기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # Amazon WorkSpaces 애플리케이션의 쿠키 기반 인증 WorkSpaces 애플리케이션은 브라우저 쿠키를 사용하여 스트리밍 세션을 인증하고 사용자가 매번 로그인 자격 증명을 다시 입력하지 않고도 활성 세션에 다시 연결할 수 있도록 합니다. 인증 토큰은 모든 인증 시나리오에 대해 브라우저 쿠키에 저장됩니다. 쿠키는 많은 온라인 서비스에 필요하지만 쿠키 도용 공격에 취약할 수 있습니다. 사용자 디바이스에 강력한 엔드포인트 보호 솔루션을 구현하는 등 쿠키 도용을 방지하기 위한 사전 조치를 취할 것을 강력히 권장합니다. 또한 쿠키 도용 시 발생할 수 있는 영향을 완화하기 위해 다음 조치를 고려하는 것이 좋습니다. + **단일 세션 제한 적용**: WorkSpaces 애플리케이션 Windows 이미지`HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management`의 경우 **max-concurrent-clients** 이름이 1로 설정된 레지스트리 키를에 생성하여 한 번에 하나의 연결만 허용합니다. 이렇게 하면 동시 세션 수가 1개로 제한되고 활성 세션의 미러링이 차단됩니다. 자세한 내용은 [session-management 파라미터](https://docs.aws.amazon.com/dcv/latest/adminguide/config-param-ref.html#session_management)를 참조하세요. + **세션 만료 및 재인증 적용** + 사용자가 스트리밍 세션을 성공적으로 시작하면 인증 토큰이 만료되도록 SessionDuration 값을 줄입니다. sessionDuration이 만료된 후 인증 쿠키를 재사용하려면 사용자가 스스로 재인증해야 합니다. SessionDuration은 재인증이 필요하기 전에 사용자의 페더레이션 스트리밍 세션이 활성 상태로 유지될 수 있는 최대 시간을 지정합니다. 기본값은 60분입니다. 자세한 내용은 [5단계: SAML 인증 응답을 위한 어설션 생성](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions) 단원을 참조하십시오. + 보안을 극대화하려면 사용자는 스트리밍 창을 닫는 대신 도구 모음(세션 종료)을 사용하여 세션을 올바르게 종료해야 합니다. 도구 모음을 통해 세션을 종료하면 사용자 세션과 스트리밍 인스턴스가 모두 종료됩니다. 이 경우 향후 액세스를 위해 재인증이 필요하므로 쿠키 오용을 방지할 수 있습니다. 사용자가 세션을 종료하지 않고 스트리밍 창을 닫는 경우 세션과 인스턴스는 구성 가능한 연결 해제 제한 시간(분) 동안 활성 상태로 유지됩니다. 연결 해제 제한 시간은 1\$15760 범위의 숫자여야 하며 기본값은 15분입니다. 비활성 세션의 오용을 방지하려면 짧은 연결 해제 제한 시간을 설정하는 것이 좋습니다. 자세한 내용은 [Amazon WorkSpaces 애플리케이션에서 플릿 생성](set-up-stacks-fleets-create.md) 단원을 참조하십시오. + **WorkSpaces 애플리케이션 애플리케이션을 IP 범위로 스트리밍하기 위한 액세스를 제한합니다**. IP 기반 IAM 정책을 구현하는 것이 좋습니다. 이렇게 하면 IP 주소가 승인된 IP 범위에 속하는 클라이언트에서만 WorkSpaces 애플리케이션 세션에 액세스할 수 있습니다. 사용자가 승인된 범위를 벗어난 클라이언트 IP 주소로 연결을 시도할 경우, 유효한 인증 쿠키(사용자로부터 도용되었을 가능성이 있는 쿠키)를 제출하더라도 모든 연결 시도가 거부됩니다. 자세한 내용은 [Amazon AppStream 2.0 애플리케이션 스트리밍 액세스를 IP 범위로 제한](https://aws.amazon.com/blogs/desktop-and-application-streaming/limit-access-to-stream-amazon-appstream-2-0-applications-to-your-ip-ranges/)을 참조하세요. + **추가 인증 추가**: 도메인에 조인된 스트리밍 인스턴스를 시작하려면 WorkSpaces 애플리케이션 올웨이즈 온 및 온디맨드 Windows 플릿 및 이미지 빌더를 Microsoft Active Directory의 도메인에 조인하고 클라우드 기반 또는 온프레미스의 기존 Active Directory 도메인을 사용할 수 있습니다. 초기 SAML 기반 인증 후 사용자는 조직 도메인에 대한 추가 인증을 위해 도메인 자격 증명을 제공하라는 메시지가 표시됩니다. 자세한 내용은 [WorkSpaces 애플리케이션에서 Active Directory 사용](active-directory.md) 단원을 참조하십시오. 궁금한 점이 있거나 도움이 필요한 경우 [AWS Support Center](https://console.aws.amazon.com/support/home#/)에 문의하세요.