Einrichten von SAML - Amazon AppStream 2.0
VoraussetzungenSchritt 1: Erstellen Sie einen SAML-Identitätsanbieter in IAM AWSSchritt 2: Erstellen einer IAM-Rolle für den SAML-2.0-VerbundSchritt 3: Einbetten einer Inline-Richtlinie für die IAM-RolleSchritt 4: Konfigurieren Ihres SAML-basierten IdPSchritt 5: Erstellen von Zusicherungen für die SAML-AuthentifizierungsantwortSchritt 6: Konfigurieren des RelayState für den Verbund

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten von SAML

Damit sich Benutzer mit ihren vorhandenen Anmeldeinformationen bei AppStream 2.0 anmelden und Streaming-Anwendungen starten können, können Sie einen Identitätsverbund mit SAML 2.0 einrichten. Verwenden Sie dazu eine IAM-Rolle und eine Relay-State-URL, um Ihren SAML 2.0-kompatiblen Identitätsanbieter (IdP) zu konfigurieren und Ihren Verbundbenutzern den Zugriff auf einen 2.0-Stack AWS zu ermöglichen. AppStream Die IAM-Rolle erteilt den Benutzern Berechtigungen für den Zugriff auf den Stack. Der RelayState ist das Stack-Portal, an das Benutzer nach einer erfolgreichen Authentifizierung durch AWS weitergeleitet werden.

Voraussetzungen

Erfüllen Sie die folgenden Voraussetzungen, bevor Sie Ihre SAML 2.0-Verbindung konfigurieren.

  1. Konfigurieren Sie den auf SAML basierenden Identitätsanbieter, um eine Vertrauensbeziehung mit AWS einzurichten.

    • Konfigurieren Sie im Netzwerk Ihrer Organisation Ihren Identitätsspeicher für die Arbeit mit einem SAML-basierten Identitätsanbieter. Weitere Informationen über die Konfiguration von Ressourcen finden Sie unter AppStream 2.0 Integration mit SAML 2.0.

    • Verwenden Sie Ihren auf SAML basierenden Identitätsanbieter, um ein verbundenes Metadatendokument herunterzuladen, in dem Ihre Organisation als Identitätsanbieter beschrieben wird. Dieses signierte XML-Dokument wird verwendet, um die Vertrauensstellung für die vertrauenden Seiten einzurichten. Speichern Sie diese Datei an einem Standort, auf den Sie später von der IAM-Konsole aus zugreifen können.

  2. Verwenden Sie die AppStream 2.0-Managementkonsole, um einen 2.0-Stack zu erstellen. AppStream Sie benötigen den Stacknamen, um die IAM-Richtlinie zu erstellen und Ihre IdP-Integration mit AppStream 2.0 zu konfigurieren, wie weiter unten in diesem Thema beschrieben.

    Sie können einen AppStream 2.0-Stack mithilfe der AppStream 2.0-Verwaltungskonsole oder der AWS CLI AppStream 2.0-API erstellen. Weitere Informationen finden Sie unter Erstellen Sie eine AppStream 2.0-Flotte und einen Stack.

Schritt 1: Erstellen Sie einen SAML-Identitätsanbieter in IAM AWS

Erstellen Sie zunächst einen SAML-IdP in AWS IAM. Dieser IdP definiert die Beziehung zwischen IdP und AWS Trust Ihrer Organisation anhand des Metadatendokuments, das von der IdP-Software in Ihrer Organisation generiert wurde. Weitere Informationen finden Sie unter Erstellen und Verwalten eines SAML-Identitätsanbieters (Amazon-Web-Services-Managementkonsole) im IAM-Benutzerhandbuch. Informationen zur Arbeit mit SAML IdPs in den AWS GovCloud (US) Regionen finden Sie unter AWS Identity and Access Management im AWS GovCloud (US) Benutzerhandbuch.

Schritt 2: Erstellen einer IAM-Rolle für den SAML-2.0-Verbund

Anschließend erstellen Sie eine IAM-Rolle für den SAML-2.0-Verbund. Dieser Schritt stellt eine Vertrauensstellung zwischen IAM und dem IdP Ihrer Organisation her, die Ihren IdP als vertrauenswürdige Entität für den Verbund identifiziert.

So erstellen Sie eine IAM;-Rolle für den SAML-IdP

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Roles (Rollen) und Create Role (Rolle erstellen) aus.

  3. Wählen Sie für Role type (Rollentyp) die Option SAML 2.0 federation (SAML 2.0 Verbund).

  4. Wählen Sie für SAML Provider (SAML-Anbieter) den erstellten SAML-Identitätsanbieter aus.

    Wichtig

    Wählen Sie keine der beiden SAML-2.0-Zugriffsmethoden (Nur programmgesteuerten Zugriff erlauben oder Programmatischen Zugriff und Zugriff auf die Amazon–Web-Services-Managementkonsole zulassen) aus.

  5. Wählen Sie unter Attribut die Option SAML:aud aus.

  6. Geben Sie für Wert https://signin.aws.amazon.com/saml ein. Dieser Schritt schränkt den Rollenzugriff auf Streaming-Anfragen von SAML-Benutzern ein, die eine SAML-Subjekttypangabe mit dem Wert „persistent“ enthalten. Wenn der SAML:sub_type „persistent“ ist, sendet Ihr IdP denselben eindeutigen Wert für das NameID-Element in allen SAML-Anfragen von einem bestimmten Benutzer. Weitere Informationen zur Behauptung SAML:sub_type finden Sie im Abschnitt Eindeutige Identifizierung von Benutzern in einem SAML-basierten Verbund unter Verwenden eines SAML-basierten Verbunds für den API-Zugriff auf. AWS

  7. Überprüfen Sie Ihre SAML 2.0-Vertrauensinformationen, um die richtige vertrauenswürdige Entität und Bedingung sicherzustellen, und wählen Sie dann Next: Permissions (Weiter: Berechtigungen).

  8. Wählen Sie auf der Seite Attach permissions policies (Berechtigungsrichtlinien hinzufügen) Next: Tags (Weiter: Tags) aus.

  9. (Optional) Geben Sie einen Schlüssel und einen Wert für jedes Tag ein, das Sie hinzufügen möchten. Weitere Informationen finden Sie unter Markieren von IAM-Benutzern und -Rollen.

  10. Klicken Sie abschließend auf Weiter: Überprüfen. Sie erstellen später eine Inline-Richtlinie für diese Rolle und betten diese ein.

  11. Geben Sie unter Rollenname einen Rollennamen ein, der Ihnen hilft, den Zweck dieser Rolle zu identifizieren. Da verschiedene Entitäten möglicherweise auf die Rolle verweisen, können Sie den Namen der Rolle nach der Erstellung nicht mehr bearbeiten.

  12. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung für die neue Rolle ein.

  13. Prüfen Sie die Rollendetails und wählen Sie Create Role (Rolle erstellen).

  14. (Optional) Wenn Sie Sitzungskontext- oder attributbasierte Anwendungsberechtigungen mithilfe eines SAML 2.0-Identitätsanbieters eines Drittanbieters oder zertifikatsbasierter Authentifizierung verwenden möchten, müssen Sie die STS: -Berechtigung zur Vertrauensrichtlinie Ihrer neuen IAM-Rolle hinzufügen. TagSession Weitere Informationen finden Sie unter Attributbasierte Anwendungsberechtigungen mithilfe eines Drittanbieter-SAML-2.0-Identitätsanbieters und Übergeben von Sitzungs-Tags in AWS STS.

    Wählen Sie auf der Detailseite für Ihre neue IAM-Rolle die Registerkarte Vertrauensstellung und anschließend Vertrauensstellung bearbeiten aus. Der Richtlinieneditor zum Bearbeiten der Vertrauensstellung wird gestartet. Fügen Sie die STS: -Berechtigung wie folgt hinzu: TagSession

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/IDENTITY-PROVIDER"
      },
      "Action": [
        "sts:AssumeRoleWithSAML",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "SAML:sub_type": "persistent"
        }
      }
    }
  ]
}

    Ersetzen Sie IDENTITÄTSANBIETER durch den Namen des SAML IdP, den Sie in Schritt 1 erstellt haben. Wählen Sie Vertrauensrichtlinie aktualisieren aus.

Schritt 3: Einbetten einer Inline-Richtlinie für die IAM-Rolle

Anschließend betten Sie eine IAM-Richtlinie für die erstellte Rolle ein. Bei der Einbettung einer eingebundenen Richtlinie können die Berechtigungen der Richtlinie nicht versehentlich an die falsche Prinzipal-Entität angefügt werden. Die Inline-Richtlinie gewährt Verbundbenutzern Zugriff auf den AppStream 2.0-Stack, den Sie erstellt haben.

  1. Wählen Sie in den Details für die von Ihnen erstellte IAM-Rolle die Registerkarte Berechtigungen und dann die Option Inline-Richtlinie hinzufügen aus. Der Assistent zum Erstellen von Richtlinien wird gestartet.

  2. Wählen Sie unter Create policy (Richtlinie erstellen) die Registerkarte JSON.

  3. Kopieren Sie die folgende JSON-Richtlinie und fügen Sie sie in das JSON-Fenster ein. Ändern Sie dann die Ressource, indem Sie Ihren AWS-Region Code, Ihre Konto-ID und Ihren Stacknamen eingeben. In der folgenden Richtlinie erhalten Ihre AppStream 2.0-Benutzer die Berechtigung, "Action": "appstream:Stream" eine Verbindung zu Streaming-Sitzungen auf dem von Ihnen erstellten Stack herzustellen. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "appstream:Stream",
      "Resource": "arn:aws:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME",
      "Condition": {
          "StringEquals": {
              "appstream:userId": "${saml:sub}"           
          }
        }
    }
  ]
}

    Ersetzen Sie REGION-CODE durch die AWS Region, in der Ihr AppStream 2.0-Stack existiert. Ersetzen Sie STACK-NAME durch den Namen des Stacks. STACK-NAME unterscheidet Groß- und Kleinschreibung und muss exakt der Groß- und Kleinschreibung des Stack-Namens entsprechen, der im Stacks-Dashboard der 2.0-Managementkonsole angezeigt wird. AppStream

    Verwenden Sie für Ressourcen in den AWS GovCloud (US) Regionen das folgende Format für den ARN:

    arn:aws-us-gov:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME

  4. (Optional) Wenn Sie planen, attributbasierte Anwendungsberechtigungen unter Verwendung eines Drittanbieter-SAML-2.0-Identitätsanbieters mit SAML 2.0 Multi-Stack-Anwendungskatalogen zu verwenden, muss die Ressource in Ihrer Inline-Richtlinie für die IAM-Rolle "Resource": "arn:aws:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/*" so lauten, dass Anwendungsberechtigungen den Streaming-Zugriff auf Stacks steuern können. Sie können der Richtlinie eine explizite Zugriffsverweigerung hinzufügen, um zusätzlichen Schutz für eine Stack-Ressource durchzusetzen. Weitere Informationen finden Sie unter Attributbasierte Anwendungsberechtigungen mithilfe eines Drittanbieter-SAML-2.0-Identitätsanbieters und Auswertungslogik für Richtlinien.

  5. Klicken Sie abschließend auf Review policy (Richtlinie überprüfen). Die Richtlinienvalidierung meldet mögliche Syntaxfehler.

Schritt 4: Konfigurieren Ihres SAML-basierten IdP

Als Nächstes müssen Sie, abhängig von Ihrem SAML-basierten IdP, Ihren IdP möglicherweise manuell aktualisieren, damit er AWS als Dienstanbieter vertrauenswürdig ist, indem Sie die saml-metadata.xml Datei unter https://signin.aws.amazon.com/static/saml-metadata.xml auf Ihren IdP hochladen. Dieser Schritt aktualisiert die Metadaten Ihres IdP. Für einige ist das Update IdPs möglicherweise bereits konfiguriert. In diesem Fall fahren Sie mit dem nächsten Schritt fort.

Wenn diese Aktualisierung in Ihrem IdP noch nicht konfiguriert ist, lesen Sie in der Dokumentation Ihres IdP nach, wie die Metadaten zu aktualisieren sind. Bei einigen Anbietern können Sie die URL eingeben, woraufhin der Identitätsanbieter die Datei für Sie abruft und installiert. Bei anderen Anbietern müssen Sie die Datei über eine URL herunterladen und dann als lokale Datei bereitstellen.

Schritt 5: Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort

Als Nächstes müssen Sie möglicherweise die Informationen, an die Ihr IdP sendet, AWS als SAML-Attribute in seiner Authentifizierungsantwort konfigurieren. Je nach Ihrem IdP sind diese Informationen möglicherweise bereits vorkonfiguriert. Wenn dies der Fall ist, überspringen Sie diesen Schritt und fahren Sie mit Schritt 6 fort.

Wenn diese Informationen in Ihrem Identitätsanbieter noch nicht konfiguriert sind, führen Sie die folgenden Schritte aus:

  • SAML Subject NameID – Die eindeutige ID für den Benutzer, der sich anmeldet.

    Anmerkung

    Für Stacks mit in eine Domäne eingebundenen Flotten muss der NameID-Wert für den Benutzer im Format "" mit dem SaM AccountName oder "domain\username" mit angegeben werden. username@domain.com userPrincipalName Wenn Sie das AccountName SaM-Format verwenden, können Sie das entweder domain mithilfe des NetBIOS-Namens oder des vollqualifizierten Domänennamens (FQDN) angeben. Das AccountName SaM-Format ist für unidirektionale Active Directory-Vertrauensszenarien erforderlich. Weitere Informationen finden Sie unter Verwenden von Active Directory mit AppStream 2.0.

  • SAML-Subjekttyp (mit dem Wert persistent) – Durch Verwendung des Werts persistent stellen Sie sicher, dass Ihr IdP in allen SAML-Anfragen von einem bestimmten Benutzer dasselbe NameID-Element sendet. Stellen Sie sicher, dass Ihre IAM-Richtlinie eine Bedingung enthält, um ausschließlichen SAML-Anfragen mit dem SAML sub_type persistent zulässt, wie in Schritt 2: Erstellen einer IAM-Rolle für den SAML-2.0-Verbund beschrieben.

  • Attribute-Element mit dem Name-Attribut https://aws.amazon.com/SAML/Attributes/Role – Dieses Element enthält ein oder mehrere AttributeValue-Elemente, die die IAM-Rollen und den SAML IdP auflisten, denen der Benutzer durch Ihren IdP zugeordnet ist. Die Rolle und der IdP werden durch Kommas getrennte Liste von ARN-Paaren angegeben.

  • AttributeElement mit dem auf https://aws.amazon.com/SAML/Attributes/ RoleSession Name gesetzten Name Attribut — Dieses Element enthält ein AttributeValue Element, das eine Kennung für die AWS temporären Anmeldeinformationen bereitstellt, die für SSO ausgestellt werden. Der Wert des AttributeValue-Elements muss zwischen 2 und 64 Zeichen lang sein und darf nur alphanumerische Zeichen, Unterstriche und die folgenden Zeichen enthalten: + (Pluszeichen), = (Gleichheitszeichen), , (Komma), . (Punkt), @ (At-Symbol) und - (Bindestrich). Er darf keine Leerzeichen enthalten. Der Wert ist in der Regel eine Benutzer-ID (bobsmith) oder eine E-Mail-Adresse (bobsmith@beispiel.com). Er sollte kein , der ein enthält, z. B. der Anzeigename eines Benutzers (Bob Smith).

  • AttributeElement, bei dem das Name Attribut auf https://aws.amazon.com/SAML/Attributes/ gesetzt istPrincipalTag: SessionContext (optional) — Dieses Element enthält ein AttributeValue Element, das Parameter bereitstellt, mit denen Sitzungskontextparameter an Ihre Streaming-Anwendungen übergeben werden können. Weitere Informationen finden Sie unter Sitzungskontext.

  • AttributeElement, bei dem das Name Attribut auf https://aws.amazon.com/SAML/Attributes/PrincipalTag: gesetzt ist ObjectSid (optional) — Dieses Element enthält ein AttributeValue Element, das die Active Directory-Sicherheitskennung (SID) für den Benutzer bereitstellt, der sich anmeldet. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung verwendet, um eine sichere Zuordnung zu Active-Directory-Benutzern zu ermöglichen.

  • AttributeElement, bei dem das Name Attribut auf https://aws.amazon.com/SAML/Attributes/:Domain gesetzt ist PrincipalTag (optional) — Dieses Element enthält ein ElementAttributeValue, das den vollqualifizierten DNS-Domänennamen (FQDN) für den Benutzer bereitstellt, der sich anmeldet. Dieser Parameter wird bei der zertifikatsbasierten Authentifizierung verwendet, wenn der Active Directory userPrincipalName für den Benutzer ein alternatives Suffix enthält. Der Wert muss im Format domain.com angegeben werden, einschließlich aller Subdomains.

  • AttributeElement, bei dem das SessionDuration Attribut auf https://aws.amazon.com/SAML/Attributes/ gesetzt ist SessionDuration (optional) — Dieses Element enthält ein AttributeValue Element, das angibt, wie lange eine föderierte Streaming-Sitzung für einen Benutzer maximal aktiv bleiben kann, bevor eine erneute Authentifizierung erforderlich ist. Der Standardwert liegt bei 60 Minuten (3600 Sekunden). Weitere Informationen finden Sie im SessionDuration Abschnitt Ein optionales Attributelement mit einem auf https://aws.amazon.com/SAML/Attributes/ gesetzten SessionDuration Attribut unter Konfiguration von SAML-Assertionen für die Authentifizierungsantwort.

    Anmerkung

    Auch wenn es sich bei SessionDuration um ein optionales Attribut handelt, wird empfohlen, es in die SAML-Antwort aufzunehmen. Wenn Sie dieses Attribut nicht angeben, wird für die Sitzungsdauer ein Standardwert von 60 Minuten festgelegt.

    Wenn Ihre Benutzer auf ihre Streaming-Anwendungen in AppStream 2.0 zugreifen, indem sie den nativen AppStream 2.0-Client oder den Webbrowser in der neuen Umgebung verwenden, werden ihre Sitzungen nach Ablauf der Sitzungsdauer getrennt. Wenn Ihre Benutzer auf der alten/klassischen Oberfläche mit einem Webbrowser auf ihre Streaming-Anwendungen in AppStream 2.0 zugreifen, werden ihre Sitzungen getrennt, nachdem die Sitzungsdauer der Benutzer abgelaufen ist und sie ihre Browserseite aktualisiert haben.

Weitere Informationen über die Konfiguration dieser Elemente finden Sie unter Konfigurieren von SAML-Zusicherungen für die Authentifizierungsantwort im IAM-Benutzerhandbuch. Weitere Informationen zu spezifischen Konfigurationsanforderungen für Ihren IdP finden Sie in der Dokumentation zu Ihrem IdP.

Schritt 6: Konfigurieren des RelayState für den Verbund

Verwenden Sie abschließend Ihren IdP, um den Relay-Status Ihres Verbunds so zu konfigurieren, dass er auf die AppStream 2.0-Stack-Relay-State-URL verweist. Nach erfolgreicher Authentifizierung von AWS wird der Benutzer zum AppStream 2.0-Stack-Portal weitergeleitet, das in der SAML-Authentifizierungsantwort als Relay-Status definiert ist.

Die RelayState-URL hat folgendes Format:

https://relay-state-region-endpoint?stack=stackname&accountId=aws-account-id-without-hyphens

Erstellen Sie die RelayState-URL anhand Ihrer Amazon-Web-Services-Konto-ID, dem Stack-Namen und dem RelayState-Endpunkt der Region, in der sich der Stack befindet.

Optional können Sie den Namen der Anwendung angeben, die Sie automatisch starten möchten. Um den Namen der Anwendung zu finden, wählen Sie das Bild in der AppStream 2.0-Konsole aus, wählen Sie die Registerkarte Anwendungen und notieren Sie sich den Namen, der in der Spalte Anwendungsname angezeigt wird. Wenn Sie das Abbild noch nicht erstellt haben, stellen Sie eine Verbindung mit dem Image Builder her, in dem Sie die Anwendung installiert haben, und öffnen Sie den Image Assistant. Die Namen der Anwendungen werden auf der Registerkarte Add Apps (Apps hinzufügen) angezeigt.

Wenn Ihre Flotte für die Desktop-Stream-Ansicht aktiviert ist, können Sie auch direkt auf dem Betriebssystem-Desktop starten. Geben Sie dazu Desktop am Ende der Relay-Status-URL an, gefolgt von &app=.

Bei einem vom Identitätsanbieter (IdP) initiierten Ablauf werden Benutzer, nachdem sie sich beim IdP angemeldet und die AppStream 2.0-Anwendung aus dem IdP-Benutzerportal ausgewählt haben, zu einer AppStream 2.0-Anmeldeseite im Browser mit den folgenden Optionen umgeleitet:

  • Fahren Sie mit Browser fort

  • Öffnen Sie den AppStream 2.0-Client

Auf der Seite können Benutzer wählen, ob sie die Sitzung entweder im Browser oder mit der AppStream 2.0-Clientanwendung starten möchten. Optional können Sie auch angeben, welcher Client für einen SAML 2.0-Federation verwendet werden soll. Geben Sie dazu entweder native oder web am Ende der Relay-Status-URL danach &client= an. Wenn der Parameter in einer Relay-State-URL vorhanden ist, werden die entsprechenden Sitzungen auf dem angegebenen Client automatisch gestartet, ohne dass Benutzer eine Wahl treffen müssen.

Anmerkung

Diese Funktion ist nur verfügbar, wenn Sie die neuen Relay-State-Region-Endpunkte (in Tabelle 1 unten) verwenden, um die Relay-State-URL zu erstellen, und die AppStream 2.0-Client-Version 1.1.1300 und höher verwenden.

Mit attributbasierten Anwendungsberechtigungen, die einen Drittanbieter-SAML-2.0-Identitätsanbieter verwenden, können Sie den Zugriff auf mehrere Stacks von einer einzigen Relay-State-URL aus ermöglichen. Entfernen Sie die Stack- und App-Parameter (falls vorhanden) wie folgt aus der Relay-State-URL:

https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens

Wenn Benutzer einen Verbund mit dem AppStream 2.0-Anwendungskatalog herstellen, werden ihnen alle Stacks angezeigt, bei denen Anwendungsberechtigungen eine oder mehrere Anwendungen dem Benutzer für die Konto-ID und den Relay-State-Endpunkt zugeordnet haben, die mit der Region verknüpft sind, in der sich Ihre Stacks befinden. Wenn ein Benutzer einen Katalog auswählt, werden in den Anwendungsberechtigungen nur die Anwendungen angezeigt, für die der Benutzer berechtigt ist.

Anmerkung

Benutzer können nicht von mehreren Stacks gleichzeitig streamen.

Weitere Informationen finden Sie unter Attributbasierte Anwendungsberechtigungen mithilfe eines Drittanbieter-SAML-2.0-Identitätsanbieters.

In der folgenden Tabelle 1 sind die Relay-State-Endpunkte für die Regionen aufgeführt, in denen AppStream 2.0 verfügbar ist. Die Relay-State-Endpunkte in Tabelle 1 sind mit der Windows-Client-Anwendung Version 1.1.1300 AppStream 2.0 Webbrowser-Zugriff (Version 2) und höher kompatibel. Wenn Sie ältere Versionen des Windows-Clients verwenden, sollten Sie die in Tabelle 2 aufgeführten alten Relay-State-Endpunkte verwenden, um Ihren SAML 2.0-Verbund zu konfigurieren. Wenn Sie möchten, dass Ihre Benutzer über eine FIPS-konforme Verbindung streamen, müssen Sie einen FIPS-konformen Endpunkt verwenden. Weitere Informationen zu den FIPS-Endpunkten finden Sie unter Schützen von Daten bei der Übertragung mit FIPS-Endpunkten.

Tabelle 1: Endpunkte der AppStream 2.0-Relay-State-Region
Region RelayState-Endpunkt
USA Ost (Nord-Virginia)

https://appstream2.euc-sso.us-east-1.aws.amazon.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-east-1.aws.amazon.com/saml
USA Ost (Ohio) https://appstream2.euc-sso.us-east-2.aws.amazon.com/saml
USA West (Oregon)

https://appstream2.euc-sso.us-west-2.aws.amazon.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-west-2.aws.amazon.com/saml
Asien-Pazifik (Mumbai) https://appstream2.euc-sso.ap-south-1.aws.amazon.com/saml
Asia Pacific (Seoul) https://appstream2.euc-sso.ap-northeast-2.aws.amazon.com/saml
Asien-Pazifik (Singapur) https://appstream2.euc-sso.ap-southeast-1.aws.amazon.com/saml
Asien-Pazifik (Sydney) https://appstream2.euc-sso.ap-southeast-2.aws.amazon.com/saml
Asien-Pazifik (Tokio) https://appstream2.euc-sso.ap-northeast-1.aws.amazon.com/saml

Canada (Central)

 https://appstream2.euc-sso.ca-central-1.aws.amazon.com/saml
Europe (Frankfurt) https://appstream2.euc-sso.eu-central-1.aws.amazon.com/saml
Europa (Irland) https://appstream2.euc-sso.eu-west-1.aws.amazon.com/saml
Europe (London) https://appstream2.euc-sso.eu-west-2.aws.amazon.com/saml
AWS GovCloud (USA Ost)

https://appstream2.euc-sso.us-gov-east-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com/saml

Anmerkung

Weitere Informationen zur Verwendung von AppStream 2.0 in AWS GovCloud (US) Regionen finden Sie unter Amazon AppStream 2.0 im AWS GovCloud (US) Benutzerhandbuch.
AWS GovCloud (USA West)

https://appstream2.euc-sso.us-gov-west-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com/saml

Anmerkung

Weitere Informationen zur Verwendung von AppStream 2.0 in AWS GovCloud (US) Regionen finden Sie unter Amazon AppStream 2.0 im AWS GovCloud (US) Benutzerhandbuch.
Südamerika (São Paulo) https://appstream2.euc-sso.sa-east-1.aws.amazon.com/saml

In der folgenden Tabelle 2 sind die alten Relay-State-Endpunkte aufgeführt, die noch verfügbar sind. Es wird jedoch empfohlen, die in Tabelle 1 aufgeführten neuen Relay-State-Endpunkte zu verwenden, um Ihre SAML 2.0-Verbände zu konfigurieren. Insbesondere mit den neuen Relay-State-Endpunkten können Sie es Ihren Benutzern ermöglichen, die AppStream 2.0-Clientanwendung (Version 1.1.1300 und höher) von IDP-initiierten Streaming-Sitzungen aus zu starten. Die neuen Relay-State-Endpunkte in Tabelle 1 ermöglichen es Benutzern außerdem, sich auf verschiedenen Registerkarten desselben Webbrowsers bei anderen AWS Anwendungen anzumelden, ohne die laufende 2.0-Streamingsitzung zu beeinträchtigen. AppStream Die alten Relay-State-Endpunkte in Tabelle 2 unterstützen dies nicht. Weitere Informationen finden Sie unter Die Benutzer meines AppStream 2.0-Clients werden alle 60 Minuten von ihrer AppStream 2.0-Sitzung getrennt..

Tabelle 2: Endpunkte der Relay-State-Region der alten AppStream Version 2.0
Region RelayState-Endpunkt
USA Ost (Nord-Virginia)

https://appstream2.us-east-1.aws.amazon.com/saml

(FIPS) https://appstream2-fips.us-east-1.aws.amazon.com/saml
USA Ost (Ohio) https://appstream2.us-east-2.aws.amazon.com/saml
USA West (Oregon)

https://appstream2.us-west-2.aws.amazon.com/saml

(FIPS) https://appstream2-fips.us-west-2.aws.amazon.com/saml
Asien-Pazifik (Mumbai) https://appstream2.ap-south-1.aws.amazon.com/saml
Asia Pacific (Seoul) https://appstream2.ap-northeast-2.aws.amazon.com/saml
Asien-Pazifik (Singapur) https://appstream2.ap-southeast-1.aws.amazon.com/saml
Asien-Pazifik (Sydney) https://appstream2.ap-southeast-2.aws.amazon.com/saml
Asien-Pazifik (Tokio) https://appstream2.ap-northeast-1.aws.amazon.com/saml

Canada (Central)

 https://appstream2.ca-central-1.aws.amazon.com/saml
Europe (Frankfurt) https://appstream2.eu-central-1.aws.amazon.com/saml
Europa (Irland) https://appstream2.eu-west-1.aws.amazon.com/saml
Europe (London) https://appstream2.eu-west-2.aws.amazon.com/saml
AWS GovCloud (USA Ost)

https://appstream2.us-gov-east-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2-fips.us-gov-east-1.amazonaws-us-gov.com/saml

Anmerkung

Weitere Informationen zur Verwendung von AppStream 2.0 in AWS GovCloud (US) Regionen finden Sie unter Amazon AppStream 2.0 im AWS GovCloud (US) Benutzerhandbuch.
AWS GovCloud (USA West)

https://appstream2.us-gov-west-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2-fips.us-gov-west-1.amazonaws-us-gov.com/saml

Anmerkung

Weitere Informationen zur Verwendung von AppStream 2.0 in AWS GovCloud (US) Regionen finden Sie unter Amazon AppStream 2.0 im AWS GovCloud (US) Benutzerhandbuch.
Südamerika (São Paulo) https://appstream2.sa-east-1.aws.amazon.com/saml

In der folgenden Tabelle 3 sind alle verfügbaren Parameter aufgeführt, die Sie verwenden können, um eine Relay-State-URL zu erstellen.

Tabelle 3: URL-Parameter für den Relay-Status
Parameter Erforderlich Format Unterstützt von
accountId Erforderlich 12-stellige ID AWS-Konto Neue und alte Endpunkte in Tabelle 1 und 2
Stack Optional Stack name Neue und alte Endpunkte in Tabelle 1 und 2
App Optional App-Name oder „Desktop“ Neue und alte Endpunkte in Tabelle 1 und 2
Client Optional „nativ“ oder „Web“ Nur neue Endpunkte in Tabelle 1