Amazon WorkSpaces Secure Browser、Applications、Pools、Personal の認証方式を整理してみた
はじめに
Amazon WorkSpaces ファミリーには、仮想ブラウザ、アプリケーションストリーミング、非永続デスクトップ、永続デスクトップなど、複数のサービスがあります。
今回、以下の 4 サービスを PoC するにあたり、操作性、ファイル転送、業務アプリケーションの利用可否、開発ツールの動作などを確認したいと考えました。
- Amazon WorkSpaces Secure Browser
- Amazon WorkSpaces Applications
- Amazon WorkSpaces Pools
- Amazon WorkSpaces Personal
一方で、これらのサービスは利用できる認証方式がそれぞれ異なります。
例えば、簡易ユーザーや一時 URL で検証を始めやすいサービスもあれば、PoC 段階でも SAML 2.0 連携が必要になるサービスもあります。
そのため、操作性や業務要件の PoC を進める前提として、各サービスでどの認証方式を使って検証を始めるかを整理しました。
なお、Amazon WorkSpaces Core や Amazon WorkSpaces Thin Client も WorkSpaces ファミリーに含まれますが、認証方式の整理観点が異なるため、本記事では対象外とします。
本記事では、ユーザーが利用するブラウザ、アプリケーション、デスクトップ環境を提供する4 サービスを対象にします。
- Amazon WorkSpaces Secure Browser
- Amazon WorkSpaces Applications
- Amazon WorkSpaces Pools
- Amazon WorkSpaces Personal
結論
初期 PoC で利用する認証方式を整理すると、以下のようになります。
| サービス | 初期 PoC で使う認証方式 |
|---|---|
| Amazon WorkSpaces Secure Browser | Standard 認証による SAML 2.0 連携 |
| Amazon WorkSpaces Applications | User Pool または Streaming URL |
| Amazon WorkSpaces Pools | SAML 2.0 連携 |
| Amazon WorkSpaces Personal | Simple AD + テストユーザー |
ポイントは、すべてのサービスで同じ認証方式を使えるわけではない点です。
WorkSpaces Applications は User Pool や Streaming URL を使って比較的簡易に検証を始められます。一方で、WorkSpaces Secure Browser や WorkSpaces Pools は SAML 2.0 連携を前提に考える必要があります。特に WorkSpaces Pools は、公開ドキュメント上 SAML 2.0 認証が必要と説明されているため、初期 PoC でも SAML 2.0 連携で検証します。
WorkSpaces Secure Browser
Amazon WorkSpaces Secure Browser では、以下の認証タイプを選択できます。
| 認証タイプ | 概要 |
|---|---|
| Standard | SAML 2.0 IdP を WorkSpaces Secure Browser ポータルに直接連携する方式 |
| IAM Identity Center | IAM Identity Center を WorkSpaces Secure Browser ポータルに連携する方式 |
Standard はデフォルトの認証タイプです。SAML 2.0 に対応した IdP を WorkSpaces Secure Browser ポータルに直接連携します。
IAM Identity Center 認証を利用する場合は、IAM Identity Center と WorkSpaces Secure Browser ポータルが同じ AWS アカウント、同じ AWS リージョンに存在している必要があります。
今回のように、PoC 用の AWS アカウントに WorkSpaces Secure Browser を作成し、IAM Identity Center 連携ではなく個別に SAML 2.0 IdP と連携したい場合は、Standard 認証で SAML 2.0 連携する構成が現実的です。
設定方法は、以下の記事が参考になります。
WorkSpaces Secure Browser は、サービス側で簡易ユーザーを作成して試すというより、SAML 2.0 IdP との連携を前提に検証するサービスとして考えると整理しやすいです。
WorkSpaces Applications
Amazon WorkSpaces Applications は、旧 Amazon AppStream 2.0 に相当するアプリケーションストリーミングサービスです。
WorkSpaces Applications では、ユーザーにアクセスを提供する方法として、以下の方式があります。
| 方式 | 概要 |
|---|---|
| SAML 2.0 連携 | 既存 IdP と SAML 2.0 で連携する方式 |
| User Pool | WorkSpaces Applications 側でユーザーを作成する方式 |
| Streaming URL | CreateStreamingURL API などで一時的な URL を発行し、セッションを開始する方式 |
公式ドキュメントでは、WorkSpaces Applications へのアクセス方法として、SAML 2.0 を使用した ID フェデレーション、WorkSpaces アプリケーションユーザープール、ストリーミング URL の作成が案内されています。
ここでの CreateStreamingURL API は、ユーザー認証方式そのものではなく、Streaming URL を発行する手段です。外部アプリケーションや独自 IdP 側でユーザー認証を行った後、CreateStreamingURL API で一時的な URL を発行してセッションを開始する構成として考えます。
初期 PoC では、User Pool または Streaming URL から始めると、SAML 2.0 連携を作り込む前に操作性を確認しやすいです。
User Pool を使った設定方法は、以下の記事が参考になります。
WorkSpaces Applications は、まず User Pool または Streaming URL でアプリケーションの操作性を確認しやすい点が、他の WorkSpaces 系サービスとの違いです。
WorkSpaces Pools
Amazon WorkSpaces Pools は、プールされた非永続デスクトップを提供するサービスです。
WorkSpaces Pools で利用する認証方式は、SAML 2.0 連携のみです。
| 認証方式 | 概要 |
|---|---|
| SAML 2.0 連携 | SAML 2.0 IdP と連携し、WorkSpaces Pool へのサインインを行う方式 |
WorkSpaces Pools は、WorkSpaces Applications のように User Pool や Streaming URL で簡易に開始する方式はありません。
公式ドキュメントでは、WorkSpaces Pools には SAML 2.0 認証が必要であることが説明されています。
また、WorkSpaces Pools のディレクトリ作成手順でも、SAML 2.0 を設定して WorkSpaces Pools ディレクトリを作成する流れが案内されています。
そのため、初期 PoC でも SAML 2.0 連携を前提に検証します。
設定方法は、以下の記事が参考になります。
WorkSpaces Personal
Amazon WorkSpaces Personal は、ユーザーごとに専用の永続デスクトップを提供するサービスです。
WorkSpaces Personal では、WorkSpaces とユーザー情報を管理するためにディレクトリを利用します。
利用できるディレクトリ方式として、以下があります。
| ディレクトリ方式 | 概要 |
|---|---|
| AD Connector | 既存のオンプレミス Microsoft Active Directory を利用する方式 |
| AWS Managed Microsoft AD | AWS マネージドの Microsoft Active Directory を利用する方式 |
| Simple AD | AWS 上に AD 互換ディレクトリを作成する方式 |
| Cross trust | AWS Managed Microsoft AD と既存 AD の信頼関係を利用する方式 |
| Microsoft Entra ID | IAM Identity Center 経由で Microsoft Entra ID を ID ソースとして利用する方式 |
| Custom | IAM Identity Center 経由で任意の IdP を利用する方式 |
WorkSpaces Personal で利用できるディレクトリ方式は、公式ドキュメントでも案内されています。
初期 PoC で簡易に検証したい場合は、Simple AD とテストユーザーを利用することで、既存 ID 基盤との連携を作り込む前に WorkSpaces Personal の検証を始められます。
Simple AD を使った WorkSpaces Personal の設定方法は、以下の記事が参考になります。
WorkSpaces Personal は、Simple AD とテストユーザーで始めると初期 PoC を進めやすいです。一方で、既存 ID 基盤との連携まで含めて検証する場合は、ディレクトリ方式や認証方式を別途整理する必要があります。
PoC での整理
今回の 4 サービスを PoC する場合、認証方式の観点では以下のように始めると整理しやすいです。
| サービス | PoC での認証方式 | 理由 |
|---|---|---|
| WorkSpaces Secure Browser | Standard 認証による SAML 2.0 連携 | Secure Browser 側で SAML 2.0 IdP 連携を利用するため |
| WorkSpaces Applications | User Pool または Streaming URL | SAML 2.0 連携を作り込む前に、アプリケーションの動作確認をしやすいため |
| WorkSpaces Pools | SAML 2.0 連携 | WorkSpaces Pools では SAML 2.0 認証が必要なため |
| WorkSpaces Personal | Simple AD + テストユーザー | ディレクトリとテストユーザーを用意すれば、永続デスクトップを検証しやすいため |
WorkSpaces Applications は簡易な接続方式で先に操作性を確認しやすい一方、WorkSpaces Pools は PoC 段階から SAML 2.0 連携が必要になります。
また、WorkSpaces Secure Browser も、Standard 認証で SAML 2.0 IdP と連携する前提で考えると整理しやすいです。
まとめ
Amazon WorkSpaces 系サービス 4 種類について、PoC 時に使う認証方式を整理しました。
WorkSpaces Secure Browser は Standard 認証による SAML 2.0 連携、WorkSpaces Pools は SAML 2.0 連携を前提に考えます。一方で、WorkSpaces Applications は User Pool や Streaming URL を使って、比較的簡易に動作確認を始められます。
WorkSpaces Personal は Simple AD とテストユーザーで検証を始めやすいですが、既存 ID 基盤との連携まで含める場合は、ディレクトリ方式や認証方式を別途整理する必要があります。
操作性や業務要件の PoC を進める前に、各サービスで利用できる認証方式の違いを把握しておくと、検証範囲を決めやすくなります。






