Autenticação baseada em cookies no Amazon 2.0 AppStream - Amazon AppStream 2.0

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autenticação baseada em cookies no Amazon 2.0 AppStream

AppStream 2.0 usa cookies do navegador para autenticar sessões de streaming e permitir que os usuários se reconectem a uma sessão ativa sem precisar inserir novamente suas credenciais de login todas as vezes. Os tokens de autenticação são armazenados nos cookies do navegador para cada cenário de autenticação. Embora os cookies sejam necessários para muitos serviços on-line, eles podem ser vulneráveis a ataques de roubo de cookies. É altamente recomendável que você tome medidas proativas para evitar o roubo de cookies, como implementar soluções robustas de proteção de endpoints para os dispositivos dos usuários. Além disso, para mitigar o impacto potencial no caso de roubo de cookies, recomendamos que você considere as seguintes ações:

  • Imponha um limite de sessão única: para suas imagens AppStream 2.0 do Windows, crie uma chave de registro abaixo HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management com o nome max-concurrent-clientsdefinido como 1 para permitir apenas uma conexão por vez. Isso limita o número de sessões simultâneas a uma e bloqueia o espelhamento de sessões ativas. Para obter mais informações, consulte session-management Parameters.

  • Impor a expiração e a reautenticação da sessão

    • Reduza o SessionDuration valor para que o token de autenticação expire depois que o usuário iniciar com êxito a sessão de streaming. A reutilização de cookies de autenticação após a sessionDuration expiração exige que os usuários se autentiquem novamente. SessionDuration especifica o tempo máximo em que uma sessão de streaming federada para um usuário pode permanecer ativa antes que a reautenticação seja necessária. O valor padrão são 60 minutos. Para obter mais informações, consulte Etapa 5: Criar afirmações para a resposta de SAML autenticação.

    • Para ajudar a maximizar a segurança, os usuários devem encerrar as sessões adequadamente com a barra de ferramentas (encerrar sessão), em vez de fechar a janela de streaming. Encerrar a sessão por meio da barra de ferramentas encerra tanto a sessão do usuário quanto a instância de streaming. Isso requer nova autenticação para acesso futuro, evitando o uso indevido de cookies. Se um usuário fechar a janela de streaming sem encerrar a sessão, a sessão e a instância permanecerão ativas por um tempo limite de desconexão configurável (em minutos). O tempo limite de desconexão deve ser um número entre 1 e 5.760, com um valor padrão de 15 minutos. Para evitar o uso indevido de sessões inativas, recomendamos definir um tempo limite de desconexão curto. Para obter mais informações, consulte Crie uma frota na Amazon AppStream 2.0.

  • Limite o acesso aos aplicativos de stream AppStream 2.0 aos seus intervalos de IP: recomendamos que você implemente IAM políticas baseadas em IP. Isso garante que as sessões AppStream 2.0 só possam ser acessadas por clientes cujo endereço IP pertença a um intervalo de IP autorizado. Todas as tentativas de conexão iniciadas por um usuário cujo endereço IP do cliente esteja fora de um intervalo autorizado serão negadas, mesmo que ele esteja apresentando um cookie de autenticação válido (possivelmente roubado de um usuário). Para obter mais informações, consulte Limitar o acesso para transmitir aplicativos Amazon AppStream 2.0 aos seus intervalos de IP.

  • Adicione autenticação adicional: para iniciar instâncias de streaming associadas ao domínio, você pode unir suas frotas e criadores de imagens do Windows AppStream 2.0 Always-On e On-Demand aos domínios no Microsoft Active Directory e usar seus domínios existentes do Active Directory, baseados na nuvem ou no local. Após a autenticação inicial SAML baseada, seus usuários serão solicitados a fornecer suas credenciais de domínio para autenticação adicional no domínio organizacional. Para obter mais informações, consulte Usando o Active Directory com AppStream 2.0.

Se você tiver alguma dúvida ou precisar de ajuda, entre em contato com a Central do AWS Support.