Amazon AppStream 2.0
管理ガイド

SAML 2.0 を使用した AppStream 2.0 へのシングルサインオンアクセス

Amazon AppStream 2.0 では、Security Assertion Markup Language 2.0 (SAML 2.0) を通した AppStream 2.0 スタックへの ID フェデレーションをサポートしています。Windows Server の Active Directory Federation Service (AD FS)、Ping One Federation Server、Okta — などの SAML 2.0 — をサポートする ID プロバイダー (IdP) を使用して、AppStream 2.0 ユーザーにオンボーディングフローを提供できます。

この機能により、ユーザーは既存の ID 認証情報を使用して AppStream 2.0 アプリケーションへワンクリックでアクセスができ、便利です。また、IdP による ID 認証によるセキュリティ上の利点もあります。IdP を使用して、特定の AppStream 2.0 スタックにアクセスできるユーザーを管理できます。

認証ワークフローの例

次の図は、AppStream 2.0 とサードパーティーの ID プロバイダー (IdP) との間の認証フローを示しています。この例では、管理者が AppStream 2.0 へアクセスするためのサインインページ (applications.exampleco.com) をセットアップしています。ウェブページでは、SAML 2.0 – 準拠のフェデレーションサービスを使用してサインオンリクエストをトリガーしています。また、管理者は AppStream 2.0 へのアクセスを許可するユーザーをセットアップしています。


                Amazon AppStream 2.0 SAML の図
  1. ユーザーは https://applications.exampleco.com をブラウジングします。サインインページがユーザーの認証をリクエストします。

  2. フェデレーションサービスが組織の ID ストアからの認証をリクエストします。

  3. ID ストアはユーザーを認証し、フェデレーションサービスに認証レスポンスを返します。

  4. 認証が成功すると、フェデレーションサービスはユーザーのブラウザに SAML アサーションを送信します。

  5. ユーザーのブラウザが AWS サインイン SAML エンドポイント (https://signin.aws.amazon.com/saml) に SAML アサーションを送信します。AWS サインインでは、SAML リクエストの受信、リクエストの処理、ユーザーの認証、AppStream 2.0 への認証トークンの転送を行います。

  6. AWS からの認証トークンを使用して、AppStream 2.0 はユーザーを認証し、ブラウザにアプリケーションを表示します。

ユーザーの立場では、この処理を意識することはありませんユーザーは組織の内部ポータルで開始し、AWS 認証情報を入力する必要なしに AppStream 2.0 アプリケーションポータルに自動的にリダイレクトされます。

このページの内容: