本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用第三方 2.0 Identity Provider SAML 的屬性型應用程式權限
應用程式許可控制對 AppStream 2.0 堆疊內特定應用程式的存取。這可透過使用第三方 SAML 2.0 身分提供者的 SAML 2.0 屬性宣告來運作。當使用者身分聯合到 AppStream 2.0 2.0 SAML 應用程式時,聲明會與值相符。如果權利為 true,且屬性名稱和值相符,則使用者身分有權存取堆疊內的一或多個應用程式。
使用第三方 2.0 SAML 身分提供者的屬性型應用程式權限不適用於下列情況。換句話說,在下列情況下會忽略權利:
-
AppStream 2.0 使用者集區身分驗證。如需詳細資訊,請參閱Amazon AppStream 2.0 使用者集區。
-
AppStream 2.0 串流URL身分驗證。如需詳細資訊,請參閱串流 URL。
-
為 Desktop Stream 檢視 設定 AppStream 2.0 機群時的桌面應用程式。 如需詳細資訊,請參閱建立 Amazon AppStream 2.0 機群和堆疊。
-
使用動態應用程序架構的堆疊。動態應用程式架構提供了不同的應用程式權利功能。如需詳細資訊,請參閱使用動態應用程式架構的動態應用程式提供者的應用程式權利。
-
當使用者聯合到 AppStream 2.0 應用程式目錄時,應用程式權限只會顯示使用者有權使用的應用程式。應用程式不會限制在 AppStream 2.0 工作階段中執行。例如,在設定使用桌面串流檢視的機群中,使用者可以直接從桌面啟動應用程式。
建立應用程式權利
您必須先執行下列操作,才能建立應用程式權利:
-
建立 AppStream 2.0 機群,並使用包含一或多個應用程式 (永遠在線或隨需機群) 或指派應用程式 (彈性機群) 的映像堆疊,以符合您的需求。如需詳細資訊,請參閱建立 Amazon AppStream 2.0 機群和堆疊。
-
使用第三方 2.0 SAML 身分提供者提供使用者對堆疊的存取權。如需詳細資訊,請參閱Amazon AppStream 2.0 與 2.0 SAML 整合。如果您使用先前設定的現有 SAML 2.0 身分提供者,請參閱 步驟 2:建立 SAML 2.0 聯合IAM角色 以取得將 sts:TagSession permission 新增至IAM角色信任政策的步驟。如需詳細資訊,請參閱在 AWS STS中傳入工作階段標籤。這是使用應用程式權利的必要許可。
建立應用程式權利
-
在左側導覽窗格中,選擇堆疊,然後選取要管理其應用程式權利的堆疊。
-
在應用程式權利對話方塊中,選擇建立。
-
輸入權利的名稱和說明。
-
定義權利的屬性名稱和值。
映射屬性時,請以 https://aws.amazon.com/SAML/屬性/PrincipalTag:{TagKey} 格式指定屬性,其中 {TagKey} 是下列屬性之一:
-
角色
-
department
-
組織
-
群組
-
標題
-
costCenter
-
userType
您定義的屬性用於在使用者聯合到 AppStream 2.0 工作階段時,將堆疊中的應用程式授予使用者。許可的運作方式是將屬性名稱與聯合期間建立的SAML宣告中的索引鍵值名稱進行比對。如需詳細資訊,請參閱SAML PrincipalTag 屬性 。
注意
任何支援的屬性都可包含一或多個值,須以冒號 (:) 分隔。
例如,群組資訊可以在SAML屬性名稱 https://aws.amazon.com/SAML/屬性/PrincipalTag:群組中傳遞,其值為「group1:group2:group3」,而且您的權限可以允許以單一群組值為基礎的應用程式,即「group1」。如需詳細資訊,請參閱SAML PrincipalTag 屬性 。
-
-
在堆疊中設定應用程式設定,以授予所有應用程式的權利,或選取應用程式。選擇所有應用程式 (*) 會套用堆疊上所有可用的應用程式,包括後續新增的應用程式。選擇選取應用程式將會依特定應用程式名稱進行篩選。
-
檢閱設定並建立權利。您可以重複此程序並建立其他權利。堆疊中應用程式的權利將是根據屬性名稱和值比對使用者之所有權利的聯集。
-
在 SAML 2.0 身分提供者中,設定 AppStream 2.0 SAML 應用程式屬性映射,以傳送您權利中定義的屬性和值。當使用者聯合到 AppStream 2.0 應用程式目錄時,應用程式權限只會顯示使用者有權使用的應用程式。
SAML 2.0 多堆疊應用程式目錄
透過使用第三方 2.0 SAML 身分提供者的屬性型應用程式權限,您可以從單一轉送狀態 啟用對多個堆疊的存取。 URL從轉送狀態 移除堆疊和應用程式 (如果有) 參數URL,如下所示:
https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens
當使用者聯合到 AppStream 2.0 應用程式目錄時,將顯示應用程式權限已針對與堆疊所在區域相關聯的帳戶 ID 和轉送狀態端點,將應用程式權限與使用者比對的所有堆疊。當使用者選取目錄時,應用程式權利只會顯示使用者有權使用的應用程式。如需詳細資訊,請參閱步驟 6:設定聯合的轉送狀態。
注意
若要使用 SAML 2.0 多堆疊應用程式目錄,您需要為 SAML 2.0 聯合IAM角色設定內嵌政策。如需詳細資訊,請參閱步驟 3:內嵌IAM角色的內嵌政策。
