本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon AppStream 2.0 與 SAML 2.0 的集成
Amazon AppStream 2.0 透過安全聲明標記語言 AppStream 2.0 (SAML 2.0) 支援將身分聯合到 2.0 堆疊。您可以使用支援 SAML 2.0 的身分識別提供者 (IdP),例如 Windows 伺服器中的作用中目錄同盟服務 (AD FS)、Ping 一個同盟伺服器或確定 — 為 2.0 使用者提供上線流程。 AppStream
此功能為您的使用者提供使用現有身分認證的一鍵式存取其 AppStream 2.0 應用程式的便利性。您也可以享有 IdP 身分驗證帶來的安全優勢。透過使用 IdP,您可以控制哪些使用者可以存取特定的 AppStream 2.0 堆疊。
範例授權工作流程
下圖說明 AppStream 2.0 與第三方身分識別提供者 (IdP) 之間的驗證流程。在此範例中,系統管理員已設定登入頁面以存取 AppStream 2.0,稱為applications.exampleco.com
。該網頁使用符合 SAML 2.0 標準的聯合服務來觸發登入請求。管理員也設定了允許存取 AppStream 2.0 的使用者。
-
使用者瀏覽到
https://applications.exampleco.com
。登入頁面會要求使用者的身分驗證。 -
聯合服務要求組織的身分存放區提供身分驗證。
-
身分存放區驗證該名使用者,並向聯合服務傳回驗證回應。
-
身分驗證成功時,聯合服務會將 SAML 聲明發佈到使用者的瀏覽器。
-
使用者的瀏覽器將 SAML 宣告張貼到 AWS 登入 SAML 端點 ()。
https://signin.aws.amazon.com/saml
AWS 登入會收到 SAML 要求、處理要求、驗證使用者,並將驗證權杖轉寄至 2.0。 AppStream如需有關在 AWS GovCloud (US) 區域中使用 SAML 的資訊,請參閱AWS GovCloud (US) 使用者指南中的 AWS Identity and Access Management。
-
使用來自 AWS AppStream 2.0 的身份驗證令牌授權用戶並向瀏覽器顯示應用程序。
從使用者的觀點來看,此程序是以透明的方式進行。使用者會從組織的內部入口網站開始,並自動重新導向至 AppStream 2.0 應用程式入口網站,而不需要輸入 AWS 認證。