Información general de los dominios de Active Directory - Amazon AppStream 2.0

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Información general de los dominios de Active Directory

El uso de dominios de Active Directory con AppStream 2.0 requiere comprender cómo funcionan juntos y las tareas de configuración que tendrá que completar. Deberá completar las tareas siguientes:

  1. Configurar las opciones de la política de grupo según sea necesario para definir la experiencia de usuario final y los requisitos de seguridad de las aplicaciones.

  2. Cree la pila de aplicaciones unidas a un dominio en AppStream 2.0.

  3. Cree la aplicación AppStream 2.0 en el proveedor de identidades de SAML 2.0 y asígnela a los usuarios finales directamente o mediante grupos de Active Directory.

Para que los usuarios se autentiquen en un dominio, deben realizarse varios pasos cuando estos usuarios inicien una sesión de streaming AppStream 2.0. El siguiente diagrama ilustra el flujo de autenticación del end-to-end usuario desde la solicitud inicial del navegador hasta la autenticación de SAML y Active Directory.

Flujo de autenticación del usuario

  1. El usuario navega a https://applications.exampleco.com. La página de inicio de sesión solicita autenticación al usuario.

  2. El servicio de federación solicita autenticación al almacén de identidades de la organización.

  3. El almacén de identidades autentica al usuario y devuelve la respuesta de autenticación al servicio de federación.

  4. Una vez realizada la autenticación, el servicio de federación publica la declaración de SAML en el navegador del usuario.

  5. El navegador del usuario publica la afirmación SAML en el extremo SAML deAWS inicio de sesión (https://signin.aws.amazon.com/saml). AWS El inicio de sesión recibe la solicitud SAML, la procesa, autentica al usuario y reenvía el token de autenticación al servicio AppStream 2.0.

  6. Mediante el token de autenticación deAWS, AppStream 2.0 autoriza al usuario y presenta las aplicaciones al navegador.

  7. El usuario elige una aplicación y, según el método de autenticación de inicio de sesión de Windows que esté habilitado en la pila AppStream 2.0, se le pedirá que introduzca su contraseña de dominio de Active Directory o que elija una tarjeta inteligente. Si ambos métodos de autenticación están habilitados, el usuario puede elegir si desea introducir la contraseña de su dominio o utilizar su tarjeta inteligente. La autenticación basada en certificados también puede utilizarse para autenticar a los usuarios, lo que elimina el mensaje.

  8. El sistema se pone en contacto con el controlador de dominio para la autenticación del usuario.

  9. Una vez acabada la autenticación en el dominio, la sesión del usuario comienza con la conectividad de dominio.

Desde la perspectiva del usuario, este proceso es transparente. El usuario comienza navegando hasta el portal interno de la organización y se le redirige a un portal de aplicaciones AppStream 2.0, sin tener que introducirAWS las credenciales. Solo se requiere una contraseña de dominio de Active Directory o credenciales de tarjeta inteligente.

Para que un usuario pueda iniciar este proceso, se debe configurar Active Directory con los derechos y la configuración de la política de grupo necesarios, así como crear una pila de aplicaciones unida al dominio.