Configuración de SAML 2.0 en WorkSpaces Personal - Amazon WorkSpaces
RequisitosRequisitos previosPaso 1: crear un proveedor de identidades de SAML en AWS IAMPaso 2: crear un rol de IAM de federación de SAML 2.0Paso 3: incrustar una política en línea para el rol de IAMPaso 4: configurar el proveedor de identidades de SAML 2.0Paso 5: crear declaraciones para la respuesta de autenticación SAMLPaso 6: configurar el estado de retransmisión de la federaciónPaso 7: activar la integración con SAML 2.0 en su directorio de WorkSpaces

Configuración de SAML 2.0 en WorkSpaces Personal

Habilite el registro de la aplicación cliente de WorkSpaces y el inicio de sesión en WorkSpaces para sus usuarios mediante sus credenciales de proveedor de identidad (IdP) de SAML 2.0 y sus métodos de autenticación configurando la federación de identidades mediante SAML 2.0. Para configurar la federación de identidades mediante SAML 2.0, usa un rol de IAM y una URL de estado de retransmisión para configurar tu IdP y habilitarlo. AWS Esto otorga a los usuarios federados acceso a un directorio de WorkSpaces. El estado de retransmisión es el punto de conexión del directorio de WorkSpaces al que se redirige a los usuarios tras iniciar sesión correctamente en AWS.

Requisitos

  • La autenticación SAML 2.0 está disponible en las siguientes regiones:

    • Región Este de EE. UU. (Norte de Virginia)

    • Región del Oeste de EE. UU (Oregón)

    • Región África (Ciudad del Cabo)

    • Asia Pacific (Mumbai) Region

    • Asia Pacific (Seoul) Region

    • Región de Asia-Pacífico (Singapur)

    • Región de Asia-Pacífico (Sídney)

    • Asia Pacífico (Tokio)

    • Región de Canadá (centro)

    • Región de Europa (Fráncfort)

    • Región de Europa (Irlanda)

    • Región de Europa (Londres)

    • Región de América del Sur (São Paulo)

    • Región Israel (Tel Aviv)

    • AWS GovCloud (EE. UU. Oeste)

    • AWS GovCloud (Este de EE. UU.)

  • Para usar la autenticación de SAML 2.0 con WorkSpaces, el IdP debe admitir el SSO iniciado por un IdP no solicitado con un recurso de destino de enlace profundo o una URL de punto de conexión de estado de retransmisión. Algunos ejemplos de IdPs son ADFS, Azure AD, Duo Single Sign-On, Okta, PingFederate y PingOne. Para obtener más información, consulte la documentación de su IdP.

  • La autenticación SAML 2.0 funcionará con WorkSpaces lanzados con Simple AD, pero no se recomienda, ya que Simple AD no se integra con los IdP de SAML 2.0.

  • La autenticación SAML 2.0 se admite en los siguientes clientes de WorkSpaces. Otras versiones de los clientes no son compatibles con la autenticación SAML 2.0. Abra Descargas de clientes en Amazon WorkSpaces para buscar las últimas versiones:

    • Aplicación cliente de Windows (versión 5.1.0.3029 o posterior)

    • Cliente para macOS (versión 5.x o posterior)

    • Cliente Linux para Ubuntu 22.04, versión 2024.1 o posterior, Ubuntu 20.04, versión 24.1 o posterior

    • Acceso web

    Otras versiones de cliente no podrán conectarse a los WorkSpaces habilitados para la autenticación SAML 2.0 a menos que se habilite la opción alternativa. Para obtener más información, consulte Enable SAML 2.0 authentication on the WorkSpaces directory.

Para obtener instrucciones paso a paso sobre cómo integrar SAML 2.0 con WorkSpaces mediante ADFS, Azure AD, Duo Single Sign-On, Okta, OneLogin, PingFederate y PingOne for Enterprise, consulte la Guía de implementación de la autenticación SAML de Amazon WorkSpaces.

Requisitos previos

Complete los siguientes requisitos previos antes de configurar la conexión del proveedor de identidades (IdP) SAML 2.0 con un directorio de WorkSpaces.

  1. Configure su IdP para integrar las identidades de usuario del Microsoft Active Directory que se utiliza con el directorio de WorkSpaces. Para un usuario con un WorkSpace, los atributos sAMAccountName y email del usuario de Active Directory y los valores de notificación de SAML deben coincidir para que el usuario inicie sesión en WorkSpaces con el IdP. Para obtener más información sobre la integración de Active Directory con el IdP, consulte la documentación del IdP.

  2. Configure el IdP para establecer una relación de confianza con AWS.

    • Para obtener más información sobre cómo configurar la federación de AWS, consulte Integración de proveedores de soluciones SAML externos con AWS. Los ejemplos relevantes incluyen la integración del IdP con AWS IAM para acceder a la consola de administración de AWS.

    • Use su IdP para generar y descargar un documento de metadatos de federación que describa su organización como proveedor de identidades. Este documento XML firmado se utiliza para establecer la relación de confianza. Guarde este archivo en una ubicación a la que pueda acceder desde la consola de IAM en otro momento.

  3. Cree o registre un directorio para WorkSpaces mediante la consola de administración de WorkSpaces. Para obtener más información, consulte Manage directories for WorkSpaces. La autenticación SAML 2.0 para WorkSpaces es compatible con los siguientes tipos de directorios:

    • Conector de AD

    • AWS Managed Microsoft AD

  4. Cree un WorkSpace para un usuario que pueda iniciar sesión en el IdP mediante un tipo de directorio compatible. Puede crear un WorkSpace mediante la consola de administración de WorkSpaces, AWS CLI o la API de WorkSpaces. Para obtener más información, consulte Iniciar un escritorio virtual con WorkSpaces.

Paso 1: crear un proveedor de identidades de SAML en AWS IAM

En primer lugar, cree un proveedor de identidades de SAML en AWS IAM. Este proveedor de identidades define la relación de confianza entre el IdP y AWS en su organización utilizando el documento de metadatos generado por el software del proveedor de identidades de su organización. Para obtener más información, consulte Creación y administración de un proveedor de identidades de SAML (consola de administración de Amazon Web Services). Para obtener información sobre cómo trabajar con IdP de SAML en AWS GovCloud (Oeste de EE. UU.) y AWS GovCloud (Este de EE. UU.), consulte AWS Identity and Access Management.

Paso 2: crear un rol de IAM de federación de SAML 2.0

A continuación, creará un rol de IAM de federación de SAML 2.0. Este paso se establece una relación de confianza entre IAM y el proveedor de identidades de su organización, que identifica el proveedor de identidades como una entidad de confianza para la federación.

Para crear un rol de IAM para el IdP de SAML

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Roles > Crear rol.

  3. Para Tipo de rol, seleccione Federación con SAML 2.0.

  4. Para Proveedor de SAML, seleccione el IdP de SAML que ha creado.

    importante

    No elija ninguno de los dos métodos de acceso de SAML 2.0 (Permitir solo acceso mediante programación o Permitir acceso mediante programación y mediante la consola de administración de Amazon Web Services).

  5. Para Attribute, elija SAML:sub_type.

  6. En Valor, ingrese persistent. Este valor restringe el acceso del rol a solicitudes de transmisión de usuario de SAML que incluyan una aserción de tipo de sujeto de SAML con un valor de persistent. Si SAML:sub_type es persistente, el IdP envía el mismo valor único para el elemento NameID en todas las solicitudes de SAML desde un usuario particular. Para obtener más información acerca de la aserción SAML:sub_type, consulte la sección Identificación única de los usuarios en la federación basada en SAML en Uso de la federación basada en SAML para el acceso mediante API a AWS.

  7. Revise su información de confianza de SAML 2.0, confirmando la entidad de confianza y la condición correctas y, a continuación, elija Siguiente: Permisos.

  8. En la página Asociar políticas de permisos, seleccione Siguiente: Etiquetas.

  9. (Opcional) Especifique una clave y un valor para cada etiqueta que desee añadir. Para obtener más información, consulte Etiquetado de usuarios y roles de IAM.

  10. Cuando haya terminado, seleccione Siguiente: Revisar. Posteriormente, creará e incrustará una política en línea para este rol.

  11. En Nombre del rol, introduzca un nombre de rol que le sea útil para identificar su propósito. Dado que múltiples entidades pueden hacer referencia al rol, no se puede editar el nombre del rol una vez que se haya creado.

  12. (Opcional) En Descripción del rol, escriba una descripción para el nuevo rol.

  13. Revise los detalles del rol y seleccione Crear rol.

  14. Añada el permiso sts:TagSession a su nueva política de confianza de un rol de IAM. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS. En la página de detalles del nuevo rol de IAM, seleccione la pestaña Relaciones de confianza y, a continuación, seleccione Editar la relación de confianza. Cuando se abra el editor de políticas Editar relaciones de confianza, añada el permiso sts:TagSession* de la siguiente manera:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::111122223333:saml-provider/IDENTITY-PROVIDER"
            },
            "Action": [
                "sts:AssumeRoleWithSAML",
                "sts:TagSession"
            ],
            "Condition": {
                "StringEquals": {
                    "SAML:aud": "https://signin.aws.amazon.com/saml"
                }
            }
        }
    ]
}

Sustituya IDENTITY-PROVIDER por el nombre del IdP de SAML que ha creado en el paso 1. A continuación, seleccione Actualizar la política de confianza.

Paso 3: incrustar una política en línea para el rol de IAM

A continuación, incruste una política de IAM en línea para el rol que ha creado. Al incrustar una política en línea, los permisos en la política no se pueden asociar de forma accidental a una entidad principal incorrecta. La política en línea proporciona a los usuarios federados acceso al directorio de WorkSpaces.

importante

Para la acción workspaces:Stream no se admiten las políticas de IAM para administrar el acceso a AWS en función de la IP de origen. Para administrar los controles de acceso IP en WorkSpaces, utilice IP access control groups. Además, al usar la autenticación de SAML 2.0, puede usar políticas de control de acceso IP si están disponibles en el IdP de SAML 2.0.

  1. En los detalles del rol de IAM que ha creado, seleccione la pestaña Permisos y, a continuación, añada los permisos necesarios a la política de permisos del rol. Se inicia el Asistente de creación de políticas.

  2. En Crear política, elija la pestaña JSON.

  3. Copie y pegue la siguiente política JSON en la ventana de JSON. A continuación, modifique el recurso introduciendo su código de región de AWS, el ID de la cuenta y el ID del directorio. En la siguiente política, "Action": "workspaces:Stream" es la acción que proporciona a los usuarios de WorkSpaces permisos para conectarse a sus sesiones de escritorio en el directorio de WorkSpaces.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "workspaces:Stream",
            "Resource": "arn:aws:workspaces:us-east-1:123456789012:directory/DIRECTORY-ID",
            "Condition": {
                "StringEquals": {
                    "workspaces:userId": "${saml:sub}"
                }
            }
        }
    ]
}

    Sustituya REGION-CODE por la región de AWS en la que se encuentra el directorio de WorkSpaces. Sustituya DIRECTORY-ID por el ID de directorio de WorkSpaces, que se encuentra en la consola de administración de WorkSpaces. Para los recursos de AWS GovCloud (Oeste de EE. UU.) o AWS GovCloud (Este de EE. UU.), use el siguiente formato para el ARN: arn:aws-us-gov:workspaces:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:directory/DIRECTORY-ID.

  4. Cuando haya terminado, elija Revisar política. El validador de políticas notificará los errores de sintaxis.

Paso 4: configurar el proveedor de identidades de SAML 2.0

A continuación, en función de cuál sea su IdP de SAML 2.0, es posible que tenga que actualizar manualmente su proveedor de identidades para que confíe en AWS como proveedor de servicios. A tal efecto, cargue el archivo saml-metadata.xml que se encuentra en https://signin.aws.amazon.com/static/saml-metadata.xml en su IdP. En este paso se actualizan los metadatos de su proveedor de identidades. Para algunos proveedores de identidades, es posible que la actualización ya se haya configurado. En tal caso, continúe en el paso siguiente.

Si esta actualización aún no está configurada en su IdP, revise la documentación facilitada por su proveedor de identidad para obtener información acerca de cómo actualizar los metadatos. Algunos proveedores ofrecen la opción de escribir la URL y de que el IdP obtenga e instale el archivo automáticamente. Otros requieren que descargue el archivo de la URL y, a continuación, lo proporcione como archivo local.

importante

En este momento, también puede autorizar a los usuarios de su IdP a acceder a la aplicación WorkSpaces que ha configurado en su IdP. A los usuarios que están autorizados a acceder a la aplicación WorkSpaces de su directorio no se les crea automáticamente un WorkSpace. Del mismo modo, los usuarios que tienen un WorkSpace creado para ellos no están autorizados automáticamente a acceder a la aplicación WorkSpaces. Para conectarse correctamente a un WorkSpace mediante la autenticación SAML 2.0, el IdP debe autorizar al usuario y tener un WorkSpace creado.

Paso 5: crear declaraciones para la respuesta de autenticación SAML

A continuación, configure la información que su IdP envía a AWS como atributos de SAML en su respuesta de autenticación. Según su IdP, ya está configurado, omita este paso y continúe con el Paso 6: configurar el estado de retransmisión de su federación.

Si esta información no está configurada en su IdP, proporcione lo siguiente:

  • NameID del sujeto de SAML: el identificador único del usuario que está iniciando sesión. El valor debe coincidir con el nombre de usuario de WorkSpaces y, por lo general, es el mismo que el atributo sAMAccountName del usuario de Active Directory.

  • Tipo de sujeto de SAML (con un valor establecido en persistent): al establecer el valor en persistent se garantiza que el IdP envíe el mismo valor único para el elemento NameID en todas las solicitudes de SAML de un usuario particular. Asegúrese de que su política de IAM incluya una condición para permitir solo las solicitudes de SAML con un SAML sub_type configurado como persistent, tal como se describe en Paso 2: crear un rol de IAM de federación de SAML 2.0.

  • Elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/Role: este elemento incluye uno o varios elementos AttributeValue que enumera el rol de IAM y el IdP de SAML a los que el IdP ha asignado al usuario. El rol y el proveedor de identidades se especifican como un par de ARN separados por comas. Un ejemplo del valor esperado es arn:aws:iam::ACCOUNTNUMBER:role/ROLENAME,arn:aws:iam::ACCOUNTNUMBER:saml-provider/PROVIDERNAME.

  • Elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/RoleSessionName: este elemento incluye un elemento AttributeValue que facilita un identificador de las credenciales temporales de AWS que se emiten para el inicio de sesión único (SSO). El valor del elemento AttributeValue debe tener entre 2 y 64 caracteres, solo puede contener caracteres alfanuméricos, guiones bajos y los siguientes caracteres: _ . : / = + - @. No puede contener espacios. Normalmente, el valor es una dirección de correo electrónico o un nombre principal de un usuario (UPN). No debe ser un valor que contenga un espacio, como el nombre visible de un usuario.

  • Elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email: este elemento incluye un elemento AttributeValue que proporciona la dirección de correo electrónico del usuario. El valor debe coincidir con la dirección de correo electrónico del usuario de WorkSpaces definida en el directorio de WorkSpaces. Los valores de las etiquetas pueden incluir combinaciones de letras, números, espacios y caracteres _ . : / = + - @. Para obtener más información, consulte Reglas para etiquetar en IAM y AWS STS en la Guía del usuario de IAM.

  • Elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName (opcional): este elemento contiene un elemento AttributeValue que proporciona el userPrincipalName de Active Directory del usuario que inicia sesión. El formato del valor que proporcione debe ser username@domain.com. Este parámetro se usa con la autenticación basada en certificados como nombre alternativo del sujeto en el certificado del usuario final. Para obtener más información, consulte Autenticación basada en certificados.

  • Elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid (opcional): este elemento contiene un elemento AttributeValue que proporciona el identificador de seguridad (SID) de Active Directory del usuario que inicia sesión. Este parámetro se usa con la autenticación basada en certificados para permitir una asignación firme con el usuario de Active Directory. Para obtener más información, consulte Autenticación basada en certificados.

  • Elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/PrincipalTag:ClientUserName (opcional): este elemento contiene un elemento AttributeValue que proporciona un formato de nombre de usuario alternativo. Utilice este atributo si tiene casos de uso que requieren formatos de nombre de usuario como corp\username, corp.example.com\username o username@corp.example.com para iniciar sesión con el cliente de WorkSpaces. Las claves y los valores de las etiquetas puede incluir cualquier combinación de letras, números, espacios y los caracteres _ : / . + = @ -. Para obtener más información, consulte Reglas para etiquetar en IAM y AWS STS en la Guía del usuario de IAM. Para reclamar los formatos corp\username o corp.example.com\username, sustituya \ por / en la aserción SAML.

  • Elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/PrincipalTag:Domain (opcional): este elemento contiene un elemento AttributeValue que proporciona el nombre de dominio totalmente calificado (FQDN) de DNS de Active Directory de los usuarios que están iniciando sesión. Este parámetro se usa con la autenticación basada en certificados cuando el userPrincipalName de Active Directory del usuario contiene un sufijo alternativo. El valor debe proporcionarse en domain.com, incluidos los subdominios.

  • Elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/SessionDuration (opcional): este elemento contiene un elemento AttributeValue que especifica la cantidad de tiempo máxima que puede permanecer activa una sesión de streaming federada para un usuario antes de que una segunda autenticación sea necesaria. El valor predeterminado es de 3600 segundos (60 minutos). Para obtener más información, consulte la SessionDurationAttribute de SAML.

    nota

    Aunque SessionDuration es un atributo opcional, se recomienda incluirlo en la respuesta de SAML. Si no especifica este atributo, la duración de la sesión se establece en un valor predeterminado de 3600 segundos (60 minutos). Las sesiones de escritorio de WorkSpaces se desconectan una vez expirada la duración de la sesión.

Para obtener más información acerca de cómo configurar estos elementos, consulte Configuración de aserciones SAML para la respuesta de autenticación en la Guía del usuario de IAM. Para obtener información sobre los requisitos de configuración específicos de su IdP, consulte la documentación de su IdP.

Paso 6: configurar el estado de retransmisión de la federación

A continuación, utilice su proveedor de IdP para configurar el estado de retransmisión de la federación para que señale a la URL del estado de retransmisión del directorio de WorkSpaces. Una vez que AWS haya realizado la autenticación correctamente, el usuario se dirige al punto de conexión del directorio de WorkSpaces, definido como estado de retransmisión en la respuesta de autenticación SAML.

Este es el formato de la URL del estado de retransmisión:


https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code

Cree su URL de estado de retransmisión a partir del código de registro de su directorio de WorkSpaces y el punto de conexión de estado de retransmisión asociado a la región en la que se encuentra su directorio. El código de registro se encuentra en la consola de administración de WorkSpaces.

Si utiliza el redireccionamiento entre regiones para WorkSpaces, puede sustituir el código de registro por el nombre de dominio completo (FQDN) asociado a los directorios de las regiones principal y de conmutación por error. Para obtener más información, consulte Redireccionamiento entre regiones para Amazon WorkSpaces. Cuando se utiliza el redireccionamiento entre regiones y la autenticación SAML 2.0, los directorios principal y de conmutación por error deben estar habilitados para la autenticación SAML 2.0 y configurarse de forma independiente con el IdP, mediante el punto de conexión de estado de retransmisión asociado a cada región. Esto permitirá que el FQDN se configure correctamente cuando los usuarios registren sus aplicaciones cliente de WorkSpaces antes de iniciar sesión y permitirá a los usuarios autenticarse durante un evento de conmutación por error.

En la tabla siguiente se muestran los puntos de conexión del estado de retransmisión de las regiones en las que está disponible la autenticación de SAML 2.0 para WorkSpaces.

Regiones en las que está disponible la autenticación SAML 2.0 para WorkSpaces
Región Punto de conexión del estado de retransmisión
Región Este de EE. UU. (Norte de Virginia)

  • workspaces.euc-sso.us-east-1.aws.amazon.com

  • (FIPS) workspaces.euc-sso-fips.us-east-1.aws.amazon.com
Región del Oeste de EE. UU (Oregón)

  • workspaces.euc-sso.us-west-2.aws.amazon.com

  • (FIPS) workspaces.euc-sso-fips.us-east-1.aws.amazon.com
Región África (Ciudad del Cabo) workspaces.euc-sso.us-east-1.aws.amazon.com
Región de Asia-Pacífico (Bombay) workspaces.euc-sso.ap-south-1.aws.amazon.com
Región de Asia-Pacífico (Seúl) workspaces.euc-sso.ap-northeast-2.aws.amazon.com
Región de Asia-Pacífico (Singapur) workspaces.euc-sso.ap-southeast-1.aws.amazon.com
Región de Asia-Pacífico (Sídney) workspaces.euc-sso.ap-southeast-1.aws.amazon.com
Asia Pacífico (Tokio) workspaces.euc-sso.ap-northeast-2.aws.amazon.com
Región de Canadá (centro) workspaces.euc-sso.us-east-1.aws.amazon.com
Región de Europa (Fráncfort) workspaces.euc-sso.eu-central-1.aws.amazon.com
Región de Europa (Irlanda) workspaces.euc-sso.eu-west-1.aws.amazon.com
Región de Europa (Londres) workspaces.euc-sso.eu-west-1.aws.amazon.com
Región de América del Sur (São Paulo) workspaces.euc-sso.sa-east-1.aws.amazon.com
Región Israel (Tel Aviv) workspaces.euc-sso.il-central-1.aws.amazon.com
AWS GovCloud (Oeste de EE. UU.)

  • workspaces.euc-sso.us-gov-west-1.amazonaws-us-gov.com

  • (FIPS) workspaces.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com

nota

Para obtener más información al respecto, consulte Amazon WorkSpaces en Guía del usuario de GovCloud (EE. UU.) de AWS.
AWS GovCloud (Este de EE. UU.)

  • workspaces.euc-sso.us-gov-east-1.amazonaws-us-gov.com

  • (FIPS) workspaces.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com

nota

Para obtener más información al respecto, consulte Amazon WorkSpaces en Guía del usuario de GovCloud (EE. UU.) de AWS.

Con un flujo iniciado por un proveedor de identidades (IdP), puede optar por especificar el cliente que desea usar para la federación de SAML 2.0. Para ello, especifique native o web al final de la URL del estado de retransmisión, después de &client=. Si el parámetro se especifica en una URL de estado de retransmisión, las sesiones correspondientes se iniciarán automáticamente en el cliente especificado.

Paso 7: activar la integración con SAML 2.0 en su directorio de WorkSpaces

Puede usar la consola de WorkSpaces para habilitar la autenticación SAML 2.0 en el directorio de WorkSpaces.

Para activar la integración con SAML 2.0

  1. Abra la consola de WorkSpaces en https://console.aws.amazon.com/workspaces/v2/home.

  2. En el panel de navegación, elija Directories (Directorios).

  3. Seleccione el ID de los directorios de WorkSpaces.

  4. En Autenticación, elija Editar.

  5. Seleccione Editar proveedor de identidad de SAML 2.0.

  6. Seleccione Habilitar la autenticación SAML.

  7. En URL de acceso del usuario y Nombre del parámetro de enlace profundo del IdP, introduzca los valores aplicables a su IdP y a la aplicación que ha configurado en el paso 1. El valor predeterminado del nombre del parámetro de enlace profundo del IdP es «RelayState» si se omite este parámetro. En la siguiente tabla se enumeran las URL de acceso de los usuarios y los nombres de los parámetros que son exclusivos de los distintos proveedores de identidad de las aplicaciones.

    Dominios y direcciones IP para agregar a la lista de permitidos
    Proveedor de identidades Parámetro URL de acceso del usuario
    ADFS RelayState https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>
    Azure AD RelayState https://myapps.microsoft.com/signin/<app_id>?tenantId=<tenant_id>
    Duo Single Sign-On RelayState https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app_id>/sso
    Okta RelayState https://<sub_domain>.okta.com/app/<app_name>/<app_id>/sso/saml
    OneLogin RelayState https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>
    JumpCloud RelayState https://sso.jumpcloud.com/saml2/<app-id>
    Auth0 RelayState https://<DefaultTenatName>.us.auth0.com/samlp/<Client_Id>
    PingFederate TargetResource https://<host>/idp/startSSO.ping?PartnerSpId=<sp_id>
    PingOne para empresas TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app_id>&idpid=<idp_id>

    El proveedor suele definir la URL de acceso del usuario para el SSO iniciado por un IdP no solicitado. Un usuario puede introducir esta URL en un navegador web para federarse directamente con la aplicación SAML. Para probar la URL de acceso del usuario y los valores de los parámetros de su IdP, elija Probar. Copie y pegue la URL de prueba en una ventana privada de su navegador actual o de otro navegador para probar el inicio de sesión con SAML 2.0 sin interrumpir la sesión actual de la consola de administración de AWS. Cuando se abra el flujo iniciado por el IdP, podrá registrar su cliente de WorkSpaces. Para obtener más información, consulte Flujo iniciado por el proveedor de identidades (IdP).

  8. Para administrar la configuración alternativa, active o desactive Permitir que los clientes que no sean compatibles con SAML 2.0 inicien sesión. Active esta configuración para seguir proporcionando a sus usuarios acceso a WorkSpaces mediante tipos de cliente o versiones que no sean compatibles con SAML 2.0 o si los usuarios necesitan tiempo para actualizar a la versión de cliente más reciente.

    nota

    Esta configuración permite a los usuarios omitir SAML 2.0 e iniciar sesión mediante la autenticación de directorio con versiones de cliente anteriores.

  9. Para usar SAML con el cliente web, habilite Acceso web. Para obtener más información, consulte Habilitar y configurar Amazon WorkSpaces Acceso web.

    nota

    Acceso web no admite PCoIP con SAML.

  10. Seleccione Save. Su directorio WorkSpaces ya está habilitado con la integración SAML 2.0. Puede usar los flujos iniciados por el IdP y por las aplicaciones cliente para registrar las aplicaciones cliente de WorkSpaces e iniciar sesión en WorkSpaces.