WorkSpaces と SAML 2.0 の統合 - Amazon WorkSpaces
認証ワークフロー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

WorkSpaces と SAML 2.0 の統合

SAML 2.0 をデスクトップセッションの認証のために WorkSpaces と統合すると、ユーザーはデフォルトのウェブブラウザから既存の SAML 2.0 ID プロバイダー (IdP) 認証情報と認証方法を使用できるようになります。IdP を使用して WorkSpaces へのユーザーの認証を行うと、多要素認証やコンテキストに応じたアクセスポリシーなどの IdP 機能を採用することで、WorkSpaces を保護することができます。

認証ワークフロー

以下のセクションでは、WorkSpaces クライアントアプリケーション、WorkSpaces Web Access、および SAML 2.0 ID プロバイダー (IdP) によって開始される認証ワークフローについて説明します。

  • フローが IdP によって開始されるとき。たとえば、ユーザーが IdP ユーザーポータルのアプリケーションをウェブブラウザで選択したときです。

  • フローが WorkSpaces クライアントによって開始されるとき。たとえば、ユーザーがクライアントを開いてサインインしたときです。

  • フローが WorkSpaces Web Access によって開始されるとき。たとえば、ユーザーがブラウザで Web Access を開いてサインインしたときです。

これらの例では、ユーザーは「user@example.com」と入力して IdP にサインインします。IdP には、WorkSpaces ディレクトリ用に設定された SAML 2.0 サービスプロバイダーアプリケーションがあり、ユーザーは WorkSpaces SAML 2.0 アプリケーションに対して承認されています。ユーザーは、SAML 2.0 認証が有効になっているディレクトリにユーザー名 user の WorkSpace を作成します。さらに、ユーザーはデバイスに WorkSpaces クライアントアプリケーションをインストールするか、ウェブブラウザで Web Access を使用します。

クライアントアプリケーションを使用したID プロバイダー (IdP) 主導フロー

IdP 主導のフローでは、ユーザーは WorkSpaces 登録コードを入力せずに、デバイスに WorkSpaces クライアントアプリケーションを自動的に登録できます。ユーザーは、IdP 主導のフローを使用して自身の WorkSpaces に対してサインインしません。WorkSpaces 認証は、クライアントアプリケーションから開始する必要があります。

  1. ユーザーはウェブブラウザを使用して、IdP にサインインします。

  2. IdP にサインインした後、ユーザーは IdP ユーザーポータルから WorkSpaces アプリケーションを選択します。

  3. ユーザーはブラウザでこのページにリダイレクトされ、WorkSpaces クライアントアプリケーションが自動的に開きます。

    WorkSpaces アプリケーションリダイレクトページを開く

  4. WorkSpaces クライアントアプリケーションが登録されました。ユーザーは、[Continue to sign in to WorkSpaces] (WorkSpaces へのサインインを続ける) をクリックして続行できます。

ウェブアクセスを使用した ID プロバイダー (IdP) 主導フロー

IdP 主導のウェブアクセスフローでは、ユーザーは WorkSpaces 登録コードを入力せずに、ウェブブラウザに WorkSpaces を自動的に登録できます。ユーザーは、IdP 主導のフローを使用して自身の WorkSpaces に対してサインインしません。WorkSpaces 認証は、ウェブアクセスから開始する必要があります。

  1. ユーザーはウェブブラウザを使用して、IdP にサインインします。

  2. IdP にサインインした後、ユーザーは IdP ユーザーポータルから WorkSpaces アプリケーションを選択します。

  3. ユーザーはブラウザでこのページにリダイレクトされます。WorkSpaces を開くには、[Amazon WorkSpaces in the browser] (ブラウザでの Amazon WorkSpaces) を選択します。

    WorkSpaces アプリケーションリダイレクトページを開く

  4. WorkSpaces クライアントアプリケーションが登録されました。ユーザーは、WorkSpaces Web Access からサインインを続行できます。

WorkSpaces クライアント主導フロー

クライアント主導のフローでは、ユーザーは IdP にサインインした後に WorkSpaces にサインインできます。

  1. ユーザーが WorkSpaces クライアントアプリケーションを起動し (まだ実行されていない場合)、[WorkSpaces へのサインインを続行] をクリックします。

  2. ユーザーはデフォルトのウェブブラウザにリダイレクトされ、IdP にサインインします。ユーザーがブラウザで既に IdP にサインインしている場合、再度サインインする必要はなく、このステップをスキップします。

  3. IdP にサインインすると、ユーザーはポップアップにリダイレクトされます。プロンプトに従うと、ウェブブラウザーがクライアントアプリケーションを開くことができます。

    クライアントアプリケーションのプロンプトを開きます。

  4. ユーザーは WorkSpaces クライアントアプリケーションにリダイレクトされ、WorkSpace へのサインインが完了します。WorkSpaces のユーザー名は、IdP SAML 2.0 アサーションから自動的に入力されます。証明書ベースの認証 (CBA) を使用すると、ユーザーは自動的にサインインされます。

  5. ユーザーは自分の WorkSpace にサインインしています。

WorkSpaces Web Access 主導のフロー

WorkSpaces Web Access 主導のフローでは、ユーザーは IdP にサインインした後に WorkSpaces にサインインできます。

  1. ユーザーは WorkSpaces Web アクセスを起動して、[サインイン] を選択します。

  2. 同じブラウザータブで、ユーザーは IdP ポータルにリダイレクトされます。ユーザーがブラウザで既に IdP にサインインしている場合、再度サインインする必要はなく、このステップをスキップできます。

  3. IdP にサインインすると、ユーザーはブラウザでこのページにリダイレクトされ、[Log in to WorkSpaces] (WorkSpaces にログインする) をクリックします。

  4. ユーザーは WorkSpaces クライアントアプリケーションにリダイレクトされ、WorkSpace へのサインインが完了します。WorkSpaces のユーザー名は、IdP SAML 2.0 アサーションから自動的に入力されます。証明書ベースの認証 (CBA) を使用すると、ユーザーは自動的にサインインされます。

  5. ユーザーは自分の WorkSpace にサインインしています。