Active Directory 域概述 - 亚马逊 AppStream 2.0

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Active Directory 域概述

将 Active Directory 域与 AppStream 2.0 结合使用需要了解它们如何合作以及您需要完成的配置任务。需要完成以下任务:

  1. 按需配置组策略设置以定义应用程序的最终用户体验和安全要求。

  2. 在 AppStream 2.0 中创建加入域的应用程序堆栈。

  3. 在 SAML 2.0 身份提供商中创建 AppStream 2.0 应用程序并直接或通过 Active Directory 组将其分配给最终用户。

要针对域验证您的用户的身份,当这些用户发起 AppStream 2.0 流式传输会话时,必须执行一些步骤。下图说明了端到端用户身份验证流程 - 从最初的浏览器请求到通过 SAML 以及 Active Directory 身份验证步骤。

用户身份验证流程

  1. 用户浏览到 https://applications.exampleco.com。登录页请求对用户进行身份验证。

  2. 联合身份验证服务请求从组织的身份存储进行身份验证。

  3. 该身份存储将对用户进行身份验证,并将身份验证响应返回到联合身份验证服务。

  4. 在成功进行身份验证后,联合身份验证服务会将 SAML 断言发布到用户的浏览器。

  5. 用户的浏览器会将 SAML 断言发布到 AWS 登录 SAML 端点 (https://signin.aws.amazon.com/saml)。AWSSign-In 将接收 SAML 请求、处理请求、对用户进行身份验证并将身份验证令牌转发给 AppStream 2.0 服务。

  6. 通过使用来自 AWS 的身份验证令牌,AppStream 2.0 可向用户授权并向浏览器提供应用程序。

  7. 用户选择一个应用程序,根据在 AppStream 2.0 堆栈上启用的 Windows 登录身份验证方法,系统会提示他们输入 Active Directory 域密码或选择智能卡。如果同时启用了这两种身份验证方法,则用户可以选择是输入域密码还是使用智能卡。也可以使用基于证书的身份验证对用户进行身份验证,从而删除提示。

  8. 访问域控制器以进行用户身份验证。

  9. 向域验证身份后,用户的会话从域连接开始。

从用户的角度来看,此过程以透明的方式进行。用户首先导航到您组织的内部门户,然后重定向到 AppStream 2.0 应用程序门户,而无需输入 AWS 凭证。只需提供 Active Directory 域密码或智能卡凭证。

您必须先使用必需的权限和组策略设置配置 Active Directory 并创建加入域的应用程序堆栈,然后用户才能启动此流程。