Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# SAML 2.0 konfigurieren und ein WorkSpaces Pools-Verzeichnis erstellen
<a name="create-directory-pools"></a>

Sie können die Registrierung und Anmeldung von WorkSpaces Client-Anwendungen WorkSpaces in einem WorkSpaces Pool aktivieren, indem Sie einen Identitätsverbund mit SAML 2.0 einrichten. Dazu verwenden Sie eine AWS Identity and Access Management (IAM) -Rolle und eine Relay-State-URL, um Ihren SAML 2.0-Identitätsanbieter (IdP) zu konfigurieren und ihn für zu aktivieren. AWS Dadurch erhalten Ihre Verbundbenutzer Zugriff auf ein Pool-Verzeichnis. WorkSpace Der Relay-Status ist der WorkSpaces Verzeichnisendpunkt, an den Benutzer nach erfolgreicher Anmeldung weitergeleitet werden. AWS

**Wichtig**  
WorkSpaces Pools unterstützt keine IP-basierten SAML 2.0-Konfigurationen.

**Topics**
+ [Schritt 1: Berücksichtigen Sie die Anforderungen](#saml-directory-consider-the-requirements)
+ [Schritt 2: Erfüllen der Voraussetzungen](#saml-directory-complete-the-prereqs)
+ [Schritt 3: Erstellen Sie einen SAML-Identitätsanbieter in IAM](#saml-directory-create-saml-idp)
+ [Schritt 4: WorkSpace Pool-Verzeichnis erstellen](#saml-directory-create-wsp-pools-directory)
+ [Schritt 5: Erstellen Sie eine SAML 2.0-Verbund-IAM-Rolle](#saml-directory-saml-federation-role-in-iam)
+ [Schritt 6: Konfigurieren Sie Ihren SAML 2.0-Identitätsanbieter](#saml-directory-configure-saml-idp)
+ [Schritt 7: Erstellen Sie Assertionen für die SAML-Authentifizierungsantwort](#saml-directory-create-assertions)
+ [Schritt 8: Konfigurieren Sie den Relay-Status Ihres Verbunds](#saml-directory-configure-relay-state)
+ [Schritt 9: Aktivieren Sie die Integration mit SAML 2.0 in Ihrem WorkSpace Pool-Verzeichnis](#saml-directory-enable-saml-integration)
+ [Fehlerbehebung](#saml-pools-troubleshooting)
+ [Geben Sie Active Directory-Details für Ihr WorkSpaces Pools-Verzeichnis an](pools-service-account-details.md)

## Schritt 1: Berücksichtigen Sie die Anforderungen
<a name="saml-directory-consider-the-requirements"></a>

Die folgenden Anforderungen gelten für die Einrichtung von SAML für ein WorkSpaces Pools-Verzeichnis.
+ Die DefaultRole IAM-Rolle workspaces\$1 muss in Ihrem Konto vorhanden sein. AWS Diese Rolle wird automatisch erstellt, wenn Sie das WorkSpaces Quick Setup verwenden oder wenn Sie zuvor eine mit dem gestartet haben. WorkSpace AWS-Managementkonsole Es gewährt Amazon die WorkSpaces Erlaubnis, in Ihrem Namen auf bestimmte AWS Ressourcen zuzugreifen. Wenn die Rolle bereits existiert, müssen Sie ihr möglicherweise die AmazonWorkSpacesPoolServiceAccess verwaltete Richtlinie anhängen, mit der Amazon auf die erforderlichen Ressourcen im AWS Konto für WorkSpaces Pools WorkSpaces zugreift. Weitere Informationen erhalten Sie unter [Erstellen Sie die Rolle workspaces\$1 DefaultRole](workspaces-access-control.md#create-default-role) und [AWS verwaltete Richtlinie: AmazonWorkSpacesPoolServiceAccess](managed-policies.md#workspaces-pools-service-access).
+ Sie können die SAML 2.0-Authentifizierung für WorkSpaces Pools in den Pools konfigurieren AWS-Regionen , die diese Funktion unterstützen. Weitere Informationen finden Sie unter [AWS-Regionen und Verfügbarkeitszonen für WorkSpaces Pools](wsp-pools-regions.md).
+ Um die SAML 2.0-Authentifizierung mit verwenden zu können WorkSpaces, muss der IdP unaufgefordertes, vom IdP initiiertes SSO mit einer Deep-Link-Zielressource oder einer Relay-State-Endpunkt-URL unterstützen. Beispiele dafür IdPs , dass dies unterstützt wird, sind ADFS, Azure AD, Duo Single Sign-On, Okta und. PingFederate PingOne Weitere Informationen finden Sie in der IdP-Dokumentation.
+ Die SAML 2.0-Authentifizierung wird nur auf den folgenden Clients unterstützt. WorkSpaces Die neuesten WorkSpaces Clients finden Sie auf der [Amazon WorkSpaces Client-Download-Seite](https://clients.amazonworkspaces.com/).
  + Windows-Client-Anwendung Version 5.20.0 oder höher
  + macOS-Client-Version 5.20.0 oder höher
  + Web Access

## Schritt 2: Erfüllen der Voraussetzungen
<a name="saml-directory-complete-the-prereqs"></a>

Erfüllen Sie die folgenden Voraussetzungen, bevor Sie Ihre SAML 2.0-IdP-Verbindung zu einem WorkSpaces Pool-Verzeichnis konfigurieren.
+ Konfigurieren Sie den Identitätsanbieter, um eine Vertrauensbeziehung mit einzurichte AWS.
+ Weitere Informationen [zur Konfiguration des Verbunds finden Sie unter Integration von SAML-Lösungsanbietern von Drittanbietern mit AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html). AWS Zu den relevanten Beispielen gehört die IdP-Integration mit IAM für den Zugriff auf. AWS-Managementkonsole
+ Nutzen Sie Ihren IdP, um ein Verbundmetadatendokument, in dem Ihre Organisation als IdP beschrieben wird, zu generieren und laden Sie es herunter. Dieses signierte XML-Dokument wird verwendet, um die Vertrauensstellung für die vertrauenden Seiten einzurichten. Speichern Sie diese Datei an einem Standort, auf den Sie später von der IAM-Konsole aus zugreifen können.
+ Erstellen Sie mithilfe der Konsole ein WorkSpaces Pool-Verzeichnis. WorkSpaces Weitere Informationen finden Sie unter [Verwenden von Active Directory mit WorkSpaces Pools](active-directory.md).
+ Erstellen Sie einen WorkSpaces Pool für Benutzer, die sich mit einem unterstützten Verzeichnistyp beim IdP anmelden können. Weitere Informationen finden Sie unter [Einen WorkSpaces Pool erstellen](set-up-pools-create.md).

## Schritt 3: Erstellen Sie einen SAML-Identitätsanbieter in IAM
<a name="saml-directory-create-saml-idp"></a>

Um zu beginnen, müssen Sie einen SAML-IdP in IAM erstellen. Dieser IdP definiert die Beziehung zwischen IdP und AWS Trust Ihrer Organisation anhand des Metadatendokuments, das von der IdP-Software in Ihrer Organisation generiert wurde. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Erstellen und Verwalten eines SAML-Identitätsanbieters](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console).AWS Identity and Access Management * Informationen zur Arbeit mit SAML IdPs in AWS GovCloud (US) Regions finden Sie [AWS Identity and Access Management](https://docs.aws.amazon.com//govcloud-us/latest/UserGuide/govcloud-iam.html)im *AWS GovCloud (US) Benutzerhandbuch*.

## Schritt 4: WorkSpace Pool-Verzeichnis erstellen
<a name="saml-directory-create-wsp-pools-directory"></a>

Gehen Sie wie folgt vor, um ein WorkSpaces Pool-Verzeichnis zu erstellen.

1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.

1. Wählen Sie **Verzeichnis erstellen** aus.

1. Wählen Sie als **WorkSpace Typ** die Option **Pool** aus.

1. Gehen Sie im Abschnitt **Benutzeridentitätsquelle** der Seite wie folgt vor:

   1. Geben Sie einen Platzhalterwert in das Textfeld **Benutzerzugriffs-URL** ein. Geben Sie beispielsweise `placeholder` in das Textfeld ein. Sie werden dies später bearbeiten, nachdem Sie die Anwendungsberechtigung in Ihrem IdP eingerichtet haben.

   1. Lassen Sie das Textfeld für den **Namen des Relay-State-Parameters** leer. Sie werden dies später bearbeiten, nachdem Sie die Anwendungsberechtigung in Ihrem IdP eingerichtet haben.

1. Geben Sie im Bereich **Verzeichnisinformationen** der Seite einen Namen und eine Beschreibung für das Verzeichnis ein. Der Verzeichnisname und die Beschreibung müssen weniger als 128 Zeichen lang sein und können alphanumerische Zeichen und die folgenden Sonderzeichen enthalten:`_ @ # % * + = : ? . / ! \ -`. Der Verzeichnisname und die Beschreibung dürfen nicht mit einem Sonderzeichen beginnen.

1. Gehen Sie im Bereich **Netzwerk und Sicherheit** der Seite wie folgt vor:

   1. Wählen Sie eine VPC und zwei Subnetze aus, die Zugriff auf die Netzwerkressourcen haben, die Ihre Anwendung benötigt. Um die Fehlertoleranz zu erhöhen, sollten Sie zwei Subnetze in unterschiedlichen Availability Zones wählen.

   1. Wählen Sie eine Sicherheitsgruppe, mit der WorkSpaces Sie Netzwerklinks in Ihrer VPC erstellen können. Sicherheitsgruppen steuern, von welchem Netzwerkverkehr WorkSpaces zu Ihrer VPC fließen darf. Wenn Ihre Sicherheitsgruppe beispielsweise alle eingehenden HTTPS-Verbindungen einschränkt, können Benutzer, die auf Ihr Webportal zugreifen, keine HTTPS-Websites von der laden. WorkSpaces

1. Der Abschnitt **Active Directory-Konfiguration** ist optional. Sie sollten jedoch Ihre Active Directory-Details (AD) bei der Erstellung Ihres WorkSpaces Pools-Verzeichnisses angeben, wenn Sie beabsichtigen, ein AD mit Ihren WorkSpaces Pools zu verwenden. Sie können die **Active Directory-Konfiguration** für Ihr WorkSpaces Pools-Verzeichnis nicht bearbeiten, nachdem Sie es erstellt haben. Weitere Informationen zur Angabe Ihrer AD-Details für Ihr WorkSpaces Pool-Verzeichnis finden Sie unter[Geben Sie Active Directory-Details für Ihr WorkSpaces Pools-Verzeichnis an](pools-service-account-details.md). Nachdem Sie den in diesem Thema beschriebenen Vorgang abgeschlossen haben, sollten Sie zu diesem Thema zurückkehren, um die Erstellung Ihres WorkSpaces Pools-Verzeichnisses abzuschließen.

   Sie können den Abschnitt **Active Directory-Konfiguration** überspringen, wenn Sie nicht vorhaben, ein AD mit Ihren WorkSpaces Pools zu verwenden.

1. Gehen Sie im Abschnitt **Streaming-Eigenschaften** der Seite wie folgt vor:
   + Wählen Sie das Verhalten bei den Zugriffsrechten für die Zwischenablage aus und geben Sie eine Option zum Kopieren bis zur lokalen Zeichenbeschränkung (optional) und zum Einfügen in die Zeichenbeschränkung der Remotesitzung ein (optional).
   + Wählen Sie aus, ob Sie das Drucken auf einem lokalen Gerät zulassen oder nicht zulassen möchten.
   + Wählen Sie aus, ob Sie die Diagnoseprotokollierung zulassen oder nicht zulassen möchten.
   + Wählen Sie aus, ob Sie die Smartcard-Anmeldung zulassen oder nicht zulassen möchten. Diese Funktion ist nur verfügbar, wenn Sie die AD-Konfiguration zu einem früheren Zeitpunkt in diesem Verfahren aktiviert haben.

1. Im Bereich **Speicher** der Seite können Sie wählen, ob Sie Basisordner aktivieren möchten.

1. Wählen Sie im **Abschnitt „IAM-Rolle“** der Seite eine IAM-Rolle aus, die für alle Desktop-Streaming-Instances verfügbar sein soll. Um eine neue zu erstellen, wählen Sie **Neue IAM-Rolle erstellen**.

   Wenn Sie eine IAM-Rolle von Ihrem Konto auf ein WorkSpace Pool-Verzeichnis anwenden, können Sie AWS API-Anfragen von einem WorkSpace im WorkSpace Pool aus stellen, ohne die Anmeldeinformationen manuell verwalten AWS zu müssen. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html).AWS Identity and Access Management *

1. Wählen Sie **Verzeichnis erstellen** aus.

## Schritt 5: Erstellen Sie eine SAML 2.0-Verbund-IAM-Rolle
<a name="saml-directory-saml-federation-role-in-iam"></a>

Gehen Sie wie folgt vor, um eine SAML 2.0-Verbund-IAM-Rolle in der IAM-Konsole zu erstellen.

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/secretsmanager/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Roles (Rollen)** aus.

1. Wählen Sie Rolle erstellen aus.

1. Wählen Sie den **SAML 2.0-Verbund** als vertrauenswürdigen Entitätstyp aus.

1. Wählen Sie für einen SAML 2.0-basierten Anbieter den Identitätsanbieter aus, den Sie in IAM erstellt haben. Weitere Informationen finden Sie unter [Erstellen eines SAML-Identitätsanbieters](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html?) in IAM.

1. Wählen Sie **Nur programmgesteuerten Zugriff zulassen**, um den Zugriff zuzulassen.

1. Wählen Sie **SAML:sub\$1type** für das Attribut.

1. Geben Sie für **Wert** `https://signin.aws.amazon.com/saml` ein. Dieser Wert schränkt den Rollenzugriff auf SAML-Benutzer-Streaming-Anfragen ein, die eine SAML-Betreff-Typ-Assertion mit dem Wert von enthalten. `persistent` Wenn SAML:sub\$1type persistent ist, sendet Ihr IdP in allen SAML-Anfragen eines bestimmten Benutzers denselben eindeutigen Wert für das `NameID` Element. *Weitere Informationen finden Sie unter [Eindeutige Identifizierung von Benutzern in einem SAML-basierten Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-userid) im Benutzerhandbuch.AWS Identity and Access Management *

1. Wählen Sie **Next** (Weiter), um fortzufahren.

1. Nehmen Sie auf der Seite „Berechtigungen **hinzufügen**“ keine Änderungen oder Auswahlen vor. Wählen Sie **Next** (Weiter), um fortzufahren.

1. Geben Sie einen Namen und eine Beschreibung für die Rolle ein. 

1. Wählen Sie **Rolle erstellen** aus.

1. Wählen Sie auf der Seite **Rollen** die Rolle aus, die Sie erstellen müssen.

1. Wählen Sie die Registerkarte **Trust relationships (Vertrauensstellungen)**.

1. Wählen Sie **Vertrauensrichtlinie bearbeiten** aus.

1. Fügen **Sie im JSON-Textfeld Vertrauensrichtlinie bearbeiten** die TagSession Aktion **sts:** zur Vertrauensrichtlinie hinzu. Weitere Informationen finden Sie [AWS STS im *AWS Identity and Access Management Benutzerhandbuch* unter Übergeben von Sitzungs-Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).

   Das Ergebnis sollte wie folgt aussehen:  
![\[Ein Beispiel für eine Vertrauensrichtlinie.\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/images/iam-saml-federation-policy-sts-tagsession.png)

1. Wählen Sie **Richtlinie aktualisieren**.

1. Wählen Sie die Registerkarte **Berechtigungen**.

1. Wählen Sie auf der Seite im Abschnitt „**Berechtigungsrichtlinien**“ die Option „**Berechtigungen hinzufügen**“ und anschließend „**Inline-Richtlinie erstellen**“ aus.

1. Wählen Sie im Bereich **Richtlinien-Editor** der Seite **JSON** aus.

1. Geben Sie im JSON-Textfeld des **Policy-Editors** die folgende Richtlinie ein. Achten Sie darauf, Folgendes zu ersetzen:
   + *<region-code>*mit dem Code der AWS Region, in der Sie Ihr WorkSpace Pool-Verzeichnis erstellt haben.
   + *<account-id>*mit der AWS Konto-ID.
   + *<directory-id>*mit der ID des Verzeichnisses, das Sie zuvor erstellt haben. Sie können das in der WorkSpaces Konsole abrufen.

   Verwenden Sie für Ressourcen in AWS GovCloud (US) Regions das folgende Format für den ARN:`arn:aws-us-gov:workspaces:<region-code>:<account-id>:directory/<directory-id>`.

1. Wählen Sie Weiter aus.

1. Geben Sie einen Namen für die Richtlinie ein und wählen Sie dann **Create policy (Richtlinie erstellen)** aus.

## Schritt 6: Konfigurieren Sie Ihren SAML 2.0-Identitätsanbieter
<a name="saml-directory-configure-saml-idp"></a>

Abhängig von Ihrem SAML 2.0-IdP müssen Sie Ihren IdP möglicherweise manuell aktualisieren, um ihn AWS als Dienstanbieter zu vertrauen. Dazu laden Sie die `saml-metadata.xml` Datei unter [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml) herunter und laden sie dann auf Ihren IdP hoch. Dadurch werden die Metadaten Ihres IdP aktualisiert.

Für einige IdPs ist das Update möglicherweise bereits konfiguriert. Sie können diesen Schritt überspringen, wenn er bereits konfiguriert ist. Wenn das Update nicht bereits in Ihrem IdP konfiguriert ist, lesen Sie in der von Ihrem IdP bereitgestellten Dokumentation nach, wie Sie die Metadaten aktualisieren können. Einige Anbieter bieten Ihnen die Möglichkeit, die URL der XML-Datei in ihr Dashboard einzugeben, und der IdP ruft die Datei für Sie ab und installiert sie. Bei anderen müssen Sie die Datei von der URL herunterladen und dann in ihr Dashboard hochladen.

**Wichtig**  
Zu diesem Zeitpunkt können Sie auch Benutzer in Ihrem IdP autorisieren, auf die WorkSpaces Anwendung zuzugreifen, die Sie in Ihrem IdP konfiguriert haben. Für Benutzer, die berechtigt sind, auf die WorkSpaces Anwendung für Ihr Verzeichnis zuzugreifen, wird nicht automatisch eine für sie WorkSpace erstellt. Ebenso sind Benutzer, die eine für sie WorkSpace erstellt haben, nicht automatisch autorisiert, auf die WorkSpaces Anwendung zuzugreifen. Um erfolgreich eine Verbindung zu einer WorkSpace Authentifizierung herzustellen, die SAML 2.0 verwendet, muss ein Benutzer vom IdP autorisiert sein und eine WorkSpace erstellte haben.

## Schritt 7: Erstellen Sie Assertionen für die SAML-Authentifizierungsantwort
<a name="saml-directory-create-assertions"></a>

Konfigurieren Sie die Informationen, an die Ihr IdP sendet, AWS als SAML-Attribute in seiner Authentifizierungsantwort. Abhängig von Ihrem IdP ist dies möglicherweise bereits konfiguriert. Sie können diesen Schritt überspringen, wenn er bereits konfiguriert ist. Falls es noch nicht konfiguriert ist, geben Sie Folgendes an:
+ **SAML Subject NameID** — Die eindeutige Kennung für den Benutzer, der sich anmeldet. Ändern Sie den Wert dieses format/value Felds nicht. Andernfalls funktioniert die Home-Folder-Funktion nicht wie erwartet, da der Benutzer als ein anderer Benutzer behandelt wird.
**Anmerkung**  
Bei WorkSpaces Pools, die in eine Domäne eingebunden sind, muss der `NameID` Wert für den Benutzer in dem `domain\username` Format angegeben werden`sAMAccountName`, das den `username@domain.com` oder verwendet`userPrincipalName`, oder nur. `userName` Wenn Sie das `sAMAccountName` Format verwenden, können Sie die Domäne entweder mithilfe des NetBIOS-Namens oder des vollqualifizierten Domänennamens (FQDN) angeben. Das `sAMAccountName` Format ist für unidirektionale Active Directory-Vertrauensszenarien erforderlich. Weitere Informationen finden Sie unter[Verwenden von Active Directory mit WorkSpaces Pools](active-directory.md). Wenn nur angegeben `userName` wird, wird der Benutzer bei der primären Domäne angemeldet
+ **SAML-Betrefftyp (mit einem Wert auf`persistent`) — Wenn Sie den Wert auf festlegen**, `persistent` wird sichergestellt, dass Ihr IdP in allen SAML-Anfragen eines bestimmten Benutzers denselben eindeutigen Wert für das `NameID` Element sendet. Stellen Sie sicher, dass Ihre IAM-Richtlinie eine Bedingung enthält, dass nur SAML-Anfragen zugelassen werden, deren SAML auf `sub_type` gesetzt ist`persistent`, wie im Abschnitt beschrieben. [Schritt 5: Erstellen Sie eine SAML 2.0-Verbund-IAM-Rolle](#saml-directory-saml-federation-role-in-iam)
+ **`Attribute`Element mit dem auf https://aws.amazon.com/SAML/ Attribute/Rolle gesetzten `Name` Attribut** — Dieses Element enthält ein oder mehrere `AttributeValue` Elemente, die die IAM-Rolle und den SAML-IdP auflisten, denen der Benutzer von Ihrem IdP zugeordnet ist. Die Rolle und der IdP werden als kommagetrenntes Paar von angegeben. ARNs Ein Beispiel für den erwarteten Wert ist `arn:aws:iam::<account-id>:role/<role-name>,arn:aws:iam::<account-id>:saml-provider/<provider-name>`.
+ **`Attribute`Element, dessen `Name` Attribut auf https://aws.amazon.com/SAML/ Attributes/ gesetzt** ist RoleSessionName — Dieses Element enthält ein Element, das eine `AttributeValue` Kennung für die AWS temporären Anmeldeinformationen bereitstellt, die für SSO ausgestellt werden. Der Wert im `AttributeValue` Element muss zwischen 2 und 64 Zeichen lang sein und kann alphanumerische Zeichen und die folgenden Sonderzeichen enthalten:. `_ . : / = + - @` Leerzeichen dürfen nicht enthalten sein. Der Wert ist in der Regel eine E-Mail-Adresse oder ein User Principle Name (UPN). Er sollte kein Wert mit einem Leerzeichen (z. B. der Anzeigename eines Benutzers) sein.
+ **`Attribute`Element, dessen `Name` Attribut auf https://aws.amazon.com/SAML/ Attributes/:Email gesetzt ist PrincipalTag —** Dieses Element enthält ein Element`AttributeValue`, das die E-Mail-Adresse des Benutzers bereitstellt. Der Wert muss mit der WorkSpaces Benutzer-E-Mail-Adresse übereinstimmen, wie sie im Verzeichnis definiert ist. WorkSpaces Tagwerte können Kombinationen aus Buchstaben, Zahlen, Leerzeichen und `_ . : / = + - @` Zeichen enthalten. Weitere Informationen finden Sie unter [Regeln für das Tagging in IAM und AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules) im *AWS Identity and Access Management Benutzerhandbuch*.
+ (Optional) **`Attribute`Element mit dem `Name` Attribut https://aws.amazon.com/SAML/ Attributes/PrincipalTag: UserPrincipalName** — Dieses Element enthält ein `AttributeValue` Element, das das Active Directory `userPrincipalName` für den Benutzer bereitstellt, der sich anmeldet. Der Wert muss im Format angegeben werden. `username@domain.com` Dieser Parameter wird bei der zertifikatbasierten Authentifizierung als alternativer Name des Subjekts im Endbenutzerzertifikat verwendet. Weitere Informationen finden Sie unter [Zertifikatsbasierte Authentifizierung und Personal WorkSpaces](certificate-based-authentication.md).
+ (Optional) **`Attribute`Element, dessen Attribut auf `Name` https://aws.amazon.com/SAML/ Attributes/PrincipalTag: ObjectSid (optional) gesetzt** ist — Dieses Element enthält ein `AttributeValue` Element, das die Active Directory-Sicherheitskennung (SID) für den Benutzer bereitstellt, der sich anmeldet. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung verwendet, um eine sichere Zuordnung zu Active-Directory-Benutzern zu ermöglichen. Weitere Informationen finden Sie unter [Zertifikatsbasierte Authentifizierung und Personal WorkSpaces](certificate-based-authentication.md).
+ (Optional) **`Attribute`Element, bei dem das `Name` Attribut auf https://aws.amazon.com/SAML/ Attributes/:Domain gesetzt ist PrincipalTag —** Dieses Element enthält ein Element`AttributeValue`, das den vollqualifizierten DNS-Domänennamen (FQDN) für Benutzer bereitstellt, die sich anmelden. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung verwendet, wenn die Active-Directory-`userPrincipalName` für die Benutzer ein alternatives Suffix enthält. Der Wert muss im `domain.com` Format angegeben werden und alle Unterdomänen enthalten.
+ (Optional) **`Attribute`Element mit dem `Name` Attribut https://aws.amazon.com/SAML/ Attributes/ SessionDuration** — Dieses Element enthält ein `AttributeValue` Element, das angibt, wie lange eine föderierte Streaming-Sitzung für einen Benutzer maximal aktiv bleiben kann, bevor eine erneute Authentifizierung erforderlich ist. Der Standardwert ist `3600` Sekunden (60 Minuten). Weitere Informationen finden Sie unter [SAML SessionDurationAttribute](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration) im *AWS Identity and Access Management Benutzerhandbuch*.
**Anmerkung**  
Auch wenn es sich bei `SessionDuration` um ein optionales Attribut handelt, wird empfohlen, es in die SAML-Antwort aufzunehmen. Wenn Sie dieses Attribut nicht angeben, wird die Sitzungsdauer auf einen Standardwert von `3600` Sekunden (60 Minuten) festgelegt. WorkSpaces Desktop-Sitzungen werden nach Ablauf ihrer Sitzungsdauer getrennt.

*Weitere Informationen zur Konfiguration dieser Elemente finden Sie unter [Konfiguration von SAML-Assertionen für die Authentifizierungsantwort](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) im AWS Identity and Access Management Benutzerhandbuch.* Weitere Informationen zu spezifischen Konfigurationsanforderungen für Ihren IdP finden Sie in der Dokumentation zu Ihrem IdP.

## Schritt 8: Konfigurieren Sie den Relay-Status Ihres Verbunds
<a name="saml-directory-configure-relay-state"></a>

Verwenden Sie Ihren IdP, um den Relay-Status Ihres Verbunds so zu konfigurieren, dass er auf die Relay-Status-URL des WorkSpaces Pool-Verzeichnisses verweist. Nach erfolgreicher Authentifizierung von AWS wird der Benutzer zum Endpunkt des WorkSpaces Pool-Verzeichnisses weitergeleitet, der in der SAML-Authentifizierungsantwort als Relay-Status definiert ist.

Der Relay-Status-URL hat das folgende Format:

```
https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code
```

In der folgenden Tabelle sind die Relay-State-Endpunkte für die AWS Regionen aufgeführt, in denen die WorkSpaces SAML 2.0-Authentifizierung verfügbar ist. AWS Regionen, in denen die WorkSpaces Pools-Funktion nicht verfügbar ist, wurden entfernt.


| Region | RelayState-Endpunkt | 
| --- | --- | 
| Region USA Ost (Nord-Virginia) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/create-directory-pools.html)  | 
| Region USA West (Oregon) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/create-directory-pools.html)  | 
| Region Asien-Pazifik (Mumbai) | workspaces.euc-sso.ap-south-1.aws.amazon.com | 
| Region Asien-Pazifik (Seoul) | workspaces.euc-sso.ap-northeast-2.aws.amazon.com | 
| Region Asien-Pazifik (Singapur) | workspaces.euc-sso.ap-southeast-1.aws.amazon.com | 
| Region Asien-Pazifik (Sydney) | workspaces.euc-sso.ap-southeast-2.aws.amazon.com | 
| Region Asien-Pazifik (Tokio) | workspaces.euc-sso.ap-northeast-1.aws.amazon.com | 
| Region Kanada (Zentral) | workspaces.euc-sso.ca-central-1.aws.amazon.com | 
| Region Europa (Frankfurt) | workspaces.euc-sso.eu-central-1.aws.amazon.com | 
| Region Europa (Irland) | workspaces.euc-sso.eu-west-1.aws.amazon.com | 
| Region Europa (London) | workspaces.euc-sso.eu-west-2.aws.amazon.com | 
| Region Südamerika (São Paulo) | workspaces.euc-sso.sa-east-1.aws.amazon.com | 
| AWS GovCloud (US-West) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/create-directory-pools.html)  Informationen zur Arbeit mit SAML IdPs in AWS GovCloud (US) Regions finden Sie unter [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html) im *Benutzerhandbuch AWS GovCloud (USA)*.   | 
| AWS GovCloud (USA-Ost) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/create-directory-pools.html)  Informationen zur Arbeit mit SAML IdPs in AWS GovCloud (US) Regions finden Sie unter [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html) im *Benutzerhandbuch AWS GovCloud (USA)*.   | 

## Schritt 9: Aktivieren Sie die Integration mit SAML 2.0 in Ihrem WorkSpace Pool-Verzeichnis
<a name="saml-directory-enable-saml-integration"></a>

Gehen Sie wie folgt vor, um die SAML 2.0-Authentifizierung für das WorkSpaces Pool-Verzeichnis zu aktivieren.

1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.

1. Wählen Sie die Registerkarte **Pools-Verzeichnisse**.

1. Wählen Sie die ID des Verzeichnisses, das Sie bearbeiten möchten.

1. Wählen Sie im Abschnitt **Authentifizierung** der Seite die Option **Bearbeiten** aus.

1. Wählen Sie **SAML-2.0-Identitätsanbieter bearbeiten** aus.

1. Ersetzen Sie für die **Benutzerzugriffs-URL**, die manchmal auch als „SSO-URL“ bezeichnet wird, den Platzhalterwert durch die SSO-URL, die Sie von Ihrem IdP erhalten haben.

1. Geben Sie für den **Namen des IdP-Deep-Link-Parameters** den Parameter ein, der für Ihren IdP und die von Ihnen konfigurierte Anwendung gilt. Der Standardwert ist, `RelayState` wenn Sie den Parameternamen weglassen.

   In der folgenden Tabelle sind die Namen der Benutzerzugriffs URLs - und Deep-Link-Parameter aufgeführt, die für verschiedene Identitätsanbieter für Anwendungen eindeutig sind.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/create-directory-pools.html)

1. Wählen Sie **Speichern**.

**Wichtig**  
Wenn Sie einem Benutzer SAML 2.0 entziehen, wird dessen Sitzung nicht direkt unterbrochen. Sie werden erst nach Ablauf des Timeouts entfernt. Sie können es auch mithilfe der [ TerminateWorkspacesPoolSession](https://docs.aws.amazon.com//workspaces/latest/api/API_TerminateWorkspacesPoolSession.html)API beenden.

## Fehlerbehebung
<a name="saml-pools-troubleshooting"></a>

Die folgenden Informationen können Ihnen bei der Behebung bestimmter Probleme mit Ihren WorkSpaces Pools helfen.

### Nach Abschluss der SAML-Authentifizierung erhalte ich im WorkSpaces Pools-Client die Meldung „Anmeldung nicht möglich“
<a name="pools-unable-to-login"></a>

Die `nameID` Werte und `PrincipalTag:Email` in den SAML-Ansprüchen müssen mit dem in Active Directory konfigurierten Benutzernamen und der E-Mail-Adresse übereinstimmen. Einige IdPs benötigen nach der Anpassung bestimmter Attribute möglicherweise ein Update, eine Aktualisierung oder eine erneute Bereitstellung. Wenn Sie eine Anpassung vornehmen und diese nicht in Ihrer SAML-Erfassung berücksichtigt wird, finden Sie in der Dokumentation oder im Supportprogramm Ihres IdP nach, welche spezifischen Schritte erforderlich sind, damit die Änderung wirksam wird.

# Geben Sie Active Directory-Details für Ihr WorkSpaces Pools-Verzeichnis an
<a name="pools-service-account-details"></a>

In diesem Thema zeigen wir Ihnen, wie Sie Ihre Active Directory-Details (AD) auf der Seite ** WorkSpaces Pool-Verzeichnis erstellen** der WorkSpaces Konsole angeben. Wenn Sie ein AD WorkSpaces mit Ihren Pools verwenden möchten, sollten Sie beim Erstellen Ihres Pool-Verzeichnisses Ihre WorkSpaces AD-Details angeben. Sie können die **Active Directory-Konfiguration** für Ihr WorkSpaces Pools-Verzeichnis nicht bearbeiten, nachdem Sie es erstellt haben. Im Folgenden finden Sie ein Beispiel für den Abschnitt **Active Directory-Konfiguration** auf der Seite ** WorkSpaces Pool-Verzeichnis erstellen**.

![\[Der Abschnitt „Active Directory-Konfiguration“ auf der Seite „ WorkSpaces Pool-Verzeichnis erstellen“\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/images/pools-wsp-active-directory-config.png)


**Anmerkung**  
Der vollständige Vorgang zum Erstellen eines WorkSpaces Pool-Verzeichnisses wird im [SAML 2.0 konfigurieren und ein WorkSpaces Pools-Verzeichnis erstellen](create-directory-pools.md) Thema beschrieben. Die auf dieser Seite beschriebenen Verfahren stellen nur einen Teil der Schritte des vollständigen Prozesses zur Erstellung eines WorkSpaces Pool-Verzeichnisses dar.

**Topics**
+ [Geben Sie die Organisationseinheit und den Domänennamen des Verzeichnisses für Ihr AD an](#pools-specify-ou-and-directory-domain)
+ [Geben Sie das Dienstkonto für Ihr AD an](#pools-specify-access-account)

## Geben Sie die Organisationseinheit und den Domänennamen des Verzeichnisses für Ihr AD an
<a name="pools-specify-ou-and-directory-domain"></a>

Gehen Sie wie folgt vor, um auf der Seite ** WorkSpaces Pool-Verzeichnis erstellen eine Organisationseinheit (OU) und einen Verzeichnisdomänennamen** für Ihr AD anzugeben.

1. Geben Sie **unter Organisationseinheit** die Organisationseinheit ein, zu der der Pool gehört. WorkSpace Computerkonten werden in der Organisationseinheit (OU) platziert, die Sie für das WorkSpaces Pool-Verzeichnis angeben.
**Anmerkung**  
Die OU darf keine Leerzeichen enthalten. Wenn Sie einen OU-Namen angeben, der Leerzeichen enthält, können beim Versuch, der Active Directory-Domäne wieder beizutreten, die Computerobjekte WorkSpaces nicht korrekt durchlaufen, und der erneute Domänenbeitritt funktioniert nicht.

1. Geben Sie **unter Verzeichnisdomänenname** den vollqualifizierten Domänennamen (FQDN) der Active Directory-Domäne ein (z. B.). `corp.example.com` Jede AWS Region kann nur einen Verzeichniskonfigurationswert mit einem bestimmten Verzeichnisnamen haben.
   + Sie können Ihre WorkSpaces Pool-Verzeichnisse mit Domänen in Microsoft Active Directory verbinden. Sie können auch Ihre vorhandenen Active Directory-Domänen, entweder cloudbasiert oder lokal, verwenden, um WorkSpaces domänengebundene Domänen zu starten.
   + Sie können es auch verwenden AWS Directory Service for Microsoft Active Directory, um eine Active AWS Managed Microsoft AD Directory-Domäne zu erstellen. Anschließend können Sie diese Domäne zur Unterstützung Ihrer WorkSpaces Ressourcen verwenden.
   + Wenn Sie WorkSpaces Ihrer Active Directory-Domäne beitreten, können Sie:
     + Ermöglichen Sie Ihren Benutzern und Anwendungen den Zugriff auf Active Directory-Ressourcen wie Drucker und Dateifreigaben aus Streaming-Sitzungen.
     + Sie können Gruppenrichtlinieneinstellungen verwenden, die in der Group Policy Management Console (GPMC) verfügbar sind, um die Endbenutzererfahrung zu definieren.
     + Streamen Sie Anwendungen, für die Benutzer mit ihren Active Directory-Anmeldeinformationen authentifiziert werden müssen.
     + Wenden Sie Ihre Enterprise-Compliance- und Sicherheitsrichtlinien auf Ihre WorkSpaces -Streaming-Instances an.

1. Fahren Sie für das **Dienstkonto** mit dem [Geben Sie das Dienstkonto für Ihr AD an](#pools-specify-access-account) nächsten Abschnitt dieser Seite fort.

## Geben Sie das Dienstkonto für Ihr AD an
<a name="pools-specify-access-account"></a>

Wenn Sie Active Directory (AD) für Ihre WorkSpaces Pools im Rahmen der Verzeichniserstellung konfigurieren, müssen Sie das AD-Dienstkonto angeben, das für die Verwaltung des AD verwendet werden soll. Dazu müssen Sie die Anmeldeinformationen für das Dienstkonto angeben, die in einem AWS Key Management Service (AWS KMS) vom Kunden verwalteten Schlüssel gespeichert AWS Secrets Manager und mit diesem verschlüsselt werden müssen. In diesem Abschnitt zeigen wir Ihnen, wie Sie den vom AWS KMS Kunden verwalteten Schlüssel und den Secrets Manager Manager-Schlüssel erstellen, um die Anmeldeinformationen Ihres AD-Dienstkontos zu speichern.

### Schritt 1: Erstellen Sie einen vom AWS KMS Kunden verwalteten Schlüssel
<a name="pools-create-kms-cust-managed-key"></a>

Gehen Sie wie folgt vor, um einen vom AWS KMS Kunden verwalteten Schlüssel zu erstellen

1. Öffnen Sie die AWS KMS Konsole unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. **Wählen Sie „**Schlüssel erstellen**“ und dann „Weiter“.**

1. **Wählen Sie **Symetric** als Schlüsseltyp und **Verschlüsseln und Entschlüsseln** für die Schlüsselverwendung aus, und klicken Sie dann auf Weiter.**

1. **Geben Sie einen Alias für den Schlüssel ein, z. B.`WorkSpacesPoolDomainSecretKey`, und wählen Sie dann Weiter.**

1. Wählen Sie keinen Schlüsseladministrator aus. Wählen Sie **Next** (Weiter), um fortzufahren.

1. Definieren Sie keine Berechtigungen zur Verwendung von Schlüsseln. Wählen Sie **Next** (Weiter), um fortzufahren.

1. Fügen Sie im Abschnitt Schlüsselrichtlinie der Seite Folgendes hinzu:

   ```
           {
               "Sid": "Allow access for Workspaces SP",
               "Effect": "Allow",
               "Principal": {
                   "Service": "workspaces.amazonaws.com"
               },
               "Action": "kms:Decrypt",
               "Resource": "*"
           }
   ```

   Das Ergebnis sollte wie im folgenden Beispiel aussehen.  
![\[Ein Beispiel für eine AWS KMS wichtige Richtlinie.\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/images/kms-key-policy-for-wsp-pools-service-account.png)

1. Wählen Sie **Finish** (Abschließen).

   Ihr AWS KMS vom Kunden verwalteter Schlüssel ist jetzt bereit, mit Secrets Manager verwendet zu werden. Fahren Sie mit dem [Schritt 2: Secrets Manager Secret erstellen, um die Anmeldeinformationen Ihres AD-Dienstkontos zu speichern](#pools-create-asm-secret) Abschnitt auf dieser Seite fort.

### Schritt 2: Secrets Manager Secret erstellen, um die Anmeldeinformationen Ihres AD-Dienstkontos zu speichern
<a name="pools-create-asm-secret"></a>

Gehen Sie wie folgt vor, um ein Secrets Manager Manager-Geheimnis zum Speichern der Anmeldeinformationen Ihres AD-Dienstkontos zu erstellen.

1. Öffnen Sie die AWS Secrets Manager Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Wählen Sie **Create a new secret (Neues Geheimnis erstellen)**.

1. Wählen Sie **Andere Art von Geheimnis**.

1. Geben Sie `Service Account Name` für das erste key/value Paar den Schlüssel und den Namen des Dienstkontos für den Wert ein, z. `domain\username` B.

1. Geben Sie für das zweite key/value Paar a als `Service Account Password` Schlüssel und das Passwort des Dienstkontos als Wert ein.

1. Wählen Sie für den Verschlüsselungsschlüssel den vom AWS KMS Kunden verwalteten Schlüssel aus, den Sie zuvor erstellt haben, und klicken Sie dann auf **Weiter**.

1. Geben Sie einen Namen für das Geheimnis ein, z. `WorkSpacesPoolDomainSecretAD` B.

1. Wählen Sie im Bereich ****Ressourcenberechtigungen der Seite die Option Berechtigungen** bearbeiten** aus.

1. Geben Sie die folgende Berechtigungsrichtlinie ein:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "workspaces.amazonaws.com"
                   ]
               },
               "Action": "secretsmanager:GetSecretValue",
               "Resource": "*"
           }
       ]
   }
   ```

------

1. Wählen Sie **Speichern**, um die Berechtigungsrichtlinie zu speichern.

1. Wählen Sie **Next** (Weiter), um fortzufahren.

1. Konfigurieren Sie keine automatische Rotation. Wählen Sie **Next** (Weiter), um fortzufahren.

1. Wählen Sie **Store**, um die Speicherung Ihres Geheimnisses abzuschließen.

Ihre Anmeldeinformationen für das AD-Dienstkonto sind jetzt in Secrets Manager gespeichert. Fahren Sie mit dem [Schritt 3: Wählen Sie das Secrets Manager Manager-Geheimnis aus, das die Anmeldeinformationen Ihres AD-Dienstkontos enthält](#continue-creating-pools-directory) Abschnitt auf dieser Seite fort.

### Schritt 3: Wählen Sie das Secrets Manager Manager-Geheimnis aus, das die Anmeldeinformationen Ihres AD-Dienstkontos enthält
<a name="continue-creating-pools-directory"></a>

Gehen Sie wie folgt vor, um den Secrets Manager Manager-Schlüssel auszuwählen, den Sie in der Active Directory-Konfiguration für Ihr WorkSpaces Pool-Verzeichnis erstellt haben.
+ Wählen Sie für das **Dienstkonto** das AWS Secrets Manager Geheimnis aus, das die Anmeldeinformationen Ihres Dienstkontos enthält. Führen Sie die folgenden Schritte aus, um das Geheimnis zu erstellen, falls Sie dies noch nicht getan haben. Das Geheimnis muss mit einem vom AWS Key Management Service Kunden verwalteten Schlüssel verschlüsselt werden.

Nachdem Sie nun alle Felder im Abschnitt **Active Directory-Konfiguration** auf der Seite ** WorkSpaces Pool-Verzeichnis erstellen** ausgefüllt haben, können Sie mit der Erstellung Ihres WorkSpaces Pool-Verzeichnisses fortfahren. Gehen Sie zu Schritt 9 des Verfahrens [Schritt 4: WorkSpace Pool-Verzeichnis erstellen](create-directory-pools.md#saml-directory-create-wsp-pools-directory) und beginnen Sie mit diesem.