翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Amazon WorkSpaces アプリケーションでの Cookie ベースの認証 WorkSpaces Applications はブラウザ Cookie を使用してストリーミングセッションを認証し、ユーザーがサインイン認証情報を毎回再入力することなく、アクティブなセッションに再接続できるようにします。認証トークンは、すべての認証シナリオについてブラウザ Cookie に保存されます。Cookie は多くのオンラインサービスに必要ですが、Cookie 盗難攻撃に対して脆弱である可能性があります。ユーザーのデバイスに堅牢なエンドポイント保護ソリューションを実装するなど、Cookie の盗難を防ぐための予防的な対策を講じることを強くお勧めします。さらに、Cookie の盗難による潜在的な影響を軽減するために、以下のアクションを検討することをお勧めします。 + **シングルセッション制限を適用する**: WorkSpaces Applications Windows イメージの場合、一度に 1 つの接続のみを許可するように、**max-concurrent-clients** という名前`HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management`を 1 に設定して にレジストリキーを作成します。これにより、同時セッションの数が 1 に制限され、アクティブなセッションのミラーリングがブロックされます。詳細については、「[session-management パラメータ](https://docs.aws.amazon.com/dcv/latest/adminguide/config-param-ref.html#session_management)」を参照してください。 + **セッションの有効期限と再認証を強制する** + ユーザーがストリーミングセッションを正常に開始した後に認証トークンの有効期限が切れるように、SessionDuration 値を小さくします。sessionDuration の有効期限が切れた後に認証 Cookie を再利用するには、ユーザーが自身を再認証する必要があります。SessionDuration は、再認証が必要となるまでに、ユーザーのフェデレーティッドストリーミングセッションをアクティブにしておくことができる最大時間を指定します。デフォルト値は 60 分です。詳細については、「[ステップ 5: SAML 認証レスポンスのアサーションを作成する](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions)」を参照してください。 + セキュリティを最大化するために、ユーザーはストリーミングウィンドウを閉じるのではなく、ツールバー (セッションを終了) でセッションを適切に終了する必要があります。ツールバーを使用してセッションを終了すると、ユーザーセッションとストリーミングインスタンスの両方が終了します。そのためには、今後のアクセスのために再認証が必要であり、Cookie の誤用を防ぎます。ユーザーがセッションを終了せずにストリーミングウィンドウを閉じると、セッションとインスタンスは設定可能な切断タイムアウト期間 (分単位) の間アクティブのままになります。切断タイムアウトは 1~5760 の数値で、デフォルト値は 15 分である必要があります。非アクティブなセッションの誤用を防ぐため、短い切断タイムアウトを設定することをお勧めします。詳細については、「[Amazon WorkSpaces アプリケーションでフリートを作成する](set-up-stacks-fleets-create.md)」を参照してください。 + **WorkSpaces アプリケーションのストリーミングへのアクセスを IP 範囲に制限する**: IP ベースの IAM ポリシーを実装することをお勧めします。これにより、IP アドレスが承認された IP 範囲に属するクライアントからのみ WorkSpaces アプリケーションセッションにアクセスできます。クライアントの IP アドレスが認可範囲外であるユーザーが開始した接続試行はすべて、それ以外の有効な認証 Cookie (ユーザーから盗まれた可能性がある) を提示している場合でも拒否されます。詳細については、「[Limit access to stream Amazon AppStream 2.0 applications to your IP ranges](https://aws.amazon.com/blogs/desktop-and-application-streaming/limit-access-to-stream-amazon-appstream-2-0-applications-to-your-ip-ranges/)」を参照してください。 + **追加の認証を追加する**: ドメイン結合ストリーミングインスタンスを起動するには、WorkSpaces Applications Always-On およびオンデマンドの Windows フリートと Image Builder を Microsoft Active Directory のドメインに結合し、クラウドベースのドメインまたはオンプレミスの既存の Active Directory ドメインを使用できます。最初の SAML ベースの認証後、ユーザーは組織ドメインに対する追加の認証のためにドメイン認証情報を提供するように求められます。詳細については、「[Using Active Directory with WorkSpaces Applications](active-directory.md)」を参照してください。 心配なことやサポートが必要な場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/)にお問い合わせください。