Amazon AppStream 2.0 と SAML 2.0 の統合 - Amazon AppStream 2.0

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon AppStream 2.0 と SAML 2.0 の統合

Amazon AppStream 2.0 は、Security Assertion Markup Language AppStream 2.0 (SAML 2.0) を介した 2.0 スタックへの ID フェデレーションをサポートしています。Windows Server、Ping One Federation Server、Okta の Active Directory Federation Services (AD FS) など、SAML 2.0 をサポートする ID プロバイダー (IdP) を使用して、 AppStream 2.0 ユーザーにオンボーディングフローを提供できます。

この機能により、ユーザーは既存の ID 認証情報を使用して AppStream 2.0 アプリケーションにワンクリックで簡単にアクセスできます。また、IdP による ID 認証によるセキュリティ上の利点もあります。IdP を使用すると、特定の AppStream 2.0 スタックにアクセスできるユーザーを制御できます。

認証ワークフローの例

次の図は、 AppStream 2.0 とサードパーティー ID プロバイダー (IdP) の間の認証フローを示しています。この例では、管理者は という AppStream 2.0 にアクセスするためのサインインページを設定していますapplications.exampleco.com。ウェブページでは、SAML 2.0 準拠のフェデレーションサービスを使用してサインオンリクエストをトリガーしています。管理者は、 AppStream 2.0 へのアクセスを許可するユーザーも設定しています。

Amazon AppStream 2.0 SAML 図
  1. ユーザーが https://applications.exampleco.com を参照します。サインインページがユーザーの認証をリクエストします。

  2. フェデレーションサービスが組織の ID ストアからの認証をリクエストします。

  3. ID ストアはユーザーを認証し、フェデレーションサービスに認証レスポンスを返します。

  4. 認証が成功すると、フェデレーションサービスはユーザーのブラウザに SAML アサーションを送信します。

  5. ユーザーのブラウザは、SAML アサーションを AWS サインイン SAML エンドポイント (https://signin.aws.amazon.com/saml) に投稿します。 AWS サインインは SAML リクエストを受け取り、リクエストを処理し、ユーザーを認証し、認証トークンを AppStream 2.0 に転送します。

    AWS GovCloud (US) リージョンでの SAML の使用については、 AWS GovCloud (US) ユーザーガイドAWS 「 Identity and Access Management」を参照してください。

  6. 、 AppStream 2.0 の認証トークンを使用すると AWS、ユーザーは認証され、ブラウザにアプリケーションが表示されます。

ユーザーの立場では、この処理を意識することはありません ユーザーは組織の内部ポータルから開始し、 AWS 認証情報を入力することなく AppStream 2.0 アプリケーションポータルに自動的にリダイレクトされます。