Authentification basée sur les cookies dans Amazon 2.0 AppStream - Amazon AppStream 2.0

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification basée sur les cookies dans Amazon 2.0 AppStream

AppStream 2.0 utilise des cookies de navigateur pour authentifier les sessions de streaming et permettre aux utilisateurs de se reconnecter à une session active sans avoir à saisir à nouveau leurs informations de connexion à chaque fois. Les jetons d'authentification sont stockés dans les cookies du navigateur pour chaque scénario d'authentification. Bien que les cookies soient nécessaires pour de nombreux services en ligne, ils peuvent potentiellement être vulnérables aux attaques de vol de cookies. Nous vous recommandons vivement de prendre des mesures proactives pour empêcher le vol de cookies, telles que la mise en œuvre de solutions robustes de protection des terminaux pour les appareils de vos utilisateurs. En outre, afin d'atténuer l'impact potentiel en cas de vol de cookies, nous vous conseillons de prendre les mesures suivantes :

  • Appliquez une limite de session unique : pour vos images Windows AppStream 2.0, créez une clé de registre sous HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management avec le nom max-concurrent-clientsdéfini sur 1 pour n'autoriser qu'une seule connexion à la fois. Cela limite le nombre de sessions simultanées à une et bloque la mise en miroir des sessions actives. Pour plus d'informations, consultez la section Paramètres de gestion de session.

  • Appliquer l'expiration des sessions et la réauthentification

    • Réduisez la SessionDuration valeur afin que le jeton d'authentification expire une fois que l'utilisateur a démarré avec succès la session de streaming. La réutilisation des cookies d'authentification après leur sessionDuration expiration oblige les utilisateurs à s'authentifier à nouveau. SessionDuration indique la durée maximale pendant laquelle une session de streaming fédérée d'un utilisateur peut rester active avant qu'une nouvelle authentification ne soit requise. La valeur par défaut est de 60 minutes. Pour de plus amples informations, veuillez consulter Étape 5 : créer des assertions pour la réponse SAML d'authentification.

    • Pour optimiser la sécurité, les utilisateurs doivent terminer les sessions correctement à l'aide de la barre d'outils (terminer la session), au lieu de fermer la fenêtre de diffusion. La fin de la session via la barre d'outils met fin à la fois à la session utilisateur et à l'instance de streaming. Cela nécessite une nouvelle authentification pour tout accès futur, afin d'empêcher l'utilisation abusive des cookies. Si un utilisateur ferme la fenêtre de streaming sans mettre fin à la session, la session et l'instance restent actives pendant un délai de déconnexion configurable (en minutes). Le délai de déconnexion doit être compris entre 1 et 5760, avec une valeur par défaut de 15 minutes. Pour éviter toute utilisation abusive des sessions inactives, nous vous recommandons de définir un court délai de déconnexion. Pour de plus amples informations, veuillez consulter Création d'une flotte dans Amazon AppStream 2.0.

  • Limitez l'accès aux applications de streaming AppStream 2.0 à vos plages d'adresses IP : nous vous recommandons de mettre en œuvre des IAM politiques basées sur les adresses IP. Cela garantit que les sessions AppStream 2.0 ne sont accessibles qu'à partir de clients dont l'adresse IP appartient à une plage d'adresses IP autorisée. Toutes les tentatives de connexion initiées par un utilisateur dont l'adresse IP du client se situe en dehors d'une plage autorisée seront refusées, même s'il présente un cookie d'authentification par ailleurs valide (potentiellement volé à un utilisateur). Pour plus d'informations, consultez Limiter l'accès pour diffuser des applications Amazon AppStream 2.0 sur vos plages d'adresses IP.

  • Ajoutez une authentification supplémentaire : pour lancer des instances de streaming jointes à un domaine, vous pouvez associer vos flottes Windows AppStream 2.0 Always-On et On-Demand et vos générateurs d'images à des domaines de Microsoft Active Directory, et utiliser vos domaines Active Directory existants, qu'ils soient basés sur le cloud ou sur site. Après l'authentification initialeSAML, vos utilisateurs seront invités à fournir leurs informations d'identification de domaine pour une authentification supplémentaire auprès du domaine de l'organisation. Pour de plus amples informations, veuillez consulter Utilisation d'Active Directory avec AppStream 2.0.

Si vous avez des inquiétudes ou si vous avez besoin d'aide, contactez le AWS Support centre.