本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊 AppStream 2.0 与 SAML 2.0 集成
Amazon AppStream 2.0 支持通过安全断言标记语言 AppStream 2.0 (SAML 2.0) 将身份联合身份验证到 2.0 堆栈。您可以使用支持 SAML 2.0 的身份提供商 (IdP),例如 Windows Server 中的 Active Directory 联合服务 (AD FS)、Ping One 联合服务器或 OKTA,为 AppStream 2.0 用户提供入门流程。
此功能为您的用户提供了使用现有身份凭证一键访问其 AppStream 2.0 应用程序的便利。您还可以获得 IdP 提供的身份验证安全优势。通过使用 IdP,您可以控制哪些用户有权访问特定 AppStream 2.0 堆栈。
示例身份验证工作流程
下图说明了 AppStream 2.0 与第三方身份提供程序 (IdP) 之间的身份验证流程。在此示例中,管理员设置了一个名为 AppStream 2.0 的登录页面applications.exampleco.com。该网页使用符合 SAML 2.0 的联合身份验证服务来触发登录请求。管理员还设置了一个允许访问 AppStream 2.0 的用户。
-
用户浏览到
https://applications.exampleco.com。登录页请求对用户进行身份验证。 -
联合身份验证服务请求从组织的身份存储进行身份验证。
-
该身份存储将对用户进行身份验证,并将身份验证响应返回到联合身份验证服务。
-
在成功进行身份验证后,联合身份验证服务会将 SAML 断言发布到用户的浏览器。
-
用户的浏览器将 SAML 断言发布到AWS登录 SAML 端点 (
https://signin.aws.amazon.com/saml)。 AWSSign-In 接收 SAML 请求,处理请求,对用户进行身份验证,然后将身份验证令牌转发到 AppStream 2.0。有关在AWS GovCloud (美国西部)使用 SAML 的信息,请参阅《AWS GovCloud (US)用户指南》中的 “Ident AWSity and Access Management”。
-
AppStream 2.0 使用中的身份验证令牌对用户进行授权并将应用程序提供给浏览器。AWS
从用户的角度来看,整个过程以透明的方式进行。用户从您组织的内部门户开始,并自动重定向到 AppStream 2.0 应用程序门户,无需输入AWS凭据。
