本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊 2.0 中基于 Cookie 的身份验证 AppStream
AppStream 2.0 使用浏览器 Cookie 对直播会话进行身份验证,并允许用户无需每次都重新输入登录凭据即可重新连接到活动会话。每种身份验证场景的身份验证令牌都存储在浏览器 Cookie 中。虽然 Cookie 是许多在线服务所必需的,但它们可能会面临 Cookie 被盗的风险。我们强烈建议您采取主动措施来防范 Cookie 被盗,例如为您用户的设备实施强大的端点保护解决方案。此外,为了减轻 Cookie 被盗事件的潜在影响,我们建议您考虑以下措施:
-
强制执行单会话限制:对于 AppStream 2.0 Windows 映像,请在下
HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management创建一个注册表项,名称max-concurrent-clients设置为 1,以便一次只允许一个连接。这会将并发会话的数量限制为一个,并阻止对活动会话进行镜像。有关更多信息,请参阅 session-management Parameters。 -
强制会话到期并重新进行身份验证
-
减少该 SessionDuration 值,使身份验证令牌在用户成功启动直播会话后过期。 sessionDuration 过期后重复使用身份验证 Cookie 需要用户重新进行身份验证。 SessionDuration 指定在要求重新进行身份验证之前,用户的联合流媒体会话可以保持活动状态的最长时间。默认值为 60 分钟。有关更多信息,请参阅 步骤 5:为SAML身份验证响应创建断言。
-
为了最大限度地提高安全性,用户应使用工具栏正确结束会话(终止会话),而不是关闭流式传输窗口。通过工具栏结束会话会同时终止用户会话和流式传输实例。这要求在未来访问时重新进行身份验证,以防止滥用 Cookie。如果用户在没有结束会话的情况下关闭流式传输窗口,则会话和实例将在可配置的断开连接超时时间(以分钟为单位)内保持活动状态。断开连接超时必须是 1 到 5760 之间的数字,默认值为 15 分钟。为防止滥用非活动会话,我们建议设置一个较短的断开连接超时时间。有关更多信息,请参阅 在 Amazon AppStream 2.0 中创建实例集。
-
-
将对 Stream AppStream 2.0 应用程序的访问限制在您的 IP 范围内:我们建议您实施基于 IP 的IAM策略。这可确保只能从 IP 地址属于授权 IP 范围的客户端访问 AppStream 2.0 会话。即使客户端的 IP 地址位于授权范围之外的用户提供了其他有效的身份验证 Cookie(可能是从其他用户那里盗取的),其发起的所有连接尝试也都将被拒绝。有关更多信息,请参阅限制对您的 IP 范围的 Amazon AppStream 2.0 应用程序的访问权限
。 -
添加其他身份验证:要启动加入域的流媒体实例,你可以加入你的 AppStream 2.0 Always-On 和按需 Windows 队列以及映像生成器加入 Microsoft Active Directory 中的域,并使用你现有的活动目录域,无论是基于云的还是本地的。在SAML基于初始的身份验证后,系统将提示您的用户提供其域凭据,以便针对组织域进行其他身份验证。有关更多信息,请参阅 在 AppStream 2.0 中使用活动目录。
如果您有任何疑虑或需要帮助,请联系 AWS Support 中心
