Autenticación basada en cookies en Amazon 2.0 AppStream - Amazon AppStream 2.0

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autenticación basada en cookies en Amazon 2.0 AppStream

AppStream La versión 2.0 utiliza cookies del navegador para autenticar las sesiones de streaming y permitir a los usuarios volver a conectarse a una sesión activa sin tener que volver a introducir sus credenciales de inicio de sesión cada vez. Los tokens de autenticación se almacenan en las cookies del navegador para cada escenario de autenticación. Si bien las cookies son necesarias para muchos servicios en línea, pueden ser vulnerables a los ataques de robo de cookies. Le recomendamos encarecidamente que tome medidas proactivas para evitar el robo de cookies, como la implementación de soluciones sólidas de protección de terminales para los dispositivos de sus usuarios. Además, para mitigar el posible impacto en caso de robo de cookies, le recomendamos que considere las siguientes medidas:

  • Imponga un límite de sesión única: para las imágenes de Windows AppStream 2.0, cree una clave de registro HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management con el nombre max-concurrent-clientsestablecido en 1 para permitir solo una conexión a la vez. Esto limita el número de sesiones simultáneas a una y bloquea la duplicación de las sesiones activas. Para obtener más información, consulte Parámetros de administración de sesiones.

  • Exija la caducidad de la sesión y la reautenticación

    • Reduzca el SessionDuration valor para que el token de autenticación caduque una vez que el usuario inicie correctamente la sesión de streaming. La reutilización de las cookies de autenticación una vez sessionDuration caducadas requiere que los usuarios se vuelvan a autenticar. SessionDuration especifica el tiempo máximo que una sesión de streaming federada para un usuario puede permanecer activa antes de que sea necesario volver a autenticarse. El valor predeterminado es 60 minutos. Para obtener más información, consulte Paso 5: Crear aserciones para la respuesta de SAML autenticación.

    • Para maximizar la seguridad, los usuarios deben finalizar las sesiones correctamente con la barra de herramientas (finalizar la sesión), en lugar de cerrar la ventana de transmisión. Al finalizar la sesión a través de la barra de herramientas, se cierra tanto la sesión del usuario como la instancia de transmisión. Esto requiere volver a autenticarse para futuros accesos, lo que evita el uso indebido de las cookies. Si un usuario cierra la ventana de streaming sin finalizar la sesión, la sesión y la instancia permanecen activas durante un tiempo de espera de desconexión configurable (en minutos). El tiempo de espera de desconexión debe ser un número comprendido entre 1 y 5760, con un valor predeterminado de 15 minutos. Para evitar el uso indebido de las sesiones inactivas, se recomienda establecer un tiempo de espera de desconexión breve. Para obtener más información, consulte Crea una flota en Amazon AppStream 2.0.

  • Limite el acceso a las aplicaciones de Stream AppStream 2.0 a sus rangos de IP: le recomendamos que implemente políticas basadas en IPIAM. Esto garantiza que solo se pueda acceder a las sesiones AppStream 2.0 desde clientes cuya dirección IP pertenezca a un rango de IP autorizado. Se denegarán todos los intentos de conexión iniciados por un usuario cuya dirección IP del cliente esté fuera de un rango autorizado, incluso si presenta una cookie de autenticación que, por lo demás, es válida (podría ser robada a un usuario). Para obtener más información, consulte Limitar el acceso para transmitir aplicaciones de Amazon AppStream 2.0 a sus rangos de IP.

  • Agregue autenticación adicional: para lanzar instancias de streaming unidas a un dominio, puede unir sus flotas y creadores de imágenes de Windows AppStream 2.0 Always-On y On-Demand a los dominios de Microsoft Active Directory y usar sus dominios de Active Directory existentes, ya sean basados en la nube o de forma local. Tras la autenticación inicial SAML basada en datos, se solicitará a los usuarios que proporcionen sus credenciales de dominio para poder realizar una autenticación adicional en el dominio de la organización. Para obtener más información, consulte Uso de Active Directory con AppStream 2.0.

Si tiene alguna duda o necesita ayuda, póngase en contacto con AWS Support Center.