Einrichtung SAML - Amazon AppStream 2.0
VoraussetzungenSchritt 1: Erstellen Sie einen SAML Identitätsanbieter in AWS IAMSchritt 2: Erstellen Sie eine SAML IAM 2.0-VerbundrolleSchritt 3: Betten Sie eine Inline-Richtlinie für die IAM Rolle einSchritt 4: Konfigurieren Sie Ihren SAML basierten IdPSchritt 5: Assertionen für die SAML Authentifizierungsantwort erstellenSchritt 6: Konfigurieren des RelayState für den Verbund

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichtung SAML

Um es Benutzern zu ermöglichen, sich mit ihren vorhandenen Anmeldeinformationen bei AppStream 2.0 anzumelden und Streaming-Anwendungen zu starten, können Sie einen Identitätsverbund mit SAML 2.0 einrichten. Verwenden Sie dazu eine IAM Rolle und einen Relay-Status, URL um Ihren SAML 2.0-konformen Identitätsanbieter (IdP) zu konfigurieren und AWS zu aktivieren, damit Ihre Verbundbenutzer auf einen AppStream 2.0-Stack zugreifen können. Die IAM Rolle gewährt Benutzern die Berechtigungen für den Zugriff auf den Stack. Der RelayState ist das Stack-Portal, an das Benutzer nach einer erfolgreichen Authentifizierung durch AWS weitergeleitet werden.

Voraussetzungen

Erfüllen Sie die folgenden Voraussetzungen, bevor Sie Ihre SAML 2.0-Verbindung konfigurieren.

  1. Konfigurieren Sie Ihren SAML basierten IdP, mit AWS dem Sie eine Vertrauensbeziehung aufbauen möchten.

    • Konfigurieren Sie Ihren Identitätsspeicher im Netzwerk Ihrer Organisation so, dass er mit einem SAML basierten IdP funktioniert. Weitere Informationen über die Konfiguration von Ressourcen finden Sie unter AppStream 2.0 Integration mit SAML 2.0.

    • Verwenden Sie Ihren SAML IdP, um ein Verbund-Metadatendokument zu generieren und herunterzuladen, das Ihre Organisation als IdP beschreibt. Dieses signierte XML Dokument wird verwendet, um das Vertrauen der vertrauenden Partei herzustellen. Speichern Sie diese Datei an einem Speicherort, auf den Sie später von der IAM Konsole aus zugreifen können.

  2. Verwenden Sie die AppStream 2.0-Managementkonsole, um einen AppStream 2.0-Stack zu erstellen. Sie benötigen den Stacknamen, um die IAM Richtlinie zu erstellen und Ihre IdP-Integration mit AppStream 2.0 zu konfigurieren, wie weiter unten in diesem Thema beschrieben.

    Sie können einen AppStream 2.0-Stack mithilfe der AppStream 2.0-Managementkonsole oder AppStream 2.0 API erstellen. AWS CLI Weitere Informationen finden Sie unter Erstellen Sie eine Amazon AppStream 2.0-Flotte und einen Amazon 2.0-Stack.

Schritt 1: Erstellen Sie einen SAML Identitätsanbieter in AWS IAM

Erstellen Sie zunächst einen SAML IdP in AWS IAM. Dieser IdP definiert die Beziehung zwischen IdP und AWS Trust Ihrer Organisation anhand des Metadatendokuments, das von der IdP-Software in Ihrer Organisation generiert wurde. Weitere Informationen finden Sie unter Erstellen und Verwalten eines SAML Identitätsanbieters (Amazon Web Services Management Console) im IAMBenutzerhandbuch. Informationen zur Arbeit mit SAML IdPs in den AWS GovCloud (US) Regionen finden Sie unter AWS Identity and Access Management im AWS GovCloud (US) Benutzerhandbuch.

Schritt 2: Erstellen Sie eine SAML IAM 2.0-Verbundrolle

Erstellen Sie als Nächstes eine SAML IAM 2.0-Verbundrolle. Dieser Schritt stellt eine Vertrauensbeziehung zwischen IAM und dem IdP Ihrer Organisation her, wodurch Ihr IdP als vertrauenswürdige Entität für den Verbund identifiziert wird.

Um eine IAM Rolle für den SAML IdP zu erstellen

  1. Öffnen Sie die IAM Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Roles (Rollen) und Create Role (Rolle erstellen) aus.

  3. Wählen Sie als Rollentyp die Option SAML2.0 Federation aus.

  4. Wählen Sie für SAMLProvider den SAML IdP aus, den Sie erstellt haben.

    Wichtig

    Wählen Sie keine der beiden SAML 2.0-Zugriffsmethoden (Nur programmgesteuerten Zugriff zulassen oder Programmatischen Zugriff und Zugriff auf Amazon Web Services Management Console zulassen).

  5. Wählen Sie für Attribut die Option:aud. SAML

  6. Geben Sie für Wert https://signin.aws.amazon.com/saml ein. Dieser Wert schränkt den Rollenzugriff auf SAML Benutzer-Streaming-Anfragen ein, die eine SAML Betreff-Assertion mit dem Wert persistent enthalten. Wenn der:sub_type persistent SAML ist, sendet Ihr IdP bei allen Anfragen eines bestimmten Benutzers denselben eindeutigen Wert für das NameID-Element. SAML Weitere Informationen zur SAML Assertion:sub_type finden Sie im Abschnitt Eindeutige Identifizierung von Benutzern in -Based Federation unter Using -Based Federation for Access to. SAML SAML API AWS

  7. Überprüfen Sie Ihre SAML 2.0-Vertrauensinformationen, bestätigen Sie die richtige vertrauenswürdige Entität und Bedingung, und wählen Sie dann Weiter: Berechtigungen.

  8. Wählen Sie auf der Seite Attach permissions policies (Berechtigungsrichtlinien hinzufügen) Next: Tags (Weiter: Tags) aus.

  9. (Optional) Geben Sie einen Schlüssel und einen Wert für jedes Tag ein, das Sie hinzufügen möchten. Weitere Informationen finden Sie unter Kennzeichnen von IAM Benutzern und Rollen.

  10. Klicken Sie abschließend auf Weiter: Überprüfen. Sie erstellen später eine Inline-Richtlinie für diese Rolle und betten diese ein.

  11. Geben Sie unter Rollenname einen Rollennamen ein, der Ihnen hilft, den Zweck dieser Rolle zu identifizieren. Da verschiedene Entitäten möglicherweise auf die Rolle verweisen, können Sie den Namen der Rolle nach der Erstellung nicht mehr bearbeiten.

  12. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung für die neue Rolle ein.

  13. Prüfen Sie die Rollendetails und wählen Sie Create Role (Rolle erstellen).

  14. (Optional) Wenn Sie Sitzungskontext- oder attributbasierte Anwendungsberechtigungen mit einem externen SAML 2.0-Identitätsanbieter oder zertifikatsbasierter Authentifizierung verwenden möchten, müssen Sie die STS: TagSession -Berechtigung zur Vertrauensrichtlinie Ihrer neuen Rolle hinzufügen. IAM Weitere Informationen finden Sie unter Attributbasierte Anwendungsberechtigungen unter Verwendung eines 2.0-Identitätsanbieters eines Drittanbieters SAML und Übergeben von Sitzungs-Tags in AWS STS.

    Wählen Sie in den Details Ihrer neuen IAM Rolle die Registerkarte Vertrauensbeziehungen und dann Vertrauensstellung bearbeiten aus. Der Richtlinieneditor zum Bearbeiten der Vertrauensstellung wird gestartet. Fügen Sie die sts: TagSession -Berechtigung wie folgt hinzu:

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/IDENTITY-PROVIDER"
      },
      "Action": [
        "sts:AssumeRoleWithSAML",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "SAML:sub_type": "persistent"
        }
      }
    }
  ]
}

    Ersetzen IDENTITY-PROVIDERmit dem Namen des SAML IdP, den Sie in Schritt 1 erstellt haben. Wählen Sie Vertrauensrichtlinie aktualisieren aus.

Schritt 3: Betten Sie eine Inline-Richtlinie für die IAM Rolle ein

Als Nächstes betten Sie eine IAM Inline-Richtlinie für die Rolle ein, die Sie erstellt haben. Bei der Einbettung einer eingebundenen Richtlinie können die Berechtigungen der Richtlinie nicht versehentlich an die falsche Prinzipal-Entität angefügt werden. Die Inline-Richtlinie bietet Verbundbenutzern Zugriff auf den AppStream 2.0-Stack, den Sie erstellt haben.

  1. Wählen Sie in den Details für die IAM Rolle, die Sie erstellt haben, die Registerkarte Berechtigungen und dann Inline-Richtlinie hinzufügen aus. Der Assistent zum Erstellen von Richtlinien wird gestartet.

  2. Wählen Sie unter Richtlinie erstellen die JSONRegisterkarte aus.

  3. Kopieren Sie die folgende JSON Richtlinie und fügen Sie sie in das JSON Fenster ein. Ändern Sie dann die Ressource, indem Sie Ihren AWS-Region Code, Ihre Konto-ID und Ihren Stack-Namen eingeben. In der folgenden Richtlinie erhalten Ihre AppStream 2.0-Benutzer die Berechtigung, "Action": "appstream:Stream" eine Verbindung zu Streaming-Sitzungen auf dem von Ihnen erstellten Stack herzustellen. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "appstream:Stream",
      "Resource": "arn:aws:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME",
      "Condition": {
          "StringEquals": {
              "appstream:userId": "${saml:sub}"           
          }
        }
    }
  ]
}

    Ersetzen REGION-CODE mit der AWS Region, in der Ihr AppStream 2.0-Stack existiert. Ersetzen STACK-NAME mit dem Namen des Stacks. STACK-NAME unterscheidet Groß- und Kleinschreibung und muss exakt der Groß- und Kleinschreibung des Stacks-Namens entsprechen, der im Stacks-Dashboard der AppStream 2.0-Managementkonsole angezeigt wird.

    Verwenden Sie für Ressourcen in den AWS GovCloud (US) Regionen das folgende Format für: ARN

    arn:aws-us-gov:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME

  4. (Optional) Wenn Sie planen, attributebasierte Anwendungsberechtigungen mithilfe eines SAML 2.0-Identitätsanbieters eines Drittanbieters mit SAML2.0-Multi-Stack-Anwendungskatalogen zu verwenden, muss die Inline-Richtlinie „Ressource in Ihrer IAM Rolle“ so lauten, dass Anwendungsberechtigungen den "Resource": "arn:aws:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/*" Streaming-Zugriff auf Stacks steuern können. Sie können der Richtlinie eine explizite Zugriffsverweigerung hinzufügen, um zusätzlichen Schutz für eine Stack-Ressource durchzusetzen. Weitere Informationen finden Sie unter Attributbasierte Anwendungsberechtigungen unter Verwendung eines 2.0-Identitätsanbieters eines Drittanbieters SAML und Auswertungslogik für Richtlinien.

  5. Klicken Sie abschließend auf Review policy (Richtlinie überprüfen). Die Richtlinienvalidierung meldet mögliche Syntaxfehler.

Schritt 4: Konfigurieren Sie Ihren SAML basierten IdP

Als Nächstes müssen Sie, abhängig von SAML Ihrem IdP, Ihren IdP möglicherweise manuell aktualisieren, damit er AWS als Dienstanbieter vertrauenswürdig ist, indem Sie die saml-metadata.xml Datei unter https://signin.aws.amazon.com/static/saml-metadata.xml auf Ihren IdP hochladen. Dieser Schritt aktualisiert die Metadaten Ihres IdP. Für einige ist IdPs das Update möglicherweise bereits konfiguriert. In diesem Fall fahren Sie mit dem nächsten Schritt fort.

Wenn diese Aktualisierung in Ihrem IdP noch nicht konfiguriert ist, lesen Sie in der Dokumentation Ihres IdP nach, wie die Metadaten zu aktualisieren sind. Einige Anbieter bieten Ihnen die Möglichkeit, die einzugebenURL, und der IdP ruft die Datei für Sie ab und installiert sie. Bei anderen müssen Sie die Datei von herunterladen URL und sie dann als lokale Datei bereitstellen.

Schritt 5: Assertionen für die SAML Authentifizierungsantwort erstellen

Als Nächstes müssen Sie möglicherweise die Informationen, an die Ihr IdP sendet, AWS als SAML Attribute in seiner Authentifizierungsantwort konfigurieren. Je nach Ihrem IdP sind diese Informationen möglicherweise bereits vorkonfiguriert. Wenn dies der Fall ist, überspringen Sie diesen Schritt und fahren Sie mit Schritt 6 fort.

Wenn diese Informationen in Ihrem Identitätsanbieter noch nicht konfiguriert sind, führen Sie die folgenden Schritte aus:

  • SAMLSubject NameID — Die eindeutige Kennung für den Benutzer, der sich anmeldet.

    Anmerkung

    Bei Stacks mit in eine Domäne eingebundenen Flotten muss der NameID-Wert für den Benutzer im Format "" unter Verwendung des sAMAccount Namens oder "domain\username" mit angegeben werden. username@domain.com userPrincipalName Wenn Sie das sAMAccount Namensformat verwenden, können Sie das entweder domain mithilfe des BIOS Netznamens oder des vollqualifizierten Domänennamens () angeben. FQDN Das sAMAccount Namensformat ist für unidirektionale Active Directory-Vertrauensszenarien erforderlich. Weitere Informationen finden Sie unter Verwenden von Active Directory mit AppStream 2.0.

  • SAMLBetrefftyp (mit einem Wert aufpersistent) — Wenn Sie den Wert auf festlegen, persistent wird sichergestellt, dass Ihr IdP in allen SAML Anfragen eines bestimmten Benutzers denselben eindeutigen Wert für das NameID Element sendet. Stellen Sie sicher, dass Ihre IAM Richtlinie eine Bedingung enthält, dass nur SAML Anfragen zugelassen werden, für die der Wert SAML sub_type auf gesetzt istpersistent, wie unter beschrieben. Schritt 2: Erstellen Sie eine SAML IAM 2.0-Verbundrolle

  • AttributeElement mit dem auf https://aws.amazon.com/SAML/ Attribute/Rolle gesetzten Name Attribut — Dieses Element enthält ein oder mehrere AttributeValue Elemente, die die IAM Rolle und den SAML IdP auflisten, denen der Benutzer von Ihrem IdP zugeordnet wurde. Die Rolle und der IdP werden als kommagetrenntes Paar von angegeben. ARNs

  • AttributeElement, dessen Name Attribut auf https://aws.amazon.com/SAML/ Attributes/ gesetzt ist RoleSessionName — Dieses Element enthält ein AttributeValue Element, das einen Bezeichner für die temporären Anmeldeinformationen bereitstellt, für die AWS ausgestellt wurden. SSO Der Wert des AttributeValue-Elements muss zwischen 2 und 64 Zeichen lang sein und darf nur alphanumerische Zeichen, Unterstriche und die folgenden Zeichen enthalten: + (Pluszeichen), = (Gleichheitszeichen), , (Komma), . (Punkt), @ (At-Symbol) und - (Bindestrich). Er darf keine Leerzeichen enthalten. Der Wert ist in der Regel eine Benutzer-ID (bobsmith) oder eine E-Mail-Adresse (bobsmith@beispiel.com). Er sollte kein , der ein enthält, z. B. der Anzeigename eines Benutzers (Bob Smith).

  • AttributeElement, bei dem das Name Attribut auf https://aws.amazon.com/SAML/ Attributes/PrincipalTag: gesetzt ist SessionContext (optional) — Dieses Element enthält ein AttributeValue Element, das Parameter bereitstellt, mit denen Sitzungskontextparameter an Ihre Streaming-Anwendungen übergeben werden können. Weitere Informationen finden Sie unter Sitzungskontext in Amazon AppStream 2.0.

  • AttributeElement, bei dem das Name Attribut auf https://aws.amazon.com/SAML/ Attributes/PrincipalTag: gesetzt ist ObjectSid (optional) — Dieses Element enthält ein AttributeValue Element, das die Active Directory-Sicherheitskennung (SID) für den Benutzer bereitstellt, der sich anmeldet. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung verwendet, um eine sichere Zuordnung zu Active-Directory-Benutzern zu ermöglichen.

  • AttributeElement, bei dem das Name Attribut auf https://aws.amazon.com/SAML/ Attributes/:Domain gesetzt ist PrincipalTag (optional) — Dieses Element enthält ein ElementAttributeValue, das den DNS vollqualifizierten Active Directory-Domänennamen () FQDN für den Benutzer bereitstellt, der sich anmeldet. Dieser Parameter wird bei der zertifikatsbasierten Authentifizierung verwendet, wenn der Active Directory userPrincipalName für den Benutzer ein alternatives Suffix enthält. Der Wert muss im Format domain.com angegeben werden, einschließlich aller Subdomains.

  • AttributeElement, bei dem das SessionDuration Attribut auf https://aws.amazon.com/SAML/ Attributes/ gesetzt ist SessionDuration (optional) — Dieses Element enthält ein AttributeValue Element, das angibt, wie lange eine föderierte Streaming-Sitzung für einen Benutzer maximal aktiv bleiben kann, bevor eine erneute Authentifizierung erforderlich ist. Der Standardwert liegt bei 60 Minuten (3600 Sekunden). Weitere Informationen finden Sie im SessionDuration Abschnitt Ein optionales Attributelement, bei dem das Attribut https://aws.amazon.com/SAML/ auf SessionDuration Attributes/ gesetzt ist, unter Assertionen für die Authentifizierungsantwort konfigurieren SAML.

    Anmerkung

    Obwohl SessionDuration es sich um ein optionales Attribut handelt, empfehlen wir, es in die Antwort aufzunehmen. SAML Wenn Sie dieses Attribut nicht angeben, wird für die Sitzungsdauer ein Standardwert von 60 Minuten festgelegt.

    Wenn Ihre Benutzer auf ihre Streaming-Anwendungen in AppStream 2.0 zugreifen, indem sie den nativen AppStream 2.0-Client oder den Webbrowser in der neuen Umgebung verwenden, werden ihre Sitzungen nach Ablauf der Sitzungsdauer getrennt. Wenn Ihre Benutzer auf der alten/klassischen Oberfläche mit einem Webbrowser auf ihre Streaming-Anwendungen in AppStream 2.0 zugreifen, werden ihre Sitzungen getrennt, nachdem die Sitzungsdauer der Benutzer abgelaufen ist und sie ihre Browserseite aktualisiert haben.

Weitere Informationen zur Konfiguration dieser Elemente finden Sie im Benutzerhandbuch unter Configuring SAML Assertions for the Authentication Response. IAM Weitere Informationen zu spezifischen Konfigurationsanforderungen für Ihren IdP finden Sie in der Dokumentation zu Ihrem IdP.

Schritt 6: Konfigurieren des RelayState für den Verbund

Verwenden Sie abschließend Ihren IdP, um den Relay-Status Ihres Verbunds so zu konfigurieren, dass er auf den AppStream 2.0-Stack-Relay-Status URL verweist. Nach erfolgreicher Authentifizierung von AWS wird der Benutzer zum AppStream 2.0-Stack-Portal weitergeleitet, das in der SAML Authentifizierungsantwort als Relay-Status definiert ist.

Das Format des Relay-Status URL lautet wie folgt:

https://relay-state-region-endpoint?stack=stackname&accountId=aws-account-id-without-hyphens

Konstruieren Sie Ihren Relay-Status URL aus Ihrer Amazon Web Services Services-Konto-ID, dem Stacknamen und dem Relay-State-Endpunkt, der der Region zugeordnet ist, in der sich Ihr Stack befindet.

Optional können Sie den Namen der Anwendung angeben, die Sie automatisch starten möchten. Um den Namen der Anwendung zu finden, wählen Sie das Bild in der AppStream 2.0-Konsole aus, wählen Sie die Registerkarte Anwendungen und notieren Sie sich den Namen, der in der Spalte Anwendungsname angezeigt wird. Wenn Sie das Abbild noch nicht erstellt haben, stellen Sie eine Verbindung mit dem Image Builder her, in dem Sie die Anwendung installiert haben, und öffnen Sie den Image Assistant. Die Namen der Anwendungen werden auf der Registerkarte Add Apps (Apps hinzufügen) angezeigt.

Wenn Ihre Flotte für die Desktop-Stream-Ansicht aktiviert ist, können Sie auch direkt auf dem Betriebssystem-Desktop starten. Geben Sie dazu Desktop am Ende des Relay-Status URL und danach an&app=.

Bei einem vom Identity Provider (IdP) initiierten Ablauf im Standardbrowser des Systems werden Benutzer, nachdem sie sich beim IdP angemeldet und die AppStream 2.0-Anwendung aus dem IdP-Benutzerportal ausgewählt haben, zu einer AppStream 2.0-Anmeldeseite im Standardbrowser des Systems mit den folgenden Optionen umgeleitet:

  • Fahren Sie mit Browser fort

  • Öffnen Sie den AppStream 2.0-Client

Auf der Seite können Benutzer wählen, ob sie die Sitzung entweder im Browser oder mit der AppStream 2.0-Clientanwendung starten möchten. Optional können Sie auch angeben, welcher Client für einen SAML 2.0-Federation verwendet werden soll. Geben Sie dazu entweder native oder web am Ende des Relay-StatusURL, danach, an&client=. Wenn der Parameter in einem Relay-Status vorhanden istURL, werden die entsprechenden Sitzungen auf dem angegebenen Client automatisch gestartet, ohne dass Benutzer eine Wahl treffen müssen.

Anmerkung

Diese Funktion ist nur verfügbar, wenn Sie die neuen Endpunkte der Relay-State-Region (in Tabelle 1 unten) verwenden, um den Relay-Status zu erstellenURL, und wenn Sie die AppStream 2.0-Client-Version 1.1.1300 und höher verwenden. Außerdem sollten Benutzer immer ihren Standardbrowser des Systems verwenden, um sich beim IdP anzumelden. Die Funktion funktioniert nicht, wenn sie einen nicht standardmäßigen Browser verwenden.

Mit attributbasierten Anwendungsberechtigungen, die einen SAML 2.0-Identitätsanbieter eines Drittanbieters verwenden, können Sie den Zugriff auf mehrere Stacks von einem einzigen Relay-Status aus ermöglichen. URL Entfernen Sie die Stack- und App-Parameter (falls vorhanden) wie folgt aus dem Relay-Status: URL

https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens

Wenn Benutzer einen Verbund mit dem Anwendungskatalog AppStream 2.0 herstellen, werden ihnen alle Stacks angezeigt, in denen Anwendungsberechtigungen eine oder mehrere Anwendungen dem Benutzer anhand der Konto-ID und des Relay-State-Endpunkts zugeordnet haben, die mit der Region verknüpft sind, in der sich Ihre Stacks befinden. Wenn ein Benutzer einen Katalog auswählt, werden in den Anwendungsberechtigungen nur die Anwendungen angezeigt, für die der Benutzer berechtigt ist.

Anmerkung

Benutzer können nicht von mehreren Stacks gleichzeitig streamen.

Weitere Informationen finden Sie unter Attributbasierte Anwendungsberechtigungen unter Verwendung eines 2.0-Identitätsanbieters eines Drittanbieters SAML.

In der folgenden Tabelle 1 sind die Relay-State-Endpunkte für die Regionen aufgeführt, in denen AppStream 2.0 verfügbar ist. Die Relay-State-Endpunkte in Tabelle 1 sind mit der Windows-Client-Anwendung Version 1.1.1300 AppStream 2.0 Webbrowser-Zugriff (Version 2) und höher kompatibel. Wenn Sie ältere Versionen des Windows-Clients verwenden, sollten Sie die in Tabelle 2 aufgeführten alten Relay-State-Endpunkte verwenden, um Ihren SAML 2.0-Verbund zu konfigurieren. Wenn Sie möchten, dass Ihre Benutzer über eine FIPS -konforme Verbindung streamen, müssen Sie einen FIPS -kompatiblen Endpunkt verwenden. Weitere Informationen zu FIPS Endpunkten finden Sie unter. Schutz von Daten während der Übertragung mit Endpunkten FIPS

Tabelle 1: Endpunkte der Relay-State-Region AppStream 2.0 (empfohlen)
Region RelayState-Endpunkt
USA Ost (Nord-Virginia)

https://appstream2.euc-sso.us-east-1.aws.amazon.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-east-1.aws.amazon.com/saml
USA Ost (Ohio) https://appstream2.euc-sso.us-east-2.aws.amazon.com/saml
USA West (Oregon)

https://appstream2.euc-sso.us-west-2.aws.amazon.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-west-2.aws.amazon.com/saml
Asia Pacific (Mumbai) https://appstream2.euc-sso.ap-south-1.aws.amazon.com/saml
Asia Pacific (Seoul) https://appstream2.euc-sso.ap-northeast-2.aws.amazon.com/saml
Asien-Pazifik (Singapur) https://appstream2.euc-sso.ap-southeast-1.aws.amazon.com/saml
Asien-Pazifik (Sydney) https://appstream2.euc-sso.ap-southeast-2.aws.amazon.com/saml
Asien-Pazifik (Tokio) https://appstream2.euc-sso.ap-northeast-1.aws.amazon.com/saml

Canada (Central)

 https://appstream2.euc-sso.ca-central-1.aws.amazon.com/saml
Europe (Frankfurt) https://appstream2.euc-sso.eu-central-1.aws.amazon.com/saml
Europa (Irland) https://appstream2.euc-sso.eu-west-1.aws.amazon.com/saml
Europe (London) https://appstream2.euc-sso.eu-west-2.aws.amazon.com/saml
AWS GovCloud (USA Ost)

https://appstream2.euc-sso.us-gov-east-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com/saml

Anmerkung

Weitere Informationen zur Verwendung von AppStream 2.0 in AWS GovCloud (US) Regionen finden Sie unter Amazon AppStream 2.0 im AWS GovCloud (US) Benutzerhandbuch.
AWS GovCloud (USA West)

https://appstream2.euc-sso.us-gov-west-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com/saml

Anmerkung

Weitere Informationen zur Verwendung von AppStream 2.0 in AWS GovCloud (US) Regionen finden Sie unter Amazon AppStream 2.0 im AWS GovCloud (US) Benutzerhandbuch.
Südamerika (São Paulo) https://appstream2.euc-sso.sa-east-1.aws.amazon.com/saml

In der folgenden Tabelle 2 sind die alten Relay-State-Endpunkte aufgeführt, die noch verfügbar sind. Es wird jedoch empfohlen, die in Tabelle 1 aufgeführten neuen Relay-State-Endpunkte zu verwenden, um Ihre SAML 2.0-Verbände zu konfigurieren. Insbesondere mit den neuen Relay-State-Endpunkten können Sie es Ihren Benutzern ermöglichen, die AppStream 2.0-Clientanwendung (Version 1.1.1300 und höher) von IDP-initiierten Streaming-Sitzungen aus zu starten. Die neuen Relay-State-Endpunkte in Tabelle 1 ermöglichen es Benutzern außerdem, sich auf verschiedenen Registerkarten desselben Webbrowsers bei anderen AWS Anwendungen anzumelden, ohne die laufende 2.0-Streamingsitzung zu beeinträchtigen. AppStream Die alten Relay-State-Endpunkte in Tabelle 2 unterstützen dies nicht. Weitere Informationen finden Sie unter Die Benutzer meines AppStream 2.0-Clients werden alle 60 Minuten von ihrer AppStream 2.0-Sitzung getrennt.

Tabelle 2: Endpunkte der Relay-State-Region der alten AppStream Version 2.0 (nicht empfohlen)
Region RelayState-Endpunkt
USA Ost (Nord-Virginia)

https://appstream2.us-east-1.aws.amazon.com/saml

(FIPS) https://appstream2-fips.us-east-1.aws.amazon.com/saml
USA Ost (Ohio) https://appstream2.us-east-2.aws.amazon.com/saml
USA West (Oregon)

https://appstream2.us-west-2.aws.amazon.com/saml

(FIPS) https://appstream2-fips.us-west-2.aws.amazon.com/saml
Asia Pacific (Mumbai) https://appstream2.ap-south-1.aws.amazon.com/saml
Asia Pacific (Seoul) https://appstream2.ap-northeast-2.aws.amazon.com/saml
Asien-Pazifik (Singapur) https://appstream2.ap-southeast-1.aws.amazon.com/saml
Asien-Pazifik (Sydney) https://appstream2.ap-southeast-2.aws.amazon.com/saml
Asien-Pazifik (Tokio) https://appstream2.ap-northeast-1.aws.amazon.com/saml

Canada (Central)

 https://appstream2.ca-central-1.aws.amazon.com/saml
Europe (Frankfurt) https://appstream2.eu-central-1.aws.amazon.com/saml
Europa (Irland) https://appstream2.eu-west-1.aws.amazon.com/saml
Europe (London) https://appstream2.eu-west-2.aws.amazon.com/saml
AWS GovCloud (USA Ost)

https://appstream2.us-gov-east-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2-fips.us-gov-east-1.amazonaws-us-gov.com/saml

Anmerkung

Weitere Informationen zur Verwendung von AppStream 2.0 in AWS GovCloud (US) Regionen finden Sie unter Amazon AppStream 2.0 im AWS GovCloud (US) Benutzerhandbuch.
AWS GovCloud (USA West)

https://appstream2.us-gov-west-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2-fips.us-gov-west-1.amazonaws-us-gov.com/saml

Anmerkung

Weitere Informationen zur Verwendung von AppStream 2.0 in AWS GovCloud (US) Regionen finden Sie unter Amazon AppStream 2.0 im AWS GovCloud (US) Benutzerhandbuch.
Südamerika (São Paulo) https://appstream2.sa-east-1.aws.amazon.com/saml

In der folgenden Tabelle 3 sind alle verfügbaren Parameter aufgeführt, die Sie verwenden können, um einen Relay-Status zu erstellenURL.

Tabelle 3: URL Parameter für den Relaisstatus
Parameter Erforderlich Format Unterstützt von
accountId Erforderlich 12-stellige ID AWS-Konto Neue und alte Endpunkte in Tabelle 1 und 2
Stack Optional Stack name Neue und alte Endpunkte in Tabelle 1 und 2
App Optional App-Name oder „Desktop“ Neue und alte Endpunkte in Tabelle 1 und 2
Client Optional „nativ“ oder „Web“ Nur neue Endpunkte in Tabelle 1