アクティブディレクトリドメインの概要 - Amazon AppStream 2.0

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクティブディレクトリドメインの概要

Active Directory ドメインを AppStream 2.0 で使用するには、それらの連携方法と、完了する必要のある設定タスクを理解する必要があります。次のタスクを実行する必要があります。

  1. 必要に応じて、アプリケーションのエンドユーザーエクスペリエンスとセキュリティ要件を定義できるように、グループポリシーを設定する。

  2. 2.0 でドメイン参加型アプリケーションスタックを作成します。 AppStream

  3. SAML AppStream 2.0 ID プロバイダーで 2.0 アプリケーションを作成し、直接または Active Directory グループを通じてエンドユーザーに割り当てます。

ユーザーをドメインで認証するには、エンドユーザーが AppStream 2.0 ストリーミングセッションを開始する際にいくつかの手順を実行する必要があります。次の図は、最初のブラウザリクエストから SAML 認証と Active Directory end-to-end 認証までのユーザー認証フローを示しています。

ユーザー認証フロー
  1. ユーザーが https://applications.exampleco.com を参照します。サインインページがユーザーの認証をリクエストします。

  2. フェデレーションサービスが組織の ID ストアからの認証をリクエストします。

  3. ID ストアはユーザーを認証し、フェデレーションサービスに認証レスポンスを返します。

  4. 認証が成功すると、フェデレーションサービスはユーザーのブラウザに SAML アサーションを送信します。

  5. ユーザーのブラウザは SAML AWS アサーションをサインイン SAML エンドポイント () に送信します。https://signin.aws.amazon.com/saml AWS サインインは SAML リクエストを受信し、リクエストを処理してユーザーを認証し、認証トークンを 2.0 サービスに転送します。 AppStream

  6. AppStream 2.0 からの認証トークンを使用してユーザーを認証し AWS、アプリケーションをブラウザーに表示します。

  7. ユーザーがアプリケーションを選択すると、 AppStream 2.0 スタックで有効になっている Windows ログイン認証方法に応じて、Active Directory ドメインパスワードの入力またはスマートカードの選択を求められます。両方の認証方法が有効になっている場合、ユーザーはドメインパスワードを入力するか、スマートカードを使用するかを選択できます。証明書ベースの認証は、プロンプトを省略してユーザーの認証にも使用できます。

  8. ドメインコントローラーに接続してユーザーを認証します。

  9. ドメインで認証された後、ユーザーのセッションがドメインに接続できる状態で開始されます。

ユーザーの視点から見ると、このプロセスは透過的です。ユーザーはまず組織の内部ポータルに移動し、 AppStream 2.0 アプリケーションポータルにリダイレクトされます。認証情報を入力する必要はありません。 AWS アクティブディレクトリドメインのパスワードまたはスマートカードの認証情報のみが必要です。

ユーザーがこのプロセスを開始する前に、必要な資格およびグループポリシーを使用してアクティブディレクトリを設定し、ドメイン参加済みのアプリケーションスタックを作成する必要があります。