Amazon AppStream 2.0 と SAML 2.0 の統合 - Amazon AppStream 2.0
認証ワークフローの例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon AppStream 2.0 と SAML 2.0 の統合

Amazon AppStream 2.0 は、Security Assertion Markup Language AppStream 2.0 (SAML 2.0) による 2.0 スタックへの ID フェデレーションをサポートしています。Windows Server、Ping One Federation Server、Okta の Active Directory Federation Services (AD FS) など、SAML 2.0 をサポートする ID プロバイダー (IdP ) を使用して、 AppStream 2.0 ユーザーにオンボーディングフローを提供できます。

この機能により、ユーザーは既存の ID 認証情報を使用して AppStream 2.0 アプリケーションにワンクリックでアクセスする利便性が得られます。また、IdP による ID 認証によるセキュリティ上の利点もあります。IdP を使用すると、特定の AppStream 2.0 スタックにアクセスできるユーザーを制御できます。

認証ワークフローの例

次の図は、 AppStream 2.0 とサードパーティー ID プロバイダー (IdP) の間の認証フローを示しています。この例では、管理者は という AppStream 2.0 にアクセスするためのサインインページを設定していますapplications.exampleco.com。ウェブページでは、SAML 2.0 準拠のフェデレーションサービスを使用してサインオンリクエストをトリガーしています。管理者は、 AppStream 2.0 へのアクセスを許可するユーザーも設定しています。

Amazon AppStream 2.0 SAML 図

  1. ユーザーが https://applications.exampleco.com を参照します。サインインページがユーザーの認証をリクエストします。

  2. フェデレーションサービスが組織の ID ストアからの認証をリクエストします。

  3. ID ストアはユーザーを認証し、フェデレーションサービスに認証レスポンスを返します。

  4. 認証が成功すると、フェデレーションサービスはユーザーのブラウザに SAML アサーションを送信します。

  5. ユーザーのブラウザは SAML アサーションを AWS サインイン SAML エンドポイント (https://signin.aws.amazon.com/saml) に投稿します。 AWS サインインは SAML リクエストを受け取り、リクエストを処理し、ユーザーを認証し、認証トークンを AppStream 2.0 に転送します。

    AWS GovCloud (US) リージョンでの SAML の使用については、AWS GovCloud (US) 「 ユーザーガイド」の「 AWS Identity and Access Management」を参照してください。

  6. AWS, AppStream 2.0 の認証トークンを使用すると、ユーザーは認証され、ブラウザにアプリケーションが表示されます。

ユーザーの立場では、この処理を意識することはありません ユーザーは組織の内部ポータルから開始し、 AWS 認証情報を入力することなく AppStream 2.0 アプリケーションポータルに自動的にリダイレクトされます。