Hak Aplikasi Berbasis Atribut Menggunakan Penyedia Identitas SAMP 2.0 Pihak Ketiga

Hak aplikasi mengontrol akses ke aplikasi tertentu dalam tumpukan AppStream 2.0 Anda. Ini bekerja dengan menggunakan pernyataan atribut SAMP 2.0 dari penyedia identitas SAMP 2.0 pihak ketiga. Pernyataan ini dicocokkan dengan nilai ketika identitas pengguna berfederasi ke aplikasi AppStream 2.0 2.0 SAMP. Jika hak benar, dan nama atribut serta nilai cocok, akses berhak atas identitas pengguna ke satu atau beberapa aplikasi dalam tumpukan.

Hak aplikasi berbasis atribut menggunakan penyedia identitas SAMP 2.0 pihak ketiga tidak berlaku dalam skenario berikut. Dengan kata lain, hak diabaikan dalam kasus-kasus seperti berikut:

• AppStream 2.0 otentikasi kumpulan pengguna. Untuk informasi selengkapnya, lihat Kolam AppStream 2.0.

• AppStream 2.0 otentikasi URL streaming. Untuk informasi selengkapnya, lihat Streaming URL.

• Aplikasi desktop saat armada AppStream 2.0 dikonfigurasi untuk tampilan Stream Desktop. Untuk informasi selengkapnya, lihat Buat Armada AppStream 2.0 dan Stack.

• Tumpukan menggunakan Kerangka Aplikasi Dinamis. Dynamic Application Framework menyediakan fitur hak aplikasi terpisah. Untuk informasi selengkapnya, lihat Hak Aplikasi dari Penyedia Aplikasi Dinamis Menggunakan Kerangka Aplikasi Dinamis.

• Ketika pengguna berfederasi ke katalog aplikasi AppStream 2.0, hak aplikasi hanya akan menampilkan aplikasi yang berhak dimiliki pengguna. Aplikasi tidak dibatasi untuk berjalan dalam sesi AppStream 2.0. Misalnya, dalam armada yang dikonfigurasi untuk tampilan Stream Desktop, pengguna dapat meluncurkan aplikasi langsung dari desktop.

Buat Hak Aplikasi

Sebelum Anda membuat hak aplikasi, Anda harus melakukan hal berikut:

• Buat armada AppStream 2.0 dan tumpukan dengan gambar yang berisi satu atau lebih aplikasi (armada Selalu Aktif atau Sesuai Permintaan) atau aplikasi yang ditetapkan (armada elastis) yang akan memenuhi kebutuhan Anda. Untuk informasi selengkapnya, lihat Buat Armada AppStream 2.0 dan Stack.

• Berikan akses pengguna ke tumpukan menggunakan penyedia identitas SAMP 2.0 pihak ketiga. Untuk informasi selengkapnya, lihat Integrasi Amazon AppStream 2.0 dengan SAML 2.0. Jika Anda menggunakan penyedia identitas SAMP 2.0 yang sudah ada yang Anda atur sebelumnya, lihat langkah-langkah Langkah 2: Buat IAM Peran Federasi SAML 2.0 untuk menambahkan TagSession izin sts: ke kebijakan kepercayaan peran IAM Anda. Untuk informasi selengkapnya, lihat Melewati tag sesi di AWS STS. Izin ini diperlukan untuk menggunakan hak aplikasi.

Untuk membuat hak aplikasi

1. Buka konsol AppStream 2.0.

2. Di panel navigasi kiri, pilih Tumpukan, dan pilih tumpukan untuk mengelola hak aplikasi.

3. Di kotak dialog Application Entitlements, pilih Create.

4. Masukkan Nama dan Deskripsi untuk hak Anda.

5. Tentukan nama atribut dan nilai untuk hak Anda.

   Saat memetakan atribut, tentukan atribut dalam format https://aws.amazon.com/SAML/Attributes/PrincipalTag: {TagKey}, di mana {TagKey} adalah salah satu atribut berikut:

   • peran

   • departemen

   • organisasi

   • grup

   • title

   • costCenter

   • UserType

   Atribut yang Anda tentukan digunakan untuk memberikan hak aplikasi di tumpukan Anda kepada pengguna saat mereka bergabung ke sesi AppStream 2.0. Hak bekerja dengan mencocokkan nama atribut dengan nama nilai kunci dalam pernyataan SAMP yang dibuat selama federasi. Untuk informasi selengkapnya, lihat PrincipalTag Atribut SAMP.

   catatan

   Satu atau lebih nilai dapat dimasukkan dalam atribut yang didukung, dipisahkan oleh titik dua (:).

   Misalnya, informasi grup dapat diteruskan dalam nama atribut SAMP https://aws.amazon.com/SAML/Attributes/:groups PrincipalTag dengan nilai “group1:group2:group3" dan hak Anda dapat mengizinkan aplikasi berdasarkan nilai grup tunggal, yaitu “group1". Untuk informasi selengkapnya, lihat PrincipalTag Atribut SAMP.

6. Konfigurasikan pengaturan aplikasi di tumpukan Anda untuk memberikan hak kepada semua aplikasi, atau pilih aplikasi. Memilih Semua aplikasi (*) berlaku semua aplikasi yang tersedia di tumpukan, termasuk aplikasi yang ditambahkan di masa depan. Memilih Pilih aplikasi akan memfilter nama aplikasi tertentu.

7. Tinjau pengaturan Anda dan buat hak Anda. Anda dapat mengulangi proses dan membuat hak tambahan. Hak untuk aplikasi dalam tumpukan akan menjadi gabungan dari semua hak yang cocok dengan pengguna berdasarkan nama dan nilai atribut.

8. Di penyedia identitas SAMP 2.0 Anda, konfigurasikan pemetaan atribut aplikasi AppStream 2.0 SAMP Anda untuk mengirim atribut dan nilai yang ditentukan dalam hak Anda. Ketika pengguna berfederasi ke katalog aplikasi AppStream 2.0, hak aplikasi hanya akan menampilkan aplikasi yang berhak dimiliki pengguna.

Katalog Aplikasi Multi-Stack SAMP 2.0

Dengan hak aplikasi berbasis atribut menggunakan penyedia identitas SAMP 2.0 pihak ketiga, Anda dapat mengaktifkan akses ke beberapa tumpukan dari satu URL status relai. Hapus parameter stack dan app (jika ada) dari URL status relai, sebagai berikut:

https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens

Ketika pengguna bergabung ke katalog aplikasi AppStream 2.0, mereka akan disajikan dengan semua tumpukan di mana hak aplikasi telah mencocokkan satu atau beberapa aplikasi dengan pengguna untuk ID akun dan titik akhir status relay yang terkait dengan Wilayah tempat tumpukan Anda berada. Ketika pengguna memilih katalog, hak aplikasi hanya akan menampilkan aplikasi yang berhak dimiliki pengguna. Untuk informasi selengkapnya, lihat Langkah 6: Konfigurasikan Status Relay Federasi Anda.

catatan

Untuk menggunakan Katalog Aplikasi Multi-Stack SAMP 2.0, Anda perlu mengonfigurasi kebijakan inline untuk Peran IAM Federasi SAMP 2.0 Anda. Untuk informasi selengkapnya, lihat Langkah 3: Sematkan Kebijakan Inline untuk Peran IAM.