本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 亚马逊应用程序中基于 Cookie 的身份验证 WorkSpaces WorkSpaces 应用程序使用浏览器 Cookie 对直播会话进行身份验证,并允许用户无需每次都重新输入登录凭据即可重新连接到活动会话。每种身份验证场景的身份验证令牌都存储在浏览器 Cookie 中。虽然 Cookie 是许多在线服务所必需的,但它们可能会面临 Cookie 被盗的风险。我们强烈建议您采取主动措施来防范 Cookie 被盗,例如为您用户的设备实施强大的端点保护解决方案。此外,为了减轻 Cookie 被盗事件的潜在影响,我们建议您考虑以下措施: + **强制执行单会话限制**:对于您的 WorkSpaces 应用程序 Windows 映像,请在下`HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management`创建一个注册表项,名称**max-concurrent-clients**设置为 1,以便一次只允许一个连接。这会将并发会话的数量限制为一个,并阻止对活动会话进行镜像。有关更多信息,请参阅 [session-management Parameters](https://docs.aws.amazon.com/dcv/latest/adminguide/config-param-ref.html#session_management)。 + **强制会话到期并重新进行身份验证** + 减少该 SessionDuration 值,使身份验证令牌在用户成功启动直播会话后过期。在 SessionDuration 到期后重复使用身份验证 Cookie 需要用户重新进行身份验证。 SessionDuration 指定在要求重新进行身份验证之前,用户的联合流媒体会话可以保持活动状态的最长时间。默认值为 60 分钟。有关更多信息,请参阅 [步骤 5:为 SAML 身份验证响应创建断言](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions)。 + 为了最大限度地提高安全性,用户应使用工具栏正确结束会话(终止会话),而不是关闭流式传输窗口。通过工具栏结束会话会同时终止用户会话和流式传输实例。这要求在未来访问时重新进行身份验证,以防止滥用 Cookie。如果用户在没有结束会话的情况下关闭流式传输窗口,则会话和实例将在可配置的断开连接超时时间(以分钟为单位)内保持活动状态。断开连接超时必须是 1 到 5760 之间的数字,默认值为 15 分钟。为防止滥用非活动会话,我们建议设置一个较短的断开连接超时时间。有关更多信息,请参阅 [在 Amazon WorkSpaces 应用程序中创建舰队](set-up-stacks-fleets-create.md)。 + 将@@ ** WorkSpaces 应用程序流式传输访问权限限制在您的 IP 范围内**:我们建议您实施基于 IP 的 IAM 策略。这样可以确保只能从 IP 地址属于授权 IP 范围的客户端访问 WorkSpaces 应用程序会话。即使客户端的 IP 地址位于授权范围之外的用户提供了其他有效的身份验证 Cookie(可能是从其他用户那里盗取的),其发起的所有连接尝试也都将被拒绝。有关更多信息,请参阅[限制对您的 IP 范围的 Amazon AppStream 2.0 应用程序的访问权限](https://aws.amazon.com/blogs/desktop-and-application-streaming/limit-access-to-stream-amazon-appstream-2-0-applications-to-your-ip-ranges/)。 + **添加其他身份验证**:要启动加入域的流式传输实例,您可以将 WorkSpaces 应用程序始终在线和按需 Windows 队列以及映像生成器加入到 Microsoft Active Directory 中的域,并使用现有的 Active Directory 域(基于云或本地)。在执行基于 SAML 的初始身份验证后,系统将提示您的用户提供其域凭据,以便针对组织域进行额外的身份验证。有关更多信息,请参阅 [将活动目录与 WorkSpaces 应用程序配合使用](active-directory.md)。 如果您有任何疑虑或需要帮助,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。