アクティブディレクトリドメインの概要 - Amazon AppStream 2.0

アクティブディレクトリドメインの概要

Amazon AppStream 2.0 でアクティブディレクトリドメインを使用するには、それらの仕組みと、完了する必要がある設定タスクを理解する必要があります。次のタスクを実行する必要があります。

  1. 必要に応じて、アプリケーションのエンドユーザーエクスペリエンスとセキュリティ要件を定義できるように、グループポリシーを設定する。

  2. Amazon AppStream 2.0 でドメイン参加済みのアプリケーションスタックを作成する。

  3. SAML 2.0 ID プロバイダーで AppStream 2.0 アプリケーションを作成し、直接またはアクティブディレクトリグループを使用してエンドユーザーに割り当てる。

ドメインに対してユーザーを認証する場合は、これらのユーザーが AppStream 2.0 ストリーミングセッションを開始する際に複数のステップを行う必要があります。以下の図は、SAML 経由での最初のブラウザリクエストからアクティブディレクトリ認証までのエンドツーエンドのユーザー認証フローを示しています。

ユーザー認証フロー

  1. ユーザーが https://applications.exampleco.com を参照します。サインインページがユーザーの認証をリクエストします。

  2. フェデレーションサービスが組織の ID ストアからの認証をリクエストします。

  3. ID ストアはユーザーを認証し、フェデレーションサービスに認証レスポンスを返します。

  4. 認証が成功すると、フェデレーションサービスはユーザーのブラウザに SAML アサーションを送信します。

  5. ユーザーのブラウザが AWS サインインの SAML エンドポイント (https://signin.aws.amazon.com/saml) に SAML アサーションを送信します。AWSサインインが SAML リクエストを受け取り、リクエストの処理とユーザーの認証を行って、認証トークンを AppStream 2.0 サービスに転送します。

  6. AppStream 2.0 では、AWS からの認証トークンを使用してユーザーを認証し、ブラウザにアプリケーションを表示します。

  7. ユーザーはアプリケーションを選択し、AppStream 2.0 スタックで有効になっている Windows ログイン認証方法に応じて、アクティブディレクトリドメインパスワードを入力するか、スマートカードを選択するよう求められます。両方の認証方法が有効になっている場合、ユーザーはドメインパスワードを入力するか、スマートカードを使用するかを選択できます。

  8. ドメインコントローラーに接続してユーザーを認証します。

  9. ドメインで認証された後、ユーザーのセッションがドメインに接続できる状態で開始されます。

ユーザーの視点から見ると、このプロセスは透過的です。ユーザーが最初に組織の内部ポータルに移動すると、AWS 認証情報を入力する必要なく AppStream 2.0 アプリケーションポータルにリダイレクトされます。アクティブディレクトリドメインのパスワードまたはスマートカードの認証情報のみが必要です。

ユーザーがこのプロセスを開始する前に、必要な資格およびグループポリシーを使用してアクティブディレクトリを設定し、ドメイン参加済みのアプリケーションスタックを作成する必要があります。