投稿日: Jan 7, 2022
本日より、SAML 2.0 属性アサーションに基づいて、Amazon AppStream 2.0 スタック内の特定のアプリケーションへのアクセスを制御できます。さらに、SAML 2.0 フェデレーティッドユーザー ID は、単一の SAML 2.0 サービスプロバイダー (SP) アプリケーションから複数の AppStream 2.0 スタックにアクセスできます。これまで、各スタックには、SAML 2.0 ID プロバイダー (IdP) で設定された個別のサービスプロバイダーアプリケーションが必要でした。これらの機能により、AppStream スタックへのアクセスコントロールを合理化し、アプリケーションのアクセス制限のために維持する必要のあるフリートとイメージの数を減らすことができます。例えば、単一の AppStream 2.0 スタックにリレーする IdP 内の単一の SAML 2.0 SP アプリケーションから、あるグループに属するユーザーにあるアプリケーションのセットについての使用権限を付与し、別のグループに別のアプリケーションのセットについての使用権限を付与することができます。
アプリケーションエンタイトルメントは、SAML 2.0 ユーザー ID が Amazon AppStream 2.0 サービスプロバイダーアプリケーションにフェデレーションするときに、サポートされている SAML 2.0 属性名 (ロール、グループ、タイトル、コストセンターなど) と値を照合することで機能します。エンタイトルメントが true の場合 (つまり、属性名と値が一致する場合)、スタック内の 1 つ以上のアプリケーションに対するアクセス権が付与されます。
Amazon AppStream 2.0 アプリケーションエンタイトルメントの使用を開始するには、AppStream 2.0 スタックを管理するために新しい AppStream 2.0 コンソールエクスペリエンスを起動します。スタックの詳細を表示し、名前と説明を使用してアプリケーションエンタイトルメントを設定します。エンタイトルメントの属性名と値のペアが true になるように定義します。その後、スタック内のアプリケーション設定を構成して、すべてのアプリケーションまたは選択したアプリケーションについてエンタイトルメントを設定します。設定を確認して、エンタイトルメントを作成します。このプロセスを繰り返して、さまざまな属性名と値のペアについて追加のエンタイトルメントを作成できます。最後に、SAML 2.0 IdP を使用して、AppStream 2.0 SAML サービスプロバイダーアプリケーションのリレー状態 URL と属性マッピングを設定し、許可されたユーザーのエンタイトルメントで定義された属性と値を送信します。ユーザーがフェデレーションして AppStream 2.0 アプリケーションポータルにリダイレクトされると、ユーザーに使用権限が付与されているスタックとアプリケーションのみが表示されます。詳細については、Amazon AppStream 2.0 管理ガイドの Manage Application Entitlements を参照してください。
SAML 2.0 フェデレーションを AppStream 2.0 スタックに対して使用する場合、アプリケーションエンタイトルメントをご利用いただけます。AppStream 2.0 が提供されているすべての AWS リージョンで、追加料金なしでアプリケーションエンタイトルメントを作成できます。AppStream 2.0 は従量制料金です。Amazon AppStream 2.0 の料金で詳細を確認し、サンプルアプリケーションをお試しください。