Autenticazione basata sui cookie in Amazon 2.0 AppStream - Amazon AppStream 2.0

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autenticazione basata sui cookie in Amazon 2.0 AppStream

AppStream 2.0 utilizza i cookie del browser per autenticare le sessioni di streaming e consentire agli utenti di riconnettersi a una sessione attiva senza reinserire le proprie credenziali di accesso ogni volta. I token di autenticazione vengono memorizzati nei cookie del browser per ogni scenario di autenticazione. Sebbene i cookie siano necessari per molti servizi online, possono essere potenzialmente vulnerabili agli attacchi di furto di cookie. Ti consigliamo vivamente di adottare misure proattive per prevenire il furto di cookie, come l'implementazione di solide soluzioni di protezione degli endpoint per i dispositivi degli utenti. Inoltre, per mitigare il potenziale impatto in caso di furto dei cookie, ti consigliamo di prendere in considerazione le seguenti azioni:

  • Applica il limite per sessione singola: per le immagini Windows AppStream 2.0, crea una chiave di registro HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management con il nome max-concurrent-clientsimpostato su 1 per consentire una sola connessione alla volta. Ciò limita il numero di sessioni simultanee a una e blocca il mirroring delle sessioni attive. Per ulteriori informazioni, vedere Parametri di gestione della sessione.

  • Applica la scadenza e la riautenticazione della sessione

    • Riduci il SessionDuration valore in modo che il token di autenticazione scada dopo che l'utente ha avviato con successo la sessione di streaming. Il riutilizzo dei cookie di autenticazione dopo la sessionDuration scadenza richiede agli utenti di autenticarsi nuovamente. SessionDuration specifica il periodo di tempo massimo in cui una sessione di streaming federata per un utente può rimanere attiva prima che sia richiesta la riautenticazione. Il valore predefinito è di 60 minuti. Per ulteriori informazioni, consulta Fase 5: Creare asserzioni per la risposta di SAML autenticazione.

    • Per massimizzare la sicurezza, gli utenti devono terminare correttamente le sessioni utilizzando la barra degli strumenti (terminare la sessione), anziché chiudere la finestra di streaming. La chiusura della sessione tramite la barra degli strumenti interrompe sia la sessione utente che l'istanza di streaming. Ciò richiede la riautenticazione per gli accessi futuri, prevenendo l'uso improprio dei cookie. Se un utente chiude la finestra di streaming senza terminare la sessione, la sessione e l'istanza rimangono attive per un periodo di timeout di disconnessione configurabile (in minuti). Il timeout di disconnessione deve essere un numero compreso tra 1 e 5760, con un valore predefinito di 15 minuti. Per evitare un uso improprio delle sessioni inattive, consigliamo di impostare un breve timeout di disconnessione. Per ulteriori informazioni, consulta Crea una flotta in Amazon AppStream 2.0.

  • Limita l'accesso alle applicazioni stream AppStream 2.0 ai tuoi intervalli IP: ti consigliamo di implementare politiche basate su IP. IAM Ciò garantisce che sia possibile accedere alle sessioni AppStream 2.0 solo da client il cui indirizzo IP appartiene a un intervallo IP autorizzato. Tutti i tentativi di connessione avviati da un utente il cui indirizzo IP del client non rientra in un intervallo autorizzato verranno negati, anche se presentano un cookie di autenticazione altrimenti valido (potenzialmente rubato a un utente). Per ulteriori informazioni, consulta Limitare l'accesso allo streaming di applicazioni Amazon AppStream 2.0 ai tuoi intervalli di IP.

  • Aggiungi un'autenticazione aggiuntiva: per avviare istanze di streaming aggiunte al dominio, puoi unire le tue flotte e i generatori di immagini Windows AppStream 2.0 Always-On e On-Demand ai domini di Microsoft Active Directory e utilizzare i domini Active Directory esistenti, basati sul cloud o in locale. Dopo l'autenticazione SAML basata iniziale, agli utenti verrà richiesto di fornire le proprie credenziali di dominio per un'ulteriore autenticazione rispetto al dominio dell'organizzazione. Per ulteriori informazioni, consulta Utilizzo di Active Directory con AppStream 2.0.

Se hai dubbi o hai bisogno di aiuto, contatta AWS Support Center.