SAML のセットアップ - Amazon AppStream 2.0
前提条件ステップ 1: で SAML ID プロバイダーを作成する AWS IAMステップ 2: 2SAML.0 フェデレーションIAMロールを作成するステップ 3: IAM ロールにインラインポリシーを埋め込むステップ 4: SAMLベースの IdP を設定するステップ 5: SAML認証レスポンスのアサーションを作成するステップ 6: フェデレーションのリレーステートを設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SAML のセットアップ

ユーザーが既存の認証情報を使用して AppStream 2.0 にサインインし、アプリケーションのストリーミングを開始するには、 2.0 SAML を使用して ID フェデレーションを設定できます。これを行うには、 IAMロールとリレーステートを使用して URL 2.0 準拠の ID SAML プロバイダー (IdP) を設定し、 を有効に AWS してフェデレーティッドユーザーが AppStream 2.0 スタックにアクセスできるようにします。IAM ロールは、スタックへのアクセス許可をユーザーに付与します。リレーステートは、 AWSによる認証に成功した後にユーザーが転送されるスタックポータルです。

前提条件

2.0 SAML 接続を設定する前に、次の前提条件を満たしてください。

  1. SAMLとの信頼関係を確立するように ベースの IdP を設定します AWS。

    • 組織のネットワーク内で、 SAMLベースの IdP で動作するように ID ストアを設定します。設定のリソースについては、AppStream 2.0 と SAML 2.0 の統合 を参照してください。

    • SAMLベースの IdP を使用して、組織を IdP として記述するフェデレーションメタデータドキュメントを生成およびダウンロードします。この署名付きXMLドキュメントは、証明書利用者の信頼を確立するために使用されます。このファイルを、後でIAMコンソールからアクセスできる場所に保存します。

  2. AppStream 2.0 マネジメントコンソールを使用して AppStream 2.0 スタックを作成します。このトピックで後述するように、IAMポリシーを作成し、IdP と AppStream 2.0 の統合を設定するには、スタック名が必要です。

    AppStream 2.0 スタックは、 AppStream 2.0 マネジメントコンソール、、 AWS CLIまたは AppStream 2.0 を使用して作成できますAPI。詳細については、「Amazon AppStream 2.0 フリートとスタックを作成する」を参照してください。

ステップ 1: で SAML ID プロバイダーを作成する AWS IAM

まず、 で SAML IdP を作成します AWS IAM。この IdP は、組織内の IdP ソフトウェアによって生成されたメタデータドキュメントを使用して、組織の IdP とAWS 信頼の関係を定義します。詳細については、「 IAMユーザーガイド」のSAML「ID プロバイダーの作成と管理 (Amazon Web Services マネジメントコンソール)」を参照してください。 AWS GovCloud (US) リージョンSAML IdPs での の操作については、 AWS GovCloud (US) ユーザーガイドAWS Identity and Access Management を参照してください。

ステップ 2: 2SAML.0 フェデレーションIAMロールを作成する

次に、2.0 SAML フェデレーションIAMロールを作成します。この手順では、IAM と組織の IdP 間に、IdP をフェデレーションの信頼されるエンティティと識別する信頼関係を確立します。

IdP の SAML IAMロールを作成するには

  1. https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。

  2. ナビゲーションペインで [ロール][ロールの作成] の順に選択します。

  3. ロールタイプで、SAML2.0 フェデレーションを選択します。

  4. Provider でSAML、作成した SAML IdP を選択します。

    重要

    2 つの SAML 2.0 アクセス方法 (プログラムによるアクセスのみを許可するか、プログラムによるアクセスと Amazon Web Services マネジメントコンソールへのアクセスを許可する) のいずれも選択しないでください。

  5. 属性で、SAML:sub_type を選択します。

  6. [値] に「https://signin.aws.amazon.com/saml」と入力します。この値は、永続の 値を持つSAMLサブジェクトタイプアサーションを含むSAMLユーザーストリーミングリクエストへのロールアクセスを制限します。SAML:sub_type が永続的である場合、IdP は特定のユーザーからのすべてのSAMLリクエストで NameID 要素に同じ一意の値を送信します。SAML:sub_type アサーションの詳細については、「 SAMLベースのフェデレーションを使用したアクセス」の「 ベースのフェデレーションでのユーザーの一意な識別」セクションを参照してください。 SAML API AWS

  7. 2.0 SAML の信頼情報を確認し、正しい信頼されたエンティティと条件を確認し、次へ: アクセス許可を選択します。

  8. [アクセス権限ポリシーをアタッチする] ページで、[Next: Tags] を選択します。

  9. (オプション) 追加する各タグのキーと値を入力します。詳細については、「IAM ユーザーとロールのタグ付け」を参照してください。

  10. 終了したら、[Next: Review] を選択します。後でこのロールにインラインポリシーを作成して埋め込みます。

  11. [Role name] (ロール名) に、このロールの目的を識別できる名前を入力します。なぜなら複数エンティティがロールを参照している可能性があります。ロールが作成された後のロールの名前の編集はできません。

  12. (オプション) [ロールの説明] に、新しいロールの説明を入力します。

  13. ロールの詳細を確認し、[ロールの作成] を選択します。

  14. (オプション) サードパーティーの SAML2.0 ID プロバイダーまたは証明書ベースの認証を使用してセッションコンテキストまたは属性ベースのアプリケーションの使用権限を使用する場合は、新しいIAMロールの信頼ポリシーに sts:TagSession permission を追加する必要があります。詳細については、「サードパーティーの SAML 2.0 アイデンティティプロバイダーを使用した属性ベースのアプリケーションの使用権限」および「AWS STSでのセッションタグの受け渡し」を参照してください。

    新しいIAMロールの詳細で、信頼関係タブを選択し、信頼関係の編集を選択します。[信頼関係の編集] ポリシーエディタが起動します。sts:TagSession アクセス許可を次のように追加します。

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/IDENTITY-PROVIDER"
      },
      "Action": [
        "sts:AssumeRoleWithSAML",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "SAML:sub_type": "persistent"
        }
      }
    }
  ]
}

    をステップ 1 SAML で作成した IdP の名前IDENTITY-PROVIDERに置き換えます。次に、[Update Trust Policy] (信頼ポリシーの更新) を選択します。

ステップ 3: IAM ロールにインラインポリシーを埋め込む

次に、作成したロールにインライン IAM ポリシーを埋め込みます。インラインポリシーを埋め込むと、ポリシーのアクセス許可が、間違ったプリンシパルエンティティにアタッチされることを回避できます。インラインポリシーは、作成した AppStream 2.0 スタックへのアクセス権をフェデレーティッドユーザーに付与します。

  1. 作成した IAM ロールの詳細で、[Permissions (アクセス許可)] タブを選択し、[Add inline policy (インラインポリシーの追加)] を選択します。ポリシーの作成ウィザードが起動します。

  2. ポリシーの作成で、 JSONタブを選択します。

  3. 次のJSONポリシーをコピーしてJSONウィンドウに貼り付けます。次に、 AWS リージョン コード、アカウント ID、スタック名を入力してリソースを変更します。次のポリシーでは、 "Action": "appstream:Stream"は、作成したスタックのストリーミングセッションに接続するためのアクセス許可を AppStream 2.0 ユーザーに付与するアクションです。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "appstream:Stream",
      "Resource": "arn:aws:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME",
      "Condition": {
          "StringEquals": {
              "appstream:userId": "${saml:sub}"           
          }
        }
    }
  ]
}

    を、your AppStream 2.0 スタックが存在する AWS リージョンREGION-CODEに置き換えます。をスタックの名前STACK-NAMEに置き換えます。 STACK-NAMEでは大文字と小文字が区別され、 AppStream 2.0 マネジメントコンソールの スタックダッシュボードに表示されるスタック名と大文字と小文字とスペルが完全に一致する必要があります。

    AWS GovCloud (US) リージョンのリソースの場合は、 に次の形式を使用しますARN。

    arn:aws-us-gov:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME

  4. (オプション) 2.0 マルチスタック Application Catalog でサードパーティーの 2SAML.0 ID プロバイダーを使用して属性ベースのアプリケーション使用権限を使用する予定の場合、IAMロールインラインポリシーのリソースは"Resource": "arn:aws:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/*"、アプリケーション使用権限がスタックへのストリーミングアクセスを制御できるようにする必要があります。 SAML スタックリソースに追加の保護を適用するには、ポリシーに明示的拒否を追加します。詳細については、「サードパーティーの SAML 2.0 アイデンティティプロバイダーを使用した属性ベースのアプリケーションの使用権限」、および「ポリシーの評価論理」を参照してください。

  5. 完了したら、[ポリシーの確認] をクリックします。構文エラーがある場合は、Policy Validator (ポリシー検証) によってレポートされます。

ステップ 4: SAMLベースの IdP を設定する

次に、 SAMLベースの IdP によっては、https://signin.aws.amazon.com/static/saml-metadata.xmlsaml-metadata.xmlファイルを IdP にアップロードして、サービスプロバイダー AWS として信頼するように IdP を手動で更新する必要がある場合があります。このステップは、IdP のメタデータを更新します。場合によっては IdPs、更新がすでに設定されている可能性があります。この場合は、次のステップに進みます。

IdP でこの更新がまだ設定されていない場合には、IdP から提供されるドキュメンテーションでメタデータを更新する方法に関する情報を確認します。一部のプロバイダーでは、 と入力するオプションが提供されておりURL、IdP が ファイルを取得してインストールします。それ以外の場合は、 からファイルをダウンロードしURL、ローカルファイルとして指定する必要があります。

ステップ 5: SAML認証レスポンスのアサーションを作成する

次に、IdP が認証レスポンスのSAML属性 AWS として に送信する情報を設定する必要がある場合があります。IdP によっては、この情報はすでに設定されています。この場合、この手順をスキップしてステップ 6 に進みます。

この情報がまだ設定されていない場合は、IdP で次を実行します。

  • SAML Subject NameID – サインインしているユーザーの一意の識別子。

    注記

    ドメイン結合フリートを持つスタックの場合、ユーザーの NameID 値は、sAMAccount名前domain\usernameを使用して「」、または username@domain.comを使用して「」の形式で指定する必要があります userPrincipalName。Name 形式を使用している場合は、Net sAMAccountBIOS 名または完全修飾ドメイン名 () domainを使用して を指定できますFQDN。sAMAccount名前形式は、Active Directory の一方向信頼シナリオで必要です。詳細については、「Active Directory を AppStream 2.0 で使用する」を参照してください。

  • SAML サブジェクトタイプ (値を に設定persistent) – IdP が特定のユーザーからのすべてのSAMLリクエストでNameID要素に同じ一意の値を送信するpersistentように 値を設定します。「」で説明されているようにpersistent、SAMLsub_type が に設定されているSAMLリクエストのみを許可する条件がIAMポリシーに含まれていることを確認してくださいステップ 2: 2SAML.0 フェデレーションIAMロールを作成する

  • Attribute Name 属性が https://aws.amazon.com/SAML/Attributes/Role に設定された 要素 – この要素には、ユーザーが IdP によってマッピングされるIAMロールと SAML IdP を一覧表示する 1 つ以上のAttributeValue要素が含まれます。ロールと IdP は、カンマで区切られた のペアとして指定されますARNs。

  • Attribute Name 属性が https://aws.amazon.com/SAML/Attributes/ に設定された 要素RoleSessionName – この要素には、 に発行される AWS 一時的な認証情報の識別子を提供する AttributeValue要素が 1 つ含まれていますSSO。AttributeValue 要素の値は 2~64 文字で、英数字、アンダースコア、および + (プラス記号)、= (等号)、, (カンマ)、. (ピリオド)、@ (アットマーク)、- (ハイフン) のみで構成する必要があります。スペースを含めることはできません。通常、この値はユーザー ID (bobsmith) またはメールアドレス (bobsmith:bobsmith@example.com) になります。ユーザーの表示名 (Bob Smith) のように、スペースを含む値とすることはできません。

  • Attribute Name 属性が https://aws.amazon.com/SAML/Attributes/PrincipalTag:SessionContext (オプション) に設定されている 要素 – この要素には、ストリーミングアプリケーションにセッションコンテキストパラメータを渡すために使用できるパラメータを提供する 1 つの AttributeValue 要素が含まれています。詳細については、「Amazon AppStream 2.0 のセッションコンテキスト」を参照してください。

  • Attribute Name 属性が https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid (オプション) に設定された 要素 – この要素には、サインインしているユーザーの Active Directory セキュリティ識別子 (SID) を提供する AttributeValue 要素が 1 つ含まれています。このパラメータを証明書ベースの認証で使用すると、Active Directory ユーザーへの強力なマッピングが可能になります。

  • Attribute Name 属性が https://aws.amazon.com/SAML/Attributes/PrincipalTag:Domain (オプション) に設定された 要素 – この要素には、サインインしているユーザーの Active Directory DNS完全修飾ドメイン名 (FQDN) を提供する 1 つの AttributeValue 要素が含まれています。このパラメータは、ユーザーの Active Directory userPrincipalName に代替サフィックスが含まれている場合に、証明書ベースの認証で使用されます。値は、サブドメインを含め、domain.com の形式で指定する必要があります。

  • Attribute SessionDuration 属性が https://aws.amazon.com/SAML/Attributes/SessionDuration (オプション) に設定された 要素 – この要素には、再認証が必要になる前にユーザーのフェデレーティッドストリーミングセッションをアクティブのままにできる最大時間を指定する AttributeValue要素が 1 つ含まれています。デフォルト値は 60 分 (3,600 秒) です。詳細については、「認証レスポンスのアサーションの設定」の SessionDuration 「 属性を https://aws.amazon.com/SAML/Attributes/ に設定したオプションの属性要素SessionDuration」セクションを参照してください。 SAML

    注記

    SessionDuration はオプションの属性ですが、SAMLレスポンスに含めることをお勧めします。この属性を指定しない場合、セッション時間はデフォルト値の 60 分に設定されます。

    ユーザーが AppStream 2.0 ネイティブクライアントを使用するか、新しいエクスペリエンスでウェブブラウザを使用して AppStream 2.0 でストリーミングアプリケーションにアクセスする場合、セッション期間が終了するとセッションは切断されます。ユーザーが古い/クラシックエクスペリエンスでウェブブラウザを使用して 2.0 の AppStreamストリーミングアプリケーションにアクセスする場合、ユーザーのセッション期間が終了し、ブラウザページが更新されると、セッションは切断されます。

これらの要素を設定する方法の詳細については、 IAMユーザーガイドの「認証レスポンスのSAMLアサーションの設定」を参照してください。IdP に特定の設定要件に関する詳細は、IdP のドキュメンテーションを参照してください。

ステップ 6: フェデレーションのリレーステートを設定する

最後に、IdP を使用して、 AppStream 2.0 スタックのリレーステート を指すようにフェデレーションのリレーステートを設定しますURL。による認証に成功すると AWS、ユーザーはSAML認証レスポンスでリレーステートとして定義された AppStream 2.0 スタックポータルに移動します。

リレーステートの形式URLは次のとおりです。

https://relay-state-region-endpoint?stack=stackname&accountId=aws-account-id-without-hyphens

Amazon Web Services アカウント ID、スタック名、およびスタックが配置されているリージョンに関連付けられたリレーステートエンドポイントURLからリレーステートを構築します。

オプションで、自動的に起動するアプリケーションの名前を指定できます。アプリケーション名を検索するには、 AppStream 2.0 コンソールでイメージを選択し、アプリケーションタブを選択し、アプリケーション名列に表示される名前を書き留めます。または、イメージをまだ作成していない場合は、アプリケーションをインストールした Image Builder に接続し、Image Assistant を開きます。アプリケーション名は [Add Apps] タブに表示されます。

[Desktop (デスクトップ)] ストリームビューに対してフリートが有効になっている場合は、オペレーティングシステムのデスクトップに直接起動することもできます。これを行うには、リレーステート のDesktop最後に URLを指定します&app=

ID プロバイダー (IdP) が開始するフローでは、システムのデフォルトブラウザで、ユーザーが IdP にサインインし、IdP ユーザーポータルから AppStream 2.0 アプリケーションを選択すると、次のオプションを使用して、システムのデフォルトブラウザの AppStream 2.0 サインインページにリダイレクトされます。

  • ブラウザで続行

  • Open AppStream 2.0 クライアント

ページで、ユーザーはブラウザまたは AppStream 2.0 クライアントアプリケーションでセッションを開始できます。必要に応じて、2.0 SAML フェデレーションに使用するクライアントを指定することもできます。これを行うには、 の後にリレーステート の末尾webに URLnativeまたは を指定します&client=。パラメータがリレーステート に存在する場合URL、対応するセッションは、ユーザーが選択しなくても、指定されたクライアントで自動的に開始されます。

注記

この機能は、新しいリレーステートリージョンエンドポイント (以下の表 1) を使用してリレーステート を構築しURL、 AppStream 2.0 クライアントバージョン 1.1.1300 以降を使用する場合にのみ使用できます。また、ユーザーは常にシステムのデフォルトブラウザを使用して IdP にサインインする必要があります。この機能は、デフォルト以外のブラウザを使用している場合は動作しません。

サードパーティーの 2.0 ID SAML プロバイダーを使用する属性ベースのアプリケーション使用権限を使用すると、単一のリレーステート から複数のスタックへのアクセスを有効にすることができますURL。次のようにURL、リレーステート からスタックとアプリケーション (存在する場合) パラメータを削除します。

https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens

ユーザーが AppStream 2.0 アプリケーションカタログにフェデレーションすると、スタックが配置されているリージョンに関連付けられたアカウント ID とリレーステートエンドポイントについて、アプリケーションの使用権限が 1 つ以上のアプリケーションをユーザーと一致させたすべてのスタックが表示されます。ユーザーがカタログを選択すると、アプリケーションの使用権限には、そのユーザーが資格を持つアプリケーションのみが表示されます。

注記

ユーザーは複数のスタックから同時にストリーミングすることはできません。

詳細については、「サードパーティーの SAML 2.0 アイデンティティプロバイダーを使用した属性ベースのアプリケーションの使用権限」を参照してください。

以下の表 1 に、 AppStream 2.0 が利用可能なリージョンのリレーステートエンドポイントを示します。表 1 のリレーステートエンドポイントは、AppStream 2.0 Web ブラウザアクセス (バージョン 2) および Windows クライアントアプリケーションバージョン 1.1.1300 以降と互換性があります。古いバージョンの Windows クライアントを使用している場合は、表 2 に記載されている古いリレーステートエンドポイントを使用して 2.0 SAML フェデレーションを設定する必要があります。FIPS準拠の接続を使用してユーザーをストリーミングする場合は、 FIPS準拠のエンドポイントを使用する必要があります。FIPS エンドポイントの詳細については、「FIPS エンドポイントを使用した転送中のデータの保護」を参照してください。

表 1: AppStream 2.0 リレーステートリージョンエンドポイント (推奨)
リージョン リレーステートのエンドポイント
米国東部 (バージニア北部)

https://appstream2.euc-sso.us-east-1.aws.amazon.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-east-1.aws.amazon.com/saml
米国東部 (オハイオ) https://appstream2.euc-sso.us-east-2.aws.amazon.com/saml
米国西部 (オレゴン)

https://appstream2.euc-sso.us-west-2.aws.amazon.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-west-2.aws.amazon.com/saml
アジアパシフィック (ムンバイ) https://appstream2.euc-sso.ap-south-1.aws.amazon.com/saml
アジアパシフィック (ソウル) https://appstream2.euc-sso.ap-northeast-2.aws.amazon.com/saml
アジアパシフィック (シンガポール) https://appstream2.euc-sso.ap-southeast-1.aws.amazon.com/saml
アジアパシフィック (シドニー) https://appstream2.euc-sso.ap-southeast-2.aws.amazon.com/saml
アジアパシフィック (東京) https://appstream2.euc-sso.ap-northeast-1.aws.amazon.com/saml

カナダ (中部)

 https://appstream2.euc-sso.ca-central-1.aws.amazon.com/saml
欧州 (フランクフルト) https://appstream2.euc-sso.eu-central-1.aws.amazon.com/saml
欧州 (アイルランド) https://appstream2.euc-sso.eu-west-1.aws.amazon.com/saml
欧州 (ロンドン) https://appstream2.euc-sso.eu-west-2.aws.amazon.com/saml
AWS GovCloud (米国東部)

https://appstream2.euc-sso.us-gov-east-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com/saml

注記

AWS GovCloud (US) リージョンでの AppStream 2.0 の使用の詳細については、AWS GovCloud (US) 「 ユーザーガイド」の「Amazon AppStream 2.0」を参照してください。
AWS GovCloud (米国西部)

https://appstream2.euc-sso.us-gov-west-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com/saml

注記

AWS GovCloud (US) リージョンでの AppStream 2.0 の使用の詳細については、AWS GovCloud (US) 「 ユーザーガイド」の「Amazon AppStream 2.0」を参照してください。
南米 (サンパウロ) https://appstream2.euc-sso.sa-east-1.aws.amazon.com/saml

次の表 2 は、現在も利用可能な古いリレーステートエンドポイントを示しています。ただし、表 1 にリストされている新しいリレーステートエンドポイントを使用して 2.0 SAML フェデレーションを設定することをお勧めします。特に、新しいリレーステートエンドポイントを使用すると、ユーザーが IdP 開始ストリーミングセッションから AppStream 2.0 クライアントアプリケーション (バージョン 1.1.1300 以降) を起動できるようになります。また、表 1 の新しいリレーステートエンドポイントでは、ユーザーは ongoing AppStream 2.0 ストリーミングセッションに影響を与えることなく、同じウェブブラウザの異なるタブで他の AWS アプリケーションにサインインできます。これは、表 2 の古いリレーステートエンドポイントではサポートされていません。詳細については、「My AppStream 2.0 クライアントユーザーは、60 分ごとに AppStream 2.0 セッションから切断されます。」を参照してください

表 2: Old AppStream 2.0 リレーステートリージョンエンドポイント (非推奨)
リージョン リレーステートのエンドポイント
米国東部 (バージニア北部)

https://appstream2.us-east-1.aws.amazon.com/saml

(FIPS) https://appstream2-fips.us-east-1.aws.amazon.com/saml
米国東部 (オハイオ) https://appstream2.us-east-2.aws.amazon.com/saml
米国西部 (オレゴン)

https://appstream2.us-west-2.aws.amazon.com/saml

(FIPS) https://appstream2-fips.us-west-2.aws.amazon.com/saml
アジアパシフィック (ムンバイ) https://appstream2.ap-south-1.aws.amazon.com/saml
アジアパシフィック (ソウル) https://appstream2.ap-northeast-2.aws.amazon.com/saml
アジアパシフィック (シンガポール) https://appstream2.ap-southeast-1.aws.amazon.com/saml
アジアパシフィック (シドニー) https://appstream2.ap-southeast-2.aws.amazon.com/saml
アジアパシフィック (東京) https://appstream2.ap-northeast-1.aws.amazon.com/saml

カナダ (中部)

 https://appstream2.ca-central-1.aws.amazon.com/saml
欧州 (フランクフルト) https://appstream2.eu-central-1.aws.amazon.com/saml
欧州 (アイルランド) https://appstream2.eu-west-1.aws.amazon.com/saml
欧州 (ロンドン) https://appstream2.eu-west-2.aws.amazon.com/saml
AWS GovCloud (米国東部)

https://appstream2.us-gov-east-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2-fips.us-gov-east-1.amazonaws-us-gov.com/saml

注記

AWS GovCloud (US) リージョンでの AppStream 2.0 の使用の詳細については、AWS GovCloud (US) 「 ユーザーガイド」の「Amazon AppStream 2.0」を参照してください。
AWS GovCloud (米国西部)

https://appstream2.us-gov-west-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2-fips.us-gov-west-1.amazonaws-us-gov.com/saml

注記

AWS GovCloud (US) リージョンでの AppStream 2.0 の使用の詳細については、AWS GovCloud (US) 「 ユーザーガイド」の「Amazon AppStream 2.0」を参照してください。
南米 (サンパウロ) https://appstream2.sa-east-1.aws.amazon.com/saml

以下の表 3 に、リレーステート の構築に使用できるすべてのパラメータを示しますURL。

表 3: リレー状態URLパラメータ
[Parameter] (パラメータ) 必須 形式 サポート
accountId 必須 12 文字の AWS アカウント ID 表 1 および 2 の新しいエンドポイントと古いエンドポイント
スタック オプションです。 スタックの名前 表 1 および 2 の新しいエンドポイントと古いエンドポイント
アプリケーション オプションです。 アプリケーション名または「デスクトップ」 表 1 および 2 の新しいエンドポイントと古いエンドポイント
クライアント オプションです。 「ネイティブ」または「ウェブ」 表 1 のみに示されている新しいエンドポイント