Amazon AppStream 2.0 と SAML 2.0 の統合 - Amazon AppStream 2.0

Amazon AppStream 2.0 と SAML 2.0 の統合

Amazon AppStream 2.0 では、Security Assertion Markup Language 2.0 (SAML 2.0) を通した AppStream 2.0 スタックへの ID フェデレーションをサポートしています。Windows Server の Active Directory Federation Service (AD FS)、Ping One Federation Server、Okta などの SAML 2.0 をサポートする ID プロバイダ (IdP) を使用して、AppStream 2.0 ユーザーにオンボーディングフローを提供できます。

この機能により、ユーザーは既存の ID 認証情報を使用して AppStream 2.0 アプリケーションへワンクリックでアクセスができ、便利です。また、IdP による ID 認証によるセキュリティ上の利点もあります。IdP を使用して、どのユーザーが特定の AppStream 2.0 スタックへのアクセス権限を持つかを制御することができます。

認証ワークフローの例

次の図は、AppStream 2.0 とサードパーティーの ID プロバイダー (IdP) との間の認証フローを示しています。この例では、管理者が AppStream 2.0 へアクセスするためのサインインページ (applications.exampleco.com) をセットアップしています。ウェブページでは、SAML 2.0 準拠のフェデレーションサービスを使用してサインオンリクエストをトリガーしています。また、管理者は AppStream 2.0 へのアクセスを許可するユーザーをセットアップしています。


                Amazon AppStream 2.0 SAML 図
  1. ユーザーは https://applications.exampleco.com をブラウジングします。サインインページがユーザーの認証をリクエストします。

  2. フェデレーションサービスが組織の ID ストアからの認証をリクエストします。

  3. ID ストアはユーザーを認証し、フェデレーションサービスに認証レスポンスを返します。

  4. 認証が成功すると、フェデレーションサービスはユーザーのブラウザに SAML アサーションを送信します。

  5. ユーザーのブラウザが AWS サインインの SAML エンドポイント (https://signin.aws.amazon.com/saml) に SAML アサーションを送信します。AWSサインインは SAML リクエストを受け取ると、リクエストの処理とユーザーの認証を行った上で、認証トークンを AppStream 2.0 に転送します。

    AWS GovCloud (米国西部) での SAML の使用については、AWS GovCloud (US) ユーザーガイドの「AWS Identity and Access Management」を参照してください。

  6. AppStream 2.0 では、AWS からの認証トークンを使用してユーザーを認証し、ブラウザにアプリケーションを表示します。

ユーザーの立場では、この処理を意識することはありません 組織の内部ポータルで使用を開始したユーザーは、自動的に AppStream 2.0 のアプリケーションポータルにリダイレクトされるので、AWS の認証情報を入力する必要はありません。