

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Integración de WorkSpaces las aplicaciones de Amazon con SAML 2.0
<a name="external-identity-providers"></a>

Amazon WorkSpaces Applications admite la federación de identidades con pilas de WorkSpaces aplicaciones mediante Security Assertion Markup Language 2.0 (SAML 2.0). Puede usar un proveedor de identidad (IdP) que admita SAML 2.0, como los Servicios de federación de Active Directory (AD FS) en Windows Server, Ping One Federation Server o Okta, para proporcionar un flujo de incorporación a los usuarios de sus aplicaciones. WorkSpaces 

Esta función ofrece a los usuarios la comodidad de acceder con un solo clic a sus aplicaciones y aplicaciones con sus credenciales de identidad existentes. WorkSpaces Además, ofrece el beneficio de seguridad que aporta la autenticación de identidades por parte del IdP. Al usar su IdP, puede controlar qué usuarios tienen acceso a una pila de WorkSpaces aplicaciones en particular.

**Topics**
+ [Ejemplo de flujo de trabajo de autenticación](external-identity-providers-example.md)
+ [Configuración de SAML](external-identity-providers-setting-up-saml.md)
+ [WorkSpaces Integración de aplicaciones con SAML 2.0](external-identity-providers-further-info.md)

# Ejemplo de flujo de trabajo de autenticación
<a name="external-identity-providers-example"></a>

El siguiente diagrama ilustra el flujo de autenticación entre WorkSpaces las aplicaciones y un proveedor de identidad (IdP) de terceros. En este ejemplo, el administrador ha configurado una página de inicio de sesión para acceder a WorkSpaces las aplicaciones, llamada. `applications.exampleco.com` La página web utiliza un servicio de federación compatible con SAML 2.0 para activar una solicitud de inicio de sesión. El administrador también ha configurado un usuario para permitir el acceso a WorkSpaces las aplicaciones.

![\[Diagrama SAML WorkSpaces de Amazon Applications\]](http://docs.aws.amazon.com/es_es/appstream2/latest/developerguide/images/aas2-saml.png)


1. El usuario navega a `https://applications.exampleco.com`. La página de inicio de sesión solicita autenticación al usuario.

1. El servicio de federación solicita autenticación al almacén de identidades de la organización.

1. El almacén de identidades autentica al usuario y devuelve la respuesta de autenticación al servicio de federación.

1. Una vez realizada la autenticación, el servicio de federación publica la declaración de SAML en el navegador del usuario.

1. El navegador del usuario publica la afirmación SAML en el punto de conexión SAML de inicio de AWS sesión (). `https://signin.aws.amazon.com/saml` AWS Sign-In recibe la solicitud de SAML, la procesa, autentica al usuario y reenvía el token de autenticación a las aplicaciones. WorkSpaces 

   Para obtener información sobre cómo trabajar con SAML en las AWS GovCloud (US) regiones, consulte [AWS Identity and Access Management](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html) en la *Guía del AWS GovCloud (US) usuario*.

1. Con el token de autenticación de AWS, WorkSpaces Applications autoriza al usuario y presenta las aplicaciones al navegador.

Desde el punto de vista del usuario, este proceso se produce de forma transparente. El usuario comienza en el portal interno de su organización y es redirigido automáticamente a un portal de WorkSpaces aplicaciones sin tener que introducir AWS credenciales.

# Configuración de SAML
<a name="external-identity-providers-setting-up-saml"></a>

Para permitir que los usuarios inicien sesión en WorkSpaces las aplicaciones con sus credenciales existentes y comiencen a transmitir las aplicaciones, puede configurar la federación de identidades mediante SAML 2.0. Para ello, utilice una función de IAM y una URL de estado de retransmisión para configurar su proveedor de identidad (IdP) compatible con SAML 2.0 y permitir que los usuarios federados accedan AWS a una pila de aplicaciones. WorkSpaces El rol de IAM; otorga a los usuarios los permisos para obtener acceso a la pila. El estado de retransmisión es el portal de la pila a la que se reenvía a los usuarios después de que se hayan autenticado correctamente en AWS.

**Topics**
+ [Requisitos previos](#external-identity-providers-setting-up-prerequisites)
+ [Paso 1: Crear un proveedor de identidad SAML en IAM AWS](#external-identity-providers-create-saml-provider)
+ [Paso 2: creación de un rol de IAM de federación de SAML 2.0](#external-identity-providers-grantperms)
+ [Paso 3: incrustación de una política en línea para el rol de IAM](#external-identity-providers-embed-inline-policy-for-IAM-role)
+ [Paso 4: configuración del proveedor de identidades basado en SAML](#external-identity-providers-config-idp)
+ [Paso 5: creación de aserciones para la respuesta de autenticación de SAML](#external-identity-providers-create-assertions)
+ [Paso 6: configuración del estado de retransmisión de la federación](#external-identity-providers-relay-state)

## Requisitos previos
<a name="external-identity-providers-setting-up-prerequisites"></a>

Complete los siguientes requisitos previos antes de configurar su conexión de SAML 2.0.

1. Configure el IdP basado en SAML para establecer una relación de confianza con AWS. 
   + Dentro de la red de su organización, configure su almacén de identidades para trabajar con un proveedor de identidad (IdP) basado en SAML. Para ver los recursos de configuración, consulte [WorkSpaces Integración de aplicaciones con SAML 2.0](external-identity-providers-further-info.md).
   + Utilice su IdP basado en SAML para generar y descargar un documento de metadatos de federación que describa su organización como proveedor de identidad. Este documento XML firmado se utiliza para establecer la relación de confianza. Guarde este archivo en una ubicación a la que pueda acceder desde la consola de IAM en otro momento.

1. Utilice la consola de administración de WorkSpaces aplicaciones para crear una pila de aplicaciones. WorkSpaces Necesita el nombre de la pila para crear la política de IAM y configurar la integración del IdP WorkSpaces con las aplicaciones, como se describe más adelante en este tema.

   Puede crear una pila de WorkSpaces aplicaciones mediante la consola de administración de WorkSpaces aplicaciones o la API AWS CLI de WorkSpaces aplicaciones. Para obtener más información, consulte [Cree una flota y una pila de WorkSpaces aplicaciones de Amazon](set-up-stacks-fleets.md).

## Paso 1: Crear un proveedor de identidad SAML en IAM AWS
<a name="external-identity-providers-create-saml-provider"></a>

En primer lugar, cree un IdP de SAML en IAM. AWS Este IdP define la relación entre el IDP y la AWS confianza de su organización mediante el documento de metadatos generado por el software de IdP de su organización. Para obtener más información, consulte [Creación y administración de un proveedor de identidades de SAML (consola de administración de Amazon Web Services)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) en la *Guía del usuario de IAM*. Para obtener información sobre cómo trabajar con SAML IdPs en las AWS GovCloud (US) regiones, consulte [AWS Identity and Access Management](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html) en la *Guía del AWS GovCloud (US) usuario*.

## Paso 2: creación de un rol de IAM de federación de SAML 2.0
<a name="external-identity-providers-grantperms"></a>

A continuación, creará un rol de IAM de federación de SAML 2.0. Este paso se establece una relación de confianza entre IAM y el proveedor de identidades de su organización, que identifica el proveedor de identidades como una entidad de confianza para la federación. 

**Para crear un rol de IAM para el proveedor de identidades de SAML**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Roles**, **Crear rol**. 

1. Para **Tipo de rol**, seleccione **Federación con SAML 2.0**. 

1. Para **Proveedor de SAML**, seleccione el IdP de SAML que ha creado. 
**importante**  
No elija ninguno de los dos métodos de acceso de SAML 2.0 (**Permitir solo acceso mediante programación** o **Permitir acceso mediante programación y mediante la consola de administración de Amazon Web Services**).

1. Para **Attribute**, elija **SAML:sub\$1type**. 

1. En **Valor**, especifique **https://signin.aws.amazon.com/saml**. Este valor restringe el acceso del rol a solicitudes de streaming de usuario de SAML que incluyan una aserción de tipo de sujeto de SAML con un valor de persistente. Si SAML:sub\$1type es persistente, el IdP envía el mismo valor único para el elemento NameID en todas las solicitudes de SAML desde un usuario particular. [Para obtener más información sobre la afirmación SAML:sub\$1type, consulte la sección Cómo *identificar de forma exclusiva a los usuarios en una federación basada en SAML en Cómo utilizar la federación basada en SAML* para el acceso a la API. AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring)
**nota**  
Aunque el **https://signin.aws.amazon.com/saml** punto final tiene una alta disponibilidad, solo está alojado en la región us-east-1 de. AWS Para evitar interrupciones del servicio en el improbable caso de que la disponibilidad de uno de los puntos de conexión regionales se vea afectada, utilice los puntos de conexión regionales y configure otros puntos de conexión de inicio de sesión de SAML para conmutación por error. Para obtener más información, consulte [How to use regional SAML endpoints for failover](https://aws.amazon.com/blogs/security/how-to-use-regional-saml-endpoints-for-failover/).

1. Revise su información de confianza de SAML 2.0, confirmando la entidad de confianza y la condición correctas y, a continuación, elija **Siguiente: Permisos**. 

1. En la página **Asociar políticas de permisos**, seleccione **Siguiente: Etiquetas**.

1. (Opcional) Especifique una clave y un valor para cada etiqueta que desee añadir. Para obtener más información, consulte [Etiquetado de usuarios y roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html). 

1. Cuando haya terminado, seleccione **Siguiente: Revisar**. Posteriormente, creará e incrustará una política en línea para este rol.

1. En **Nombre del rol**, introduzca un nombre de rol que le sea útil para identificar su propósito. Dado que múltiples entidades pueden hacer referencia al rol, no se puede editar el nombre del rol una vez que se haya creado.

1. (Opcional) En **Descripción del rol**, escriba una descripción para el nuevo rol.

1. Revise los detalles del rol y seleccione **Crear rol**.

1. (Opcional) Si piensa utilizar los derechos de aplicación basados en el contexto de la sesión o en los atributos mediante un proveedor de identidad SAML 2.0 externo o una autenticación basada en certificados, debe añadir el TagSession permiso sts: a la política de confianza de su nueva función de IAM. Para obtener más información, consulte [Derechos de aplicaciones basados en atributos con un proveedor de identidades SAML 2.0 de terceros](application-entitlements-saml.md) y [Transferencia de etiquetas de sesión en AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).

   En la página de detalles del nuevo rol de IAM, seleccione la pestaña **Relaciones de confianza** y, a continuación, seleccione **Editar la relación de confianza**. Se iniciará el editor de políticas de edición de relaciones de confianza. **Añada el permiso sts: de la siguiente manera: TagSession**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Federated": "arn:aws:iam::111122223333:saml-provider/IDENTITY-PROVIDER"
               },
               "Action": [
                   "sts:AssumeRoleWithSAML",
                   "sts:TagSession"
               ],
               "Condition": {
                   "StringEquals": {
                       "SAML:sub_type": "persistent"
                   }
               }
           }
       ]
   }
   ```

------

   Sustituya *IDENTITY-PROVIDER***** por el nombre del IdP de SAML que ha creado en el paso 1. A continuación, seleccione **Actualizar la política de confianza**.

## Paso 3: incrustación de una política en línea para el rol de IAM
<a name="external-identity-providers-embed-inline-policy-for-IAM-role"></a>

A continuación, incruste una política de IAM en línea para el rol que ha creado. Al incrustar una política en línea, los permisos en la política no se pueden asociar de forma accidental a una entidad principal incorrecta. La política en línea proporciona a los usuarios federados acceso a la pila de WorkSpaces aplicaciones que usted creó.

1. En los detalles del rol de IAM que ha creado, elija la pestaña **Permisos** y, a continuación, seleccione **Agregar política insertada**. Se iniciará el asistente de creación de políticas.

1. En **Crear política**, elija la pestaña **JSON**.

1. Copie y pegue la siguiente política JSON en la ventana de JSON. A continuación, modifique el recurso introduciendo el Región de AWS código, el identificador de cuenta y el nombre de la pila. En la siguiente política, `"Action": "appstream:Stream"` se muestra la acción que proporciona a los usuarios de sus WorkSpaces aplicaciones permisos para conectarse a las sesiones de streaming de la pila que ha creado. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "appstream:Stream",
               "Resource": "arn:aws:appstream:us-east-1:111122223333:stack/STACK-NAME",
               "Condition": {
                   "StringEquals": {
                       "appstream:userId": "${saml:sub}"
                   }
               }
           }
       ]
   }
   ```

------

   *REGION-CODE*Sustitúyala por la AWS región en la que se encuentra tu pila de WorkSpaces aplicaciones. *STACK-NAME*Sustitúyalo por el nombre de la pila. *STACK-NAME*distingue entre mayúsculas y minúsculas y debe coincidir exactamente con las mayúsculas y minúsculas y la ortografía del nombre de la pila que aparece en el panel de control de **Stacks** de la consola de administración de WorkSpaces aplicaciones. 

   Para los recursos de las AWS GovCloud (US) regiones, utilice el siguiente formato para el ARN: 

   `arn:aws-us-gov:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME`

1. (Opcional) Si tiene previsto utilizar derechos de aplicaciones basados en atributos mediante un proveedor de identidades de SAML 2.0 de terceros con **catálogos de aplicaciones de varias pilas de SAML 2.0**, el recurso de la política en línea de su rol de IAM debe ser **"Resource": "arn:aws:appstream:*REGION-CODE*:*ACCOUNT-ID-WITHOUT-HYPHENS*:stack/\$1"** para permitir que los derechos de las aplicaciones controlen el acceso de streaming a las pilas. Para aplicar una protección adicional a un recurso de pila, puede añadir una denegación explícita en la política. Para obtener más información, consulte [Derechos de aplicaciones basados en atributos con un proveedor de identidades SAML 2.0 de terceros](application-entitlements-saml.md) y [Lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html).

1. Cuando haya terminado, elija **Revisar política**. El [validador de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) notifica los errores de sintaxis. 

## Paso 4: configuración del proveedor de identidades basado en SAML
<a name="external-identity-providers-config-idp"></a>

[A continuación, en función del IdP basado en SAML, es posible que tengas que actualizar manualmente tu IdP para que AWS sea confiable como proveedor de servicios cargando el archivo `saml-metadata.xml` saml-metadata.xml a tu IdP. https://signin.aws.amazon.com/static/](https://signin.aws.amazon.com/static/saml-metadata.xml) En este paso se actualizan los metadatos de su proveedor de identidades. En el caso de algunos IdPs, es posible que la actualización ya esté configurada. En tal caso, continúe en el paso siguiente.

Si esta actualización aún no está configurada en su proveedor de identidades, revise la documentación facilitada por su proveedor de identidades para obtener información acerca de cómo actualizar los metadatos. Algunos proveedores ofrecen la opción de escribir la URL y de que el IdP obtenga e instale el archivo automáticamente. Otros requieren que descargue el archivo de la URL y, a continuación, lo proporcione como archivo local.

## Paso 5: creación de aserciones para la respuesta de autenticación de SAML
<a name="external-identity-providers-create-assertions"></a>

A continuación, es posible que deba configurar la información que su IdP envía AWS como atributos de SAML en su respuesta de autenticación. En función de cuál sea su IdP, es posible que esta información ya esté preconfigurada. En tal caso, omita este paso y continúe con el paso 6,

Si esta información no está configurada en su proveedor de identidades, proporcione lo siguiente:
+ **NameID del sujeto de SAML**: el identificador único del usuario que está iniciando sesión. 
**nota**  
En el caso de las pilas con flotas unidas a un dominio, el valor NameID del usuario debe proporcionarse en el formato «» con el nombre s o `domain\username` AMAccount «» con. `username@domain.com` userPrincipalName Si utiliza el formato de AMAccount nombre s, puede especificarlo `domain` mediante el nombre NetBIOS o el nombre de dominio completo (FQDN). El formato de AMAccount nombre s es obligatorio para los escenarios de confianza unidireccional de Active Directory. Para obtener más información, consulte [Uso de Active Directory con WorkSpaces aplicaciones](active-directory.md).
+ **SAML Subject Type** (con un valor establecido en `persistent`): al configurar el valor como `persistent` se garantiza que su proveedor de identidades envíe el mismo valor único para el elemento `NameID` en todas las solicitudes de SAML de un usuario particular. Asegúrese de que su política de IAM incluya una condición para permitir solo las solicitudes de SAML con un SAML sub\$1type configurado como `persistent`, tal como se describe en [Paso 2: creación de un rol de IAM de federación de SAML 2.0](#external-identity-providers-grantperms).
+ **`Attribute`elemento con el `Name` atributo establecido en https://aws.amazon.com/SAML/ Attributes/Role: este elemento contiene uno o más `AttributeValue` elementos que enumeran el rol** de IAM y el IdP de SAML a los que su IdP asigna al usuario. El rol y el IdP se especifican como un par delimitado por comas de. ARNs
+ **`Attribute`elemento con el `Name` atributo establecido en https://aws.amazon.com/SAML/ Attributes/ RoleSessionName**: este elemento contiene un `AttributeValue` elemento que proporciona un identificador para las credenciales AWS temporales que se emiten para el SSO. El valor del elemento `AttributeValue` debe tener entre 2 y 64 caracteres, solo puede contener caracteres alfanuméricos, guiones bajos y los siguientes caracteres: \$1 (signo más), = (signo igual), , (coma), . (punto), @ (arroba) y - (guion). No puede contener espacios. El valor suele ser un ID de usuario (bobsmith) o una dirección de correo electrónico (bobsmith@example.com). No debe ser un valor que contenga un espacio, como el nombre de visualización de un usuario (Bob Smith).
+ **`Attribute`elemento con el `Name` atributo establecido en https://aws.amazon.com/SAML/ Attributes/PrincipalTag: SessionContext (opcional):** este elemento contiene un `AttributeValue` elemento que proporciona parámetros que se pueden utilizar para transferir los parámetros del contexto de la sesión a las aplicaciones de streaming. Para obtener más información, consulte [Contexto de sesión en Amazon WorkSpaces Applications](managing-stacks-fleets-session-context.md).
+ **`Attribute`elemento con el `Name` atributo establecido en https://aws.amazon.com/SAML/ Attributes/PrincipalTag: ObjectSid (opcional)**: este elemento contiene un `AttributeValue` elemento que proporciona el identificador de seguridad (SID) de Active Directory para el usuario que inicia sesión. Este parámetro se usa con la autenticación basada en certificados para permitir una asignación firme con el usuario de Active Directory.
+ **`Attribute`elemento con el `Name` atributo establecido en https://aws.amazon.com/SAML/ Attributes/:Domain PrincipalTag (opcional):** este elemento contiene un elemento `AttributeValue` que proporciona el nombre de dominio completo (FQDN) de DNS de Active Directory para el usuario que inicia sesión. Este parámetro se usa con la autenticación basada en certificados cuando el `userPrincipalName` de Active Directory del usuario contiene un sufijo alternativo. El valor debe proporcionarse en el formato de **domain.com**, incluidos los subdominios.
+ **`Attribute`elemento con el `SessionDuration` atributo establecido en https://aws.amazon.com/SAML/ Attributes/ SessionDuration (opcional)**: este elemento contiene un `AttributeValue` elemento que especifica el tiempo máximo que una sesión de streaming federada de un usuario puede permanecer activa antes de que sea necesario volver a autenticarse. El valor predeterminado es de 3600 segundos (60 minutos). Para obtener más información, consulte la SessionDuration sección *Un elemento de atributo opcional con el SessionDuration atributo establecido en https://aws.amazon.com/SAML/ Attributes/ en [Configurar las aserciones de SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) para* la respuesta de autenticación.
**nota**  
Aunque `SessionDuration` es un atributo opcional, se recomienda incluirlo en la respuesta de SAML. Si no especifica este atributo, la duración de la sesión se establece en un valor predeterminado de 60 minutos.  
Si los usuarios acceden a sus aplicaciones de streaming en WorkSpaces Applications mediante el cliente nativo de la WorkSpaces aplicación o mediante el navegador web de la nueva experiencia, sus sesiones se desconectarán una vez que finalice la duración de la sesión. Si los usuarios acceden a sus aplicaciones de streaming en WorkSpaces las aplicaciones mediante un navegador web de la old/classic experiencia, las sesiones se desconectarán cuando caduque la duración de la sesión de los usuarios y cuando actualicen la página del navegador.

Para obtener más información acerca de cómo configurar estos elementos, consulte [Configuración de aserciones SAML para la respuesta de autenticación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) en la *Guía del usuario de IAM*. Para obtener información sobre los requisitos de configuración específicos de su proveedor de identidades, consulte la documentación de su proveedor de identidades.

## Paso 6: configuración del estado de retransmisión de la federación
<a name="external-identity-providers-relay-state"></a>

Por último, utilice su IdP para configurar el estado de retransmisión de su federación para que apunte a la URL del estado de retransmisión de la pila de WorkSpaces aplicaciones. Tras la correcta autenticación AWS, se dirige al usuario al portal de pila de WorkSpaces aplicaciones, que se define como el estado de retransmisión en la respuesta de autenticación de SAML.

El formato de la URL de estado de retransmisión es el siguiente:

```
https://relay-state-region-endpoint?stack=stackname&accountId=aws-account-id-without-hyphens
```

La URL del estado de retransmisión se construye a partir del identificador de la cuenta de Amazon Web Services, el nombre de la pila y el punto de conexión del estado de retransmisión asociado a la región en la que se encuentra la pila.

Si lo prefiere, puede especificar el nombre de la aplicación que quiera lanzar automáticamente. Para buscar el nombre de la aplicación, seleccione la imagen en la consola de WorkSpaces aplicaciones, elija la pestaña **Aplicaciones** y anote el nombre que aparece en la columna **Nombre de la aplicación**. Si aún no ha creado la imagen, también puede conectarse al generador de imágenes en el que instaló la aplicación y abrir Image Assistant. Los nombres de las aplicaciones aparecen en la pestaña **Añadir aplicaciones**.

Si su flota está habilitada para la vista de streaming de **Escritorio**, también puede optar por lanzarla directamente al escritorio del sistema operativo. Para ello, especifique **Desktop** al final de la URL del estado de retransmisión, después de **&app=**.

Con un flujo iniciado por un proveedor de identidad (IdP), en el navegador predeterminado del sistema, después de que los usuarios inicien sesión en el IdP y seleccionen la WorkSpaces aplicación Aplicaciones en el portal de usuarios del IdP, se les redirige a una página de inicio de sesión de WorkSpaces aplicaciones en el navegador predeterminado del sistema con las siguientes opciones:
+ **Continuar con el navegador**
+ **Abra el cliente de aplicaciones WorkSpaces **

En la página, los usuarios pueden elegir iniciar la sesión en el navegador o con la aplicación cliente WorkSpaces Applications. Opcionalmente, también puede especificar qué cliente se debe usar para una federación SAML 2.0. Para ello, especifique `native` o `web` al final de la URL de estado de relé, después de `&client=`. Cuando el parámetro está presente en una URL de estado de relé, las sesiones correspondientes se iniciarán automáticamente en el cliente especificado, sin que los usuarios tengan que elegir una opción.

**nota**  
Esta función solo está disponible si utiliza los nuevos puntos finales de la región del estado de la retransmisión (en la tabla 1 siguiente) para crear la URL del estado de la retransmisión y utiliza el cliente de WorkSpaces aplicaciones de la versión 1.1.1300 y versiones posteriores. Además, los usuarios siempre deben usar el navegador predeterminado del sistema para iniciar sesión en el IdP. La característica no funcionará si utilizan un navegador que no sea el predeterminado.

Si los derechos de las aplicaciones se basan en atributos y utilizan un proveedor de identidades SAML 2.0 de terceros, puede habilitar el acceso a varias pilas desde una única URL de estado de retransmisión. Elimine la pila y los parámetros de la aplicación (si existen) de la URL del estado de retransmisión, de la siguiente manera:

```
https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens
```

Cuando los usuarios se federen en el catálogo de WorkSpaces aplicaciones, se les mostrarán todas las pilas en las que los derechos de las aplicaciones hayan hecho coincidir una o más aplicaciones con las del usuario en lo que respecta al identificador de cuenta y el estado de retransmisión asociados a la región en la que se encuentran las pilas. Cuando un usuario selecciona un catálogo, los derechos de la aplicación solo mostrarán las aplicaciones a las que tiene derecho el usuario.

**nota**  
Los usuarios no pueden transmitir desde varias pilas al mismo tiempo.

Para obtener más información, consulte [Derechos de aplicaciones basados en atributos con un proveedor de identidades SAML 2.0 de terceros](application-entitlements-saml.md).

En la tabla 1 que aparece a continuación, se enumeran los puntos finales del estado de retransmisión de las regiones en las que Applications está disponible. WorkSpaces Los puntos de conexión de estado de relé de la tabla 1 son compatibles con [WorkSpaces Acceso a aplicaciones mediante navegador web (versión 2)](web-browser-access-v2.md) y con la aplicación cliente de Windows, versión 1.1.1300 y posteriores. Si utiliza versiones anteriores del cliente de Windows, debe usar los puntos de conexión de estado de relé antiguos que se muestran en la tabla 2 para configurar la federación de SAML 2.0. Si desea que los usuarios utilicen sesiones de streaming mediante una conexión compatible con FIPS, debe utilizar un punto de conexión compatible con FIPS. Para obtener más información acerca de los puntos de conexión de FIPS, consulte [Protección de datos en tránsito con puntos de conexión FIPS](protecting-data-in-transit-FIPS-endpoints.md).


**Tabla 1: WorkSpaces Las aplicaciones retransmiten los puntos finales de la región del estado (recomendado)**  

| Region | Punto de conexión del estado de retransmisión | 
| --- | --- | 
| Este de EE. UU. (Norte de Virginia) |  `https://appstream2.euc-sso.us-east-1.aws.amazon.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-east-1.aws.amazon.com/saml`  | 
| Este de EE. UU. (Ohio) | https://appstream2.euc-sso.us-east-2.aws.amazon.com/saml | 
| Oeste de EE. UU. (Oregón) |  `https://appstream2.euc-sso.us-west-2.aws.amazon.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-west-2.aws.amazon.com/saml`  | 
| Asia-Pacífico (Malasia) | https://appstream2.euc-sso.ap-southeast-5.aws.amazon.com/saml | 
| Asia-Pacífico (Mumbai) | https://appstream2.euc-sso.ap-south-1.aws.amazon.com/saml | 
| Asia-Pacífico (Seúl) | https://appstream2.euc-sso.ap-northeast-2.aws.amazon.com/saml | 
| Asia-Pacífico (Singapur) | https://appstream2.euc-sso.ap-southeast-1.aws.amazon.com/saml | 
| Asia-Pacífico (Sídney) | https://appstream2.euc-sso.ap-southeast-2.aws.amazon.com/saml | 
| Asia-Pacífico (Tokio) | https://appstream2.euc-sso.ap-northeast-1.aws.amazon.com/saml | 
|  Canadá (centro)  | https://appstream2.euc-sso.ca-central-1.aws.amazon.com/saml | 
| Europa (Fráncfort) | https://appstream2.euc-sso.eu-central-1.aws.amazon.com/saml | 
| Europa (Irlanda) | https://appstream2.euc-sso.eu-west-1.aws.amazon.com/saml | 
| Europa (Londres) | https://appstream2.euc-sso.eu-west-2.aws.amazon.com/saml | 
| Europa (Milán) | https://appstream2.euc-sso.eu-south-1.aws.amazon.com/saml | 
| Europa (París) | https://appstream2.euc-sso.eu-west-3.aws.amazon.com/saml | 
| Europa (España) | https://appstream2.euc-sso.eu-south-2.aws.amazon.com/saml | 
| AWS GovCloud (Este de EE. UU.) |  `https://appstream2.euc-sso.us-gov-east-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com/saml`  Para obtener más información sobre el uso de WorkSpaces las aplicaciones en AWS GovCloud (US) las regiones, consulte [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) en la *Guía del AWS GovCloud (US) usuario*.   | 
| AWS GovCloud (EE. UU.-Oeste) |  `https://appstream2.euc-sso.us-gov-west-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com/saml`  Para obtener más información sobre el uso de WorkSpaces las aplicaciones en AWS GovCloud (US) las regiones, consulte [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) en la *Guía del AWS GovCloud (US) usuario*.   | 
| América del Sur (São Paulo) | https://appstream2.euc-sso.sa-east-1.aws.amazon.com/saml | 
| Israel (Tel Aviv) | https://appstream2.euc-sso.il-central-1.aws.amazon.com/saml | 

En la tabla 2, a continuación, se muestran los puntos de conexión de estado de relé antiguos que aún están disponibles. Sin embargo, se recomienda utilizar los nuevos puntos de conexión de estado de relé que se enumeran en la tabla 1 para configurar las federaciones de SAML 2.0. En particular, con los nuevos puntos finales de estado de retransmisión, puede permitir que sus usuarios inicien la aplicación cliente WorkSpaces Applications (versión 1.1.1300 y posteriores) desde sesiones de streaming iniciadas por el IdP. Los nuevos puntos finales de estado de retransmisión de la tabla 1 también permiten a los usuarios iniciar sesión en otras AWS aplicaciones desde distintas pestañas del mismo navegador web, sin que ello afecte a la sesión de streaming de las aplicaciones en curso. WorkSpaces Los puntos de conexión de estado de relé antiguos de la tabla 2 no admiten esta característica. Para obtener más información, consulte [Los usuarios del cliente My WorkSpaces Applications se desconectan de su sesión de WorkSpaces aplicaciones cada 60 minutos.](troubleshooting-user-issues.md#troubleshooting-client-users-disconnected-every-60-minutes)


**Tabla 2: WorkSpaces Las aplicaciones antiguas retransmiten los puntos finales de la región y el estado (no se recomienda)**  

| Region | Punto de conexión del estado de retransmisión | 
| --- | --- | 
| Este de EE. UU. (Norte de Virginia) |  `https://appstream2.us-east-1.aws.amazon.com/saml` (FIPS) `https://appstream2-fips.us-east-1.aws.amazon.com/saml`  | 
| Este de EE. UU. (Ohio) | https://appstream2.us-east-2.aws.amazon.com/saml | 
| Oeste de EE. UU. (Oregón) |  `https://appstream2.us-west-2.aws.amazon.com/saml` (FIPS) `https://appstream2-fips.us-west-2.aws.amazon.com/saml`  | 
| Asia-Pacífico (Mumbai) | https://appstream2.ap-south-1.aws.amazon.com/saml | 
| Asia-Pacífico (Seúl) | https://appstream2.ap-northeast-2.aws.amazon.com/saml | 
| Asia-Pacífico (Singapur) | https://appstream2.ap-southeast-1.aws.amazon.com/saml | 
| Asia-Pacífico (Sídney) | https://appstream2.ap-southeast-2.aws.amazon.com/saml | 
| Asia-Pacífico (Tokio) | https://appstream2.ap-northeast-1.aws.amazon.com/saml | 
|  Canadá (centro)  | https://appstream2.ca-central-1.aws.amazon.com/saml | 
| Europa (Fráncfort) | https://appstream2.eu-central-1.aws.amazon.com/saml | 
| Europa (Irlanda) | https://appstream2.eu-west-1.aws.amazon.com/saml | 
| Europa (Londres) | https://appstream2.eu-west-2.aws.amazon.com/saml | 
| AWS GovCloud (Este de EE. UU.) |  `https://appstream2.us-gov-east-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2-fips.us-gov-east-1.amazonaws-us-gov.com/saml`  Para obtener más información sobre el uso de WorkSpaces las aplicaciones en AWS GovCloud (US) las regiones, consulte [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) en la *Guía del AWS GovCloud (US) usuario*.   | 
| AWS GovCloud (EE. UU.-Oeste) |  `https://appstream2.us-gov-west-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2-fips.us-gov-west-1.amazonaws-us-gov.com/saml`  Para obtener más información sobre el uso de WorkSpaces las aplicaciones en AWS GovCloud (US) las regiones, consulte [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) en la *Guía del AWS GovCloud (US) usuario*.   | 
| América del Sur (São Paulo) | https://appstream2.sa-east-1.aws.amazon.com/saml | 

En la tabla 3, a continuación, se muestran todos los parámetros disponibles que puede utilizar para crear una URL de estado de relé.


**Tabla 3: Parámetros de la URL de estado de relé**  

| Parámetro | Obligatorio | Formato | Compatible con | 
| --- | --- | --- | --- | 
| accountId | Obligatorio | ID de 12 caracteres Cuenta de AWS  | Puntos de conexión nuevos y antiguos de las tablas 1 y 2 | 
| pila | Opcional | Nombre de pila | Puntos de conexión nuevos y antiguos de las tablas 1 y 2 | 
| aplicación | Opcional | Nombre de la aplicación o “Escritorio” | Puntos de conexión nuevos y antiguos de las tablas 1 y 2 | 
| cliente | Opcional | “nativo” o “web” | Nuevos puntos de conexión solo en la tabla 1 | 

# WorkSpaces Integración de aplicaciones con SAML 2.0
<a name="external-identity-providers-further-info"></a>

Los siguientes enlaces le ayudan a configurar soluciones de proveedores de identidad SAML 2.0 de terceros para que funcionen con WorkSpaces las aplicaciones.


| Solución de IdP | Más información | 
| --- | --- | 
| AWS IAM Identity Center |  [Habilite la federación con IAM Identity Center y Amazon WorkSpaces Applications](https://aws.amazon.com/blogs/desktop-and-application-streaming/enable-federation-with-aws-single-sign-on-and-amazon-appstream-2-0/): describe cómo usar IAM Identity Center para federar el acceso de los usuarios a las aplicaciones de sus WorkSpaces aplicaciones con sus credenciales empresariales existentes. | 
| Active Directory Federation Services (AD FS) para Windows Server | [AppStream](https://gg4l.com/product/appstream/)en el sitio web de GG4 L: describe cómo proporcionar a los usuarios acceso SSO a WorkSpaces las aplicaciones mediante sus credenciales empresariales existentes. Puede configurar identidades federadas para las WorkSpaces aplicaciones mediante AD FS 3.0.  | 
| Azure Active Directory (Azure AD) |  [Habilitación de la federación con Azure AD Single Sign-On y Amazon WorkSpaces Applications](https://aws.amazon.com/blogs/desktop-and-application-streaming/enabling-federation-with-azure-ad-single-sign-on-and-amazon-appstream-2-0/): describe cómo configurar el acceso de los usuarios federados a WorkSpaces las aplicaciones de Amazon mediante el inicio de sesión único de Azure AD para aplicaciones empresariales. | 
| GG4L School Passport™ |  [Habilitación de la federación de identidades con GG4 L's School Passport™ y Amazon WorkSpaces Applications](https://sso.gg4l.com/docs/#/appstream): describe cómo configurar GG4 L's School Passport™ para federar el inicio de sesión en WorkSpaces las aplicaciones.  | 
| Google |  [Configuración de la federación SAML 2.0 de G Suite con WorkSpaces las aplicaciones de Amazon](https://aws.amazon.com/blogs/desktop-and-application-streaming/setting-up-g-suite-saml-2-0-federation-with-amazon-appstream-2-0/): describe cómo usar la consola de administración de G Suite para configurar la federación de SAML con WorkSpaces las aplicaciones para los usuarios de los dominios de G Suite.  | 
| Okta |  [Cómo configurar SAML 2.0 para WorkSpaces aplicaciones de Amazon](http://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Amazon-AppStream-2-0.html): describe cómo usar Okta para configurar la federación de SAML con las aplicaciones. WorkSpaces Para pilas que están incorporadas en un dominio, la opción “Formato de nombre de usuario de aplicación” debe establecerse como “Nombre principal de usuario de AD”. | 
| Ping Identity |  [Configuración de una conexión SSO a Amazon WorkSpaces Applications](https://support.pingidentity.com/s/article/Configuring-an-SSO-connection-to-Amazon-AppStream-2-0): describe cómo configurar el inicio de sesión único (SSO) en las aplicaciones. WorkSpaces  | 
| Shibboleth |  [Inicio de sesión único: integración, AWS OpenLDAP y Shibboleth: describe cómo configurar la federación inicial entre el IdP de Shibboleth y](https://aws.amazon.com/blogs/security/new-whitepaper-single-sign-on-integrating-aws-openldap-and-shibboleth/) el. Consola de administración de AWS Debe completar los siguientes pasos adicionales para habilitar la federación en las aplicaciones. WorkSpaces El Paso 4 del documento técnico de seguridad de AWS describe cómo crear roles de IAM que definan los permisos que los usuarios federados tienen en la Consola de administración de AWS. Después de crear estas funciones e integrar la política en línea tal como se describe en el documento técnico, modifique esta política para que otorgue a los usuarios federados permisos para acceder únicamente a una pila de aplicaciones. WorkSpaces Para ello, sustituya la política existente por la política indicada en *Paso 3: incrustación de una política en línea para el rol de IAM*, en [Configuración de SAML](external-identity-providers-setting-up-saml.md).Cuando añada la URL de estado de retransmisión de pila, tal y como se describe en el *Paso 6: configuración del estado de retransmisión de su federación*, en [Configuración de SAML](external-identity-providers-setting-up-saml.md), añada el parámetro de estado de retransmisión a la URL de federación como atributo de solicitud de destino. La URL debe estar codificada. Para obtener información sobre cómo configurar los parámetros de estado de retransmisión, consulte la sección [SAML 2.0](https://wiki.shibboleth.net/confluence/display/IDP30/UnsolicitedSSOConfiguration#UnsolicitedSSOConfiguration-SAML2.0) en la documentación de Shibboleth.Para obtener más información, consulte [Habilitar la federación de identidades con las aplicaciones Shibboleth y Amazon](https://aws.amazon.com/blogs/desktop-and-application-streaming/enabling-identity-federation-with-shibboleth-and-amazon-appstream-2-0/). WorkSpaces  | 
| VMware WorkSpace UNA |  [Federar el acceso a WorkSpaces las aplicaciones de Amazon desde VMware Workspace ONE](https://aws.amazon.com/blogs/desktop-and-application-streaming/federating-access-to-amazon-appstream-2-0-from-vmware-workspace-one/): describe cómo utilizar la plataforma VMware Workspace ONE para federar el acceso de los usuarios a las aplicaciones de sus WorkSpaces aplicaciones.  | 
| Sencillo SAMLphp | [Habilitación de la federación con WorkSpaces aplicaciones simples SAMLphp y de Amazon](https://aws.amazon.com/blogs/desktop-and-application-streaming/enabling-federation-with-simplesamlphp-and-amazon-appstream-2-0/): describe cómo configurar la federación de SAML 2.0 para WorkSpaces aplicaciones mediante SimpleSAMLphp. | 
| OneLogin Inicio de sesión único (SSO) | [OneLogin SSO con Amazon WorkSpaces Applications](https://aws.amazon.com/blogs/desktop-and-application-streaming/onelogin-sso-with-amazon-appstream-2-0/): describe cómo configurar el acceso de los usuarios federados para WorkSpaces las aplicaciones que utilizan OneLogin el SSO. | 
| JumpCloud Inicio de sesión único (SSO) | [Habilitar la federación con el JumpCloud SSO y WorkSpaces las aplicaciones de Amazon](https://aws.amazon.com/blogs/desktop-and-application-streaming/enable-federation-with-jumpcloud-sso-and-appstream-2-0/): describe cómo configurar el acceso de los usuarios federados para WorkSpaces las aplicaciones que utilizan JumpCloud el SSO. | 
| Bio-clave PortalGuard | [Habilite la federación con Bio-key PortalGuard y Amazon AppStream 2.0](https://aws.amazon.com/blogs/desktop-and-application-streaming/enable-federation-with-bio-key-portalguard-and-amazon-appstream-2-0/): describe cómo configurar Bio-key PortalGuard para los inicios de sesión federados en las aplicaciones. WorkSpaces  | 

Para solucionar problemas comunes que puede encontrar, consulte [Resolución de problemas](troubleshooting.md).

Para obtener más información acerca de otros proveedores de SAML terceros compatibles, consulte [Integración de proveedores de soluciones SAML externos con AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html) en la *Guía del usuario de IAM*.