Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Konfiguration des Standardauthentifizierungstyps für Amazon WorkSpaces Secure Browser
<a name="configure-standard"></a>

Der *Standardauthentifizierungstyp* ist der Standardauthentifizierungstyp. Es kann vom Service Provider initiierte (SP-initiierte) und vom Identitätsanbieter initiierte (IdP-initiierte) Anmeldeabläufe mit Ihrem SAML 2.0-kompatiblen IdP unterstützen. Gehen Sie wie folgt vor, um den Standardauthentifizierungstyp zu konfigurieren, um Ihren SAML 2.0-IdP eines Drittanbieters (wie Okta oder Ping) direkt mit Ihrem Portal zu verbinden.

**Topics**
+ [Konfiguration Ihres Identitätsanbieters im Amazon WorkSpaces Secure Browser](configure-idp-step1.md)
+ [Konfiguration Ihres IdP auf Ihrem eigenen IdP](configure-idp-step2.md)
+ [Abschluss der IdP-Konfiguration im Amazon WorkSpaces Secure Browser](upload-metadata.md)
+ [Hinweise zur Verwendung bestimmter Funktionen IdPs mit Amazon WorkSpaces Secure Browser](idp-guidance.md)

# Konfiguration Ihres Identitätsanbieters im Amazon WorkSpaces Secure Browser
<a name="configure-idp-step1"></a>

Gehen Sie wie folgt vor, um Ihren Identitätsanbieter zu konfigurieren:

1. **Wählen Sie auf der Seite **Identitätsanbieter konfigurieren** des Erstellungsassistenten die Option Standard** aus.

1. Wählen Sie **Weiter mit Standard-IdP**.

1. Laden Sie die SP-Metadatendatei herunter und lassen Sie die Registerkarte für einzelne Metadatenwerte geöffnet.
   + Wenn die SP-Metadatendatei verfügbar ist, wählen Sie **Metadatendatei herunterladen**, um das Service Provider (SP) -Metadatendokument herunterzuladen, und laden Sie die Service Provider-Metadatendatei im nächsten Schritt auf Ihren IdP hoch. Ohne diese Option können sich Benutzer nicht anmelden.
   + Wenn Ihr Anbieter keine SP-Metadatendateien hochlädt, geben Sie die Metadatenwerte manuell ein.

1. **Wählen Sie unter SAML-Anmeldetyp** **auswählen zwischen **SP-initiierten und IDP-initiierten SAML-Assertionen oder nur SP-initiierten SAML-Assertionen**.**
   + Durch **SP-initiierte und IdP-initiierte SAML-Assertionen** kann Ihr Portal beide Arten von Anmeldeabläufen unterstützen. Portale, die IDP-initiierte Flows unterstützen, ermöglichen es Ihnen, SAML-Assertions dem Service Identity Federation-Endpunkt zu präsentieren, ohne dass Benutzer eine Sitzung starten müssen, indem sie die Portal-URL aufrufen. 
     + Wählen Sie diese Option, damit das Portal unaufgefordert vom IDP initiierte SAML-Assertions akzeptieren kann. 
     + Für diese Option muss ein **Standard-Relay-Status in Ihrem SAML** 2.0-Identity Provider konfiguriert sein. Der Relay-State-Parameter für Ihr Portal befindet sich in der Konsole unter **IdP-initiierte SAML-Anmeldung**, oder Sie können ihn aus der SP-Metadatendatei unter kopieren. `<md:IdPInitRelayState>`
     +  Hinweis
       + Das Folgende ist das Format des Relay-Status:. `redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider` 
       + Wenn Sie den Wert aus der SP-Metadatendatei kopieren und einfügen, stellen Sie sicher, dass Sie `&amp; ` zu wechseln`&`. `&amp;`ist ein XML-Escape-Zeichen.
   + Wählen Sie nur **SP-initiierte SAML-Assertionen für das Portal aus, um nur** SP-initiierte Anmeldeabläufe zu unterstützen. Diese Option lehnt unaufgeforderte SAML-Assertions aus vom IDP initiierten Anmeldeabläufen ab. 
**Anmerkung**  
Einige Drittanbieter IdPs ermöglichen es Ihnen, eine benutzerdefinierte SAML-Anwendung zu erstellen, die von IdP initiierte Authentifizierungserlebnisse mithilfe von SP-initiierten Abläufen bereitstellen kann. Ein Beispiel finden Sie unter [Eine Okta-Lesezeichenanwendung hinzufügen](https://help.okta.com/oag/en-us/content/topics/access-gateway/add-app-saml-pass-thru-add-bookmark.htm).

1. Wählen Sie aus, ob Sie das **Signieren** von SAML-Anfragen an diesen Anbieter aktivieren möchten. Durch die SP-initiierte Authentifizierung kann Ihr IdP überprüfen, ob die Authentifizierungsanfrage vom Portal stammt, wodurch verhindert wird, dass andere Anfragen von Drittanbietern akzeptiert werden. 

   1. Laden Sie das Signaturzertifikat herunter und laden Sie es auf Ihren IdP hoch. Das gleiche Signaturzertifikat kann für die einmalige Abmeldung verwendet werden.

   1. Aktivieren Sie die signierte Anfrage in Ihrem IdP. Der Name kann je nach IdP unterschiedlich sein.
**Anmerkung**  
RSA- SHA256 ist der einzige unterstützte Algorithmus zum Signieren von Anfragen und Standardanfragen.

1. Wählen Sie aus, ob Sie die Option **Verschlüsselte SAML-Assertionen erforderlich** aktivieren möchten. Auf diese Weise können Sie die SAML-Assertion verschlüsseln, die von Ihrem IdP stammt. Es kann verhindern, dass Daten in SAML-Assertionen zwischen dem IdP und dem Secure Browser abgefangen werden. WorkSpaces 
**Anmerkung**  
Das Verschlüsselungszertifikat ist in diesem Schritt nicht verfügbar. Es wird nach dem Start Ihres Portals erstellt. Nachdem Sie das Portal gestartet haben, laden Sie das Verschlüsselungszertifikat herunter und laden Sie es auf Ihren IdP hoch. Aktivieren Sie dann die Assertion-Verschlüsselung in Ihrem IdP (der Name kann je nach IdP unterschiedlich sein). 

1. **Wählen Sie aus, ob Sie Single Logout aktivieren möchten.** Single Logout ermöglicht es Ihren Endbenutzern, sich mit einer einzigen Aktion sowohl von ihrer IdP- als auch von ihrer WorkSpaces Secure Browser-Sitzung abzumelden.

   1. Laden Sie das Signaturzertifikat vom WorkSpaces Secure Browser herunter und laden Sie es auf Ihren IdP hoch. Dies ist dasselbe Signaturzertifikat, das im vorherigen Schritt für das **Signieren von Anfragen** verwendet wurde.

   1. Für die Verwendung von **Single Logout** müssen Sie eine **Single Logout-URL** in Ihrem SAML 2.0-Identitätsanbieter konfigurieren. Sie finden die **Single Logout-URL** für Ihr Portal in der Konsole unter **Details zum Dienstanbieter (SP) — Individuelle Metadatenwerte anzeigen** oder in der SP-Metadatendatei unter. `<md:SingleLogoutService>` 

   1. Aktivieren Sie **Single Logout** in Ihrem IdP. Der Name kann je nach IdP unterschiedlich sein. 

# Konfiguration Ihres IdP auf Ihrem eigenen IdP
<a name="configure-idp-step2"></a>

Gehen Sie wie folgt vor, um Ihren IdP auf Ihrem eigenen IdP zu konfigurieren.

1. Öffnen Sie eine neue Registerkarte in Ihrem Browser.

1. Fügen Sie Ihre Portal-Metadaten zu Ihrem SAML-IdP hinzu.

   Laden Sie entweder das SP-Metadatendokument, das Sie im vorherigen Schritt heruntergeladen haben, auf Ihren IdP hoch, oder kopieren Sie die Metadatenwerte und fügen Sie sie in die richtigen Felder in Ihrem IdP ein. Einige Anbieter erlauben das Hochladen von Dateien nicht.

   Die Einzelheiten dieses Vorgangs können je nach Anbieter variieren. In der Dokumentation Ihres Anbieters finden Sie Hilfe [Hinweise zur Verwendung bestimmter Funktionen IdPs mit Amazon WorkSpaces Secure Browser](idp-guidance.md) zum Hinzufügen der Portaldetails zu Ihrer IdP-Konfiguration.

1. Bestätigen Sie die **NameID** für Ihre SAML-Assertion.

   Stellen Sie sicher, dass Ihr SAML-IdP **NameID** in der SAML-Assertion mit dem Benutzer-E-Mail-Feld füllt. **NameID** und Benutzer-E-Mail werden verwendet, um Ihren SAML-Verbundbenutzer im Portal eindeutig zu identifizieren. Verwenden Sie das persistente SAML-Namen-ID-Format.

1. Optional: Konfigurieren Sie den **Relay-Status** für die IDP-initiierte Authentifizierung.

   Wenn Sie im vorherigen Schritt **SP-initiierte und IdP-initiierte SAML-Assertionen akzeptieren** ausgewählt haben, folgen Sie den Schritten in Schritt 2 von, [Konfiguration Ihres Identitätsanbieters im Amazon WorkSpaces Secure Browser](configure-idp-step1.md) um den **Standard-Relay-Status** für Ihre IdP-Anwendung festzulegen. 

1. **Optional:** Konfigurieren Sie das Signieren von Anfragen. Wenn Sie im vorherigen Schritt **SAML-Anfragen an diesen Anbieter signieren** ausgewählt haben, folgen Sie den Schritten in Schritt 3 von, [Konfiguration Ihres Identitätsanbieters im Amazon WorkSpaces Secure Browser](configure-idp-step1.md) um das Signaturzertifikat auf Ihren IdP hochzuladen und das Signieren von Anfragen zu aktivieren. Einige, IdPs wie Okta, erfordern möglicherweise, dass Ihre **NameID** zum Typ „persistent“ gehört, um die **Anforderungssignierung** verwenden zu können. Stellen Sie sicher, dass Sie Ihre **NameID** für Ihre SAML-Assertion bestätigen, indem Sie die obigen Schritte ausführen.

1. **Optional: Konfigurieren Sie die Assertion-Verschlüsselung.** Wenn Sie **Verschlüsselte SAML-Assertionen von diesem Anbieter erfordern** ausgewählt haben, warten Sie, bis die Portalerstellung abgeschlossen ist, und folgen Sie dann Schritt 4 unter „Metadaten hochladen“ unten, um das Verschlüsselungszertifikat auf Ihren IdP hochzuladen und die Assertionsverschlüsselung zu aktivieren.

1. **Optional: Konfigurieren Sie Single Logout.** **Wenn Sie **Single Logout** ausgewählt haben, folgen Sie den Schritten in Schritt 5 von, [Konfiguration Ihres Identitätsanbieters im Amazon WorkSpaces Secure Browser](configure-idp-step1.md) um das Signaturzertifikat auf Ihren IdP hochzuladen, geben Sie **Single Logout URL** ein und aktivieren Sie Single Logout.**

1. Gewähren Sie Ihren Benutzern in Ihrem IdP Zugriff auf die Verwendung von WorkSpaces Secure Browser.

1. Laden Sie eine Metadaten-Austauschdatei von Ihrem Identitätsanbieter herunter. Im nächsten Schritt laden Sie diese Metadaten in den WorkSpaces Secure Browser hoch.

# Abschluss der IdP-Konfiguration im Amazon WorkSpaces Secure Browser
<a name="upload-metadata"></a>

Gehen Sie wie folgt vor, um die IdP-Konfiguration im WorkSpaces Secure Browser abzuschließen.

1. Kehren Sie zur WorkSpaces Secure Browser-Konsole zurück. Laden Sie auf der **Seite Identitätsanbieter konfigurieren** des Erstellungsassistenten unter **IdP-Metadaten entweder eine Metadatendatei** hoch oder geben Sie eine Metadaten-URL von Ihrem IdP ein. Das Portal verwendet diese Metadaten von Ihrem IdP, um Vertrauen aufzubauen.

1. Um eine Metadatendatei hochzuladen, wählen Sie unter **IdP-Metadatendokument** die Option **Datei auswählen aus**. Laden Sie die XML-formatierte Metadatendatei von Ihrem Identitätsanbieter hoch, die Sie im vorherigen Schritt heruntergeladen haben. 

1. Um eine Metadaten-URL zu verwenden, gehen Sie zu Ihrem IdP, den Sie im vorherigen Schritt eingerichtet haben, und rufen Sie dessen **Metadaten-URL ab**. Kehren Sie zur WorkSpaces Secure Browser-Konsole zurück und geben Sie unter **IdP-Metadaten-URL die Metadaten-URL ein, die Sie von Ihrem IdP** erhalten haben. 

1. Klicken Sie anschließend auf **Next**.

1. Für Portale, auf denen Sie die Option **Verschlüsselte SAML-Assertionen von diesem Anbieter anfordern** aktiviert haben, müssen Sie das Verschlüsselungszertifikat aus dem Abschnitt Portal-IdP-Details herunterladen und auf Ihren IdP hochladen. Anschließend können Sie die Option dort aktivieren.
**Anmerkung**  
WorkSpaces Für Secure Browser muss der Betreff oder die NameID zugeordnet und in der SAML-Assertion in den Einstellungen Ihres IdP festgelegt werden. Ihr Identitätsanbieter kann diese Zuordnungen automatisch erstellen. Wenn diese Zuordnungen nicht korrekt konfiguriert sind, können sich Ihre Benutzer nicht beim Webportal anmelden und keine Sitzung starten.  
WorkSpaces Für Secure Browser müssen die folgenden Angaben in der SAML-Antwort enthalten sein. Sie *<Your SP Entity ID>* können die Service Provider-Details oder das Metadaten-Dokument Ihres Portals entweder über die Konsole oder die CLI aufrufen. *<Your SP ACS URL>*  
Ein `AudienceRestriction` Anspruch mit einem `Audience` Wert, der Ihre SP-Entitäts-ID als Ziel der Antwort festlegt. Beispiel:  

     ```
     <saml:AudienceRestriction>
         <saml:Audience><Your SP Entity ID></saml:Audience>
     </saml:AudienceRestriction>
     ```
Ein `Response`-Anspruch mit einem `InResponseTo`-Wert, der der ursprünglichen SAML-Anforderungs-ID entspricht. Beispiel:  

     ```
     <samlp:Response ... InResponseTo="<originalSAMLrequestId>">
     ```
Ein `SubjectConfirmationData` Anspruch mit dem `Recipient` Wert Ihrer SP ACS-URL und einem `InResponseTo` Wert, der der ursprünglichen SAML-Anforderungs-ID entspricht. Beispiel:  

     ```
     <saml:SubjectConfirmation>
         <saml:SubjectConfirmationData ... 
             Recipient="<Your SP ACS URL>"
             InResponseTo="<originalSAMLrequestId>"
             />
     </saml:SubjectConfirmation>
     ```
WorkSpaces Secure Browser validiert Ihre Anforderungsparameter und SAML-Assertionen. Für IDP-initiierte SAML-Assertionen müssen die Details Ihrer Anfrage als `RelayState` Parameter im Hauptteil einer HTTP-POST-Anfrage formatiert werden. Der Anfragetext muss auch Ihre SAML-Assertion als Parameter enthalten. `SAMLResponse` Beide sollten vorhanden sein, wenn Sie den vorherigen Schritt ausgeführt haben.  
Im Folgenden finden Sie einen `POST` Beispieltext für einen vom IDP initiierten SAML-Anbieter.  

   ```
   SAMLResponse=<Base64-encoded SAML assertion>&RelayState=<RelayState> 
   ```

# Hinweise zur Verwendung bestimmter Funktionen IdPs mit Amazon WorkSpaces Secure Browser
<a name="idp-guidance"></a>

Um sicherzustellen, dass Sie den SAML-Verbund für Ihr Portal korrekt konfigurieren, finden Sie unter den folgenden Links die Dokumentation von Commons Used IdPs. 


| IdP | Einrichtung der SAML-Anwendung | Benutzerverwaltung | IDP-initiierte Authentifizierung | Signierung anfordern | Assertion-Verschlüsselung | Einmaliges Abmelden | 
| --- | --- | --- | --- | --- | --- | --- | 
| Okta | [Erstellen Sie SAML-App-Integrationen](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Benutzerverwaltung](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [SAML-Feldreferenz für den Assistenten zur Anwendungsintegration](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [SAML-Feldreferenz für den Assistenten zur Anwendungsintegration](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [SAML-Feldreferenz für den Assistenten zur Anwendungsintegration](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [SAML-Feldreferenz für den Assistenten zur Anwendungsintegration](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | 
| Geben Sie ein | [Erstellen Sie Ihre eigene Anwendung](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Schnellstart: Erstellen Sie ein Benutzerkonto und weisen Sie es zu](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-assign-users) | [Aktivieren Sie Single Sign-On für eine Unternehmensanwendung](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-setup-sso) | [SAML: Signaturverifizierung anfordern](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-enforce-signed-saml-authentication) | [Konfigurieren Sie die SAML-Token-Verschlüsselung von Microsoft Entra](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-saml-token-encryption?tabs=azure-portal) | [SAML-Protokoll mit einmaliger Anmeldung](https://learn.microsoft.com/en-us/entra/identity-platform/single-sign-out-saml-protocol) | 
| Ping | [Fügen Sie eine SAML-Anwendung hinzu](https://docs.pingidentity.com/r/en-us/pingone/pingone_p1tutorial_add_a_saml_app) | [Benutzer](https://docs.pingidentity.com/r/en-us/pingone/p1_c_aboutusers) | [IDP-initiiertes SSO aktivieren](https://docs.pingidentity.com/r/en-us/pingone/pingone_configuring_the_oidc_application) | [Konfiguration der Anmeldung mit Authentifizierungsanforderungen für Enterprise PingOne ](https://docs.pingidentity.com/r/en-us/solution-guides/htg_config_authn_req_sign_p14e) | [Unterstützt PingOne for Enterprise Verschlüsselung?](https://support.pingidentity.com/s/article/Does-PingOne-support-encryption) | [SAML 2.0-Einzelabmeldung](https://docs.pingidentity.com/r/en-us/pingone/pingone_c_saml_2-0_slo?tocId=aKUl0dlpyVDVw3PJmLIGGg) | 
| Ein Login | [Benutzerdefinierter SAML-Konnektor (erweitert) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Fügen OneLogin Sie Benutzer manuell hinzu](https://www.onelogin.com/getting-started/free-trial-plan/add-users-manually) | [Benutzerdefinierter SAML-Konnektor (erweitert) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Benutzerdefinierter SAML-Konnektor (erweitert) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Benutzerdefinierter SAML-Konnektor (erweitert) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Benutzerdefinierter SAML-Konnektor (erweitert) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | 
| IAM Identity Center | [Richten Sie Ihre eigene SAML 2.0-Anwendung ein](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [Richten Sie Ihre eigene SAML 2.0-Anwendung ein](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [Richten Sie Ihre eigene SAML 2.0-Anwendung ein](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | – | – | – |