Configuration SAML - Amazon AppStream 2.0
PrérequisÉtape 1 : créer un fournisseur SAML d'identité dans AWS IAMÉtape 2 : créer un IAM rôle de fédération SAML 2.0Étape 3 : intégrer une politique intégrée pour le rôle IAMÉtape 4 : Configuration de votre IdP SAML baséÉtape 5 : créer des assertions pour la réponse SAML d'authentificationEtape 6 : Configurer le RelayState de votre fédération

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration SAML

Pour permettre aux utilisateurs de se connecter à la AppStream version 2.0 à l'aide de leurs informations d'identification existantes et de démarrer des applications en streaming, vous pouvez configurer la fédération d'identité à l'aide de la SAML version 2.0. Pour ce faire, utilisez un IAM rôle et un état de relais URL pour configurer votre fournisseur d'identité (IdP) SAML conforme à la norme 2.0 et permettre AWS à vos utilisateurs fédérés d'accéder à une pile 2.0. AppStream Le IAM rôle accorde aux utilisateurs les autorisations nécessaires pour accéder à la pile. RelayState correspond au portail de la pile vers lequel les utilisateurs sont transférés après avoir réussi l’authentification par AWS.

Prérequis

Remplissez les conditions préalables suivantes avant de configurer votre connexion SAML 2.0.

  1. Configurez votre IdP SAML basé pour établir une relation de confiance avec. AWS

    • Au sein du réseau de votre organisation, configurez votre magasin d'identités pour qu'il fonctionne avec un IdP SAML basé. Pour les ressources de configuration, consultez AppStream Intégration 2.0 avec SAML 2.0.

    • Utilisez votre IdP SAML basé pour générer et télécharger un document de métadonnées de fédération qui décrit votre organisation en tant qu'IdP. Ce XML document signé est utilisé pour établir la confiance de la partie utilisatrice. Enregistrez ce fichier dans un emplacement auquel vous pourrez accéder ultérieurement depuis la IAM console.

  2. Utilisez la console de gestion AppStream 2.0 pour créer une pile AppStream 2.0. Vous avez besoin du nom de la pile pour créer la IAM politique et configurer votre intégration IdP avec AppStream 2.0, comme décrit plus loin dans cette rubrique.

    Vous pouvez créer une pile AppStream 2.0 à l'aide de la console de gestion AppStream 2.0 ou AppStream 2.0API. AWS CLI Pour de plus amples informations, veuillez consulter Créez une flotte et une pile Amazon AppStream 2.0.

Étape 1 : créer un fournisseur SAML d'identité dans AWS IAM

Créez d'abord un SAML IdP dans. AWS IAM Cet IdP définit la relation IdP àAWS confiance de votre organisation à l'aide du document de métadonnées généré par le logiciel IdP de votre organisation. Pour plus d'informations, consultez Création et gestion d'un fournisseur SAML d'identité (Amazon Web Services Management Console) dans le guide de IAM l'utilisateur. Pour plus d'informations sur l'utilisation SAML IdPs dans les AWS GovCloud (US) régions, consultez AWS Identity and Access Management dans le guide de AWS GovCloud (US) l'utilisateur.

Étape 2 : créer un IAM rôle de fédération SAML 2.0

Créez ensuite un IAM rôle de fédération SAML 2.0. Cette étape établit une relation de confiance entre IAM et l'IdP de votre organisation, qui identifie votre IdP comme une entité de confiance pour la fédération.

Pour créer un IAM rôle pour l'SAMLIdP

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Rôles, puis Créer un rôle.

  3. Pour Type de rôle, choisissez la fédération SAML 2.0.

  4. Pour SAMLFournisseur, sélectionnez l'SAMLIdP que vous avez créé.

    Important

    Ne choisissez aucune des deux méthodes d'accès SAML 2.0 (Autoriser l'accès par programmation uniquement ou Autoriser l'accès par programmation et l'accès à la console de gestion Amazon Web Services).

  5. Pour Attribute, choisissez SAML : aud.

  6. Pour le champ Valeur, saisissez https://signin.aws.amazon.com/saml. Cette valeur limite l'accès aux rôles aux demandes de streaming des SAML utilisateurs qui incluent une assertion de type de SAML sujet avec une valeur persistante. Si le:sub_type SAML est persistant, votre IdP envoie la même valeur unique pour l'élément NameID dans toutes les demandes d'un utilisateur en particulier. SAML Pour plus d'informations sur l'SAMLassertion:sub_type, consultez la section Identification unique des utilisateurs dans une SAML fédération basée sur l'utilisation de la SAML fédération basée sur l'accès à. API AWS

  7. Passez en revue vos informations de confiance SAML 2.0, confirmez l'entité et la condition de confiance correctes, puis choisissez Next : Permissions.

  8. Dans la page Attacher des stratégies d’autorisations, choisissez Suivant : balises.

  9. (Facultatif) Saisissez une clé et une valeur pour chaque balise que vous souhaitez ajouter. Pour plus d'informations, consultez la section Marquage des IAM utilisateurs et des rôles.

  10. Lorsque vous avez terminé, sélectionnez Suivant : vérification. Vous pouvez ultérieurement créer et intégrer une stratégie en ligne pour ce rôle.

  11. Pour Nom du rôle, saisissez un nom vous permettant d’identifier le but de ce rôle. Différentes entités pouvant référencer ce rôle, il n’est pas possible de modifier son nom après sa création.

  12. (Facultatif) Dans le champ Description du rôle, saisissez la description du nouveau rôle.

  13. Passez en revue les détails du rôle, puis choisissez Créer un rôle.

  14. (Facultatif) Si vous prévoyez d'utiliser le contexte de session ou les droits d'application basés sur les attributs à l'aide d'un fournisseur d'identité SAML 2.0 tiers ou d'une authentification basée sur des certificats, vous devez ajouter l'TagSession autorisation sts : à la politique de confiance de votre nouveau rôle. IAM Pour plus d’informations, consultez Droits d'application basés sur les attributs utilisant un fournisseur d'identité 2.0 tiers SAML et Transmission des balises de session dans AWS STS.

    Dans les détails de votre nouveau IAM rôle, choisissez l'onglet Relations de confiance, puis sélectionnez Modifier la relation de confiance. L’éditeur de stratégie Modifier la relation d’approbation démarre. Ajoutez l'TagSessionautorisation sts :, comme suit :

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/IDENTITY-PROVIDER"
      },
      "Action": [
        "sts:AssumeRoleWithSAML",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "SAML:sub_type": "persistent"
        }
      }
    }
  ]
}

    Remplacez IDENTITY-PROVIDERavec le nom de l'SAMLIdP que vous avez créé à l'étape 1. Choisissez Mettre à jour la stratégie de confiance.

Étape 3 : intégrer une politique intégrée pour le rôle IAM

Ensuite, intégrez une IAM politique intégrée pour le rôle que vous avez créé. Lorsque vous incorporez une politique en ligne, ses autorisations ne peuvent pas être associées par inadvertance à la mauvaise entité principale. La politique intégrée permet aux utilisateurs fédérés d'accéder à la pile AppStream 2.0 que vous avez créée.

  1. Dans les détails du IAM rôle que vous avez créé, choisissez l'onglet Autorisations, puis choisissez Ajouter une politique intégrée. L'assistant Créer une stratégie démarre.

  2. Dans Créer une politique, choisissez l'JSONonglet.

  3. Copiez et collez la JSON politique suivante dans la JSON fenêtre. Modifiez ensuite la ressource en saisissant votre Région AWS code, votre identifiant de compte et le nom de la pile. Dans la politique suivante, "Action": "appstream:Stream" figure l'action qui fournit à vos utilisateurs AppStream 2.0 les autorisations nécessaires pour se connecter à des sessions de streaming sur la pile que vous avez créée. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "appstream:Stream",
      "Resource": "arn:aws:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME",
      "Condition": {
          "StringEquals": {
              "appstream:userId": "${saml:sub}"           
          }
        }
    }
  ]
}

    Remplacez REGION-CODE avec la AWS région où se trouve votre stack AppStream 2.0. Remplacez STACK-NAME avec le nom de la pile. STACK-NAME fait la distinction majuscules/minuscules et doit correspondre exactement aux majuscules et aux lettres du nom de la pile indiqué dans le tableau de bord Stacks de la console de gestion AppStream 2.0.

    Pour les ressources dans les AWS GovCloud (US) régions, utilisez le format suivant pour ARN :

    arn:aws-us-gov:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME

  4. (Facultatif) Si vous envisagez d'utiliser des droits d'application basés sur des attributs à l'aide d'un fournisseur d'identité SAML 2.0 tiers avec des catalogues d'applications SAML 2.0 à piles multiples, la ressource de la politique intégrée de votre IAM rôle doit être de permettre aux droits d'application de contrôler l'accès en continu "Resource": "arn:aws:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/*" aux piles. Pour renforcer la protection additionnelle d’une ressource de pile, vous pouvez ajouter un refus explicite dans la stratégie. Pour plus d’informations, consultez Droits d'application basés sur les attributs utilisant un fournisseur d'identité 2.0 tiers SAML et Logique d’évaluation de la stratégie.

  5. Lorsque vous avez terminé, choisissez Examiner une stratégie. Le programme de validation de stratégie signale les éventuelles erreurs de syntaxe.

Étape 4 : Configuration de votre IdP SAML basé

Ensuite, en fonction de votre IdP SAML basé, vous devrez peut-être mettre à jour manuellement votre IdP pour faire confiance en AWS tant que fournisseur de services en téléchargeant le saml-metadata.xml fichier saml-metadata.xml https://signin.aws.amazon.com/static/ sur votre IdP. Cette étape met à jour les métadonnées de votre fournisseur d'identité. Pour certains IdPs, la mise à jour est peut-être déjà configurée. Dans ce cas, passez à l'étape suivante.

Si la mise à jour n’est pas déjà configurée dans votre fournisseur d’identité, consultez les informations fournies dans la documentation de votre fournisseur d’identité sur la manière de mettre à jour les métadonnées. Certains fournisseurs vous offrent la possibilité de saisir le fichierURL, et l'IdP obtient et installe le fichier pour vous. D'autres exigent que vous téléchargiez le fichier depuis le, URL puis que vous le fournissiez sous forme de fichier local.

Étape 5 : créer des assertions pour la réponse SAML d'authentification

Ensuite, vous devrez peut-être configurer les informations que votre IdP envoie AWS sous forme d'SAMLattributs dans sa réponse d'authentification. Selon votre fournisseur d’identité, ces informations sont peut-être déjà préconfigurées. Dans ce cas, ignorez cette étape et passez à l’étape 6,

Si cette information n'est pas déjà configurée dans votre fournisseur d'identité, fournissez les éléments suivants :

  • SAMLSubject NameID — Identifiant unique de l'utilisateur qui se connecte.

    Note

    Pour les piles comportant des flottes jointes à un domaine, la valeur NameID de l'utilisateur doit être fournie au format « » en utilisant le nom ou « domain\username » en utilisant. sAMAccount username@domain.com userPrincipalName Si vous utilisez le format sAMAccount Nom, vous pouvez le spécifier domain en utilisant le BIOS nom réseau ou le nom de domaine complet (FQDN). Le format sAMAccount Nom est requis pour les scénarios de confiance unidirectionnelle Active Directory. Pour de plus amples informations, veuillez consulter Utilisation d'Active Directory avec AppStream 2.0.

  • SAMLType de sujet (avec une valeur définie surpersistent) — La définition de la valeur persistent garantit que votre IdP envoie la même valeur unique pour l'NameIDélément dans toutes les SAML demandes d'un utilisateur donné. Assurez-vous que votre IAM politique inclut une condition autorisant uniquement les SAML demandes dont le SAML sous-type est défini surpersistent, comme décrit dans. Étape 2 : créer un IAM rôle de fédération SAML 2.0

  • Attributeélément dont l'Nameattribut est défini sur https://aws.amazon.com/SAML/ Attributes/Rôle — Cet élément contient un ou plusieurs AttributeValue éléments qui répertorient le rôle IAM et l'SAMLIdP auxquels l'utilisateur est mappé par votre IdP. Le rôle et l'IdP sont spécifiés sous la forme d'une paire séparée par des virgules de. ARNs

  • Attributeélément dont l'Nameattribut est défini sur https://aws.amazon.com/SAML/ Attributes/ RoleSessionName — Cet élément contient un AttributeValue élément qui fournit un identifiant pour les informations d'identification AWS temporaires émises pour. SSO La valeur de l'élément AttributeValue doit comporter de 2 à 64 caractères, ne doit contenir que des caractères alphanumériques, des traits de soulignement et les caractères suivants : + (signe plus), = (signe égal), , (virgule), . (point), @ (arobase) et - (tiret). Il ne doit pas contenir d'espace. La valeur est généralement constituée d’un ID utilisateur (laurentdupont) ou d’une adresse e-mail (laurentdupont@exemple.com). La valeur ne peut pas contenir d’espace, comme dans le nom d’affichage de l’utilisateur (Laurent Dupont).

  • Attributeélément dont l'Nameattribut est défini sur https://aws.amazon.com/SAML/ Attributes/ PrincipalTag : SessionContext (facultatif) — Cet élément contient un AttributeValue élément qui fournit des paramètres qui peuvent être utilisés pour transmettre des paramètres de contexte de session à vos applications de streaming. Pour de plus amples informations, veuillez consulter Contexte de session dans Amazon AppStream 2.0.

  • Attributeélément dont l'Nameattribut est défini sur https://aws.amazon.com/SAML/ Attributes/ PrincipalTag : ObjectSid (facultatif) — Cet élément contient un AttributeValue élément qui fournit l'identifiant de sécurité Active Directory (SID) à l'utilisateur qui se connecte. Ce paramètre est utilisé avec l’authentification par certificat pour permettre un mappage fort vers l’utilisateur Active Directory.

  • Attributeélément dont l'Nameattribut est défini sur https://aws.amazon.com/SAML/ Attributes/:Domain PrincipalTag (facultatif) — Cet élément contient un élément AttributeValue qui fournit le nom de domaine complet DNS Active Directory () à l'FQDNutilisateur qui se connecte. Ce paramètre est utilisé avec l’authentification par certificat lorsque l’élément userPrincipalName Active Directory correspondant à l’utilisateur contient un autre suffixe. La valeur doit être fournie selon le format domain.com, y compris dans tous les sous-domaines.

  • Attributeélément dont l'SessionDurationattribut est défini sur https://aws.amazon.com/SAML/ Attributes/ SessionDuration (facultatif) — Cet élément contient un AttributeValue élément qui indique la durée maximale pendant laquelle une session de streaming fédérée d'un utilisateur peut rester active avant qu'une nouvelle authentification ne soit requise. La valeur par défaut est de 3600 secondes (60 minutes). Pour plus d'informations, consultez la SessionDuration section Un élément d'attribut facultatif dont l' SessionDuration attribut est défini sur https://aws.amazon.com/SAML/ Attributes/ dans Configuration SAML des assertions pour la réponse d'authentification.

    Note

    Bien qu'SessionDurationil s'agisse d'un attribut facultatif, nous vous recommandons de l'inclure dans la SAML réponse. Si vous ne spécifiez pas l’attribut, la durée de session est définie sur une valeur par défaut de 60 minutes.

    Si vos utilisateurs accèdent à leurs applications de streaming dans la AppStream version 2.0 à l'aide du client natif AppStream 2.0 ou à l'aide du navigateur Web dans le cadre de la nouvelle expérience, leurs sessions sont déconnectées après l'expiration de leur durée de session. Si vos utilisateurs accèdent à leurs applications de streaming dans la AppStream version 2.0 à l'aide d'un navigateur Web dans le cadre de l'expérience ancienne/classique, une fois que la durée de session des utilisateurs a expiré et qu'ils ont actualisé la page de leur navigateur, leurs sessions sont déconnectées.

Pour plus d'informations sur la configuration de ces éléments, consultez la section Configuration SAML des assertions pour la réponse d'authentification dans le guide de l'IAMutilisateur. Pour plus d'informations sur les exigences de configuration spécifiques à votre fournisseur d'identité, consultez la documentation de votre fournisseur d'identité.

Etape 6 : Configurer le RelayState de votre fédération

Enfin, utilisez votre IdP pour configurer l'état du relais de votre fédération afin qu'il pointe vers l'état du relais stack AppStream 2.0. URL Une fois l'authentification réussie AWS, l'utilisateur est dirigé vers le portail Stack AppStream 2.0, défini comme l'état du relais dans la réponse SAML d'authentification.

Le format de l'état du relais URL est le suivant :

https://relay-state-region-endpoint?stack=stackname&accountId=aws-account-id-without-hyphens

Créez votre état URL de relais à partir de votre identifiant de compte Amazon Web Services, du nom de la pile et du point de terminaison de l'état du relais associé à la région dans laquelle se trouve votre pile.

Vous pouvez éventuellement spécifier le nom de l'application que vous souhaitez lancer automatiquement. Pour trouver le nom de l'application, sélectionnez l'image dans la console AppStream 2.0, cliquez sur l'onglet Applications et notez le nom qui apparaît dans la colonne Nom de l'application. Sinon, si vous n’avez pas encore créé l’image, connectez-vous à l’instance Image Builder où vous avez installé l’application, puis ouvrez Image Assistant. Les noms des applications s’affichent dans l’onglet Ajouter des applications.

Si votre flotte est activée pour l’affichage de flux de Bureau, vous pouvez également choisir de le lancer directement sur le Bureau du système d’exploitation. Pour ce faire, spécifiez Desktop à la fin de l'état du relaisURL, après&app=.

Dans le cas d'un flux initié par un fournisseur d'identité (IdP), dans le navigateur par défaut du système, une fois que les utilisateurs se sont connectés à l'IdP et ont sélectionné l' AppStream application 2.0 sur le portail utilisateur de l'IdP, ils sont redirigés vers une page de connexion AppStream 2.0 dans le navigateur par défaut du système avec les options suivantes :

  • Continuer avec le navigateur

  • Client Open AppStream 2.0

Sur la page, les utilisateurs peuvent choisir de démarrer la session soit dans le navigateur, soit avec l'application cliente AppStream 2.0. Facultativement, vous pouvez également spécifier quel client doit être utilisé pour une fédération SAML 2.0. Pour ce faire, spécifiez l'un native ou web l'autre état du relais, ou à la fin de URL celui-ci, après&client=. Lorsque le paramètre est présent dans un état de relaisURL, les sessions correspondantes démarrent automatiquement dans le client spécifié, sans que les utilisateurs n'aient à faire de choix.

Note

Cette fonctionnalité n'est disponible que si vous utilisez les nouveaux points de terminaison de la région de l'état du relais (dans le tableau 1 ci-dessous) pour créer l'état du relaisURL, et si vous utilisez le client AppStream 2.0 version 1.1.1300 et versions ultérieures. En outre, les utilisateurs doivent toujours utiliser le navigateur par défaut de leur système pour se connecter à l'IdP. La fonctionnalité ne fonctionnera pas s'ils utilisent un navigateur autre que celui par défaut.

Avec les droits d'application basés sur les attributs utilisant un fournisseur d'identité SAML 2.0 tiers, vous pouvez autoriser l'accès à plusieurs piles à partir d'un seul état de relais. URL Supprimez les paramètres de la pile et de l'application (le cas échéant) de l'état du relaisURL, comme suit :

https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens

Lorsque les utilisateurs se fédérent vers le catalogue d'applications AppStream 2.0, ils se voient présenter toutes les piles dans lesquelles les droits d'application ont fait correspondre une ou plusieurs applications à l'utilisateur en ce qui concerne l'ID de compte et le point de terminaison de l'état du relais associés à la région dans laquelle se trouvent vos piles. Lorsqu’un utilisateur sélectionne un catalogue, les droits d’application affichent uniquement les applications auxquelles l’utilisateur est autorisé à accéder.

Note

Les utilisateurs ne peuvent pas diffuser à partir de plusieurs piles en même temps.

Pour de plus amples informations, veuillez consulter Droits d'application basés sur les attributs utilisant un fournisseur d'identité 2.0 tiers SAML.

Le tableau 1 ci-dessous répertorie les points de terminaison de l'état du relais pour les régions où la AppStream version 2.0 est disponible. Les points de terminaison de l'état du relais présentés dans le tableau 1 sont compatibles avec les versions 1.1.1300 AppStream Accès au navigateur Web 2.0 (version 2) et ultérieures de l'application cliente Windows. Si vous utilisez d'anciennes versions du client Windows, vous devez utiliser les anciens points de terminaison d'état de relais répertoriés dans le Tableau 2 pour configurer votre fédération SAML 2.0. Si vous souhaitez que vos utilisateurs diffusent en utilisant une FIPS connexion compatible, vous devez utiliser un point de terminaison FIPS compatible. Pour plus d'informations sur les FIPS points de terminaison, consultezProtection des données en transit avec des FIPS terminaux.

Tableau 1 : Points de terminaison de la région d'état du relais AppStream 2.0 (recommandé)
Région Point de terminaison RelayState
USA Est (Virginie du Nord)

https://appstream2.euc-sso.us-east-1.aws.amazon.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-east-1.aws.amazon.com/saml
USA Est (Ohio) https://appstream2.euc-sso.us-east-2.aws.amazon.com/saml
USA Ouest (Oregon)

https://appstream2.euc-sso.us-west-2.aws.amazon.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-west-2.aws.amazon.com/saml
Asie-Pacifique (Mumbai) https://appstream2.euc-sso.ap-south-1.aws.amazon.com/saml
Asie-Pacifique (Séoul) https://appstream2.euc-sso.ap-northeast-2.aws.amazon.com/saml
Asie-Pacifique (Singapour) https://appstream2.euc-sso.ap-southeast-1.aws.amazon.com/saml
Asie-Pacifique (Sydney) https://appstream2.euc-sso.ap-southeast-2.aws.amazon.com/saml
Asie-Pacifique (Tokyo) https://appstream2.euc-sso.ap-northeast-1.aws.amazon.com/saml

Canada (Centre)

 https://appstream2.euc-sso.ca-central-1.aws.amazon.com/saml
Europe (Francfort) https://appstream2.euc-sso.eu-central-1.aws.amazon.com/saml
Europe (Irlande) https://appstream2.euc-sso.eu-west-1.aws.amazon.com/saml
Europe (Londres) https://appstream2.euc-sso.eu-west-2.aws.amazon.com/saml
AWS GovCloud (USA Est)

https://appstream2.euc-sso.us-gov-east-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com/saml

Note

Pour plus d'informations sur l'utilisation de la AppStream version 2.0 dans AWS GovCloud (US) les régions, consultez Amazon AppStream 2.0 dans le guide de AWS GovCloud (US) l'utilisateur.
AWS GovCloud (US-Ouest)

https://appstream2.euc-sso.us-gov-west-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com/saml

Note

Pour plus d'informations sur l'utilisation de la AppStream version 2.0 dans AWS GovCloud (US) les régions, consultez Amazon AppStream 2.0 dans le guide de AWS GovCloud (US) l'utilisateur.
Amérique du Sud (São Paulo) https://appstream2.euc-sso.sa-east-1.aws.amazon.com/saml

Le tableau 2 ci-dessous répertorie les anciens points de terminaison de l'état du relais qui sont toujours disponibles. Toutefois, il est recommandé d'utiliser les nouveaux points de terminaison de l'état du relais répertoriés dans le Tableau 1 pour configurer vos fédérations SAML 2.0. En particulier, avec les nouveaux points de terminaison de l'état du relais, vous pouvez permettre à vos utilisateurs de lancer l'application cliente AppStream 2.0 (version 1.1.1300 et versions ultérieures) à partir de sessions de streaming initiées par l'IDP. Les nouveaux points de terminaison de l'état du relais présentés dans le tableau 1 permettent également aux utilisateurs de se connecter à d'autres AWS applications dans différents onglets du même navigateur Web, sans affecter la session de streaming AppStream 2.0 en cours. Les anciens points de terminaison de l'état du relais présentés dans le tableau 2 ne le permettent pas. Pour plus d’informations, consultez Les utilisateurs de mon client AppStream 2.0 sont déconnectés de leur session AppStream 2.0 toutes les 60 minutes..

Tableau 2 : Anciens points de terminaison de la région d'état relais AppStream 2.0 (non recommandé)
Région Point de terminaison RelayState
USA Est (Virginie du Nord)

https://appstream2.us-east-1.aws.amazon.com/saml

(FIPS) https://appstream2-fips.us-east-1.aws.amazon.com/saml
USA Est (Ohio) https://appstream2.us-east-2.aws.amazon.com/saml
USA Ouest (Oregon)

https://appstream2.us-west-2.aws.amazon.com/saml

(FIPS) https://appstream2-fips.us-west-2.aws.amazon.com/saml
Asie-Pacifique (Mumbai) https://appstream2.ap-south-1.aws.amazon.com/saml
Asie-Pacifique (Séoul) https://appstream2.ap-northeast-2.aws.amazon.com/saml
Asie-Pacifique (Singapour) https://appstream2.ap-southeast-1.aws.amazon.com/saml
Asie-Pacifique (Sydney) https://appstream2.ap-southeast-2.aws.amazon.com/saml
Asie-Pacifique (Tokyo) https://appstream2.ap-northeast-1.aws.amazon.com/saml

Canada (Centre)

 https://appstream2.ca-central-1.aws.amazon.com/saml
Europe (Francfort) https://appstream2.eu-central-1.aws.amazon.com/saml
Europe (Irlande) https://appstream2.eu-west-1.aws.amazon.com/saml
Europe (Londres) https://appstream2.eu-west-2.aws.amazon.com/saml
AWS GovCloud (USA Est)

https://appstream2.us-gov-east-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2-fips.us-gov-east-1.amazonaws-us-gov.com/saml

Note

Pour plus d'informations sur l'utilisation de la AppStream version 2.0 dans AWS GovCloud (US) les régions, consultez Amazon AppStream 2.0 dans le guide de AWS GovCloud (US) l'utilisateur.
AWS GovCloud (US-Ouest)

https://appstream2.us-gov-west-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2-fips.us-gov-west-1.amazonaws-us-gov.com/saml

Note

Pour plus d'informations sur l'utilisation de la AppStream version 2.0 dans AWS GovCloud (US) les régions, consultez Amazon AppStream 2.0 dans le guide de AWS GovCloud (US) l'utilisateur.
Amérique du Sud (São Paulo) https://appstream2.sa-east-1.aws.amazon.com/saml

Le tableau 3 ci-dessous répertorie tous les paramètres disponibles que vous pouvez utiliser pour créer un état de relaisURL.

Tableau 3 : URL Paramètres d'état du relais
Paramètre Obligatoire Format Pris en charge par
accountId Obligatoire ID à 12 caractères Compte AWS Nouveaux et anciens points de terminaison dans les tableaux 1 et 2
pile Facultatif Nom de la pile Nouveaux et anciens points de terminaison dans les tableaux 1 et 2
app Facultatif Nom de l'application ou « Ordinateur de bureau » Nouveaux et anciens points de terminaison dans les tableaux 1 et 2
client Facultatif « natif » ou « web » Nouveaux points de terminaison dans le tableau 1 uniquement