Creación de derechos de aplicación Catálogo de aplicaciones SAML 2.0 en varias pilas

Derechos de aplicaciones basados en atributos con un proveedor de identidades SAML 2.0 de terceros

Los derechos de aplicaciones controlan el acceso a aplicaciones específicas de sus pilas de AppStream 2.0. Funcionan mediante el uso de aserciones de atributos SAML 2.0 de un proveedor de identidad SAML 2.0 externo. La aserción se coincide con un valor cuando una identidad de usuario se federa con una aplicación SAML 2.0 de AppStream 2.0. Si el derecho es válido verdadera y el nombre y el valor del atributo coinciden, se autoriza el acceso de la identidad del usuario a una o más aplicaciones de la pila.

Los derechos de la aplicación basados en atributos mediante un proveedor de identidad SAML 2.0 externo no se aplican en los siguientes casos. En otras palabras, el derecho se ignora en casos como los siguientes:

Autenticación de grupos de usuarios con AppStream 2.0. Para obtener más información, consulte Grupos de usuarios de AppStream 2.0.
Autenticación de URL con AppStream 2.0. Para obtener más información, consulte URL de streaming.
La aplicación de escritorio cuando las flotas de AppStream 2.0 están configuradas para una vista de streaming de escritorios. Para obtener más información, consulte Cree una flota AppStream 2.0 y apílela.
Pilas con el marco dinámico de aplicaciones. El marco dinámico de aplicaciones proporciona funciones de otorgamiento de derechos de aplicaciones independientes. Para obtener más información, consulte Derechos de aplicación de un proveedor de aplicaciones dinámicas que utiliza el marco de aplicaciones dinámicas.
Cuando los usuarios se federan en el catálogo de aplicaciones de AppStream 2.0, los derechos de aplicaciones solo mostrarán las aplicaciones a las que tiene derecho el usuario. No se restringe la ejecución de las aplicaciones dentro de la sesión de AppStream 2.0. Por ejemplo, en una flota configurada para la vista de streaming de escritorio, un usuario puede iniciar una aplicación directamente desde el escritorio.

Creación de derechos de aplicación

Antes de crear derechos de una aplicación, debe hacer lo siguiente:

Cree una flota de AppStream 2.0 y apílela con una imagen que contenga una o más aplicaciones (flota siempre activa o bajo demanda) o aplicaciones asignadas (flota de Elastic) que se ajusten a sus necesidades. Para obtener más información, consulte Cree una flota AppStream 2.0 y apílela.
Proporcione a los usuarios acceso a la pila mediante un proveedor de identidades SAML 2.0 de terceros. Para obtener más información, consulte Integración de Amazon AppStream 2.0 con SAML 2.0. Si utiliza un proveedor de identidades SAML 2.0 existente que haya configurado anteriormente, consulte Paso 2: Crear un rol de IAM de federación de SAML 2.0 para ver los pasos para añadir el permiso sts:TagSession en su política de confianza de roles de IAM. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS. Este permiso es necesario para utilizar los derechos de la aplicación.

Para crear un derecho de una aplicación

Abrir la consola de AppStream 2.0.
En el panel de navegación izquierdo, seleccione Pilas y seleccione la pila para la que desee administrar los derechos de la aplicación.
En el cuadro de diálogo Derechos de aplicación, elija Crear.
Escriba un Nombre y una Descripción para el derecho.
Defina el nombre y el valor del atributo para su derecho.

Al mapear atributos, especifique el atributo en el formato https://aws.amazon.com/SAML/Attributes/PrincipalTag:{TagKey}, donde {TagKey} es uno de los siguientes atributos:
- roles
- department
- organización
- groups
- title
- costCenter
- userType
Los atributos que ha definido se utilizan para dar derechos a un usuario en las aplicaciones de su pila cuando se federan en una sesión de AppStream 2.0. El derecho funciona haciendo coincidir el nombre del atributo con el nombre de un valor clave en la aserción SAML creada durante la federación. Para obtener más información, consulte Atributo PrincipalTag de SAML.

nota
Se pueden incluir uno o más valores en cualquier atributo compatible, separados por dos puntos (:).
Por ejemplo, la información de los grupos puede transferirse a un nombre de atributo de SAML https://aws.amazon.com/SAML/Attributes/PrincipalTag:groups con el valor “group1:group2:group3” y su derecho puede permitir aplicaciones basadas en un único valor de grupo, es decir, “group1”. Para obtener más información, consulte Atributo PrincipalTag de SAML.
Configure los ajustes de las aplicaciones en su pila para asignar derechos a todas las aplicaciones o selecciónelas. Si selecciona Todas las aplicaciones (*), se aplica a todas las aplicaciones disponibles en la pila, incluidas las que se agreguen en el futuro. Si selecciona Seleccionar aplicaciones, se filtrará por los nombres de aplicaciones específicas.
Revise la configuración y cree el derecho Puede repetir el proceso y crear derechos adicionales. El derecho a las aplicaciones de una pila será una combinación de todos los derechos que coincidan con el usuario en función de los nombres y valores de los atributos.
En su proveedor de identidades de SAML 2.0, configure las asignaciones de atributos de la aplicación SAML de AppStream 2.0 para enviar el atributo y el valor definidos en su derecho. Cuando los usuarios se federan en el catálogo de aplicaciones de AppStream 2.0, los derechos de aplicaciones solo mostrarán las aplicaciones a las que tiene derecho el usuario.

Catálogo de aplicaciones SAML 2.0 en varias pilas

Si los derechos de las aplicaciones se basan en atributos y utilizan un proveedor de identidades SAML 2.0 de terceros, puede habilitar el acceso a varias pilas desde una única URL de estado de retransmisión. Elimine la pila y los parámetros de la aplicación (si existen) de la URL del estado de retransmisión, de la siguiente manera:


https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens

Cuando los usuarios se federen en el catálogo de aplicaciones de AppStream 2.0, se les presentarán todas las pilas en las que los derechos de las aplicaciones hayan emparejado una o más aplicaciones con el usuario para el ID de cuenta y el punto de conexión del estado de retransmisión asociados a la región en la que se encuentren las pilas. Cuando un usuario selecciona un catálogo, los derechos de la aplicación solo mostrarán las aplicaciones a las que tiene derecho el usuario. Para obtener más información, consulte Paso 6: Configurar el estado de retransmisión de la federación.

nota

Para utilizar los catálogos de aplicaciones de SAML 2.0 en varias pilas, debe configurar la política en línea para su rol de IAM en la federación de SAML 2.0. Para obtener más información, consulte Paso 3: Incrustar una política en línea para el rol de IAM.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración de los derechos de la aplicación

Marco de aplicaciones dinámicas