Attributbasierte Anwendungsberechtigungen mithilfe eines Drittanbieter-SAML-2.0-Identitätsanbieters - Amazon AppStream 2.0
Erstellen von AnwendungsberechtigungenSAML-2.0-Multi-Stack-Anwendungskatalog

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Attributbasierte Anwendungsberechtigungen mithilfe eines Drittanbieter-SAML-2.0-Identitätsanbieters

Anwendungsberechtigungen steuern den Zugriff auf bestimmte Anwendungen in Ihren AppStream-2.0-Stacks. Dies funktioniert durch die Verwendung von SAML-2.0-Attribut-Assertionen von einem Drittanbieter-SAML-2.0-Identitätsanbieter. Die Assertion wird mit einem Wert abgeglichen, wenn eine Benutzeridentität mit einer AppStream-2.0-SAML-Anwendung verbunden wird. Wenn die Berechtigung wahr ist und der Attributname und der Wert übereinstimmen, ist der Zugriff der Benutzeridentität auf eine oder mehrere Anwendungen innerhalb des Stacks zulässig.

Attributbasierte Anwendungsberechtigungen, die einen Drittanbieter-SAML-2.0-Identitätsanbieter verwenden, sind in den folgenden Szenarien nicht anwendbar. Das heißt, die Berechtigung wird in den folgenden Fällen ignoriert:

  • Benutzerpoolauthentifizierung für AppStream 2.0. Weitere Informationen finden Sie unter AppStream-2.0-Benutzerpools.

  • Streaming-URL-Authentifizierung für AppStream 2.0. Weitere Informationen finden Sie unter Streamen URL.

  • Die Desktop-Anwendung, wenn AppStream-2.0-Flotten für die Desktop-Stream-Ansicht konfiguriert sind. Weitere Informationen finden Sie unter Erstellen Sie eine AppStream 2.0-Flotte und einen Stack.

  • Stacks, die das Dynamic Application Framework verwenden. Dynamic Application Framework bietet separate Funktionen für Anwendungsberechtigungen. Weitere Informationen finden Sie unter Anwendungsberechtigungen von einem Anbieter dynamischer Apps unter Verwendung des Dynamic Application Framework.

  • Wenn Benutzer einen Verbund mit dem AppStream-2.0-Anwendungskatalog herstellen, werden in den Anwendungsberechtigungen nur die Anwendungen angezeigt, für die der Benutzer berechtigt ist. Die Ausführung von Anwendungen innerhalb der AppStream-2.0-Sitzung ist nicht eingeschränkt. So kann ein Benutzer beispielsweise in einer Flotte, die für die Desktop-Stream-Ansicht konfiguriert ist, eine Anwendung direkt vom Desktop aus starten.

Erstellen von Anwendungsberechtigungen

Bevor Sie Anwendungsberechtigungen erstellen, müssen Sie die folgenden Schritte ausführen:

  • Erstellen Sie eine AppStream-2.0-Flotte und einen Stack mit einem Abbild, das eine oder mehrere Anwendungen (Always-On- oder On-Demand-Flotte) oder zugewiesene Anwendungen (Elastic-Flotte) enthält, die Ihren Anforderungen entsprechen. Weitere Informationen finden Sie unter Erstellen Sie eine AppStream 2.0-Flotte und einen Stack.

  • Stellen Sie Benutzern den Zugriff auf den Stack mithilfe eines Drittanbieter-SAML-2.0-Identitätsanbieters zur Verfügung. Weitere Informationen finden Sie unter Amazon AppStream 2.0-Integration mit SAML 2.0. Wenn Sie einen bestehenden SAML-2.0-Identitätsanbieter verwenden, den Sie zuvor eingerichtet haben, finden Sie unter Schritt 2: Erstellen Sie eine SAML IAM 2.0-Verbundrolle die Schritte zum Hinzufügen der Berechtigung sts:TagSession zu Ihrer IAM-Rollenvertrauensrichtlinie. Weitere Informationen finden Sie unter Übergeben von Sitzungs-Tags in AWS STS. Diese Berechtigung ist für die Verwendung von Anwendungsberechtigungen erforderlich.

So erstellen Sie eine Anwendungsberechtigung

  1. Öffnen Sie die AppStream-2.0-Konsole.

  2. Klicken Sie im linken Navigationsbereich auf Stacks und wählen Sie den Stack aus, für den Sie die Anwendungsberechtigungen verwalten möchten.

  3. Wählen Sie im Dialogfeld Anwendungsberechtigungen die Option Erstellen aus.

  4. Geben Sie einen Namen und eine Beschreibung für Ihre Berechtigung ein.

  5. Definieren Sie den Namen und den Wert des Attributs Ihrer Berechtigung.

    Geben Sie beim Zuordnen von Attributen das Attribut im Format https://aws.amazon.com/SAML/Attributes/PrincipalTag:{TagKey} an, wobei {TagKey} eines der folgenden Attribute ist:

    • Rollen

    • Abteilung

    • Organisation

    • Gruppen

    • Titel

    • costCenter

    • userType

    Die von Ihnen definierten Attribute werden verwendet, um Benutzern Berechtigungen für Anwendungen in Ihrem Stack zu erteilen, wenn sie in eine AppStream-2.0-Sitzung eingebunden werden. Die Berechtigung erfolgt durch den Abgleich des Attributnamens mit einem Schlüsselwertnamen in der SAML-Assertion, die während des Verbunds erstellt wurde. Weitere Informationen finden Sie unter SAML-PrincipalTag-Attribut.

    Anmerkung

    Ein oder mehrere Werte können in jedem unterstützten Attribut enthalten sein, getrennt durch einen Doppelpunkt (:).

    Beispielsweise können Gruppeninformationen in einem SAML-Attribut mit dem Namen https://aws.amazon.com/SAML/Attributes/PrincipalTag:groups und dem Wert „group1:group2:group3“ übergeben werden. Ihre Berechtigung kann dann Anwendungen auf Grundlage eines einzigen Gruppenwerts zulassen, z. B. „group1“. Weitere Informationen finden Sie unter SAML-PrincipalTag-Attribut.

  6. Konfigurieren Sie die Anwendungseinstellungen in Ihrem Stack, um alle Anwendungen zu berechtigen, oder wählen Sie Anwendungen aus. Wenn Sie Alle Anwendungen (*) auswählen, werden alle auf dem Stack verfügbaren Anwendungen angewendet, einschließlich der Anwendungen, die in Zukunft hinzugefügt werden. Wenn Sie Anwendungen auswählen auswählen, wird nach bestimmten Anwendungsnamen gefiltert.

  7. Überprüfen Sie Ihre Einstellungen und erstellen Sie Ihre Berechtigung. Sie können den Vorgang wiederholen und zusätzliche Berechtigungen erstellen. Die Berechtigung für Anwendungen in einem Stapel ist eine Vereinigung aller Berechtigungen, die dem Benutzer auf Grundlage der Attributnamen und -werte entsprechen.

  8. Konfigurieren Sie in Ihrem SAML-2.0-Identitätsanbieter die Zuordnungen der AppStream-2.0-SAML-Anwendungsattribute so, dass die in Ihrer Berechtigung definierten Attribute und Werte gesendet werden. Wenn Benutzer einen Verbund mit dem AppStream-2.0-Anwendungskatalog herstellen, werden in den Anwendungsberechtigungen nur die Anwendungen angezeigt, für die die Benutzer berechtigt sind.

SAML-2.0-Multi-Stack-Anwendungskatalog

Mit attributbasierten Anwendungsberechtigungen, die einen Drittanbieter-SAML-2.0-Identitätsanbieter verwenden, können Sie den Zugriff auf mehrere Stacks von einer einzigen Relay-State-URL aus ermöglichen. Entfernen Sie die Stack- und App-Parameter (falls vorhanden) wie folgt aus der Relay-State-URL:

https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens

Wenn Benutzer einen Verbund mit dem AppStream-2.0-Anwendungskatalog herstellen, werden ihnen alle Stacks angezeigt, bei denen Anwendungsberechtigungen dem Benutzer eine oder mehrere Anwendungen für die Konto-ID und den Relay-Status-Endpunkt zugeordnet haben, die mit der Region verbunden sind, in der sich Ihre Stacks befinden. Wenn ein Benutzer einen Katalog auswählt, werden in den Anwendungsberechtigungen nur die Anwendungen angezeigt, für die der Benutzer berechtigt ist. Weitere Informationen finden Sie unter Schritt 6: Konfigurieren des RelayState für den Verbund.

Anmerkung

Konfigurieren Sie die Inline-Richtlinie für Ihre IAM-Rolle im SAML-2.0-Verbund, um SAML-2.0-Multi-Stack-Anwendungskataloge zu verwenden. Weitere Informationen finden Sie unter Schritt 3: Betten Sie eine Inline-Richtlinie für die IAM Rolle ein.