2.0 SAML を WorkSpaces Personal と統合する - Amazon WorkSpaces
認証ワークフロー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

2.0 SAML を WorkSpaces Personal と統合する

注記

SAML 2.0 は、 WorkSpaces 個人用ディレクトリが で管理されている場合にのみ使用できます。 AWS Directory Service Simple AD、AD Connector、 を含む AWS Managed Microsoft AD ディレクトリ。この機能は、Amazon によって管理されるディレクトリには適用されません。通常 WorkSpaces、Amazon は 2.0 フェデレーションの代わりに IAM Identity Center SAML をユーザー認証に使用します。

デスクトップセッション認証 WorkSpaces 用に SAML 2.0 を と統合すると、ユーザーはデフォルトのウェブブラウザから既存の SAML 2.0 ID プロバイダー (IdP) の認証情報と認証方法を使用できます。IdP を使用して のユーザーを認証することで WorkSpaces、多要素認証やコンテキストに応じたアクセスポリシーなどの IdP 機能を採用 WorkSpaces することで を保護できます。

認証ワークフロー

以下のセクションでは、 WorkSpaces クライアントアプリケーション、 WorkSpaces Web Access、および 2.0 ID プロバイダー (IdP) SAML によって開始される認証ワークフローについて説明します。

  • フローが IdP によって開始されるとき。たとえば、ユーザーが IdP ユーザーポータルのアプリケーションをウェブブラウザで選択したときです。

  • フローが WorkSpaces クライアントによって開始されたとき。たとえば、ユーザーがクライアントを開いてサインインしたときです。

  • WorkSpaces Web Access によってフローが開始されたとき。たとえば、ユーザーがブラウザで Web Access を開いてサインインしたときです。

これらの例では、ユーザーは「user@example.com」と入力して IdP にサインインします。IdP には WorkSpaces ディレクトリ用に設定された SAML 2.0 サービスプロバイダーアプリケーションがあり、ユーザーは 2.0 アプリケーションに対して WorkSpaces SAML承認されます。ユーザーは WorkSpace 、2.0 認証が有効になっているディレクトリにuserユーザー名 の SAML を作成します。さらに、ユーザーはデバイスにWorkSpaces クライアントアプリケーションをインストールするか、ウェブブラウザで Web Access を使用します。

クライアントアプリケーションを使用したID プロバイダー (IdP) 主導フロー

IdP が開始するフローにより、ユーザーは登録コードを入力することなく、デバイスに WorkSpaces クライアントアプリケーションを自動的に WorkSpaces 登録できます。ユーザーは IdP によって開始された flow WorkSpaces を使用して自分の にサインインしません。 WorkSpaces 認証はクライアントアプリケーションから発信される必要があります。

  1. ユーザーはウェブブラウザを使用して、IdP にサインインします。

  2. IdP にサインインすると、ユーザーは IdP ユーザーポータルから WorkSpaces アプリケーションを選択します。

  3. ユーザーはブラウザでこのページにリダイレクトされ、 WorkSpaces クライアントアプリケーションが自動的に開きます。

    WorkSpaces アプリケーションリダイレクトページを開く

  4. これで WorkSpaces クライアントアプリケーションが登録され、ユーザーは「 へのサインインに進む」をクリックして引き続きサインイン WorkSpacesできます。

ウェブアクセスを使用した ID プロバイダー (IdP) 主導フロー

IdP が開始するウェブアクセスフローにより、ユーザーは登録コードを入力することなく、ウェブブラウザ WorkSpaces を介して を自動的に WorkSpaces 登録できます。ユーザーは IdP によって開始されたフロー WorkSpaces を使用して自分の にサインインしません。 WorkSpaces 認証は Web Access から発信される必要があります。

  1. ユーザーはウェブブラウザを使用して、IdP にサインインします。

  2. IdP にサインインすると、ユーザーは IdP ユーザーポータルから WorkSpaces アプリケーションをクリックします。

  3. ユーザーはブラウザでこのページにリダイレクトされます。を開くには WorkSpaces、ブラウザ WorkSpaces で Amazon を選択します。

    WorkSpaces アプリケーションリダイレクトページを開く

  4. これで、 WorkSpaces クライアントアプリケーションが登録され、ユーザーは WorkSpaces 引き続き Web Access を通じてサインインできます。

WorkSpaces クライアント開始フロー

クライアントが開始するフローでは、ユーザーは IdP にサインイン WorkSpaces した後に にサインインできます。

  1. ユーザーは WorkSpaces クライアントアプリケーションを起動し (まだ実行されていない場合)、「 へのサインイン WorkSpacesを続ける」をクリックします。

  2. ユーザーはデフォルトのウェブブラウザにリダイレクトされ、IdP にサインインします。ユーザーがブラウザで既に IdP にサインインしている場合、再度サインインする必要はなく、このステップをスキップします。

  3. IdP にサインインすると、ユーザーはポップアップにリダイレクトされます。プロンプトに従うと、ウェブブラウザーがクライアントアプリケーションを開くことができます。

    クライアントアプリケーションのプロンプトを開きます。

  4. ユーザーは WorkSpaces クライアントアプリケーションにリダイレクトされ、自分の へのサインインを完了します WorkSpace。 WorkSpaces ユーザー名は IdP 2SAML.0 アサーションから自動的に入力されます。 証明書ベースの認証 (CBA) を使用すると、ユーザーは自動的にサインインします。

  5. ユーザーは にサインインします WorkSpace。

WorkSpaces ウェブアクセス開始フロー

ウェブアクセス開始フローでは、ユーザーは IdP にサインイン WorkSpaces した後に にサインインできます。

  1. ユーザーは WorkSpaces ウェブアクセスを起動し、 にサインインを選択します。

  2. 同じブラウザータブで、ユーザーは IdP ポータルにリダイレクトされます。ユーザーがブラウザで既に IdP にサインインしている場合、再度サインインする必要はなく、このステップをスキップできます。

  3. IdP にサインインすると、ユーザーはブラウザでこのページにリダイレクトされ、 にログインをクリックします WorkSpaces

  4. WorkSpace. WorkSpaces usernames へのサインインを完了するために WorkSpaces クライアントアプリケーションにリダイレクトされたユーザーは、IdP 2SAML.0 アサーションから自動的に入力されます。 証明書ベースの認証 (CBA) を使用すると、ユーザーは自動的にサインインします。

  5. ユーザーは にサインインします WorkSpace。