Configuration de SAML - Amazon AppStream 2.0
PrérequisÉtape 1 : créer un fournisseur d'identité SAML dans IAM AWSÉtape 2 : créer un rôle IAM Fédération SAML 2.0Étape 3 : incorporer une stratégie en ligne pour le rôle IAMÉtape 4 : configurer votre fournisseur d’identité basé sur SAMLEtape 5 : Créer des assertions pour la réponse de l'authentification SAMLEtape 6 : Configurer le RelayState de votre fédération

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de SAML

Pour permettre aux utilisateurs de se connecter à la AppStream version 2.0 à l'aide de leurs informations d'identification existantes et de démarrer des applications en streaming, vous pouvez configurer la fédération d'identité à l'aide de SAML 2.0. Pour ce faire, utilisez un rôle IAM et une URL d'état de relais pour configurer votre fournisseur d'identité (IdP) compatible SAML 2.0 et permettre AWS à vos utilisateurs fédérés d'accéder à une pile 2.0. AppStream Le rôle IAM donne aux utilisateurs les autorisations d’accéder à la pile. RelayState correspond au portail de la pile vers lequel les utilisateurs sont transférés après avoir réussi l’authentification par AWS.

Prérequis

Avant de configurer votre connexion SAML 2.0, remplissez les prérequis suivants :

  1. Configurez votre fournisseur d’identité basé sur SAML pour établir une relation d’approbation avec AWS.

    • À l'intérieur du réseau de votre organisation, configurez votre base d'identités de telle sorte qu'elle fonctionne avec un fournisseur d'identité SAML. Pour les ressources de configuration, consultez AppStream Intégration 2.0 avec SAML 2.0.

    • Utilisez votre fournisseur d'identité basé sur SAML pour générer et télécharger un document de métadonnées de fédération qui décrit votre organisation en tant que fournisseur d'identité. Ce document XML signé est utilisé pour établir la relation d'approbation des parties utilisatrices. Enregistrez le fichier dans un emplacement auquel vous pouvez accéder ultérieurement depuis la console IAM.

  2. Utilisez la console de gestion AppStream 2.0 pour créer une pile AppStream 2.0. Vous avez besoin du nom de la pile pour créer la politique IAM et configurer votre intégration IdP AppStream avec 2.0, comme décrit plus loin dans cette rubrique.

    Vous pouvez créer une pile AppStream 2.0 à l'aide de la console de gestion AppStream 2.0 ou de l'API AppStream 2.0. AWS CLI Pour de plus amples informations, veuillez consulter Créez une flotte et une pile Amazon AppStream 2.0.

Étape 1 : créer un fournisseur d'identité SAML dans IAM AWS

Créez d'abord un IdP SAML dans IAM. AWS Cet IdP définit la relation IdP àAWS confiance de votre organisation à l'aide du document de métadonnées généré par le logiciel IdP de votre organisation. Pour plus d’informations, consultez Création et gestion d’un fournisseur d’identité SAML (Console de gestion Amazon Web Services) dans le Guide de l’utilisateur IAM. Pour plus d'informations sur l'utilisation de SAML IdPs dans les AWS GovCloud (US) régions, consultez AWS Identity and Access Management dans le guide de l'AWS GovCloud (US) utilisateur.

Étape 2 : créer un rôle IAM Fédération SAML 2.0

Ensuite, créez un rôle IAM de fédération SAML 2.0. Cette étape établit une relation d’approbation entre IAM et l’IdP de votre organisation, ce qui identifie votre IdP comme entité de confiance pour la fédération.

Pour créer un rôle IAM pour le fournisseur d’identité SAML

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Rôles, puis Créer un rôle.

  3. Pour Type de rôle, choisissez Fédération SAML 2.0.

  4. Pour Fournisseur SAML, sélectionnez le fournisseur d'identité SAML que vous avez créé.

    Important

    Ne choisissez aucune des deux méthodes d’accès SAML 2.0, ni Autoriser l’accès par programmation uniquement, ni Autoriser l’accès par programme et via Amazon Web Services Management Console.

  5. Pour Attribut, choisissez SAML:sub_type.

  6. Pour le champ Valeur, entrez https://signin.aws.amazon.com/saml. Cette valeur restreint l’accès du rôle aux demandes de streaming de l’utilisateur SAML qui incluent une assertion de type d’objet SAML avec la valeur « persistent ». Si la valeur de SAML:sub_type est « persistent », votre fournisseur d'identité envoie la même valeur unique pour l'élément NameID dans toutes les demandes SAML à partir d'un utilisateur particulier. Pour plus d'informations sur l'assertion SAML:sub_TYPE, consultez la section Identification unique des utilisateurs dans une fédération basée sur SAML dans Utilisation de la fédération basée sur SAML pour l'accès aux API. AWS

    Note

    Même si le https://signin.aws.amazon.com/saml point de terminaison est hautement disponible, il n'est hébergé que dans la région us-east-1 de. AWS Pour éviter les interruptions de service dans le cas peu probable où la disponibilité de l'un des terminaux régionaux serait affectée, utilisez des points de terminaison régionaux et configurez des points de terminaison de connexion SAML supplémentaires pour le basculement. Pour plus d'informations, consultez Comment utiliser les points de terminaison SAML régionaux pour le basculement.

  7. Passez en revue vos informations d’approbation SAML 2.0 pour confirmer l’entité de confiance et la condition, puis choisissez Suivant : Autorisations.

  8. Dans la page Attacher des stratégies d’autorisations, choisissez Suivant : balises.

  9. (Facultatif) Saisissez une clé et une valeur pour chaque balise que vous souhaitez ajouter. Pour de plus amples informations, consultez Balisage d’utilisateurs et de rôles IAM.

  10. Lorsque vous avez terminé, sélectionnez Suivant : vérification. Vous pouvez ultérieurement créer et intégrer une stratégie en ligne pour ce rôle.

  11. Pour Nom du rôle, saisissez un nom vous permettant d’identifier le but de ce rôle. Différentes entités pouvant référencer ce rôle, il n’est pas possible de modifier son nom après sa création.

  12. (Facultatif) Dans le champ Description du rôle, saisissez la description du nouveau rôle.

  13. Passez en revue les détails du rôle, puis choisissez Créer un rôle.

  14. (Facultatif) Si vous prévoyez d'utiliser le contexte de session ou les droits d'application basés sur les attributs à l'aide d'un fournisseur d'identité SAML 2.0 tiers ou d'une authentification basée sur des certificats, vous devez ajouter l'TagSession autorisation sts : à la politique de confiance de votre nouveau rôle IAM. Pour plus d’informations, consultez Droits d’application basés sur les attributs faisant appel à un fournisseur d’identité SAML 2.0 tiers et Transmission des balises de session dans AWS STS.

    Sur la page des détails du nouveau rôle IAM, choisissez l’onglet Relations d’approbation, puis choisissez Modifier la relation d’approbation. L’éditeur de stratégie Modifier la relation d’approbation démarre. Ajoutez l'TagSessionautorisation sts :, comme suit :

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/IDENTITY-PROVIDER"
      },
      "Action": [
        "sts:AssumeRoleWithSAML",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "SAML:sub_type": "persistent"
        }
      }
    }
  ]
}

    Remplacez IDENTITY-PROVIDER par le nom de l'IdP SAML que vous avez créé à l'étape 1. Choisissez Mettre à jour la stratégie de confiance.

Étape 3 : incorporer une stratégie en ligne pour le rôle IAM

Incorporez ensuite une politique IAM en ligne pour le rôle que vous avez créé. Lorsque vous incorporez une politique en ligne, ses autorisations ne peuvent pas être associées par inadvertance à la mauvaise entité principale. La politique intégrée permet aux utilisateurs fédérés d'accéder à la pile AppStream 2.0 que vous avez créée.

  1. Dans les détails du rôle IAM que vous avez créé, choisissez l’onglet Autorisations, puis Ajouter une stratégie en ligne. L'assistant Créer une stratégie démarre.

  2. Dans Créer une stratégie, choisissez l’onglet JSON.

  3. Copiez et collez le code JSON suivant dans la fenêtre de l'éditeur de politique. Modifiez ensuite la ressource en saisissant votre Région AWS code, votre identifiant de compte et le nom de la pile. Dans la politique suivante, "Action": "appstream:Stream" figure l'action qui fournit à vos utilisateurs AppStream 2.0 les autorisations nécessaires pour se connecter à des sessions de streaming sur la pile que vous avez créée. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "appstream:Stream",
      "Resource": "arn:aws:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME",
      "Condition": {
          "StringEquals": {
              "appstream:userId": "${saml:sub}"           
          }
        }
    }
  ]
}

    REGION-CODERemplacez-le par la AWS région dans laquelle se trouve votre stack AppStream 2.0. Remplacez STACK-NAME par le nom de la pile. STACK-NAMEfait la distinction majuscules/minuscules et doit correspondre exactement aux majuscules et aux lettres du nom de la pile indiqué dans le tableau de bord Stacks de la console de gestion AppStream 2.0.

    Pour les ressources des AWS GovCloud (US) régions, utilisez le format suivant pour l'ARN :

    arn:aws-us-gov:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME

  4. (Facultatif) Si vous envisagez d’utiliser des droits d’application basés sur des attributs à l’aide d’un fournisseur d’identité SAML 2.0 tiers avec les catalogues d’applications multi-piles SAML 2.0, la ressource de votre stratégie en ligne de rôle IAM doit être "Resource": "arn:aws:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/*" pour permettre aux droits d’application de contrôler l’accès du streaming aux piles. Pour renforcer la protection additionnelle d’une ressource de pile, vous pouvez ajouter un refus explicite dans la stratégie. Pour plus d’informations, consultez Droits d’application basés sur les attributs faisant appel à un fournisseur d’identité SAML 2.0 tiers et Logique d’évaluation de la stratégie.

  5. Lorsque vous avez terminé, choisissez Examiner une stratégie. Le programme de validation de stratégie signale les éventuelles erreurs de syntaxe.

Étape 4 : configurer votre fournisseur d’identité basé sur SAML

Ensuite, en fonction de votre IdP basé sur SAML, vous devrez peut-être mettre à jour manuellement votre IdP pour faire confiance en AWS tant que fournisseur de services en téléchargeant le fichier saml-metadata.xml saml-metadata.xml sur votre IdP. https://signin.aws.amazon.com/static/ Cette étape met à jour les métadonnées de votre fournisseur d'identité. Pour certains IdPs, la mise à jour est peut-être déjà configurée. Dans ce cas, passez à l'étape suivante.

Si la mise à jour n’est pas déjà configurée dans votre fournisseur d’identité, consultez les informations fournies dans la documentation de votre fournisseur d’identité sur la manière de mettre à jour les métadonnées. Certains fournisseurs vous offrent la possibilité d’entrer l’URL, ce qui permet au fournisseur d’identité d’obtenir et d’installer le fichier à votre place. D'autres fournisseurs exigent que vous téléchargiez le fichier à partir de l'URL afin de le fournir en tant que fichier local.

Etape 5 : Créer des assertions pour la réponse de l'authentification SAML

Ensuite, vous devrez peut-être configurer les informations que votre IdP envoie AWS sous forme d'attributs SAML dans sa réponse d'authentification. Selon votre fournisseur d’identité, ces informations sont peut-être déjà préconfigurées. Dans ce cas, ignorez cette étape et passez à l’étape 6,

Si cette information n'est pas déjà configurée dans votre fournisseur d'identité, fournissez les éléments suivants :

  • SAML Subject NameID : identifiant unique de l’utilisateur connecté.

    Note

    Pour les piles comportant des flottes jointes à un domaine, la valeur NameID de l'utilisateur doit être fournie au format « » en utilisant le nom s ou domain\username AMAccount « » en utilisant. username@domain.com userPrincipalName Si vous utilisez le format de AMAccount nom s, vous pouvez le spécifier en domain utilisant le nom NetBIOS ou le nom de domaine complet (FQDN). Le format s AMAccount Name est requis pour les scénarios de confiance unidirectionnelle Active Directory. Pour de plus amples informations, veuillez consulter Utilisation d'Active Directory avec AppStream 2.0.

  • SAML Subject Type (avec la valeur persistent définie) : la définition de la valeur persistent permet de vous assurer que votre fournisseur d’identité envoie la même valeur unique pour l’élément NameID dans toutes les demandes SAML émises par un utilisateur particulier. Assurez-vous que votre politique IAM inclut une condition pour autoriser uniquement les requêtes SAML avec un sous-type SAML défini sur persistent, comme décrit dans Étape 2 : créer un rôle IAM Fédération SAML 2.0.

  • Attributeélément dont l'Nameattribut est défini sur https://aws.amazon.com/SAML/ Attributs/Rôle : cet élément contient un ou plusieurs AttributeValue éléments qui répertorient le rôle IAM et l'IdP SAML auxquels l'utilisateur est mappé par votre IdP. Le rôle et l'IdP sont spécifiés sous la forme d'une paire séparée par des virgules de. ARNs

  • Attributeélément dont l'Nameattribut est défini sur https://aws.amazon.com/SAML/ Attributes/ RoleSessionName — Cet élément contient un AttributeValue élément qui fournit un identifiant pour les informations d'identification AWS temporaires émises pour l'authentification unique. La valeur de l'élément AttributeValue doit comporter de 2 à 64 caractères, ne doit contenir que des caractères alphanumériques, des traits de soulignement et les caractères suivants : + (signe plus), = (signe égal), , (virgule), . (point), @ (arobase) et - (tiret). Il ne doit pas contenir d'espace. La valeur est généralement constituée d’un ID utilisateur (laurentdupont) ou d’une adresse e-mail (laurentdupont@exemple.com). La valeur ne peut pas contenir d’espace, comme dans le nom d’affichage de l’utilisateur (Laurent Dupont).

  • Attributeélément dont l'Nameattribut est défini sur https://aws.amazon.com/SAML/ Attributes/ PrincipalTag : SessionContext (facultatif) — Cet élément contient un AttributeValue élément qui fournit des paramètres qui peuvent être utilisés pour transmettre des paramètres de contexte de session à vos applications de streaming. Pour de plus amples informations, veuillez consulter Contexte de session dans Amazon AppStream 2.0.

  • Attributeélément dont l'Nameattribut est défini sur https://aws.amazon.com/SAML/ Attributes/ PrincipalTag : ObjectSid (facultatif) — Cet élément contient un AttributeValue élément qui fournit l'identifiant de sécurité Active Directory (SID) à l'utilisateur qui se connecte. Ce paramètre est utilisé avec l’authentification par certificat pour permettre un mappage fort vers l’utilisateur Active Directory.

  • Attributeélément dont l'Nameattribut est défini sur https://aws.amazon.com/SAML/ Attributes/:Domain PrincipalTag (facultatif) — Cet élément contient un élément AttributeValue qui fournit le nom de domaine complet (FQDN) DNS Active Directory à l'utilisateur qui se connecte. Ce paramètre est utilisé avec l’authentification par certificat lorsque l’élément userPrincipalName Active Directory correspondant à l’utilisateur contient un autre suffixe. La valeur doit être fournie selon le format domain.com, y compris dans tous les sous-domaines.

  • Attributeélément dont l'SessionDurationattribut est défini sur https://aws.amazon.com/SAML/ Attributes/ SessionDuration (facultatif) — Cet élément contient un AttributeValue élément qui indique la durée maximale pendant laquelle une session de streaming fédérée d'un utilisateur peut rester active avant qu'une nouvelle authentification ne soit requise. La valeur par défaut est de 3600 secondes (60 minutes). Pour plus d'informations, consultez la SessionDuration section Un élément d'attribut facultatif dont l' SessionDuration attribut est défini sur https://aws.amazon.com/SAML/ Attributes/ dans Configuration des assertions SAML pour la réponse d'authentification.

    Note

    Bien que l’attribut SessionDuration soit facultatif, nous vous recommandons de l’inclure dans la réponse SAML. Si vous ne spécifiez pas l’attribut, la durée de session est définie sur une valeur par défaut de 60 minutes.

    Si vos utilisateurs accèdent à leurs applications de streaming dans la AppStream version 2.0 à l'aide du client natif AppStream 2.0 ou à l'aide du navigateur Web dans le cadre de la nouvelle expérience, leurs sessions sont déconnectées une fois leur durée de session expirée. Si vos utilisateurs accèdent à leurs applications de streaming dans la AppStream version 2.0 à l'aide d'un navigateur Web dans le cadre de l'expérience ancienne/classique, une fois que la durée de session des utilisateurs a expiré et qu'ils ont actualisé la page de leur navigateur, leurs sessions sont déconnectées.

Pour plus d’informations sur la configuration de ces éléments, consultez Configuration des assertions SAML pour la réponse d’authentification dans le Guide de l’utilisateur IAM. Pour plus d'informations sur les exigences de configuration spécifiques à votre fournisseur d'identité, consultez la documentation de votre fournisseur d'identité.

Etape 6 : Configurer le RelayState de votre fédération

Enfin, utilisez votre IdP pour configurer l'état du relais de votre fédération afin qu'il pointe vers l'URL de l'état du relais stack AppStream 2.0. Une fois l'authentification réussie AWS, l'utilisateur est dirigé vers le portail Stack AppStream 2.0, défini comme l'état du relais dans la réponse d'authentification SAML.

Le format de l'URL RelayState est le suivant :

https://relay-state-region-endpoint?stack=stackname&accountId=aws-account-id-without-hyphens

Créez votre URL RelayState à partir de l’ID de compte Amazon Web Services, du nom de la pile et du point de terminaison RelayState associé à la région dans laquelle votre pile est située.

Vous pouvez éventuellement spécifier le nom de l'application que vous souhaitez lancer automatiquement. Pour trouver le nom de l'application, sélectionnez l'image dans la console AppStream 2.0, cliquez sur l'onglet Applications et notez le nom qui apparaît dans la colonne Nom de l'application. Sinon, si vous n’avez pas encore créé l’image, connectez-vous à l’instance Image Builder où vous avez installé l’application, puis ouvrez Image Assistant. Les noms des applications s’affichent dans l’onglet Ajouter des applications.

Si votre flotte est activée pour l’affichage de flux de Bureau, vous pouvez également choisir de le lancer directement sur le Bureau du système d’exploitation. Pour ce faire, spécifiez Desktop à la fin de l’URL RelayState, après &app=.

Dans le cas d'un flux initié par un fournisseur d'identité (IdP), dans le navigateur par défaut du système, une fois que les utilisateurs se sont connectés à l'IdP et ont sélectionné l' AppStream application 2.0 sur le portail utilisateur de l'IdP, ils sont redirigés vers une page de connexion AppStream 2.0 dans le navigateur par défaut du système avec les options suivantes :

  • Continuer avec le navigateur

  • Client Open AppStream 2.0

Sur la page, les utilisateurs peuvent choisir de démarrer la session soit dans le navigateur, soit avec l'application cliente AppStream 2.0. Facultativement, vous pouvez également spécifier le client à utiliser pour une fédération SAML 2.0. Pour ce faire, spécifiez l'URL de l'état du relais native ou web à la fin de celle-ci, après&client=. Lorsque le paramètre est présent dans une URL d'état de relais, les sessions correspondantes démarrent automatiquement dans le client spécifié, sans que les utilisateurs n'aient à faire de choix.

Note

Cette fonctionnalité n'est disponible que si vous utilisez les nouveaux points de terminaison de la région de l'état du relais (dans le tableau 1 ci-dessous) pour créer l'URL de l'état du relais et si vous utilisez le client AppStream 2.0 version 1.1.1300 et versions ultérieures. En outre, les utilisateurs doivent toujours utiliser le navigateur par défaut de leur système pour se connecter à l'IdP. La fonctionnalité ne fonctionnera pas s'ils utilisent un navigateur autre que celui par défaut.

Avec les droits d’application basés sur les attributs faisant appel à un fournisseur d’identité SAML 2.0 tiers, vous pouvez autoriser l’accès à plusieurs piles à partir d’une seule URL d’état du relais. Supprimez les paramètres de pile et d’application (le cas échéant) de l’URL d’état du relais, comme suit :

https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens

Lorsque les utilisateurs se fédérent vers le catalogue d'applications AppStream 2.0, ils se voient présenter toutes les piles pour lesquelles les droits d'application ont fait correspondre une ou plusieurs applications à l'utilisateur en ce qui concerne l'ID de compte et le point de terminaison de l'état du relais associés à la région dans laquelle se trouvent vos piles. Lorsqu’un utilisateur sélectionne un catalogue, les droits d’application affichent uniquement les applications auxquelles l’utilisateur est autorisé à accéder.

Note

Les utilisateurs ne peuvent pas diffuser à partir de plusieurs piles en même temps.

Pour de plus amples informations, veuillez consulter Droits d’application basés sur les attributs faisant appel à un fournisseur d’identité SAML 2.0 tiers.

Le tableau 1 ci-dessous répertorie les points de terminaison de l'état du relais pour les régions où la AppStream version 2.0 est disponible. Les points de terminaison de l'état du relais présentés dans le tableau 1 sont compatibles avec les versions 1.1.1300 AppStream Accès au navigateur Web 2.0 (version 2) et ultérieures de l'application cliente Windows. Si vous utilisez d'anciennes versions du client Windows, vous devez utiliser les anciens points de terminaison de l'état du relais répertoriés dans le Tableau 2 pour configurer votre fédération SAML 2.0. Si vous souhaitez que les utilisateurs diffusent en continu à l’aide d’une connexion FIPS compatible, vous devez utiliser un point de terminaison FIPS compatible. Pour de plus amples informations sur les points de terminaison, veuillez consulter Protection des données en transit avec les points de terminaison FIPS.

Tableau 1 : Points de terminaison de la région de l'état du relais AppStream 2.0 (recommandé)
Région Point de terminaison RelayState
USA Est (Virginie du Nord)

https://appstream2.euc-sso.us-east-1.aws.amazon.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-east-1.aws.amazon.com/saml
USA Est (Ohio) https://appstream2.euc-sso.us-east-2.aws.amazon.com/saml
USA Ouest (Oregon)

https://appstream2.euc-sso.us-west-2.aws.amazon.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-west-2.aws.amazon.com/saml
Asie-Pacifique (Mumbai) https://appstream2.euc-sso.ap-south-1.aws.amazon.com/saml
Asie-Pacifique (Séoul) https://appstream2.euc-sso.ap-northeast-2.aws.amazon.com/saml
Asie-Pacifique (Singapour) https://appstream2.euc-sso.ap-southeast-1.aws.amazon.com/saml
Asie-Pacifique (Sydney) https://appstream2.euc-sso.ap-southeast-2.aws.amazon.com/saml
Asie-Pacifique (Tokyo) https://appstream2.euc-sso.ap-northeast-1.aws.amazon.com/saml

Canada (Centre)

 https://appstream2.euc-sso.ca-central-1.aws.amazon.com/saml
Europe (Francfort) https://appstream2.euc-sso.eu-central-1.aws.amazon.com/saml
Europe (Irlande) https://appstream2.euc-sso.eu-west-1.aws.amazon.com/saml
Europe (Londres) https://appstream2.euc-sso.eu-west-2.aws.amazon.com/saml
AWS GovCloud (USA Est)

https://appstream2.euc-sso.us-gov-east-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com/saml

Note

Pour plus d'informations sur l'utilisation de la AppStream version 2.0 dans AWS GovCloud (US) les régions, consultez Amazon AppStream 2.0 dans le guide de AWS GovCloud (US) l'utilisateur.
AWS GovCloud (US-Ouest)

https://appstream2.euc-sso.us-gov-west-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com/saml

Note

Pour plus d'informations sur l'utilisation de la AppStream version 2.0 dans AWS GovCloud (US) les régions, consultez Amazon AppStream 2.0 dans le guide de AWS GovCloud (US) l'utilisateur.
Amérique du Sud (São Paulo) https://appstream2.euc-sso.sa-east-1.aws.amazon.com/saml

Le tableau 2 ci-dessous répertorie les anciens points de terminaison de l'état du relais qui sont toujours disponibles. Toutefois, il est recommandé d'utiliser les nouveaux points de terminaison de l'état du relais répertoriés dans le Tableau 1 pour configurer vos fédérations SAML 2.0. En particulier, avec les nouveaux points de terminaison de l'état du relais, vous pouvez permettre à vos utilisateurs de lancer l'application cliente AppStream 2.0 (version 1.1.1300 et versions ultérieures) à partir de sessions de streaming initiées par l'IDP. Les nouveaux points de terminaison de l'état du relais présentés dans le tableau 1 permettent également aux utilisateurs de se connecter à d'autres AWS applications dans différents onglets du même navigateur Web, sans affecter la session de streaming AppStream 2.0 en cours. Les anciens points de terminaison de l'état du relais présentés dans le tableau 2 ne le prennent pas en charge. Pour plus d’informations, consultez Les utilisateurs de mon client AppStream 2.0 sont déconnectés de leur session AppStream 2.0 toutes les 60 minutes..

Tableau 2 : Anciens points de terminaison de la région d'état relais AppStream 2.0 (non recommandé)
Région Point de terminaison RelayState
USA Est (Virginie du Nord)

https://appstream2.us-east-1.aws.amazon.com/saml

(FIPS) https://appstream2-fips.us-east-1.aws.amazon.com/saml
USA Est (Ohio) https://appstream2.us-east-2.aws.amazon.com/saml
USA Ouest (Oregon)

https://appstream2.us-west-2.aws.amazon.com/saml

(FIPS) https://appstream2-fips.us-west-2.aws.amazon.com/saml
Asie-Pacifique (Mumbai) https://appstream2.ap-south-1.aws.amazon.com/saml
Asie-Pacifique (Séoul) https://appstream2.ap-northeast-2.aws.amazon.com/saml
Asie-Pacifique (Singapour) https://appstream2.ap-southeast-1.aws.amazon.com/saml
Asie-Pacifique (Sydney) https://appstream2.ap-southeast-2.aws.amazon.com/saml
Asie-Pacifique (Tokyo) https://appstream2.ap-northeast-1.aws.amazon.com/saml

Canada (Centre)

 https://appstream2.ca-central-1.aws.amazon.com/saml
Europe (Francfort) https://appstream2.eu-central-1.aws.amazon.com/saml
Europe (Irlande) https://appstream2.eu-west-1.aws.amazon.com/saml
Europe (Londres) https://appstream2.eu-west-2.aws.amazon.com/saml
AWS GovCloud (USA Est)

https://appstream2.us-gov-east-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2-fips.us-gov-east-1.amazonaws-us-gov.com/saml

Note

Pour plus d'informations sur l'utilisation de la AppStream version 2.0 dans AWS GovCloud (US) les régions, consultez Amazon AppStream 2.0 dans le guide de AWS GovCloud (US) l'utilisateur.
AWS GovCloud (US-Ouest)

https://appstream2.us-gov-west-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2-fips.us-gov-west-1.amazonaws-us-gov.com/saml

Note

Pour plus d'informations sur l'utilisation de la AppStream version 2.0 dans AWS GovCloud (US) les régions, consultez Amazon AppStream 2.0 dans le guide de AWS GovCloud (US) l'utilisateur.
Amérique du Sud (São Paulo) https://appstream2.sa-east-1.aws.amazon.com/saml

Le tableau 3 ci-dessous répertorie tous les paramètres disponibles que vous pouvez utiliser pour créer une URL d'état de relais.

Tableau 3 : Paramètres de l'URL de l'état du relais
Paramètre Obligatoire Format Pris en charge par
accountId Obligatoire ID à 12 caractères Compte AWS Nouveaux et anciens points de terminaison dans les tableaux 1 et 2
pile Facultatif Nom de la pile Nouveaux et anciens points de terminaison dans les tableaux 1 et 2
app Facultatif Nom de l'application ou « Ordinateur de bureau » Nouveaux et anciens points de terminaison dans les tableaux 1 et 2
client Facultatif « natif » ou « web » Nouveaux points de terminaison dans le tableau 1 uniquement