Configurazione del linguaggio SAML - Amazon AppStream 2.0
PrerequisitiFase 1: creare un provider di identità SAML in IAM AWSFase 2: Creazione di un ruolo IAM di federazione SAML 2.0Fase 3: Incorporamento di una policy inline per il ruolo IAMFase 4: configurazione del provider di identità basato su SAMLFase 5: creazione delle asserzioni per la risposta di autenticazione SAMLFase 6: configurazione dello stato del relay della federazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione del linguaggio SAML

Per consentire agli utenti di accedere alla AppStream versione 2.0 utilizzando le credenziali esistenti e avviare applicazioni di streaming, puoi configurare la federazione delle identità utilizzando SAML 2.0. A tale scopo, utilizza un ruolo IAM e un URL dello stato di inoltro per configurare il tuo provider di identità (IdP) conforme a SAML 2.0 e AWS abilita per consentire agli utenti federati di accedere a uno stack 2.0. AppStream Il ruolo IAM concede agli utenti le autorizzazioni per accedere allo stack. Lo stato dell'inoltro è il portale dello stack a cui vengono indirizzati gli utenti in seguito alla corretta autenticazione da parte di AWS.

Prerequisiti

Completa i prerequisiti seguenti prima di configurare la tua connessione SAML 2.0.

  1. Configura il provider di identità basato su SAML per stabilire una relazione di attendibilità con AWS.

    • All'interno della rete della tua organizzazione, configura l'archivio identità affinché funzioni con un provider di identità basato su SAML. Per le risorse di configurazione, consulta AppStream 2.0 Integrazione con SAML 2.0.

    • Utilizza il tuo provider di identità basato su SAML per generare e scaricare un documento di metadati della federazione che specifica l'organizzazione come provider di identità. Questo documento XML firmato viene utilizzato per stabilire una relazione di trust. Salva questo file in un percorso successivamente accessibile dalla console IAM.

  2. Usa la console di gestione 2.0 per creare uno AppStream stack 2.0. AppStream È necessario il nome dello stack per creare la policy IAM e configurare l'integrazione IdP AppStream con 2.0, come descritto più avanti in questo argomento.

    Puoi creare uno stack AppStream 2.0 utilizzando la console di gestione AppStream 2.0 o AppStream l'API AWS CLI 2.0. Per ulteriori informazioni, consulta Crea una flotta e uno stack AppStream 2.0.

Fase 1: creare un provider di identità SAML in IAM AWS

Innanzitutto, crea un IdP SAML in IAM. AWS Questo IdP definisce la relazione tra IdP e AWS trust dell'organizzazione utilizzando il documento di metadati generato dal software IdP dell'organizzazione. Per ulteriori informazioni, consulta Creazione e gestione di un gestore dell'identità digitale SAML IAM (console di gestione AWS) nella Guida per l'utente IAM. Per informazioni sull'utilizzo di SAML IdPs nelle AWS GovCloud (US) regioni, consulta AWS Identity and Access Management nella Guida per l'AWS GovCloud (US) utente.

Fase 2: Creazione di un ruolo IAM di federazione SAML 2.0

Crea quindi un ruolo IAM di federazione SAML 2.0. Questa fase stabilisce una relazione di attendibilità tra IAM e il gestore dell'identità digitale dell'organizzazione, che identifica il gestore dell'identità digitale come entità attendibile per la federazione.

Per creare un ruolo IAM per il provider di identità SAML

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione seleziona Ruoli, quindi Crea ruolo.

  3. In Role type (Tipo di ruolo), scegli SAML 2.0 federation (Federazione SAML 2.0).

  4. In SAML Provider (Provider SAML), seleziona il provider di identità SAML creato.

    Importante

    Non scegliere i due metodi di accesso SAML 2.0 (Autorizza solo l'accesso programmatico o Autorizza l'accesso programmatico e alla console di gestione AWS).

  5. Per Attributo, scegli SAML:aud.

  6. In Valore, specifica https://signin.aws.amazon.com/saml. Questa fase limita l'accesso del ruolo alle sole richieste di streaming degli utenti SAML che includono un'asserzione di tipo soggetto SAML con un valore persistente. Se SAML:sub_type è persistente, il provider di identità invia lo stesso valore univoco per l'elemento NameID in tutte le richieste SAML provenienti da un determinato utente. Per maggiori informazioni sull'asserzione SAML:Sub_Type, consulta la sezione Identificazione univoca degli utenti nella federazione basata su SAML in Utilizzo della federazione basata su SAML per l'accesso alle API a. AWS

  7. Consulta le informazioni sul trust SAML 2.0, confermando la correttezza dell'entità attendibile e della condizione, quindi scegli Next: Permissions (Successivo: Autorizzazioni).

  8. Nella pagina Collega policy delle autorizzazioni, selezionare Next: Tags.

  9. (Facoltativo) Immetti una chiave e un valore per ogni tag che desideri aggiungere. Per ulteriori informazioni, consulta Tagging degli utenti e dei ruoli IAM.

  10. Al termine, seleziona Successivo: esamina. Più avanti, potrai creare e incorporare una policy inline per questo ruolo.

  11. In Nome ruolo, inserisci un nome del ruolo che consenta di identificarne lo scopo. Poiché varie entità possono fare riferimento al ruolo, non puoi modificare il nome del ruolo dopo averlo creato.

  12. (Facoltativo) In Descrizione ruolo, immettere una descrizione per il nuovo ruolo.

  13. Verifica i dettagli del ruolo e scegli Create role (Crea ruolo).

  14. (Facoltativo) Se prevedi di utilizzare il contesto di sessione o i diritti applicativi basati sugli attributi utilizzando un provider di identità SAML 2.0 di terze parti o l'autenticazione basata su certificati, devi aggiungere sts: permission alla policy di fiducia del tuo nuovo ruolo IAM. TagSession Per ulteriori informazioni, consulta Diritti sulle applicazioni basati su attributi che utilizzano un gestore dell'identità digitale SAML 2.0 di terze parti e Passare i tag di sessione in AWS STS.

    Nei dettagli del nuovo ruolo IAM, seleziona la scheda Relazioni di attendibilità e seleziona Modifica relazione di attendibilità. Viene avviato l'editor delle policy Modifica relazione di attendibilità. Aggiungi l'autorizzazione sts:, come segue: TagSession

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/IDENTITY-PROVIDER"
      },
      "Action": [
        "sts:AssumeRoleWithSAML",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "SAML:sub_type": "persistent"
        }
      }
    }
  ]
}

    Sostituisci IDENTITY-PROVIDER con il nome del gestore dell'identità digitale SAML creato nella Fase 1. Scegli Aggiorna policy di attendibilità.

Fase 3: Incorporamento di una policy inline per il ruolo IAM

A questo punto, incorpora una policy IAM inline per il ruolo creato. Quando incorpori una policy inline, le autorizzazioni della policy non possono essere collegate accidentalmente a un'entità principale errata. La politica in linea fornisce agli utenti federati l'accesso allo stack AppStream 2.0 che hai creato.

  1. Nei dettagli del ruolo IAM creato, scegli la scheda Autorizzazioni, quindi scegli Aggiungi policy inline. Verrà avviata la creazione guidata dei criteri.

  2. In Crea criterio, scegliere la scheda JSON .

  3. Copia e incolla la seguente policy JSON nella finestra JSON. Quindi, modifica la risorsa inserendo il Regione AWS codice, l'ID dell'account e il nome dello stack. Nella seguente politica, "Action": "appstream:Stream" è l'azione che fornisce agli utenti AppStream 2.0 le autorizzazioni per connettersi alle sessioni di streaming nello stack che hai creato. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "appstream:Stream",
      "Resource": "arn:aws:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME",
      "Condition": {
          "StringEquals": {
              "appstream:userId": "${saml:sub}"           
          }
        }
    }
  ]
}

    Sostituisci REGION-CODE con la AWS regione in cui esiste lo stack 2.0 AppStream . Sostituisci STACK-NAME con il nome dello stack. STACK-NAME fa distinzione tra maiuscole e minuscole e deve corrispondere esattamente al nome dello stack mostrato nella dashboard Stacks della console di gestione 2.0. AppStream

    Per le risorse nelle AWS GovCloud (US) regioni, utilizzate il seguente formato per l'ARN:

    arn:aws-us-gov:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME

  4. (Facoltativo) Se prevedi di utilizzare diritti sulle applicazioni basati su attributi utilizzando un gestore dell'identità digitale SAML 2.0 di terze parti con Cataloghi delle applicazioni a più stack SAML 2.0, la Risorsa nella policy inline del ruolo IAM deve essere "Resource": "arn:aws:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/*" per consentire diritti sulle applicazioni di controllare l'accesso in streaming agli stack. Per applicare una protezione aggiuntiva su una risorsa dello stack, puoi aggiungere nella policy un rifiuto esplicito. Per ulteriori informazioni, consulta Diritti sulle applicazioni basati su attributi che utilizzano un gestore dell'identità digitale SAML 2.0 di terze parti e Logica di valutazione delle policy.

  5. Al termine, scegliere Verifica policy. In Policy Validator (Validatore di policy) vengono segnalati eventuali errori di sintassi.

Fase 4: configurazione del provider di identità basato su SAML

Successivamente, a seconda del tuo IdP basato su SAML, potrebbe essere necessario aggiornare manualmente il tuo IdP per considerarlo affidabile AWS come fornitore di servizi caricando il file saml-metadata.xml all'indirizzo https://signin.aws.amazon.com/static/saml-metadata.xml sul tuo IdP. In questa fase viene eseguito l'aggiornamento dei metadati del provider di identità. Per alcuni IdPs, l'aggiornamento potrebbe essere già configurato. In tal caso, procedi alla fase successiva.

Se l'aggiornamento non è già configurato nel provider di identità, consulta la documentazione fornita dal provider di identità per informazioni su come aggiornare i metadati. Alcuni provider consentono di digitare l'URL, dopodiché il provider di identità ottiene e installa il file automaticamente. Altri richiedono di scaricare il file dall'URL e quindi fornirlo come file locale.

Fase 5: creazione delle asserzioni per la risposta di autenticazione SAML

Successivamente, potrebbe essere necessario configurare le informazioni a cui il tuo IdP invia AWS come attributi SAML nella sua risposta di autenticazione. A seconda dell'IdP, queste informazioni potrebbero essere già pre-configurate. In questo caso, è possibile ignorare questa fase e passare alla fase 6.

Se queste informazioni non sono già configurate nel provider di identità, inserisci quanto segue:

  • SAML Subject NameID: l'identificatore univoco per l'utente che effettua l'accesso.

    Nota

    Per gli stack con flotte unite a un dominio, il valore NameID per l'utente deve essere fornito nel formato "" utilizzando il SAM o domain\username "" utilizzando. AccountName username@domain.com userPrincipalName Se si utilizza il AccountName formato SaM, è possibile specificarlo domain utilizzando il nome NetBIOS o il nome di dominio completo (FQDN). Il AccountName formato SaM è necessario per gli scenari di trust unidirezionale di Active Directory. Per ulteriori informazioni, consulta Utilizzo di Active Directory con AppStream 2.0.

  • SAML Subject Type (con un valore impostato su persistent): l'impostazione del valore su persistent garantisce che l'IdP invia lo stesso valore univoco per l'elemento NameID tutte le richieste SAML di un determinato utente. Verifica che la policy IAM includa una condizione che consenta solo le richieste SAML con SAML sub_type impostato su persistent, come descritto in Fase 2: Creazione di un ruolo IAM di federazione SAML 2.0.

  • Elemento Attribute con l'attributo Name impostato su https://aws.amazon.com/SAML/Attributes/Role: questo elemento contiene uno o più elementi AttributeValue che elencano il ruolo IAM e l'IdP SAML a cui l'utente è associato dall'IdP. Il ruolo e il provider di identità vengono indicati come coppie di ARN delimitate da virgola.

  • Attributeelemento con l'Nameattributo impostato su https://aws.amazon.com/SAML/Attributes/ RoleSession Nome: questo elemento contiene un AttributeValue elemento che fornisce un identificatore per le credenziali AWS temporanee emesse per SSO. Il valore nell'elemento AttributeValue deve essere compreso tra 2 e 64 caratteri, può contenere solo caratteri alfanumerici, caratteri di sottolineatura e i seguenti caratteri: + (segno più), = (segno uguale), , (virgola), . (punto), @ (simbolo chiocciola) e - (trattino). Non può contenere spazi. Il valore è in genere un ID utente (bobsmith) o un indirizzo e-mail (bobsmith@example.com). Non deve essere un valore che include uno spazio, ad esempio il nome visualizzato di un utente (Bob Smith).

  • Attributeelemento con l'Nameattributo impostato su https://aws.amazon.com/SAML/Attributes/PrincipalTag: SessionContext (opzionale): questo elemento contiene un AttributeValue elemento che fornisce parametri che possono essere utilizzati per passare i parametri del contesto di sessione alle applicazioni di streaming. Per ulteriori informazioni, consulta Contesto di sessione.

  • Attributeelemento con l'Nameattributo impostato su https://aws.amazon.com/SAML/Attributes/PrincipalTag: ObjectSid (opzionale): questo elemento contiene un AttributeValue elemento che fornisce l'identificatore di sicurezza (SID) di Active Directory per l'utente che effettua l'accesso. Questo parametro viene utilizzato con l'autenticazione basata su certificato per abilitare una mappatura avanzata all'utente di Active Directory.

  • Attributeelemento con l'Nameattributo impostato su https://aws.amazon.com/SAML/Attributes/:Domain PrincipalTag (opzionale): questo elemento contiene un elemento AttributeValue che fornisce il nome di dominio completo (FQDN) DNS di Active Directory per l'utente che effettua l'accesso. Questo parametro viene utilizzato con l'autenticazione basata su certificati quando userPrincipalName di Active Directory dell'utente contiene un suffisso alternativo. Il valore deve essere fornito nel formato di domain.com, inclusi eventuali sottodomini.

  • Attributeelemento con l'SessionDurationattributo impostato su https://aws.amazon.com/SAML/Attributes/ SessionDuration (opzionale): questo elemento contiene un AttributeValue elemento che specifica il periodo di tempo massimo in cui una sessione di streaming federata per un utente può rimanere attiva prima che sia richiesta la riautenticazione. Il valore predefinito è 60 minuti o 3600 secondi. Per maggiori informazioni, consulta la SessionDuration sezione Un elemento di attributo opzionale con l' SessionDuration attributo impostato su https://aws.amazon.com/SAML/Attributes/ in Configurazione delle asserzioni SAML per la risposta di autenticazione.

    Nota

    Sebbene SessionDuration sia un attributo opzionale, si consiglia di includerlo nella risposta SAML. Se non si specifica questo attributo, la durata della sessione viene impostata su un valore predefinito di 60 minuti.

    Se gli utenti accedono alle loro applicazioni di streaming nella AppStream versione 2.0 utilizzando il client nativo AppStream 2.0 o utilizzando il browser Web nella nuova esperienza, le loro sessioni vengono disconnesse alla scadenza della durata della sessione. Se gli utenti accedono alle loro applicazioni di streaming nella AppStream versione 2.0 utilizzando un browser Web con l'esperienza vecchia/classica, dopo la scadenza della durata della sessione degli utenti e l'aggiornamento della pagina del browser, le sessioni vengono disconnesse.

Per ulteriori informazioni su come configurare questi elementi, consulta Configurazione delle asserzioni SAML per la risposta di autenticazione nella Guida per l'utente IAM. Per informazioni sui requisiti di configurazione specifici per il tuo provider di identità, consulta la documentazione del provider di identità.

Fase 6: configurazione dello stato del relay della federazione

Infine, usa il tuo IdP per configurare lo stato di inoltro della tua federazione in modo che punti all'URL dello stack relay state AppStream 2.0. Una volta completata con successo l'autenticazione tramite AWS, l'utente viene indirizzato al portale AppStream 2.0 stack, definito come lo stato di inoltro nella risposta di autenticazione SAML.

Il formato dell'URL dello stato del relay è il seguente:

https://relay-state-region-endpoint?stack=stackname&accountId=aws-account-id-without-hyphens

Costruisci l'URL dello stato dell'inoltro dall'ID dell'account Amazon Web Services, dal nome dello stack e dall'endpoint dello stato dell'inoltro associati alla regione in cui si trova lo stack.

Facoltativamente, puoi specificare il nome dell'applicazione che desideri avviare automaticamente. Per trovare il nome dell'applicazione, seleziona l'immagine nella console AppStream 2.0, scegli la scheda Applicazioni e annota il nome visualizzato nella colonna Nome applicazione. Oppure, se l'immagine ancora non è stata creata, effettuare la connessione all'image builder dove è installata l'applicazione e aprire Image Assistant. I nomi delle applicazioni vengono visualizzati nella scheda Add Apps (Aggiungi app).

Se il parco istanze è abilitato per la vista del flusso Desktop stream, puoi anche scegliere di avviarla direttamente sul desktop del sistema operativo. Per fare ciò, specifica Desktop alla fine dell'URL dello stato dell'inoltro, dopo &app=.

Con un flusso avviato da un provider di identità (IdP), dopo che gli utenti accedono all'IdP e selezionano AppStream l'applicazione 2.0 dal portale utenti IdP, vengono reindirizzati a una pagina di accesso AppStream 2.0 nel browser con le seguenti opzioni:

  • Continua con Browser

  • Client Open AppStream 2.0

Nella pagina, gli utenti possono scegliere di avviare la sessione nel browser o con l'applicazione client AppStream 2.0. Facoltativamente, puoi anche specificare quale client deve essere utilizzato per una federazione SAML 2.0. Per fare ciò, specifica uno native o dopo web l'URL dello stato di inoltro o dopo. &client= Quando il parametro è presente in un URL dello stato di inoltro, le sessioni corrispondenti verranno avviate automaticamente nel client specificato, senza che gli utenti effettuino la scelta.

Nota

Questa funzionalità è disponibile solo se si utilizzano i nuovi endpoint della regione dello stato di inoltro (nella Tabella 1 di seguito) per costruire l'URL dello stato di inoltro e si utilizza la versione del client AppStream 2.0 1.1.1300 e successive.

Con i diritti sulle applicazioni basati sugli attributi che utilizzano un gestore dell'identità digitale SAML 2.0 di terze parti, puoi abilitare l'accesso a più stack da un singolo URL dello stato dell'inoltro. Rimuovi i parametri dello stack e dell'app (se presenti) dall'URL dello stato dell'inoltro, come segue:

https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens

Quando gli utenti effettuano la federazione al catalogo di applicazioni AppStream 2.0, verranno visualizzati tutti gli stack in cui i permessi dell'applicazione hanno associato una o più applicazioni all'utente per l'ID account e l'endpoint dello stato di inoltro associati alla regione in cui si trovano gli stack. Quando un utente sceglie un catalogo, i diritti sulle applicazioni visualizzeranno solo le applicazioni a cui l'utente ha l'autorizzazione.

Nota

Gli utenti non possono eseguire lo streaming da più stack contemporaneamente.

Per ulteriori informazioni, consulta Diritti sulle applicazioni basati su attributi che utilizzano un gestore dell'identità digitale SAML 2.0 di terze parti.

La Tabella 1 riportata di seguito elenca gli endpoint dello stato di inoltro per le regioni in cui è disponibile la AppStream versione 2.0. Gli endpoint dello stato di inoltro nella Tabella 1 sono compatibili con AppStream 2.0 Accesso tramite browser Web (versione 2) e con l'applicazione client Windows versione 1.1.1300 e successive. Se utilizzi versioni precedenti del client Windows, dovresti utilizzare i vecchi endpoint dello stato di inoltro elencati nella Tabella 2 per configurare la federazione SAML 2.0. Se si desidera che gli utenti eseguano lo streaming utilizzando una connessione conforme a FIPS, è necessario utilizzare un endpoint compatibile con FIPS. Per ulteriori informazioni sugli endpoint FIPS, consulta Protezione dei dati in transito con gli endpoint FIPS.

Tabella 1: endpoint della regione dello stato di inoltro AppStream 2.0
Regione Endpoint dello stato del relay
Stati Uniti orientali (Virginia settentrionale)

https://appstream2.euc-sso.us-east-1.aws.amazon.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-east-1.aws.amazon.com/saml
Stati Uniti orientali (Ohio) https://appstream2.euc-sso.us-east-2.aws.amazon.com/saml
US West (Oregon)

https://appstream2.euc-sso.us-west-2.aws.amazon.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-west-2.aws.amazon.com/saml
Asia Pacifico (Mumbai) https://appstream2.euc-sso.ap-south-1.aws.amazon.com/saml
Asia Pacifico (Seoul) https://appstream2.euc-sso.ap-northeast-2.aws.amazon.com/saml
Asia Pacifico (Singapore) https://appstream2.euc-sso.ap-southeast-1.aws.amazon.com/saml
Asia Pacifico (Sydney) https://appstream2.euc-sso.ap-southeast-2.aws.amazon.com/saml
Asia Pacifico (Tokyo) https://appstream2.euc-sso.ap-northeast-1.aws.amazon.com/saml

Canada (Centrale)

 https://appstream2.euc-sso.ca-central-1.aws.amazon.com/saml
Europa (Francoforte) https://appstream2.euc-sso.eu-central-1.aws.amazon.com/saml
Europa (Irlanda) https://appstream2.euc-sso.eu-west-1.aws.amazon.com/saml
Europa (Londra) https://appstream2.euc-sso.eu-west-2.aws.amazon.com/saml
AWS GovCloud (Stati Uniti orientali)

https://appstream2.euc-sso.us-gov-east-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com/saml

Nota

Per ulteriori informazioni sull'utilizzo della AppStream versione 2.0 nelle AWS GovCloud (US) regioni, consulta Amazon AppStream 2.0 nella Guida AWS GovCloud (US) per l'utente.
AWS GovCloud (Stati Uniti occidentali)

https://appstream2.euc-sso.us-gov-west-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com/saml

Nota

Per ulteriori informazioni sull'utilizzo della AppStream versione 2.0 nelle AWS GovCloud (US) regioni, consulta Amazon AppStream 2.0 nella Guida AWS GovCloud (US) per l'utente.
Sud America (San Paolo) https://appstream2.euc-sso.sa-east-1.aws.amazon.com/saml

La tabella 2 riportata di seguito elenca i vecchi endpoint relativi allo stato di inoltro che sono ancora disponibili. Tuttavia, si consiglia di utilizzare i nuovi endpoint dello stato di inoltro elencati nella Tabella 1 per configurare le federazioni SAML 2.0. In particolare, con i nuovi endpoint relay state, puoi consentire agli utenti di avviare l'applicazione client AppStream 2.0 (versione 1.1.1300 e successive) da sessioni di streaming avviate da IdP. I nuovi endpoint con stato di inoltro nella Tabella 1 consentono inoltre agli utenti di accedere ad altre AWS applicazioni in diverse schede dello stesso browser Web, senza influire sulla sessione di streaming 2.0 in corso. AppStream I vecchi endpoint dello stato di inoltro nella Tabella 2 non supportano questa funzionalità. Per ulteriori informazioni, consulta Gli utenti del mio client AppStream 2.0 vengono disconnessi dalla sessione AppStream 2.0 ogni 60 minuti.

Tabella 2: Vecchi endpoint della regione dello stato del relè AppStream 2.0
Regione Endpoint dello stato del relay
Stati Uniti orientali (Virginia settentrionale)

https://appstream2.us-east-1.aws.amazon.com/saml

(FIPS) https://appstream2-fips.us-east-1.aws.amazon.com/saml
Stati Uniti orientali (Ohio) https://appstream2.us-east-2.aws.amazon.com/saml
US West (Oregon)

https://appstream2.us-west-2.aws.amazon.com/saml

(FIPS) https://appstream2-fips.us-west-2.aws.amazon.com/saml
Asia Pacifico (Mumbai) https://appstream2.ap-south-1.aws.amazon.com/saml
Asia Pacifico (Seoul) https://appstream2.ap-northeast-2.aws.amazon.com/saml
Asia Pacifico (Singapore) https://appstream2.ap-southeast-1.aws.amazon.com/saml
Asia Pacifico (Sydney) https://appstream2.ap-southeast-2.aws.amazon.com/saml
Asia Pacifico (Tokyo) https://appstream2.ap-northeast-1.aws.amazon.com/saml

Canada (Centrale)

 https://appstream2.ca-central-1.aws.amazon.com/saml
Europa (Francoforte) https://appstream2.eu-central-1.aws.amazon.com/saml
Europa (Irlanda) https://appstream2.eu-west-1.aws.amazon.com/saml
Europa (Londra) https://appstream2.eu-west-2.aws.amazon.com/saml
AWS GovCloud (Stati Uniti orientali)

https://appstream2.us-gov-east-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2-fips.us-gov-east-1.amazonaws-us-gov.com/saml

Nota

Per ulteriori informazioni sull'utilizzo della AppStream versione 2.0 nelle AWS GovCloud (US) regioni, consulta Amazon AppStream 2.0 nella Guida AWS GovCloud (US) per l'utente.
AWS GovCloud (Stati Uniti occidentali)

https://appstream2.us-gov-west-1.amazonaws-us-gov.com/saml

(FIPS) https://appstream2-fips.us-gov-west-1.amazonaws-us-gov.com/saml

Nota

Per ulteriori informazioni sull'utilizzo della AppStream versione 2.0 nelle AWS GovCloud (US) regioni, consulta Amazon AppStream 2.0 nella Guida AWS GovCloud (US) per l'utente.
Sud America (San Paolo) https://appstream2.sa-east-1.aws.amazon.com/saml

La tabella 3 riportata di seguito elenca tutti i parametri disponibili che puoi utilizzare per costruire un URL dello stato di inoltro.

Tabella 3: Parametri dell'URL dello stato di inoltro
Parametro Obbligatorio Formato Supportato da
accountId Richiesto ID a 12 caratteri Account AWS Endpoint nuovi e vecchi nelle tabelle 1 e 2
stack Facoltativo Stack name (Nome stack) Nuovi e vecchi endpoint nelle tabelle 1 e 2
app Facoltativo Nome dell'app o «Desktop» Endpoint nuovi e vecchi nelle Tabelle 1 e 2
client Facoltativo «nativo» o «web» Nuovi endpoint solo nella Tabella 1