Amazon AppStream 2.0 與 SAML 2.0 的集成 - Amazon AppStream 2.0
範例授權工作流程

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon AppStream 2.0 與 SAML 2.0 的集成

Amazon AppStream 2.0 透過安全聲明標記語言 AppStream 2.0 (SAML 2.0) 支援將身分聯合到 2.0 堆疊。您可以使用支援 SAML 2.0 的身分識別提供者 (IdP),例如 Windows 伺服器中的作用中目錄同盟服務 (AD FS)、Ping 一個同盟伺服器或確定 — 為 2.0 使用者提供上線流程。 AppStream

此功能為您的使用者提供使用現有身分認證的一鍵式存取其 AppStream 2.0 應用程式的便利性。您也可以享有 IdP 身分驗證帶來的安全優勢。透過使用 IdP,您可以控制哪些使用者可以存取特定的 AppStream 2.0 堆疊。

範例授權工作流程

下圖說明 AppStream 2.0 與第三方身分識別提供者 (IdP) 之間的驗證流程。在此範例中,系統管理員已設定登入頁面以存取 AppStream 2.0,稱為applications.exampleco.com。該網頁使用符合 SAML 2.0 標準的聯合服務來觸發登入請求。管理員也設定了允許存取 AppStream 2.0 的使用者。

Amazon AppStream 2.0 桑爾圖

  1. 使用者瀏覽到 https://applications.exampleco.com。登入頁面會要求使用者的身分驗證。

  2. 聯合服務要求組織的身分存放區提供身分驗證。

  3. 身分存放區驗證該名使用者,並向聯合服務傳回驗證回應。

  4. 身分驗證成功時,聯合服務會將 SAML 聲明發佈到使用者的瀏覽器。

  5. 使用者的瀏覽器將 SAML 宣告張貼到 AWS 登入 SAML 端點 ()。https://signin.aws.amazon.com/saml AWS 登入會收到 SAML 要求、處理要求、驗證使用者,並將驗證權杖轉寄至 2.0。 AppStream

    如需有關在 AWS GovCloud (US) 區域中使用 SAML 的資訊,請參閱AWS GovCloud (US) 使用者指南中的 AWS Identity and Access Management

  6. 使用來自 AWS AppStream 2.0 的身份驗證令牌授權用戶並向瀏覽器顯示應用程序。

從使用者的觀點來看,此程序是以透明的方式進行。使用者會從組織的內部入口網站開始,並自動重新導向至 AppStream 2.0 應用程式入口網站,而不需要輸入 AWS 認證。