Configuración de SAML 2.0 y creación de un directorio de WorkSpaces Pools - Amazon WorkSpaces
Paso 1: tener en cuenta los requisitosPaso 2: Completar los requisitos previosPaso 3: crear un proveedor de identidades de SAML en IAMPaso 4: crear un directorio de WorkSpaces PoolsPaso 5: crear un rol de IAM de federación de SAML 2.0Paso 6: configurar el proveedor de identidades de SAML 2.0Paso 7: crear aserciones para la respuesta de autenticación de SAMLPaso 8: configurar el estado de retransmisión de la federaciónPaso 9: habilitar la integración con SAML 2.0 en el directorio de WorkSpaces PoolsSolución de problemas

Configuración de SAML 2.0 y creación de un directorio de WorkSpaces Pools

Para habilitar el registro de la aplicación cliente de WorkSpaces y el inicio de sesión en WorkSpaces en un grupo de WorkSpaces Pools, configure la federación de identidades mediante SAML 2.0. Para ello, utilice un rol de AWS Identity and Access Management (IAM) y una URL de estado de retransmisión para configurar el proveedor de identidades (IdP) de SAML 2.0 y habilitarlo para AWS. Esto concede a los usuarios federados acceso a un directorio de WorkSpaces Pools. El estado de retransmisión es el punto de conexión del directorio de WorkSpaces al que se redirige a los usuarios tras iniciar sesión correctamente en AWS.

importante

WorkSpaces Pools no admite configuraciones de SAML 2.0 basadas en IP.

Temas

Paso 1: tener en cuenta los requisitos

Los siguientes requisitos se aplican al configurar SAML para un directorio de WorkSpaces Pools.

  • El rol de IAM workspaces_DefaultRole debe existir en la cuenta de AWS. Este rol se crea automáticamente al utilizar la configuración rápida de WorkSpaces o si anteriormente se ha iniciado un escritorio de WorkSpaces con la Consola de administración de AWS. Concede permiso a Amazon WorkSpaces para obtener acceso a determinados recursos de AWS en su nombre. Si el rol ya existe, es posible que tenga que asociarle la política administrada de AmazonWorkSpacesPoolServiceAccess, que Amazon WorkSpaces utiliza para obtener acceso a los recursos necesarios en la cuenta de AWS de WorkSpaces Pools. Para obtener más información, consulte Crear el rol workspaces_DefaultRole y Política administrada de AWS: AmazonWorkSpacesPoolServiceAccess.

  • Puede configurar la autenticación de SAML 2.0 para los grupos de WorkSpaces Pools de la Regiones de AWS que admiten la característica. Para obtener más información, consulte Regiones de AWS y zonas de disponibilidad de WorkSpaces Pools.

  • Para usar la autenticación de SAML 2.0 con WorkSpaces, el IdP debe admitir el SSO iniciado por un IdP no solicitado con un recurso de destino de enlace profundo o una URL de punto de conexión de estado de retransmisión. Algunos ejemplos de IdP compatibles son: ADFS, Azure AD, Duo Single Sign-On, Okta, PingFederate y PingOne. Para obtener más información, consulte la documentación de su IdP.

  • La autenticación de SAML 2.0 solo se admite en los siguientes clientes de WorkSpaces. Para ver los clientes más recientes de WorkSpaces, consulte la página de descargas de clientes de Amazon WorkSpaces.

    • Aplicación cliente de Windows (versión 5.20.0 o posterior)

    • Cliente de macOS (versión 5.20.0 o posterior)

    • Acceso web

Paso 2: Completar los requisitos previos

Complete los requisitos previos que se indican a continuación antes de configurar la conexión del proveedor de identidades (IdP) de SAML 2.0 a un directorio de WorkSpaces Pools.

  • Configure el IdP para establecer una relación de confianza con AWS.

  • Para obtener más información sobre cómo configurar la federación de AWS, consulte Integración de proveedores de soluciones SAML externos con AWS. Como ejemplo pertinente se incluye la integración de IdP con IAM para obtener acceso a la Consola de administración de AWS.

  • Use su IdP para generar y descargar un documento de metadatos de federación que describa su organización como proveedor de identidades. Este documento XML firmado se utiliza para establecer la relación de confianza. Guarde este archivo en una ubicación a la que pueda acceder desde la consola de IAM en otro momento.

  • Cree un directorio de WorkSpaces Pools mediante la consola de WorkSpaces. Para obtener más información, consulte Uso de Active Directory con WorkSpaces Pools.

  • Cree un grupo de WorkSpaces Pools para un usuario que pueda iniciar sesión en el IdP mediante un tipo de directorio compatible. Para obtener más información, consulte Creación de un grupo de WorkSpaces Pools.

Paso 3: crear un proveedor de identidades de SAML en IAM

Para comenzar, debe crear un proveedor de identidades (IdP) de SAML en IAM. Este proveedor de identidades define la relación de confianza entre el IdP y AWS en su organización utilizando el documento de metadatos generado por el software del proveedor de identidades de su organización. Para obtener más información, consulte Creación y administración de un proveedor de identidades de SAML en la Guía del usuario de AWS Identity and Access Management. Para obtener más información sobre el uso de IdP de SAML en AWS GovCloud (US) Regions, consulte AWS Identity and Access Management en la Guía del usuario de AWS GovCloud (US).

Paso 4: crear un directorio de WorkSpaces Pools

Complete el procedimiento que se indica a continuación para crear un directorio de WorkSpaces Pools.

  1. Abra la consola de WorkSpaces en https://console.aws.amazon.com/workspaces/v2/home.

  2. Elija Directorios en el panel de navegación.

  3. Elija Create directory.

  4. En Tipo de espacio de trabajo, elija Grupo.

  5. En la sección Origen de identidad de usuario de la página:

    1. Introduzca un valor de marcador de posición en el cuadro de texto URL de acceso de usuario. Por ejemplo, introduzca placeholder en el cuadro de texto. Lo editará más adelante, después de configurar los derechos de la aplicación en el IdP.

    2. Deje en blanco el cuadro de texto Nombre del parámetro del estado de retransmisión. Lo editará más adelante, después de configurar los derechos de la aplicación en el IdP.

  6. En la sección Información del directorio de la página, introduzca un nombre y una descripción para el directorio. El nombre y la descripción del directorio deben tener menos de 128 caracteres y pueden incluir caracteres alfanuméricos y los siguientes caracteres especiales: _ @ # % * + = : ? . / ! \ -. El nombre y la descripción del directorio no pueden empezar por un carácter especial.

  7. En la sección Redes y seguridad de la página:

    1. Elija una VPC y dos subredes con acceso a los recursos de red que necesite la aplicación. Para lograr una mayor tolerancia a errores, debe elegir dos subredes en diferentes zonas de disponibilidad.

    2. Elija un grupo de seguridad que permita a WorkSpaces crear enlaces de red en la VPC. Los grupos de seguridad controlan el tráfico de red que puede fluir desde WorkSpaces a la VPC. Por ejemplo, si el grupo de seguridad restringe todas las conexiones HTTPS entrantes, los usuarios que accedan al portal web no podrán cargar sitios web HTTPS desde los escritorios de WorkSpaces.

  8. La sección Configuración de Active Directory es opcional. Sin embargo, debe especificar los detalles de Active Directory (AD) durante la creación del directorio de WorkSpaces Pools si tiene previsto utilizar un AD con los grupos de WorkSpaces Pools. No puede editar la opción Configuración de Active Directory para el directorio de WorkSpaces Pools después de crearlo. Para obtener más información sobre cómo especificar los detalles de AD para el directorio de WorkSpaces Pools, consulte Especificación de los detalles de Active Directory para el directorio de WorkSpaces Pools. Tras completar el proceso indicado en este tema, debe volver a él para terminar de crear el directorio de WorkSpaces Pools.

    Puede omitir la sección Configuración de Active Directory si no tiene previsto utilizar un AD con los grupos de WorkSpaces Pools.

  9. En la sección Propiedades de transmisión de la página:

    • Elija el comportamiento de los permisos del portapapeles e introduzca una copia en el límite de caracteres local (opcional) y péguela en el límite de caracteres de la sesión remota (opcional).

    • Elija si desea permitir o no la impresión en el dispositivo local.

    • Elija si desea permitir o no el registro de diagnósticos.

    • Elija si desea permitir o no el inicio de sesión con tarjeta inteligente. Esta característica solo se aplica si ha habilitado la configuración de AD anteriormente en este procedimiento.

  10. En la sección Almacenamiento de la página, puede optar por habilitar las carpetas de inicio.

  11. En la sección Rol de IAM de la página, seleccione un rol de IAM para que esté disponible para todas las instancias de transmisión de escritorio. Para crear uno nuevo, elija Crear un nuevo rol de IAM.

    Al aplicar un rol de IAM de la cuenta a un directorio de WorkSpaces Pools, puede realizar solicitudes a la API de AWS de un escritorio de WorkSpaces en WorkSpaces Pools sin administrar manualmente las credenciales de AWS. Para obtener más información, consulte Crear un rol para delegar permisos a un usuario de IAM en la Guía del usuario de AWS Identity and Access Management.

  12. Elija Create directory.

Paso 5: crear un rol de IAM de federación de SAML 2.0

Complete el procedimiento que se indica a continuación para crear un rol de IAM de federación de SAML 2.0 en la consola de IAM.

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles en el panel de navegación.

  3. Elija Crear rol.

  4. Seleccione Federación SAML 2.0 para el tipo de entidad de confianza.

  5. En el proveedor basado en SAML 2.0, elija el proveedor de identidades que ha creado en IAM. Para obtener más información, consulte Crear un proveedor de identidades de SAML en IAM.

  6. Seleccione Permitir solo acceso mediante programación para permitir el acceso.

  7. Elija SAML:sub_type para el atributo.

  8. En Valor, introduzca https://signin.aws.amazon.com/saml. Este valor restringe el acceso del rol a solicitudes de transmisión de usuario de SAML que incluyan una aserción de tipo de sujeto de SAML con un valor de persistent. Si SAML:sub_type es persistente, el IdP envía el mismo valor único para el elemento NameID en todas las solicitudes de SAML desde un usuario particular. Para obtener más información, consulte Identificación única de los usuarios en la federación basada en SAML en la Guía del usuario de AWS Identity and Access Management.

  9. Elija Siguiente para continuar.

  10. No realice cambios ni selecciones en la página Añadir permisos. Elija Siguiente para continuar.

  11. Introduzca un nombre y la descripción para el rol.

  12. Seleccione Crear rol.

  13. En la página Roles, seleccione el rol que acaba de crear.

  14. Seleccione la pestaña Relaciones de confianza.

  15. Elija Editar la política de confianza.

  16. En el cuadro de texto JSON Editar política de confianza, añada la acción sts:TagSession a la política de confianza. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS en la Guía del usuario de AWS Identity and Access Management.

    El resultado debe ser similar al siguiente ejemplo:

    Un ejemplo de política de confianza.

  17. Elija Actualizar política.

  18. Elija la pestaña Permisos.

  19. En la sección Políticas de permisos de la página, elija Añadir permisos y luego Crear política insertada.

  20. En la sección Editor de políticas de la página, seleccione JSON.

  21. En el cuadro de texto JSON Editor de políticas, escriba la política siguiente. Asegúrese de reemplazar:

    • <region-code> por el código de la región de AWS en la que ha creado el directorio de WorkSpaces Pools.

    • <account-id> por el ID de la cuenta de AWS.

    • <directory-id> por el ID del directorio que ha creado anteriormente. Puede realizar esto en la consola de WorkSpaces.

    Para los recursos de AWS GovCloud (US) Regions, utilice el siguiente formato para el ARN: arn:aws-us-gov:workspaces:<region-code>:<account-id>:directory/<directory-id>.

  22. Seleccione Siguiente.

  23. Escriba un nombre para la política y elija Create policy (Crear política).

Paso 6: configurar el proveedor de identidades de SAML 2.0

En función del IdP de SAML 2.0, es posible que tenga que actualizarlo manualmente para que confíe en AWS como proveedor de servicios. Para ello, descargue el archivo saml-metadata.xml que se encuentra en https://signin.aws.amazon.com/static/saml-metadata.xml y, a continuación, cárguelo en el IdP. Esto actualiza los metadatos del IdP.

Para algunos IdP, es posible que la actualización ya se haya configurado. Puede omitir este paso si ya se ha configurado. Si la actualización aún no está configurada en el IdP, revise la documentación facilitada por este para obtener más información sobre cómo actualizar los metadatos. Algunos proveedores ofrecen la opción de escribir la URL del archivo XML en su panel, y el IdP obtiene e instala el archivo automáticamente. Otros requieren que descargue el archivo de la URL y, a continuación, lo cargue en su panel.

importante

En este momento, también puede autorizar a los usuarios de su IdP a acceder a la aplicación WorkSpaces que ha configurado en su IdP. A los usuarios que están autorizados a acceder a la aplicación WorkSpaces de su directorio no se les crea automáticamente un WorkSpace. Del mismo modo, los usuarios que tienen un WorkSpace creado para ellos no están autorizados automáticamente a acceder a la aplicación WorkSpaces. Para conectarse correctamente a un WorkSpace mediante la autenticación SAML 2.0, el IdP debe autorizar al usuario y tener un WorkSpace creado.

Paso 7: crear aserciones para la respuesta de autenticación de SAML

Configure la información que el IdP envía a AWS como atributos de SAML en su respuesta de autenticación. En función del IdP, es posible que ya se haya configurado. Puede omitir este paso si ya se ha configurado. Si no se ha configurado, indique lo siguiente:

  • NameID del sujeto de SAML: el identificador único del usuario que está iniciando sesión. No cambie el formato ni el valor de este campo. De lo contrario, la característica de carpeta de inicio no funcionará según lo previsto porque se tratará al usuario como un usuario diferente.

    nota

    Para los grupos de WorkSpaces Pools vinculados a un dominio, el valor NameID del usuario debe proporcionarse en el formato domain\username que utilice el sAMAccountName, o en el formato username@domain.com que utilice el userPrincipalName, o simplemente el userName. Si utiliza el formato sAMAccountName, puede especificar el dominio con el nombre de NetBIOS o con el nombre completo del dominio (FQDN). El formato sAMAccountName es obligatorio para situaciones de confianza unidireccional de Active Directory. Para obtener más información, consulte Uso de Active Directory con WorkSpaces Pools. Si solo se ha proporcionado userName, el usuario iniciará sesión en el dominio principal.

  • Tipo de sujeto de SAML (con un valor establecido en persistent): al establecer el valor en persistent, se garantiza que el IdP envíe el mismo valor único para el elemento NameID en todas las solicitudes de SAML de un usuario particular. Asegúrese de que la política de IAM incluya una condición para permitir solo las solicitudes de SAML con un sub_type de SAML configurado como persistent, tal y como se describe en la sección Paso 5: crear un rol de IAM de federación de SAML 2.0.

  • Elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/Role: este elemento incluye uno o varios elementos AttributeValue que enumera el rol de IAM y el IdP de SAML a los que el IdP ha asignado al usuario. El rol y el proveedor de identidades se especifican como un par de ARN separados por comas. Un ejemplo del valor esperado es arn:aws:iam::<account-id>:role/<role-name>,arn:aws:iam::<account-id>:saml-provider/<provider-name>.

  • Elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/RoleSessionName: este elemento incluye un elemento AttributeValue que facilita un identificador de las credenciales temporales de AWS que se emiten para el inicio de sesión único (SSO). El valor del elemento AttributeValue debe tener entre 2 y 64 caracteres, solo puede incluir caracteres alfanuméricos y los siguientes caracteres especiales: _ . : / = + - @. No puede contener espacios. Normalmente, el valor es una dirección de correo electrónico o un nombre principal de un usuario (UPN). No debe ser un valor que contenga un espacio, como el nombre visible de un usuario.

  • Elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email: este elemento incluye un elemento AttributeValue que proporciona la dirección de correo electrónico del usuario. El valor debe coincidir con la dirección de correo electrónico del usuario de WorkSpaces definida en el directorio de WorkSpaces. Los valores de las etiquetas pueden incluir combinaciones de letras, números, espacios y caracteres _ . : / = + - @. Para obtener más información, consulte Reglas para etiquetar en IAM y AWS STS en la Guía del usuario de AWS Identity and Access Management.

  • (Opcional) Elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/PrincipalTag:Domain: este elemento incluye un elemento AttributeValue que proporciona el userPrincipalName de Active Directory para el usuario que está iniciando sesión. El valor debe proporcionarse en el formato username@domain.com. Este parámetro se usa con la autenticación basada en certificados como nombre alternativo del sujeto en el certificado del usuario final. Para obtener más información, consulte Autenticación basada en certificados y WorkSpaces Personal.

  • (Opcional) Elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid (opcional): este elemento incluye un elemento AttributeValue que proporciona el identificador de seguridad (SID) de Active Directory para el usuario que está iniciando sesión. Este parámetro se usa con la autenticación basada en certificados para permitir una asignación firme con el usuario de Active Directory. Para obtener más información, consulte Autenticación basada en certificados y WorkSpaces Personal.

  • (Opcional) Elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/PrincipalTag:Domain: este elemento incluye un elemento AttributeValue que proporciona el nombre de dominio totalmente calificado (FQDN) de DNS de Active Directory de los usuarios que están iniciando sesión. Este parámetro se usa con la autenticación basada en certificados cuando el userPrincipalName de Active Directory del usuario contiene un sufijo alternativo. El valor debe proporcionarse en el formato domain.com y debe incluir los subdominios.

  • (Opcional) Elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/SessionDuration: este elemento incluye un elemento AttributeValue que especifica la cantidad de tiempo máxima que puede permanecer activa una sesión de transmisión federada para un usuario antes de que una segunda autenticación sea necesaria. El valor predeterminado es de 3600 segundos (60 minutos). Para obtener más información, consulte Atributo SessionDuration de SAML en la Guía del usuario de AWS Identity and Access Management.

    nota

    Aunque SessionDuration es un atributo opcional, se recomienda incluirlo en la respuesta de SAML. Si no especifica este atributo, la duración de la sesión se establece en un valor predeterminado de 3600 segundos (60 minutos). Las sesiones de escritorio de WorkSpaces se desconectan una vez expirada la duración de la sesión.

Para obtener más información sobre cómo configurar estos elementos, consulte Configure aserciones SAML para la respuesta de autenticación en la Guía del usuario de AWS Identity and Access Management. Para obtener información sobre los requisitos de configuración específicos de su IdP, consulte la documentación de su IdP.

Paso 8: configurar el estado de retransmisión de la federación

Utilice el IdP para configurar el estado de retransmisión de la federación para que señale a la URL del estado de retransmisión del directorio de WorkSpaces Pools. Una vez que AWS haya realizado la autenticación correctamente, el usuario se dirige al punto de conexión del directorio de WorkSpaces Pools, definido como estado de retransmisión en la respuesta de autenticación de SAML.

Este es el formato de la URL del estado de retransmisión:


https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code

En la tabla siguiente se muestran los puntos de conexión del estado de retransmisión de las regiones de AWS en las que está disponible la autenticación de SAML 2.0 para WorkSpaces. Se han eliminado las regiones de AWS en las que la característica WorkSpaces Pools no está disponible.

Región Punto de conexión del estado de retransmisión
Región Este de EE. UU. (Norte de Virginia)

  • workspaces.euc-sso.us-east-1.aws.amazon.com

  • (FIPS) workspaces.euc-sso-fips.us-east-1.aws.amazon.com
Región del Oeste de EE. UU (Oregón)

  • workspaces.euc-sso.us-west-2.aws.amazon.com

  • (FIPS) workspaces.euc-sso-fips.us-east-1.aws.amazon.com
Región de Asia-Pacífico (Bombay) workspaces.euc-sso.ap-south-1.aws.amazon.com
Región de Asia-Pacífico (Seúl) workspaces.euc-sso.ap-northeast-2.aws.amazon.com
Región de Asia-Pacífico (Singapur) workspaces.euc-sso.ap-southeast-1.aws.amazon.com
Región de Asia-Pacífico (Sídney) workspaces.euc-sso.ap-southeast-1.aws.amazon.com
Asia Pacífico (Tokio) workspaces.euc-sso.ap-northeast-2.aws.amazon.com
Región de Canadá (centro) workspaces.euc-sso.us-east-1.aws.amazon.com
Región de Europa (Fráncfort) workspaces.euc-sso.eu-central-1.aws.amazon.com
Región de Europa (Irlanda) workspaces.euc-sso.eu-west-1.aws.amazon.com
Región de Europa (Londres) workspaces.euc-sso.eu-west-1.aws.amazon.com
Región de América del Sur (São Paulo) workspaces.euc-sso.sa-east-1.aws.amazon.com
AWS GovCloud (Oeste de EE. UU.)

  • workspaces.euc-sso.us-gov-west-1.amazonaws-us-gov.com

  • (FIPS) workspaces.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com

nota

Para obtener más información sobre cómo trabajar con los IdP de SAM en AWS GovCloud (US) Regions, consulte Amazon WorkSpaces en la Guía del usuario de GovCloud (EE. UU.) de AWS.
AWS GovCloud (Este de EE. UU.)

  • workspaces.euc-sso.us-gov-east-1.amazonaws-us-gov.com

  • (FIPS) workspaces.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com

nota

Para obtener más información sobre cómo trabajar con los IdP de SAM en AWS GovCloud (US) Regions, consulte Amazon WorkSpaces en la Guía del usuario de GovCloud (EE. UU.) de AWS.

Paso 9: habilitar la integración con SAML 2.0 en el directorio de WorkSpaces Pools

Complete el procedimiento que se indica a continuación para habilitar la autenticación de SAML 2.0 en el directorio de WorkSpaces Pool.

  1. Abra la consola de WorkSpaces en https://console.aws.amazon.com/workspaces/v2/home.

  2. Elija Directorios en el panel de navegación.

  3. Seleccione la pestaña Directorios de grupos.

  4. Elija el ID del directorio que desea editar.

  5. Elija Editar en la sección Autenticación de la página.

  6. Seleccione Editar proveedor de identidad de SAML 2.0.

  7. En la opción URL de acceso del usuario, que a veces se denomina URL de SSO, sustituya el valor del marcador de posición por la URL de SSO que le proporcionó el IdP.

  8. En la opción Nombre del parámetro de enlace profundo del IdP, introduzca el parámetro aplicable al IdP y a la aplicación que ha configurado. El valor predeterminado es RelayState si omite el nombre del parámetro.

    En la siguiente tabla se enumeran las URL de acceso de los usuarios y los nombres de los parámetros de enlaces profundos que son exclusivos de los distintos proveedores de identidad de las aplicaciones.

    Proveedor de identidades Parámetro URL de acceso del usuario
    ADFS RelayState https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>
    Azure AD RelayState https://myapps.microsoft.com/signin/<app-id>?tenantId=<tenant-id>
    Duo Single Sign-On RelayState https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app-id>/sso
    Okta RelayState https://<sub-domain>.okta.com/app/<app-name>/<app-id>/sso/saml
    OneLogin RelayState https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>
    JumpCloud RelayState https://sso.jumpcloud.com/saml2/<app-id>
    Auth0 RelayState https://<default-tenant-name>.us.auth0.com/samlp/<client-id>
    PingFederate TargetResource https://<host>/idp/startSSO.ping?PartnerSpId=<sp-id>
    PingOne para empresas TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app-id>&idpid=<idp-id>

  9. Seleccione Save.

importante

La revocación de SAML 2.0 de un usuario no desconectará directamente su sesión. Solo se eliminarán cuando se agote el tiempo de espera. También pueden finalizarla mediante la API de TerminateWorkspacePoolSession.

Solución de problemas

La siguiente información puede ayudarle a solucionar problemas específicos con sus instancias de WorkSpaces Pools.

Recibo el mensaje “Unable to login” en el cliente de WorkSpaces Pools después de completar la autenticación SAML

nameID y PrincipalTag:Email en las notificaciones de SAML deben coincidir con el nombre de usuario y el correo electrónico configurados en Active Directory. Algunos IDP pueden requerir una actualización o reimplementación después de ajustar ciertos atributos. Si realiza un ajuste y no se refleja en la captura de SAML, consulte la documentación o el programa de soporte de IdP para conocer los pasos específicos necesarios para que el cambio surta efecto.