Droits d'application basés sur les attributs faisant appel à un fournisseur d'identité SAML 2.0 tiers - Amazon AppStream 2.0
Création de droits d'applicationCatalogue d'applications multi-piles SAML 2.0

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Droits d'application basés sur les attributs faisant appel à un fournisseur d'identité SAML 2.0 tiers

Les droits d'application contrôlent l'accès à des applications spécifiques au sein de vos piles AppStream 2.0. Cela fonctionne en utilisant les assertions d'attributs SAML 2.0 provenant d'un fournisseur d'identité SAML 2.0 tiers. L'assertion est mise en correspondance avec une valeur lorsqu'une identité d'utilisateur se fédère à une application SAML 2.0 AppStream 2.0. Si le droit à la valeur true et que le nom et la valeur de l'attribut correspondent, l'accès à une ou plusieurs applications de la pile est autorisé pour l'identité d'utilisateur.

Les droits d'application basés sur les attributs faisant appel à un fournisseur d'identité SAML 2.0 tiers ne s'appliquent pas dans les scénarios suivants. En d'autres termes, le droit est ignoré dans les cas suivants :

  • Authentification du groupe d'utilisateurs AppStream 2.0. Pour de plus amples informations, veuillez consulter Groupes d'utilisateurs AppStream 2.0.

  • Authentification par URL de streaming AppStream 2.0. Pour de plus amples informations, veuillez consulter URL de streaming.

  • Application de bureau lorsque les flottes AppStream 2.0 sont configurées pour l'affichage de flux de bureau. Pour de plus amples informations, veuillez consulter Créez une flotte et une pile AppStream 2.0.

  • Piles utilisant le cadre d'application dynamique. Le cadre d'application dynamique fournit des fonctionnalités de droits d'application distinctes. Pour de plus amples informations, veuillez consulter Droits d'application fournis par un fournisseur d'applications dynamiques utilisant le cadre d'application dynamique.

  • Lorsque les utilisateurs se fédèrent au catalogue d'applications AppStream 2.0, les droits d'application affichent uniquement les applications auxquelles l'utilisateur est autorisé à accéder. Les applications ne sont pas empêchées de s'exécuter dans la session AppStream 2.0. Par exemple, dans une flotte configurée pour l'affichage de flux de bureau, un utilisateur peut lancer une application directement à partir du bureau.

Création de droits d'application

Avant de créer des droits d'application, vous devez effectuer les opérations suivantes :

  • Créez une flotte et une pile AppStream 2.0 avec une image contenant une ou plusieurs applications (flotte toujours active ou à la demande) ou des applications attribuées (flotte Elastic) qui répondront à vos besoins. Pour de plus amples informations, veuillez consulter Créez une flotte et une pile AppStream 2.0.

  • Fournissez à l'utilisateur l'accès à la pile à l'aide d'un fournisseur d'identité SAML 2.0 tiers. Pour de plus amples informations, veuillez consulter Intégration d'Amazon AppStream 2.0 à SAML 2.0. Si vous utilisez un fournisseur d'identité SAML 2.0 existant que vous avez configuré précédemment, consultez Étape 2 : créer un rôle IAM Fédération SAML 2.0 pour connaître les étapes à suivre pour ajouter l'autorisation sts:TagSession à votre politique d'approbation de rôle IAM. Pour plus d'informations, consultez Transmission des balises de session dans AWS STS. Cette autorisation est requise pour utiliser les droits d'application.

Pour créer un droit d'application

  1. Ouvrez la console AppStream 2.0.

  2. Dans le volet de navigation de gauche, choisissez Piles et sélectionnez la pile pour laquelle vous souhaitez gérer les droits d'application.

  3. Dans la boîte de dialogue Droits d'application, choisissez Créer.

  4. Saisissez un nom et une description pour votre droit.

  5. Définissez le nom et la valeur de l'attribut de votre droit.

    Lors du mappage d'attributs, spécifiez l'attribut au format https://aws.amazon.com/SAML/Attributes/PrincipalTag:{TagKey}, où {TagKey} est l'un des attributs suivants :

    • roles

    • department

    • organization

    • groups

    • title

    • costCenter

    • userType

    Les attributs que vous avez définis sont utilisés pour autoriser un utilisateur à accéder aux applications de votre pile lorsqu'elles sont fédérées dans une session AppStream 2.0. L'autorisation fonctionne en faisant correspondre le nom d'attribut à un nom de valeur clé dans l'assertion SAML créée lors de la fédération. Pour plus d'informations, consultez Attribut SAML PrincipalTag.

    Note

    Une ou plusieurs valeurs peuvent être incluses dans n'importe quel attribut pris en charge, séparées par le signe deux-points (:).

    Par exemple, les informations des groupes peuvent être transmises dans un nom d'attribut SAML https://aws.amazon.com/SAML/Attributes/PrincipalTag:groups avec la valeur « group1:group2:group3 » et votre droit d'application peut autoriser les applications en fonction d'une valeur de groupe unique, « group1 ». Pour plus d'informations, consultez Attribut SAML PrincipalTag.

  6. Configurez les paramètres des applications dans votre pile pour autoriser toutes les applications, ou sélectionnez certaines applications. L'option Toutes les applications (*) applique toutes les applications disponibles sur la pile, y compris les applications qui seront ajoutées à l'avenir. L'option Sélectionner les applications permet de filtrer les applications en fonction de leurs noms spécifiques.

  7. Vérifiez vos paramètres et créez votre droit d'application. Vous pouvez répéter le processus et créer des droits supplémentaires. Le droit d'accès aux applications d'une pile sera l'union de tous les droits correspondant à l'utilisateur en fonction des noms et des valeurs d'attribut.

  8. Dans votre fournisseur d'identité SAML 2.0, configurez les mappages d'attributs de votre application SAML AppStream 2.0 pour envoyer l'attribut et la valeur définis dans votre droit d'application. Lorsque les utilisateurs se fédèrent au catalogue d'applications AppStream 2.0, les droits d'application affichent uniquement les applications auxquelles l'utilisateur est autorisé à accéder.

Catalogue d'applications multi-piles SAML 2.0

Avec les droits d'application basés sur les attributs faisant appel à un fournisseur d'identité SAML 2.0 tiers, vous pouvez autoriser l'accès à plusieurs piles à partir d'une seule URL d'état du relais. Supprimez les paramètres de pile et d'application (le cas échéant) de l'URL d'état du relais, comme suit :

https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens

Lorsque les utilisateurs se fédèrent au catalogue d'applications AppStream 2.0, ils voient apparaître toutes les piles dans lesquelles les droits d'application ont mis en correspondance une ou plusieurs applications avec l'utilisateur de l'ID de compte et le point de terminaison de l'état du relais associé à la région dans laquelle se trouvent vos piles. Lorsqu'un utilisateur sélectionne un catalogue, les droits d'application affichent uniquement les applications auxquelles l'utilisateur est autorisé à accéder. Pour de plus amples informations, veuillez consulter Etape 6 : Configurer le RelayState de votre fédération.

Note

Pour utiliser les catalogues d'applications multi-piles SAML 2.0, vous devez configurer la politique en ligne pour votre rôle IAM de fédération SAML 2.0. Pour de plus amples informations, veuillez consulter Étape 3 : incorporer une stratégie en ligne pour le rôle IAM.