Direitos de aplicação baseados em atributos usando um provedor de identidades SAML 2.0 de terceiros - Amazon AppStream 2.0
Criar direitos de aplicaçõesCatálogo de aplicações em várias pilhas com SAML 2.0

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Direitos de aplicação baseados em atributos usando um provedor de identidades SAML 2.0 de terceiros

Os direitos de aplicação controlam o acesso a aplicações específicas em suas pilhas do AppStream 2.0. Isso funciona ao usar declarações de atributos SAML 2.0 de um provedor de identidades SAML 2.0 de terceiros. A declaração é correspondida a um valor, quando uma identidade de usuário é federada a uma aplicação SAML 2.0 do AppStream 2.0. Se o direito for verdadeiro e o nome e o valor do atributo corresponderem, a identidade do usuário receberá acesso a uma ou mais aplicações na pilha.

Os direitos de aplicação baseados em atributos usando um provedor de identidades SAML 2.0 de terceiros não se aplicam aos cenários a seguir. Em outras palavras, o direito é ignorado em casos como os seguintes:

  • Autenticação de grupo de usuários do AppStream 2.0. Para obter mais informações, consulte Grupo de usuários do AppStream 2.0.

  • Autenticação de URL de streaming do AppStream 2.0. Para obter mais informações, consulte URL de streaming.

  • A aplicação de desktop quando as frotas do AppStream 2.0 são configuradas para Visualização de streaming em área de trabalho. Para obter mais informações, consulte Crie uma frota AppStream 2.0 e empilhe.

  • Pilhas que usam o framework dinâmico de aplicações. O framework dinâmico de aplicações fornece recursos específicos de direitos de aplicações. Para obter mais informações, consulte Direitos de aplicações de um provedor dinâmico de aplicações usando o framework dinâmico de aplicações.

  • Quando um usuário se federa ao catálogo de aplicações do AppStream 2.0, os direitos de aplicações exibirão somente as aplicações às quais o usuário tem direito. A execução de aplicações não está restrita à sessão do AppStream 2.0. Por exemplo, em uma frota configurada para a visualização de streaming Desktop, um usuário pode iniciar uma aplicação diretamente pela área de trabalho.

Criar direitos de aplicações

Antes de criar direitos de aplicações, é necessário fazer o seguinte:

  • Crie uma frota e pilha do AppStream 2.0 com uma imagem que contém uma ou mais aplicações (frota sempre ativa ou sob demanda) ou aplicações atribuídas (frota elástica) que atenderão às suas necessidades. Para obter mais informações, consulte Crie uma frota AppStream 2.0 e empilhe.

  • Forneça acesso de usuário à pilha usando um provedor de identidades SAML 2.0 de terceiros. Para obter mais informações, consulte Integração da Amazon AppStream 2.0 com SAML 2.0. Se você estiver usando um provedor de identidades SAML 2.0 que você configurou anteriormente, consulte Etapa 2: Criar um perfil do IAM de federação SAML 2.0 e confira as etapas para adicionar a permissão sts:TagSession à política de confiança do seu perfil do IAM. Para obter mais informações, consulte Passing session tags in AWS STS. Essa permissão é necessária para usar os direitos de aplicações.

Como criar direitos de aplicações

  1. Abra o console do AppStream 2.0.

  2. No painel de navegação à esquerda, escolha Pilhas e selecione a pilha para a qual deseja gerenciar direitos de aplicações.

  3. Na caixa de diálogo Direitos de aplicações, escolha Criar.

  4. Insira um Nome e uma Descrição para o direito.

  5. Defina o nome e o valor do atributo para o direito.

    Ao mapear atributos, especifique o atributo no formato https://aws.amazon.com/SAML/Attributes/PrincipalTag:{TagKey}, em que {TagKey} é um dos seguintes atributos:

    • funções

    • department

    • organização

    • groups

    • title

    • costCenter

    • userType

    Os atributos que você definiu são usados para autorizar aplicações da pilha para um usuário que se federa a uma sessão do AppStream 2.0. O direito funciona por meio da combinação do nome do atributo com um nome de valor de chave na declaração SAML criada durante a federação. Para obter mais informações, consulte Atributo SAML PrincipalTag.

    nota

    Um ou mais valores podem ser incluídos em qualquer atributo compatível, separados por um sinal de dois pontos (:).

    Por exemplo, as informações de grupos podem ser enviadas em um nome de atributo SAML https://aws.amazon.com/SAML/Attributes/PrincipalTag:groups with value “group1:group2:group3” e o direito pode permitir aplicações com base em um único valor de grupo, como “group1”. Para obter mais informações, consulte Atributo SAML PrincipalTag.

  6. Defina configurações de aplicações na pilha para conceder direito a todas as aplicações ou a aplicações selecionadas. Escolher Todas as aplicações (*) aplica todas as aplicações disponíveis na pilha, incluindo aplicações que serão adicionadas no futuro. Escolher Selecionar aplicações filtrará os nomes de aplicações específicos.

  7. Revise as configurações e crie o direito. Você pode repetir o processo e criar direitos adicionais. O direito às aplicações em uma pilha será uma união de todos os direitos que correspondem ao usuário com base nos nomes e valores de atributos.

  8. No provedor de identidades SAML 2.0, configure os mapeamentos de atributos de aplicação SAML do AppStream 2.0 para enviar o atributo e o valor definidos em seu direito. Quando um usuário se federa ao catálogo de aplicações do AppStream 2.0, os direitos de aplicações exibirão somente as aplicações às quais o usuário tem direito.

Catálogo de aplicações em várias pilhas com SAML 2.0

Com direitos de aplicação baseados em atributos usando um provedor de identidades SAML 2.0 de terceiros, você pode habilitar o acesso a várias pilhas por um único URL em estado de retransmissão. Remova os parâmetros da pilha e da aplicação (se presentes) do URL do estado de retransmissão, da seguinte forma:

https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens

Quando os usuários se federam ao catálogo de aplicações do AppStream 2.0, eles recebem todas as pilhas nas quais os direitos de aplicação corresponderam a uma ou mais aplicações para o usuário quanto ao ID de conta e ao endpoint do estado de retransmissão associados à região em que as pilhas estão localizadas. Quando um usuário seleciona um catálogo, os direitos de aplicação exibirão somente as aplicações às quais o usuário tem direito. Para obter mais informações, consulte Etapa 6: configurar o estado de retransmissão da federação.

nota

Para usar os catálogos de aplicações em várias pilhas com SAML 2.0, é necessário configurar a política em linha para o perfil do IAM de federação SAML 2.0. Para obter mais informações, consulte Etapa 3: Incorporar uma política em linha para o perfil do IAM.