu berechtigen, oder wählen Sie Anwendungen aus. Wenn Sie Alle Anwendungen (*) auswählen, werden alle auf dem Stack verfügbaren Anwendungen angewendet, einschließlich der Anwendungen, die in Zukunft hinzugefügt werden. Wenn Sie Anwendungen auswählen auswählen, wird nach bestimmten Anwendungsnamen gefiltert.
-
Überprüfen Sie Ihre Einstellungen und erstellen Sie Ihre Berechtigung. Sie können den Vorgang wiederholen und zusätzliche Berechtigungen erstellen. Die Berechtigung für Anwendungen in einem Stapel ist eine Vereinigung aller Berechtigungen, die dem Benutzer auf Grundlage der Attributnamen und -werte entsprechen.
-
Konfigurieren Sie in Ihrem SAML 2.0-Identitätsanbieter die Attributzuordnungen Ihrer AppStream SAML 2.0-Anwendung so, dass das in Ihrer Berechtigung definierte Attribut und der Wert gesendet werden. Wenn Benutzer sich mit dem AppStream 2.0-Anwendungskatalog verbinden, zeigen Anwendungsberechtigungen nur die Anwendungen an, für die der Benutzer berechtigt ist.
SAML2.0 Multi-Stack-Anwendungskatalog
Mit attributbasierten Anwendungsberechtigungen, die einen SAML 2.0-Identitätsanbieter eines Drittanbieters verwenden, können Sie den Zugriff auf mehrere Stacks von einem einzigen Relay-Status aus ermöglichen. URL Entfernen Sie die Stack- und App-Parameter (falls vorhanden) wie folgt aus dem Relay-Status: URL
https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens
Wenn Benutzer einen Verbund mit dem Anwendungskatalog AppStream 2.0 herstellen, werden ihnen alle Stacks angezeigt, in denen Anwendungsberechtigungen eine oder mehrere Anwendungen dem Benutzer für die Konto-ID und den Relay-State-Endpunkt zugeordnet haben, die mit der Region verknüpft sind, in der sich Ihre Stacks befinden. Wenn ein Benutzer einen Katalog auswählt, werden in den Anwendungsberechtigungen nur die Anwendungen angezeigt, für die der Benutzer berechtigt ist. Weitere Informationen finden Sie unter Schritt 6: Konfigurieren des RelayState für den Verbund.
Anmerkung
Um SAML 2.0-Multi-Stack-Anwendungskataloge zu verwenden, müssen Sie die Inline-Richtlinie für Ihre 2.0-Verbundrolle konfigurieren. SAML IAM Weitere Informationen finden Sie unter Schritt 3: Betten Sie eine Inline-Richtlinie für die IAM Rolle ein.
