Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Cómo empezar a utilizar Amazon WorkSpaces Secure Browser
<a name="getting-started"></a>

Siga estos pasos para crear un portal web de WorkSpaces Secure Browser y proporcionar a los usuarios acceso a sitios web internos y de SaaS desde sus navegadores actuales. Puede crear un portal web en cualquier región compatible por cuenta. 

**nota**  
Para solicitar un aumento del límite para más de un portal, ponte en contacto con el servicio de asistencia con tu Cuenta de AWS ID, el número de portales que deseas solicitar y Región de AWS.

Este proceso suele tardar cinco minutos con el asistente de creación del portal web y 15 minutos más como máximo para que el portal se **Active**.

La configuración de un portal web no conlleva ningún coste. WorkSpaces Secure Browser ofrece pay-as-you-go precios, que incluyen un precio mensual bajo para los usuarios que utilizan activamente el servicio. No hay costes iniciales, licencias ni compromisos a largo plazo.

**importante**  
Antes de comenzar, debe cumplir los requisitos previos necesarios para un portal web. Para obtener más información acerca de los requisitos previos de un portal web, consulte [Configuración de Amazon WorkSpaces Secure Browser](setting-up.md).

**Topics**
+ [Creación de un portal web para Amazon WorkSpaces Secure Browser](getting-started-step1.md)
+ [Probar su portal web en Amazon WorkSpaces Secure Browser](getting-started-step2.md)
+ [Distribución de su portal web en Amazon WorkSpaces Secure Browser](getting-started-step3.md)

# Creación de un portal web para Amazon WorkSpaces Secure Browser
<a name="getting-started-step1"></a>

Para crear un portal web, siga estos pasos:

**Topics**
+ [Configuración de los ajustes de red para Amazon WorkSpaces Secure Browser](network-settings.md)
+ [Configuración de los ajustes del portal para Amazon WorkSpaces Secure Browser](portal-settings.md)
+ [Configuración de los ajustes de usuario para Amazon WorkSpaces Secure Browser](user-settings.md)
+ [Configuración del proveedor de identidad para Amazon WorkSpaces Secure Browser](identity-settings.md)
+ [Lanzamiento de un portal web con Amazon WorkSpaces Secure Browser](review-settings.md)

# Configuración de los ajustes de red para Amazon WorkSpaces Secure Browser
<a name="network-settings"></a>

Para configurar los ajustes de red de WorkSpaces Secure Browser, siga estos pasos.

1. Abra la consola de WorkSpaces Secure Browser en [https://console.aws.amazon.com/workspaces-web/casa](https://console.aws.amazon.com/workspaces-web/home).

1. Elija **WorkSpaces Secure Browser**, después **portales web** y, por último, **Crear portal web**.

1. En la página **Paso 1: especifique la conexión de red**, complete los siguientes pasos para conectar la VPC al portal web y configurar la VPC y las subredes.

   1. Para **obtener información sobre la red**, elija una VPC con una conexión al contenido al que quiere que accedan sus usuarios con WorkSpaces Secure Browser.

   1. Elija hasta tres subredes privadas que cumplan los siguientes requisitos. Para obtener más información, consulte [Redes para Amazon WorkSpaces Secure Browser](setup-vpc.md).
      + Debe elegir un mínimo de dos subredes privadas para crear un portal.
      + Para garantizar la alta disponibilidad de su portal web, le recomendamos que proporcione el número máximo de subredes privadas en zonas de disponibilidad únicas para su VPC. 

   1. Elija un grupo de seguridad.

# Configuración de los ajustes del portal para Amazon WorkSpaces Secure Browser
<a name="portal-settings"></a>

En la página **Paso 2: configure los ajustes del portal web**, complete los siguientes pasos para personalizar la experiencia de navegación de los usuarios al abrir una sesión.

1. En **Detalles del portal web**, en **Nombre para mostrar**, introduzca un nombre identificable para el portal web.

1. En **Tipo de instancia**, seleccione el tipo de instancia del portal web en el menú desplegable. A continuación, introduzca el **Límite máximo de usuarios simultáneos** del portal web. Para obtener más información, consulte [Administrar las cuotas de servicio de su portal en Amazon WorkSpaces Secure Browser](request-service-quota.md).
**nota**  
Al seleccionar un nuevo tipo de instancia, cambiará el costo de cada usuario activo mensual. Para obtener más información, consulta los [precios de Amazon WorkSpaces Secure Browser](https://aws.amazon.com/workspaces/web/pricing/).

1. En **Dominio personalizado**, puede configurar un dominio personalizado para su portal a fin de permitir el acceso a través de su propio nombre de dominio en lugar del punto de enlace predeterminado del portal. Para obtener más información, consulte [Configurar un dominio personalizado para su portal](custom-domains.md). **Esto es opcional.**

1. En el **Registrador de sesiones**, puede especificar un depósito de S3 para almacenar los archivos de registro de sesiones. Para obtener más información, consulte [Configuración del registrador de sesiones para Amazon WorkSpaces Secure Browser](session-logger.md). **Esto es opcional.**

1. En **Registro de acceso de usuarios**, para el **ID de transmisión de Kinesis**, seleccione la transmisión de datos de Amazon Kinesis a la que quiere enviar los archivos de registro. Para obtener más información, consulte [Configuración del registro de actividad de los usuarios en Amazon WorkSpaces Secure Browser](user-logging.md). **Esto es opcional.**

1. En **Control de acceso IP**, elija si desea restringir el acceso a redes de confianza. Para obtener más información, consulte [Gestión de los controles de acceso IP en Amazon WorkSpaces Secure Browser](ip-access-controls.md). **Esto es opcional.**

1. En **la configuración de protección de datos**, puede crear políticas para que WorkSpaces Secure Browser redacte información confidencial. Para obtener más información, consulte [Administrar la configuración de protección de datos en Amazon WorkSpaces Secure Browser](data-protection-settings.md). **Esto es opcional**.

1. En el **filtrado de URL**, puede especificar qué usuarios URLs finales pueden acceder o bloquear categorías específicas URLs o de dominio para restringir el acceso. Para obtener más información, consulte [Filtrado de contenido web en Amazon WorkSpaces Secure Browser](web-content-filtering.md). **Esto es opcional.**

   1. Para restringir la navegación por sesión a unos pocos dominios seleccionados, active la opción **Bloquear todo URLs** y haga clic en **añadir URL** para ver la lista de los usuarios finales URLs a los que se permite el acceso.

   1. Para crear una lista de los dominios que se van URLs a bloquear para los usuarios finales, haz clic en **Añadir URL** URLs para ver los dominios que quieres bloquear o en **Añadir categorías** para seleccionar las categorías de dominios que están bloqueados (p. ej., redes sociales).

1. En **Configuración de políticas**, puedes configurar cualquier política del navegador mediante las políticas de Chrome disponibles en la última versión estable del portal web. Para obtener más información, consulte [Administrar la política del navegador en Amazon WorkSpaces Secure Browser](browser-policies.md). **Esto es opcional.**

   1. Puede seleccionar rápidamente algunas de las políticas más comunes en el **editor visual**
      + En el **caso de la URL de inicio (opcional)**, introduce un dominio para usarlo como página de inicio cuando los usuarios abran el navegador. La VPC debe tener una conexión estable a esta URL.
      + Seleccione o desactive **Navegación privada** y **Eliminación del historial** para activar o desactivar estas características durante la sesión de un usuario
**nota**  
URLs las visitas mientras navegas de forma privada o antes de que un usuario borre su historial de navegación, no se pueden registrar en el registro de acceso de los usuarios. Para obtener más información, consulte [Configuración del registro de actividad de los usuarios en Amazon WorkSpaces Secure Browser](user-logging.md).
      + En el caso de los **marcadores del navegador (opcional)**, introduce el **nombre para mostrar**, el **dominio** y **la carpeta** de los marcadores que quieras que tus usuarios vean en su navegador. A continuación, seleccione **Añadir marcador**.
**nota**  
**Dominio** es un campo obligatorio para los marcadores del navegador.  
En Chrome, los usuarios encontrarán los marcadores administrados en la carpeta **Marcadores administrados** de la barra de herramientas de marcadores.

   1. También puedes añadir o editar políticas directamente mediante el editor JSON en lugar del editor visual. Para conocer el formato específico de una política, consulta la [lista de políticas de Chrome Enterprise](https://chromeenterprise.google/policies/).

   1. También puedes importar las políticas de Chrome que se utilizan en tu organización subiendo un archivo JSON al portal web. Para obtener más información, consulta [Tutorial: Configuración de una política de navegación personalizada en Amazon WorkSpaces Secure Browser](browser-policies-custom.md)

      Al cargar un archivo de política, puede ver las políticas disponibles en el archivo en la consola. Sin embargo, no es posible editar todas las políticas en el editor visual. La consola muestra las políticas de su archivo JSON, que no puede editar con el editor visual en **Políticas JSON adicionales**. Para realizar cambios en estas políticas, debe editarlas manualmente.

1. Añada **etiquetas** a su portal. Puede usar etiquetas para buscar o filtrar sus AWS recursos. Las etiquetas constan de una clave y un valor opcional y están asociadas al recurso del portal. **Esto es opcional.**

1. Elija **Siguiente** para continuar.

# Configuración de los ajustes de usuario para Amazon WorkSpaces Secure Browser
<a name="user-settings"></a>

En la página **Paso 3: seleccione la configuración de usuario**, complete los siguientes pasos para elegir las características a las que pueden acceder sus usuarios desde la barra de navegación superior durante la sesión y, a continuación, seleccione **Siguiente**:

1. En la **sección Personalización de la marca**, puede personalizar las pantallas de inicio de sesión y carga que se muestran a los usuarios finales modificando los elementos visuales, el contenido del texto y las condiciones del servicio. Para obtener más información, consulte [Personalización de marca en Amazon WorkSpaces Secure Browser](branding-customization.md). **Esto es opcional.**

1. En **Permisos**, elige si deseas habilitar la extensión para el inicio de sesión único. Para obtener más información, consulte [Administración de la extensión de inicio de sesión único en Amazon Secure Browser WorkSpaces](allow-extension.md).

1. En **Permitir a los usuarios imprimir en un dispositivo local desde su portal web**, seleccione **Permitir** o **No permitir**. 

1. En **Permitir a los usuarios crear enlaces profundos a su portal web**, seleccione **Permitir** o **No permitir**. Para obtener más información sobre los enlaces profundos, consulte [Vínculos profundos en Amazon WorkSpaces Secure Browser](deep-links.md).

1. En **Permitir a los usuarios usar la autenticación local en su sesión de portal**, seleccione **Permitido o **No** permitido**. Para obtener más información sobre la autenticación web, consulte[Habilitar WebAuthn el soporte de redireccionamiento en Amazon WorkSpaces Secure Browser](web-authentication.md).

1. En **Controles de la barra** de herramientas, elija la configuración que desee en **Características**.

1. En **Configuración**, gestione la vista de presentación de la barra de herramientas al inicio de la sesión, incluido el estado de la barra de herramientas (acoplada o separada), el tema (modo oscuro o claro), la visibilidad de los iconos y la resolución máxima de pantalla de la sesión. Deje estos ajustes sin configurar para que los usuarios finales tengan el control total sobre estas opciones. Para obtener más información, consulte [Administrar los controles de la barra de herramientas en Amazon WorkSpaces Secure Browser](toolbar-controls.md).

1. Para los **tiempos de espera de las sesiones**, especifique lo siguiente: 
   + En **Tiempo de espera de desconexión en minutos**, elija la cantidad de tiempo que una sesión de streaming permanece activa después de que los usuarios se hayan desconectado. Si los usuarios intentan volver a conectarse a la sesión de streaming después de una desconexión o interrupción de la red dentro de este intervalo de tiempo, se conectarán a la sesión anterior. De lo contrario, se conectan a una sesión nueva con una nueva instancia de streaming. 

     Si un usuario finaliza la sesión, no se aplica el tiempo de espera de desconexión, sino que se pide al usuario que guarde cualquier documento que tenga abierto y, a continuación, se le desconecta inmediatamente de la instancia de streaming. La instancia que estaba utilizando el usuario termina. 
   + En **Tiempo de espera de desconexión de inactividad en minutos**, elija la cantidad de tiempo que los usuarios pueden estar inactivos antes de desconectarlos de su sesión de streaming y de que comience el intervalo de tiempo **Tiempo de espera de desconexión en minutos**. A los usuarios se les notifica antes de que se desconecten por inactividad. Si intentan volver a conectarse a la sesión de streaming antes de que haya transcurrido el intervalo de tiempo especificado en **Tiempo de espera de desconexión en minutos**, se conectan a su sesión anterior. De lo contrario, se conectan a una sesión nueva con una nueva instancia de streaming. Si este valor se establece en 0, se deshabilita. Cuando este valor está deshabilitado, los usuarios no desconectan por inactividad.
**nota**  
Los usuarios se consideran inactivos cuando dejan de introducir el teclado o el ratón durante su sesión de streaming. Las cargas y descargas de archivos, la entrada y salida de audio y los cambios de píxeles no se consideran actividad del usuario. Si los usuarios siguen estando inactivos después de que haya transcurrido el intervalo de tiempo de **Tiempo de espera de desconexión de inactividad en minutos**, se desconectan. 

# Configuración del proveedor de identidad para Amazon WorkSpaces Secure Browser
<a name="identity-settings"></a>

Siga estos pasos para configurar el proveedor de identidades (IdP).

**Topics**
+ [Elegir el tipo de proveedor de identidad para Amazon WorkSpaces Secure Browser](choose-type.md)
+ [Cambiar el tipo de proveedor de identidad de Amazon WorkSpaces Secure Browser](change-type.md)

# Elegir el tipo de proveedor de identidad para Amazon WorkSpaces Secure Browser
<a name="choose-type"></a>

WorkSpaces Secure Browser ofrece dos tipos de autenticación: **estándar** y **AWS IAM Identity Center**. El tipo de autenticación que se utilizará en el portal se selecciona en la página **Configurar el proveedor de identidades**. 
+ Para seleccionar **Estándar** (opción predeterminada), federe su proveedor de identidades SAML 2.0 de terceros (como Okta o Ping) directamente al portal. Para obtener más información, consulte [Configuración del tipo de autenticación estándar para Amazon WorkSpaces Secure Browser](configure-standard.md). El tipo estándar admite flujos de autenticación iniciados por SP y por IdP.
+ Para seleccionar **IAM Identity Center** (opción avanzada), federe IAM Identity Center al portal. Para utilizar este tipo de autenticación, el centro de identidad de IAM y el portal WorkSpaces Secure Browser deben residir en el mismo Región de AWS lugar. Para obtener más información, consulte [Configuración del tipo de autenticación del IAM Identity Center para Amazon WorkSpaces Secure Browser](configure-iam.md).

**Topics**
+ [Configuración del tipo de autenticación estándar para Amazon WorkSpaces Secure Browser](configure-standard.md)
+ [Configuración del tipo de autenticación del IAM Identity Center para Amazon WorkSpaces Secure Browser](configure-iam.md)

# Configuración del tipo de autenticación estándar para Amazon WorkSpaces Secure Browser
<a name="configure-standard"></a>

*Estándar* es el tipo de autenticación predeterminado. Puede admitir flujos de inicio de sesión iniciados por el proveedor de servicios (iniciados por SP) e iniciados por el proveedor de identidades (iniciados por IdP) con un IdP compatible con SAML 2.0. Para configurar el tipo de autenticación estándar, siga los pasos que se indican a continuación para federar su IdP SAML 2.0 externo (como Okta o Ping) directamente al portal.

**Topics**
+ [Configuración del proveedor de identidad en Amazon WorkSpaces Secure Browser](configure-idp-step1.md)
+ [Configuración del IdP en su propio IdP](configure-idp-step2.md)
+ [Finalización de la configuración del IdP en Amazon Secure Browser WorkSpaces](upload-metadata.md)
+ [Guía de uso específico IdPs con Amazon WorkSpaces Secure Browser](idp-guidance.md)

# Configuración del proveedor de identidad en Amazon WorkSpaces Secure Browser
<a name="configure-idp-step1"></a>

Siga los pasos que se describen a continuación para configurar el proveedor de identidades:

1. En la página **Configurar proveedor de identidad** del asistente de creación, elija **Estándar**.

1. Elija **Continuar con el IdP estándar**.

1. Descargue el archivo de metadatos de SP y mantenga la pestaña abierta para ver los valores de metadatos individuales.
   + Si el archivo de metadatos de SP está disponible, seleccione **Descargar archivo de metadatos** para descargar el documento de metadatos del proveedor de servicios (SP) y cargue el archivo de metadatos del proveedor de servicios en su IdP en el paso siguiente. Si no lo hace, los usuarios no podrán iniciar sesión.
   + Si su proveedor no carga archivos de metadatos de SP, introduzca los valores de los metadatos manualmente.

1. En **Elegir tipo de inicio de sesión SAML**, elija entre **Aserciones de SAML iniciadas por SP e iniciadas por IdP** o **Solo aserciones de SAML iniciadas por SP**.
   + La opción **Aserciones SAML iniciadas por SP e iniciadas por IdP** hace que el portal admita ambos tipos de flujos de inicio de sesión. Los portales que admiten flujos iniciados por IdP permiten presentar las aserciones de SAML en el punto de conexión de federación de identidades del servicio sin necesidad de que los usuarios inicien una sesión desde la URL del portal. 
     + Elija esta opción para permitir que el portal acepte aserciones de SAML iniciadas por IdP no solicitadas. 
     + Esta opción requiere que se configure un **Estado de relé predeterminado** en el proveedor de identidades de SAML 2.0. El parámetro Estado de relé del portal se encuentra en la consola, en **Inicio de sesión de SAML iniciado por IdP**, o puede copiarlo desde el archivo de metadatos de SP, en `<md:IdPInitRelayState>`.
     +  Nota
       + Este es el formato del estado de relé: `redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider`. 
       + Si copia y pega el valor del archivo de metadatos de SP, asegúrese de cambiar `&amp; `a `&`. `&amp;` es un carácter de escape XML.
   + Elija **Solo aserciones SAML iniciadas por SP** para que el portal solo admita los flujos de inicio de sesión iniciados por SP. Esta opción rechazará las aserciones de SAML no solicitadas procedentes de flujos de inicio de sesión iniciados por IdP. 
**nota**  
Algunos proveedores de terceros IdPs le permiten crear una aplicación SAML personalizada que puede ofrecer experiencias de autenticación iniciadas por el IdP aprovechando los flujos iniciados por el SP. Por ejemplo, consulte [Add an Okta bookmark application](https://help.okta.com/oag/en-us/content/topics/access-gateway/add-app-saml-pass-thru-add-bookmark.htm).

1. Elija si desea habilitar la opción **Firmar solicitudes de SAML a este proveedor.** La autenticación iniciada por SP permite a su IdP validar que la solicitud de autenticación proviene del portal, lo que impide aceptar solicitudes de terceros. 

   1. Descargue el certificado de firma y cárguelo en su IdP. Puede usar el mismo certificado de firma para el cierre de sesión único.

   1. Habilite la solicitud firmada en su IdP. Dependiendo del IdP, el nombre puede variar.
**nota**  
RSA- SHA256 es el único algoritmo de firma de solicitudes y el predeterminado que se admite.

1. Elija si desea habilitar la opción **Requerir aserciones de SAML cifradas**. Esto le permite cifrar la aserción de SAML procedentes del IdP. Puede evitar que los datos se intercepten en las afirmaciones de SAML entre el IdP y Secure Browser. WorkSpaces 
**nota**  
El certificado de cifrado no está disponible en este paso. Se creará después de que se inicie el portal. Tras iniciar el portal, descargue el certificado de cifrado y cárguelo en su IdP. A continuación, habilite el cifrado de aserciones en su IdP (dependiendo del IdP, el nombre puede variar). 

1. Elija si desea habilitar la opción **Cierre de sesión único**. El cierre de sesión único permite a los usuarios finales cerrar sesión tanto en su sesión de IdP WorkSpaces como en la de Secure Browser con una sola acción.

   1. Descargue el certificado de firma de WorkSpaces Secure Browser y cárguelo en su IdP. Este es el mismo certificado de firma que se utilizó para **Solicitar firma** en el paso anterior.

   1. Para usar el **Cierre de sesión único**, debe configurar una **URL de cierre de sesión único** en su proveedor de identidades SAML 2.0. Encontrará la **URL de inicio de sesión único** del portal en la consola, en **Detalles del proveedor de servicios (SP) - Mostrar valores de metadatos individuales**, o desde la sección `<md:SingleLogoutService>` del archivo de metadatos de SP. 

   1. Habilite el **Cierre de sesión único** en su IdP. Dependiendo del IdP, el nombre puede variar. 

# Configuración del IdP en su propio IdP
<a name="configure-idp-step2"></a>

Para configurar el IdP en su propio IdP, siga estos pasos.

1. Abra una nueva pestaña en el navegador.

1. Agregue los metadatos del portal a su IdP de SAML.

   Cargue el documento de metadatos de SP que descargó en el paso anterior en su IdP, o bien copie y pegue los valores de los metadatos en los campos correctos del IdP. Algunos proveedores no permiten la carga de archivos.

   Los detalles de este proceso pueden variar de un proveedor a otro. Consulte la documentación de su proveedor en [Guía de uso específico IdPs con Amazon WorkSpaces Secure Browser](idp-guidance.md) para obtener ayuda sobre cómo agregar los detalles del portal a la configuración del IdP.

1. Confirme el **NameID** de su aserción de SAML.

   Asegúrese de que su IdP de SAML rellene el valor **NameID** de la aserción de SAML con el campo de correo electrónico del usuario. Los valores **NameID** y de correo electrónico del usuario se utilizan para identificar de forma exclusiva al usuario federado de SAML en el portal. Utilice el formato de ID de nombre de SAML persistente.

1. Opcional: configure el **Estado de relé** para la autenticación iniciada por IdP.

   Si seleccionó **Aceptar aserciones de SAML iniciadas por SP e iniciadas por IdP** en el paso anterior, siga el procedimiento descrito en el paso 2 de [Configuración del proveedor de identidad en Amazon WorkSpaces Secure Browser](configure-idp-step1.md) para configurar el **Estado de relé** predeterminado para su aplicación de IdP. 

1. Opcional: Configure la **Firma de solicitudes**. Si eligió **Firmar solicitudes de SAML a este proveedor** en el paso anterior, siga el procedimiento descrito en el paso 3 de [Configuración del proveedor de identidad en Amazon WorkSpaces Secure Browser](configure-idp-step1.md) para cargar el certificado de firma en su IdP y habilitar la firma de solicitudes. Algunas IdPs , como Okta, pueden requerir que tu **NameID** pertenezca al tipo «persistente» para **usar** la firma de solicitudes. Asegúrese de confirmar el **NameID** de la aserción del SAML siguiendo los pasos descritos anteriormente.

1. Opcional: Configure el **Cifrado de aserciones**. Si seleccionó **Requerir aserciones SAML cifradas a este proveedor**, espere hasta que se complete la creación del portal y, a continuación, siga el paso 4 de la sección «Cargar metadatos» a continuación para cargar el certificado de cifrado en su IdP y habilitar el cifrado de aserciones.

1. Opcional: Configure el **Cierre de sesión único**. Si seleccionó **Cierre de sesión único**, siga el procedimiento descrito en el paso 5 de [Configuración del proveedor de identidad en Amazon WorkSpaces Secure Browser](configure-idp-step1.md) para cargar el certificado de firma en su IdP, rellene la **URL de cierre de sesión único** y habilite la opción **Cierre de sesión único**.

1. Conceda acceso a sus usuarios en su IdP para usar WorkSpaces Secure Browser.

1. Descargue un archivo de intercambio de metadatos desde su IdP. En el siguiente paso, cargará estos metadatos en WorkSpaces Secure Browser.

# Finalización de la configuración del IdP en Amazon Secure Browser WorkSpaces
<a name="upload-metadata"></a>

Para finalizar la configuración del IdP en WorkSpaces Secure Browser, siga estos pasos.

1. Regrese a la consola de WorkSpaces Secure Browser. En la página **Configurar proveedor de identidad** del asistente de creación, en **Metadatos del IdP**, cargue un archivo de metadatos o introduzca una URL de metadatos desde el IdP. El portal utiliza estos metadatos del IdP para establecer la confianza.

1. Para cargar un archivo de metadatos, en **Documento de metadatos del IdP**, seleccione **Elegir archivo**. Cargue el archivo de metadatos con formato XML del IDP que descargó en el paso anterior. 

1. Para usar una URL de metadatos, vaya al IdP que configuró en el paso anterior y obtenga la **URL de metadatos**. Vuelva a la consola de WorkSpaces Secure Browser y, en **URL de metadatos del IdP**, introduzca la URL de metadatos que obtuvo de su IdP. 

1. Cuando haya terminado, elija **Next**.

1. En los portales en los que haya habilitado la opción **Requerir aserciones SAML cifradas a este proveedor**, debe descargar el certificado de cifrado de la sección de detalles del IdP del portal y cargarlo en su IdP. A continuación, puede habilitar la opción desde allí.
**nota**  
WorkSpaces Secure Browser requiere que el asunto o NameID estén mapeados y configurados en la aserción SAML dentro de la configuración de su IdP. Su IdP puede crear estas asignaciones automáticamente. Si estas asignaciones no están configuradas correctamente, los usuarios no podrán iniciar sesión en el portal web.  
WorkSpaces Secure Browser requiere que las siguientes afirmaciones estén presentes en la respuesta de SAML. Puede buscar *<Your SP Entity ID>* y en el documento *<Your SP ACS URL>* de metadatos o detalles del proveedor de servicios de su portal, ya sea a través de la consola o la CLI.  
Una reclamación `AudienceRestriction` con un valor `Audience` que establece el ID de entidad del SP como objetivo de la respuesta. Ejemplo:  

     ```
     <saml:AudienceRestriction>
         <saml:Audience><Your SP Entity ID></saml:Audience>
     </saml:AudienceRestriction>
     ```
Una reclamación `Response` con un valor `InResponseTo` del ID de solicitud SAML original. Ejemplo:  

     ```
     <samlp:Response ... InResponseTo="<originalSAMLrequestId>">
     ```
Una reclamación `SubjectConfirmationData` con un valor `Recipient` de la URL de ACS del SP, y un valor `InResponseTo` que coincida con el ID de la solicitud de SAML original. Ejemplo:  

     ```
     <saml:SubjectConfirmation>
         <saml:SubjectConfirmationData ... 
             Recipient="<Your SP ACS URL>"
             InResponseTo="<originalSAMLrequestId>"
             />
     </saml:SubjectConfirmation>
     ```
WorkSpaces Secure Browser valida los parámetros de la solicitud y las afirmaciones de SAML. En el caso de las aserciones SAML iniciadas por el IdP, los detalles de la solicitud deben tener formato de parámetro `RelayState` en el cuerpo de las solicitudes HTTP POST. El cuerpo de la solicitud también debe contener la aserción SAML como parámetro `SAMLResponse`. Ambos deberían estar presentes si ha seguido el paso anterior.  
A continuación se muestra un ejemplo de cuerpo `POST` para un proveedor SAML iniciado por un IdP.  

   ```
   SAMLResponse=<Base64-encoded SAML assertion>&RelayState=<RelayState> 
   ```

# Guía de uso específico IdPs con Amazon WorkSpaces Secure Browser
<a name="idp-guidance"></a>

Para asegurarse de configurar correctamente la federación de SAML para su portal, consulte los enlaces siguientes para ver la documentación más utilizada IdPs. 


| IdP | Configuración de la aplicación SAML | Administración de usuarios | Autenticación iniciada por IdP | Solicitud de firmas | Cifrado de aserciones | Cierre de sesión único | 
| --- | --- | --- | --- | --- | --- | --- | 
| Okta | [Crear integraciones de aplicaciones SAML](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Administración de usuarios](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Referencia de campo de SAML del asistente de integración de aplicaciones](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Referencia de campo de SAML del asistente de integración de aplicaciones](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Referencia de campo de SAML del asistente de integración de aplicaciones](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Referencia de campo de SAML del asistente de integración de aplicaciones](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | 
| Entra | [Crear su propia aplicación](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Inicio rápido: Crear y asignar una cuenta de usuario](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-assign-users) | [Habilitar el inicio de sesión único en una aplicación empresarial](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-setup-sso) | [Verificación de firma de solicitudes de SAML](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-enforce-signed-saml-authentication) | [Configurar el cifrado de token SAML de Microsoft Entra](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-saml-token-encryption?tabs=azure-portal) | [Protocolo SAML de cierre de sesión único](https://learn.microsoft.com/en-us/entra/identity-platform/single-sign-out-saml-protocol) | 
| Ping | [Agregar una aplicación SAML](https://docs.pingidentity.com/r/en-us/pingone/pingone_p1tutorial_add_a_saml_app) | [Usuarios](https://docs.pingidentity.com/r/en-us/pingone/p1_c_aboutusers) | [Habilitar el SSO iniciado por el IdP](https://docs.pingidentity.com/r/en-us/pingone/pingone_configuring_the_oidc_application) | [Configurar el inicio de sesión de la solicitud de autenticación PingOne para Enterprise](https://docs.pingidentity.com/r/en-us/solution-guides/htg_config_authn_req_sign_p14e) | [¿ PingOne For Enterprise admite el cifrado?](https://support.pingidentity.com/s/article/Does-PingOne-support-encryption) | [Cierre de sesión único de SAML 2.0](https://docs.pingidentity.com/r/en-us/pingone/pingone_c_saml_2-0_slo?tocId=aKUl0dlpyVDVw3PJmLIGGg) | 
| OneLogin | [Conector personalizado SAML (avanzado) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Añadir usuarios OneLogin manualmente](https://www.onelogin.com/getting-started/free-trial-plan/add-users-manually) | [Conector personalizado SAML (avanzado) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Conector personalizado SAML (avanzado) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Conector personalizado SAML (avanzado) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Conector personalizado SAML (avanzado) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | 
| IAM Identity Center | [Configuración de su propia aplicación de SAML 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [Configuración de su propia aplicación de SAML 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [Configuración de su propia aplicación de SAML 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | N/A | N/A | N/A | 

# Configuración del tipo de autenticación del IAM Identity Center para Amazon WorkSpaces Secure Browser
<a name="configure-iam"></a>

Para el tipo **IAM Identity Center** (avanzado), debe federar IAM Identity Center con su portal. Seleccione esta opción únicamente si se aplica lo siguiente en su caso:
+ Su centro de identidad de IAM está configurado en el mismo portal web Cuenta de AWS y Región de AWS como él.
+ Si lo utiliza AWS Organizations, está utilizando una cuenta de administración. 

Antes de crear un portal web con el tipo de autenticación de IAM Identity Center, debe configurar IAM Identity Center como proveedor independiente. Para obtener más información, consulte [Introducción a las tareas habituales en IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html). O bien puede conectar su IdP de SAML 2.0 a IAM Identity Center. Para obtener más información, consulte [Conexión a un proveedor de identidades externo](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html). De lo contrario, no tendrá ningún usuario o grupo que asignar a su portal web.

Si ya utiliza IAM Identity Center, puede elegirlo como tipo de proveedor y seguir los pasos que se indican a continuación para añadir, ver o eliminar usuarios y grupos del portal web.

**nota**  
Para utilizar este tipo de autenticación, su centro de identidad de IAM debe estar en el mismo portal de WorkSpaces Secure Browser Cuenta de AWS y Región de AWS al mismo nivel que él. Si su centro de identidad de IAM se encuentra en un sitio separado Cuenta de AWS o Región de AWS, siga las instrucciones para el tipo de autenticación **estándar**. Para obtener más información, consulte [Configuración del tipo de autenticación estándar para Amazon WorkSpaces Secure Browser](configure-standard.md).  
Si lo utiliza AWS Organizations, solo puede crear portales de WorkSpaces Secure Browser integrados con el Centro de Identidad de IAM mediante una cuenta de administración.

**Topics**
+ [Creación de un portal web con IAM Identity Center](web-portal-IAM.md)
+ [Administración de su portal web con IAM Identity Center](manage-IAM.md)
+ [Para agregar usuarios y grupos adicionales a un portal web](add-users-groups.md)
+ [Visualización o eliminación de usuarios y grupos de su portal web](remove-users-groups.md)

# Creación de un portal web con IAM Identity Center
<a name="web-portal-IAM"></a>

Para crear un portal web con IAM Identity Center, siga estos pasos.

**Para crear un portal web con IAM Identity Center**

1. Durante la creación del portal, en el **Paso 4: Configurar el proveedor de identidades**, elija **AWS IAM Identity Center**.

1. Elija **Continuar con IAM Identity Center**.

1. En la página **Asignar usuarios y grupos**, seleccione la pestaña and/or **Grupos** de **usuarios**.

1. Marque la casilla situada junto a los usuarios o grupos que desea agregar al portal.

1. Tras crear el portal, los usuarios a los que ha asociado pueden iniciar sesión en WorkSpaces Secure Browser con su nombre de usuario y contraseña del IAM Identity Center.

# Administración de su portal web con IAM Identity Center
<a name="manage-IAM"></a>

Para administrar su portal web con IAM Identity Center, siga estos pasos.

**Para crear un portal web con IAM Identity Center**

1. Una vez creado el portal web, este aparecerá en la consola de IAM Identity Center como aplicación configurada.

1. Para acceder a la configuración de esta aplicación, seleccione **Aplicaciones** en la barra lateral y busque una aplicación configurada con un nombre que coincida con el nombre mostrado de su portal web.
**nota**  
Si no ha introducido un nombre para mostrar, en su lugar se muestra el GUID del portal. El GUID es el ID que lleva un prefijo con la URL del punto de conexión de su portal web.

# Para agregar usuarios y grupos adicionales a un portal web
<a name="add-users-groups"></a>

Para agregar usuarios y grupos adicionales a un portal web existente, siga estos pasos.

**Para añadir usuarios y grupos adicionales a un portal web existente**

1. Abra la consola de WorkSpaces Secure Browser en[https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/](https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/).

1. Elija **WorkSpaces Secure Browser**, **portales web**, elija su portal web y, a continuación, elija **Editar**.

1. Elija **Configuración del proveedor de identidad** y **Asigne usuarios y grupos adicionales**. Desde aquí, puede añadir usuarios y grupos a su portal web.
**nota**  
No puede añadir usuarios ni grupos desde la consola de IAM Identity Center. Debe hacerlo desde la página de edición de su portal de WorkSpaces Secure Browser.

# Visualización o eliminación de usuarios y grupos de su portal web
<a name="remove-users-groups"></a>

Para ver o eliminar usuarios y grupos de su portal web, utilice las acciones disponibles en la tabla **Usuarios asignados**. Para obtener más información, consulte [Administración del acceso a las aplicaciones](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-applications.html).

**nota**  
No puede ver ni eliminar usuarios y grupos de la página de edición del portal WorkSpaces Secure Browserportal. Debe hacerlo desde la página de edición de la consola de IAM Identity Center.

# Cambiar el tipo de proveedor de identidad de Amazon WorkSpaces Secure Browser
<a name="change-type"></a>

Puede cambiar el tipo de autenticación de su portal en cualquier momento. Para ello, siga estos pasos.
+ Para cambiar de **IAM Identity Center** a **Standard**, siga los pasos que se indican en [Configuración del tipo de autenticación estándar para Amazon WorkSpaces Secure Browser](configure-standard.md). 
+ Para cambiar de **Estándar** a **IAM Identity Center**, siga los pasos que se indican en [Configuración del tipo de autenticación del IAM Identity Center para Amazon WorkSpaces Secure Browser](configure-iam.md).

Los cambios en el tipo de proveedor de identidades pueden tardar hasta 15 minutos en implementarse y no finalizarán automáticamente las sesiones en curso. 

Puede ver los cambios de tipo de proveedor de identidad en su portal AWS CloudTrail inspeccionando `UpdatePortal` los eventos. El tipo está visible en las cargas útiles de solicitudes y respuestas del evento.

# Lanzamiento de un portal web con Amazon WorkSpaces Secure Browser
<a name="review-settings"></a>

Cuando haya terminado de configurar el portal web, puede seguir estos pasos para lanzarlo.

1. En la página **Paso 5: revisar y lanzar**, revise la configuración que seleccionó para su portal web. Puede elegir **Editar** para cambiar la configuración dentro de una sección determinada. También puede cambiar esta configuración más adelante desde la pestaña **Portales web** de la consola.

1. Cuando haya acabado, elija **Lanzar portal web**.

1. Para ver el estado de su portal web, elija **Portales web**, seleccione su portal y, a continuación, elija **Ver detalles**. 

   Los portales web tienen uno de los siguientes estados:
   + **Incompleto**: a la configuración del portal web le faltan los ajustes de proveedor de identidad necesarios.
   + **Pendiente**: el portal web está aplicando cambios en su configuración.
   + **Activo**: el portal web está listo y disponible para su uso.

1. Espere un máximo de 15 minutos a que el portal esté **Activo**.

# Probar su portal web en Amazon WorkSpaces Secure Browser
<a name="getting-started-step2"></a>

Después de crear un portal web, puede iniciar sesión en el punto final de WorkSpaces Secure Browser para navegar por los sitios web conectados como lo haría un usuario final.

Si ya he realizado estos pasos en [Configuración del proveedor de identidad para Amazon WorkSpaces Secure Browser](identity-settings.md), puede omitir esta sección y pasar a [Distribución de su portal web en Amazon WorkSpaces Secure Browser](getting-started-step3.md).

1. ¿Abrir la consola de WorkSpaces Secure Browser en [https://console.aws.amazon.com/workspaces-web/casa? región=us-east-1\$1/](https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/).

1. **Elija **Navegador WorkSpaces seguro**, **portales web**, elija su portal web y, a continuación, elija Ver detalles**

1. En **Punto de conexión del portal web**, vaya a la URL especificada para su portal. El punto de conexión del portal web es el punto de acceso desde el que los usuarios abrirán el portal web tras iniciar sesión con el proveedor de identidades configurado para el portal. Está disponible públicamente en Internet y se puede integrar en la red.

1. En la página de inicio de sesión de WorkSpaces Secure Browser, selecciona **Iniciar sesión**, **SAML** e introduce tus credenciales de SAML.

1. Cuando aparezca la página **Su sesión se está preparando**, se iniciará la sesión de WorkSpaces Secure Browser. No cierre esta página ni salga de ella.

1. Se abrirá el navegador web con la URL de inicio y cualquier otro comportamiento adicional configurado en los ajustes de la política del navegador.

1. Ahora puede navegar a los sitios web conectados seleccionando enlaces o URLs entrando en la barra de direcciones.

# Distribución de su portal web en Amazon WorkSpaces Secure Browser
<a name="getting-started-step3"></a>

Cuando esté listo para que sus usuarios comiencen a usar WorkSpaces Secure Browser, puede elegir entre las siguientes opciones para distribuir el portal:
+ Agregue su portal a la puerta de enlace de aplicaciones SAML para que los usuarios puedan iniciar sesión directamente desde su IdP. Puede hacerlo mediante el flujo de inicio de sesión iniciado por el IdP con su IdP compatible con SAML 2.0. Para obtener más información, consulte **Aserciones de SAML iniciadas por SP e iniciadas por IdP** en [Configuración del tipo de autenticación estándar para Amazon WorkSpaces Secure Browser](configure-standard.md). Como alternativa, puede crear una aplicación SAML personalizada que pueda ofrecer experiencias de autenticación iniciadas por IdP mediante flujos iniciados por SP. Para obtener más información, consulte [Crear una integración de aplicación de marcadores](https://help.okta.com/en-us/Content/Topics/Apps/apps-create-bookmark.htm).
+ Añadir la URL del portal a un sitio web de su propiedad y utilizar un redireccionamiento del navegador para dirigir a los usuarios al portal web.
+ Enviar por correo electrónico la URL del portal a sus usuarios o colocarla en un dispositivo que administre en la página de inicio o en un marcador del navegador.
+ Utilice un dominio personalizado si ha configurado uno para su portal en lugar de la URL del portal para que sus usuarios disfruten de una experiencia de marca más integrada. Para obtener más información, consulte [Configurar un dominio personalizado para su portal](custom-domains.md).