

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration de SAML
<a name="external-identity-providers-setting-up-saml"></a>

Pour permettre aux utilisateurs de se connecter aux WorkSpaces applications à l'aide de leurs informations d'identification existantes et de démarrer le streaming d'applications, vous pouvez configurer la fédération d'identité à l'aide de SAML 2.0. Pour ce faire, utilisez un rôle IAM et une URL d'état de relais pour configurer votre fournisseur d'identité (IdP) compatible SAML 2.0 et autoriser vos utilisateurs fédérés AWS à accéder à une pile d'applications. WorkSpaces Le rôle IAM donne aux utilisateurs les autorisations d’accéder à la pile. RelayState correspond au portail de la pile vers lequel les utilisateurs sont transférés après avoir réussi l’authentification par AWS.

**Topics**
+ [Conditions préalables](#external-identity-providers-setting-up-prerequisites)
+ [Étape 1 : créer un fournisseur d'identité SAML dans IAM AWS](#external-identity-providers-create-saml-provider)
+ [Étape 2 : créer un rôle IAM Fédération SAML 2.0](#external-identity-providers-grantperms)
+ [Étape 3 : incorporer une stratégie en ligne pour le rôle IAM](#external-identity-providers-embed-inline-policy-for-IAM-role)
+ [Étape 4 : configurer votre fournisseur d’identité basé sur SAML](#external-identity-providers-config-idp)
+ [Etape 5 : Créer des assertions pour la réponse de l'authentification SAML](#external-identity-providers-create-assertions)
+ [Etape 6 : Configurer le RelayState de votre fédération](#external-identity-providers-relay-state)

## Conditions préalables
<a name="external-identity-providers-setting-up-prerequisites"></a>

Avant de configurer votre connexion SAML 2.0, remplissez les prérequis suivants :

1. Configurez votre fournisseur d’identité basé sur SAML pour établir une relation d’approbation avec AWS. 
   + À l'intérieur du réseau de votre organisation, configurez votre base d'identités de telle sorte qu'elle fonctionne avec un fournisseur d'identité SAML. Pour les ressources de configuration, consultez [WorkSpaces Intégration des applications avec SAML 2.0](external-identity-providers-further-info.md).
   + Utilisez votre fournisseur d'identité basé sur SAML pour générer et télécharger un document de métadonnées de fédération qui décrit votre organisation en tant que fournisseur d'identité. Ce document XML signé est utilisé pour établir la relation d'approbation des parties utilisatrices. Enregistrez le fichier dans un emplacement auquel vous pouvez accéder ultérieurement depuis la console IAM.

1. Utilisez la console de gestion des WorkSpaces applications pour créer une pile d' WorkSpaces applications. Vous avez besoin du nom de la pile pour créer la politique IAM et configurer l'intégration de votre IdP WorkSpaces avec les applications, comme décrit plus loin dans cette rubrique.

   Vous pouvez créer une pile d' WorkSpaces applications à l'aide de la console de gestion des WorkSpaces WorkSpaces applications ou de l'API Applications. AWS CLI Pour de plus amples informations, veuillez consulter [Créez un parc et une pile d' WorkSpaces applications Amazon](set-up-stacks-fleets.md).

## Étape 1 : créer un fournisseur d'identité SAML dans IAM AWS
<a name="external-identity-providers-create-saml-provider"></a>

Créez d'abord un IdP SAML dans IAM. AWS Cet IdP définit la relation IdP àAWS confiance de votre organisation à l'aide du document de métadonnées généré par le logiciel IdP de votre organisation. Pour plus d’informations, consultez [Création et gestion d’un fournisseur d’identité SAML (Console de gestion Amazon Web Services)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) dans le *Guide de l’utilisateur IAM*. Pour plus d'informations sur l'utilisation de SAML IdPs dans les AWS GovCloud (US) régions, consultez [AWS Identity and Access Management](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html) dans le *guide de l'AWS GovCloud (US) utilisateur*.

## Étape 2 : créer un rôle IAM Fédération SAML 2.0
<a name="external-identity-providers-grantperms"></a>

Ensuite, créez un rôle IAM de fédération SAML 2.0. Cette étape établit une relation d’approbation entre IAM et l’IdP de votre organisation, ce qui identifie votre IdP comme entité de confiance pour la fédération. 

**Pour créer un rôle IAM pour le fournisseur d’identité SAML**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Rôles**, puis **Créer un rôle**. 

1. Pour **Type de rôle**, choisissez **Fédération SAML 2.0**. 

1. Pour **Fournisseur SAML**, sélectionnez le fournisseur d'identité SAML que vous avez créé. 
**Important**  
Ne choisissez aucune des deux méthodes d’accès SAML 2.0, ni **Autoriser l’accès par programmation uniquement**, ni **Autoriser l’accès par programme et via Amazon Web Services Management Console**.

1. Pour **Attribut**, choisissez **SAML:sub\$1type**. 

1. Pour le champ **Valeur**, entrez **https://signin.aws.amazon.com/saml**. Cette valeur restreint l’accès du rôle aux demandes de streaming de l’utilisateur SAML qui incluent une assertion de type d’objet SAML avec la valeur « persistent ». Si la valeur de SAML:sub\$1type est « persistent », votre fournisseur d'identité envoie la même valeur unique pour l'élément NameID dans toutes les demandes SAML à partir d'un utilisateur particulier. Pour plus d'informations sur l'assertion SAML:sub\$1TYPE, consultez la section *Identification unique des utilisateurs dans une fédération basée sur SAML dans [Utilisation](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring) de la fédération basée sur SAML* pour l'accès aux API. AWS
**Note**  
Même si le **https://signin.aws.amazon.com/saml** point de terminaison est hautement disponible, il n'est hébergé que dans la région us-east-1 de. AWS Pour éviter les interruptions de service dans le cas peu probable où la disponibilité de l'un des terminaux régionaux serait affectée, utilisez des points de terminaison régionaux et configurez des points de terminaison de connexion SAML supplémentaires pour le basculement. Pour plus d'informations, consultez [Comment utiliser les points de terminaison SAML régionaux pour](https://aws.amazon.com/blogs/security/how-to-use-regional-saml-endpoints-for-failover/) le basculement.

1. Passez en revue vos informations d’approbation SAML 2.0 pour confirmer l’entité de confiance et la condition, puis choisissez **Suivant : Autorisations**. 

1. Dans la page **Attacher des stratégies d’autorisations**, choisissez **Suivant : balises**.

1. (Facultatif) Saisissez une clé et une valeur pour chaque balise que vous souhaitez ajouter. Pour de plus amples informations, consultez [Balisage d’utilisateurs et de rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html). 

1. Lorsque vous avez terminé, sélectionnez **Suivant : vérification**. Vous pouvez ultérieurement créer et intégrer une stratégie en ligne pour ce rôle.

1. Pour **Nom du rôle**, saisissez un nom vous permettant d’identifier le but de ce rôle. Différentes entités pouvant référencer ce rôle, il n’est pas possible de modifier son nom après sa création.

1. (Facultatif) Dans le champ **Description du rôle**, saisissez la description du nouveau rôle.

1. Passez en revue les détails du rôle, puis choisissez **Créer un rôle**.

1. (Facultatif) Si vous prévoyez d'utiliser le contexte de session ou les droits d'application basés sur les attributs à l'aide d'un fournisseur d'identité SAML 2.0 tiers ou d'une authentification basée sur des certificats, vous devez ajouter l'TagSession autorisation sts : à la politique de confiance de votre nouveau rôle IAM. Pour plus d’informations, consultez [Droits d’application basés sur les attributs faisant appel à un fournisseur d’identité SAML 2.0 tiers](application-entitlements-saml.md) et [Transmission des balises de session dans AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).

   Sur la page des détails du nouveau rôle IAM, choisissez l’onglet **Relations d’approbation**, puis choisissez **Modifier la relation d’approbation**. L’éditeur de stratégie Modifier la relation d’approbation démarre. Ajoutez l'TagSessionautorisation **sts :**, comme suit :

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Federated": "arn:aws:iam::111122223333:saml-provider/IDENTITY-PROVIDER"
               },
               "Action": [
                   "sts:AssumeRoleWithSAML",
                   "sts:TagSession"
               ],
               "Condition": {
                   "StringEquals": {
                       "SAML:sub_type": "persistent"
                   }
               }
           }
       ]
   }
   ```

------

   Remplacez *IDENTITY-PROVIDER***** par le nom de l'IdP SAML que vous avez créé à l'étape 1. Choisissez **Mettre à jour la stratégie de confiance**.

## Étape 3 : incorporer une stratégie en ligne pour le rôle IAM
<a name="external-identity-providers-embed-inline-policy-for-IAM-role"></a>

Incorporez ensuite une politique IAM en ligne pour le rôle que vous avez créé. Lorsque vous incorporez une politique en ligne, ses autorisations ne peuvent pas être associées par inadvertance à la mauvaise entité principale. La politique intégrée permet aux utilisateurs fédérés d'accéder à la pile d' WorkSpaces applications que vous avez créée.

1. Dans les détails du rôle IAM que vous avez créé, choisissez l’onglet **Autorisations**, puis **Ajouter une stratégie en ligne**. L'assistant Créer une stratégie démarre.

1. Dans **Créer une stratégie**, choisissez l’onglet **JSON**.

1. Copiez et collez le code JSON suivant dans la fenêtre de l'éditeur de politique. Modifiez ensuite la ressource en saisissant votre Région AWS code, votre identifiant de compte et le nom de la pile. Dans la politique suivante, `"Action": "appstream:Stream"` figure l'action qui fournit aux utilisateurs de vos WorkSpaces applications les autorisations nécessaires pour se connecter aux sessions de streaming sur la pile que vous avez créée. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "appstream:Stream",
               "Resource": "arn:aws:appstream:us-east-1:111122223333:stack/STACK-NAME",
               "Condition": {
                   "StringEquals": {
                       "appstream:userId": "${saml:sub}"
                   }
               }
           }
       ]
   }
   ```

------

   Remplacez *REGION-CODE* par la AWS région dans laquelle se trouve votre pile d' WorkSpaces applications. Remplacez *STACK-NAME* par le nom de la pile. *STACK-NAME*fait la distinction majuscules/minuscules et doit correspondre exactement aux majuscules et aux lettres du nom de la pile indiqué dans le tableau de bord **Stacks** de la console de gestion des WorkSpaces applications. 

   Pour les ressources des AWS GovCloud (US) régions, utilisez le format suivant pour l'ARN : 

   `arn:aws-us-gov:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME`

1. (Facultatif) Si vous envisagez d’utiliser des droits d’application basés sur des attributs à l’aide d’un fournisseur d’identité SAML 2.0 tiers avec les **catalogues d’applications multi-piles SAML 2.0**, la ressource de votre stratégie en ligne de rôle IAM doit être **"Resource": "arn:aws:appstream:*REGION-CODE*:*ACCOUNT-ID-WITHOUT-HYPHENS*:stack/\$1"** pour permettre aux droits d’application de contrôler l’accès du streaming aux piles. Pour renforcer la protection additionnelle d’une ressource de pile, vous pouvez ajouter un refus explicite dans la stratégie. Pour plus d’informations, consultez [Droits d’application basés sur les attributs faisant appel à un fournisseur d’identité SAML 2.0 tiers](application-entitlements-saml.md) et [Logique d’évaluation de la stratégie](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html).

1. Lorsque vous avez terminé, choisissez **Examiner une stratégie**. Le [programme de validation de stratégie](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) signale les éventuelles erreurs de syntaxe. 

## Étape 4 : configurer votre fournisseur d’identité basé sur SAML
<a name="external-identity-providers-config-idp"></a>

[Ensuite, en fonction de votre IdP basé sur SAML, vous devrez peut-être mettre à jour manuellement votre IdP pour faire confiance en AWS tant que fournisseur de services en téléchargeant le fichier `saml-metadata.xml` saml-metadata.xml sur votre IdP. https://signin.aws.amazon.com/static/](https://signin.aws.amazon.com/static/saml-metadata.xml) Cette étape met à jour les métadonnées de votre fournisseur d'identité. Pour certains IdPs, la mise à jour est peut-être déjà configurée. Dans ce cas, passez à l'étape suivante.

Si la mise à jour n’est pas déjà configurée dans votre fournisseur d’identité, consultez les informations fournies dans la documentation de votre fournisseur d’identité sur la manière de mettre à jour les métadonnées. Certains fournisseurs vous offrent la possibilité d’entrer l’URL, ce qui permet au fournisseur d’identité d’obtenir et d’installer le fichier à votre place. D’autres fournisseurs exigent que vous téléchargiez le fichier à partir de l’URL afin de le fournir en tant que fichier local.

## Etape 5 : Créer des assertions pour la réponse de l'authentification SAML
<a name="external-identity-providers-create-assertions"></a>

Ensuite, vous devrez peut-être configurer les informations que votre IdP envoie AWS sous forme d'attributs SAML dans sa réponse d'authentification. Selon votre fournisseur d’identité, ces informations sont peut-être déjà préconfigurées. Dans ce cas, ignorez cette étape et passez à l’étape 6,

Si cette information n'est pas déjà configurée dans votre fournisseur d'identité, fournissez les éléments suivants :
+ **SAML Subject NameID** : identifiant unique de l’utilisateur connecté. 
**Note**  
Pour les piles comportant des flottes jointes à un domaine, la valeur NameID de l'utilisateur doit être fournie au format « » en utilisant le nom s ou `domain\username` AMAccount « » en utilisant. `username@domain.com` userPrincipalName Si vous utilisez le format s AMAccount Name, vous pouvez le spécifier en `domain` utilisant le nom NetBIOS ou le nom de domaine complet (FQDN). Le format s AMAccount Name est requis pour les scénarios de confiance unidirectionnelle Active Directory. Pour de plus amples informations, veuillez consulter [Utilisation d'Active Directory avec des WorkSpaces applications](active-directory.md).
+ **SAML Subject Type** (avec la valeur `persistent` définie) : la définition de la valeur `persistent` permet de vous assurer que votre fournisseur d’identité envoie la même valeur unique pour l’élément `NameID` dans toutes les demandes SAML émises par un utilisateur particulier. Assurez-vous que votre politique IAM inclut une condition pour autoriser uniquement les requêtes SAML avec un sous-type SAML défini sur `persistent`, comme décrit dans [Étape 2 : créer un rôle IAM Fédération SAML 2.0](#external-identity-providers-grantperms).
+ **`Attribute`élément dont l'`Name`attribut est défini sur https://aws.amazon.com/SAML/ Attributs/Rôle** : cet élément contient un ou plusieurs `AttributeValue` éléments qui répertorient le rôle IAM et l'IdP SAML auxquels l'utilisateur est mappé par votre IdP. Le rôle et l'IdP sont spécifiés sous la forme d'une paire séparée par des virgules de. ARNs
+ **`Attribute`élément dont l'`Name`attribut est défini sur https://aws.amazon.com/SAML/ Attributes/ RoleSessionName** — Cet élément contient un `AttributeValue` élément qui fournit un identifiant pour les informations d'identification AWS temporaires émises pour l'authentification unique. La valeur de l'élément `AttributeValue` doit comporter de 2 à 64 caractères, ne doit contenir que des caractères alphanumériques, des traits de soulignement et les caractères suivants : \$1 (signe plus), = (signe égal), , (virgule), . (point), @ (arobase) et - (tiret). Il ne doit pas contenir d'espace. La valeur est généralement constituée d’un ID utilisateur (laurentdupont) ou d’une adresse e-mail (laurentdupont@exemple.com). La valeur ne peut pas contenir d’espace, comme dans le nom d’affichage de l’utilisateur (Laurent Dupont).
+ **`Attribute`élément dont l'`Name`attribut est défini sur https://aws.amazon.com/SAML/ Attributes/ PrincipalTag : SessionContext (facultatif)** — Cet élément contient un `AttributeValue` élément qui fournit des paramètres qui peuvent être utilisés pour transmettre des paramètres de contexte de session à vos applications de streaming. Pour de plus amples informations, veuillez consulter [Contexte de session dans Amazon WorkSpaces Applications](managing-stacks-fleets-session-context.md).
+ **`Attribute`élément dont l'`Name`attribut est défini sur https://aws.amazon.com/SAML/ Attributes/ PrincipalTag : ObjectSid (facultatif)** — Cet élément contient un `AttributeValue` élément qui fournit l'identifiant de sécurité Active Directory (SID) à l'utilisateur qui se connecte. Ce paramètre est utilisé avec l’authentification par certificat pour permettre un mappage fort vers l’utilisateur Active Directory.
+ **`Attribute`élément dont l'`Name`attribut est défini sur https://aws.amazon.com/SAML/ Attributes/:Domain PrincipalTag (facultatif) —** Cet élément contient un élément `AttributeValue` qui fournit le nom de domaine complet (FQDN) DNS Active Directory à l'utilisateur qui se connecte. Ce paramètre est utilisé avec l’authentification par certificat lorsque l’élément `userPrincipalName` Active Directory correspondant à l’utilisateur contient un autre suffixe. La valeur doit être fournie selon le format **domain.com**, y compris dans tous les sous-domaines.
+ **`Attribute`élément dont l'`SessionDuration`attribut est défini sur https://aws.amazon.com/SAML/ Attributes/ SessionDuration (facultatif)** — Cet élément contient un `AttributeValue` élément qui indique la durée maximale pendant laquelle une session de streaming fédérée d'un utilisateur peut rester active avant qu'une nouvelle authentification ne soit requise. La valeur par défaut est de 3600 secondes (60 minutes). Pour plus d'informations, consultez la SessionDuration section *Un élément d'attribut facultatif dont l' SessionDuration attribut est défini sur https://aws.amazon.com/SAML/ Attributes/* dans [Configuration des assertions SAML pour](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) la réponse d'authentification.
**Note**  
Bien que l’attribut `SessionDuration` soit facultatif, nous vous recommandons de l’inclure dans la réponse SAML. Si vous ne spécifiez pas l’attribut, la durée de session est définie sur une valeur par défaut de 60 minutes.  
Si vos utilisateurs accèdent à leurs applications de streaming dans WorkSpaces Applications à l'aide du client natif WorkSpaces des applications ou à l'aide du navigateur Web dans le cadre de la nouvelle expérience, leurs sessions sont déconnectées une fois leur durée de session expirée. Si vos utilisateurs accèdent à leurs applications de streaming dans WorkSpaces Applications à l'aide d'un navigateur Web dans le cadre de l' old/classic expérience, une fois que la durée de session des utilisateurs a expiré et qu'ils ont actualisé la page de leur navigateur, leurs sessions sont déconnectées.

Pour plus d’informations sur la configuration de ces éléments, consultez [Configuration des assertions SAML pour la réponse d’authentification](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) dans le *Guide de l’utilisateur IAM*. Pour plus d'informations sur les exigences de configuration spécifiques à votre fournisseur d'identité, consultez la documentation de votre fournisseur d'identité.

## Etape 6 : Configurer le RelayState de votre fédération
<a name="external-identity-providers-relay-state"></a>

Enfin, utilisez votre IdP pour configurer l'état du relais de votre fédération afin qu'il pointe vers l'URL de l'état du relais WorkSpaces Applications Stack. Une fois l'authentification réussie AWS, l'utilisateur est dirigé vers le portail WorkSpaces Applications Stack, défini comme l'état du relais dans la réponse d'authentification SAML.

Le format de l'URL RelayState est le suivant :

```
https://relay-state-region-endpoint?stack=stackname&accountId=aws-account-id-without-hyphens
```

Créez votre URL RelayState à partir de l’ID de compte Amazon Web Services, du nom de la pile et du point de terminaison RelayState associé à la région dans laquelle votre pile est située.

Vous pouvez éventuellement spécifier le nom de l'application que vous souhaitez lancer automatiquement. Pour trouver le nom de l'application, sélectionnez l'image dans la console WorkSpaces Applications, cliquez sur l'onglet **Applications** et notez le nom qui apparaît dans la colonne **Nom de l'application**. Sinon, si vous n’avez pas encore créé l’image, connectez-vous à l’instance Image Builder où vous avez installé l’application, puis ouvrez Image Assistant. Les noms des applications s’affichent dans l’onglet **Ajouter des applications**.

Si votre flotte est activée pour l’affichage de flux de **Bureau**, vous pouvez également choisir de le lancer directement sur le Bureau du système d’exploitation. Pour ce faire, spécifiez **Desktop** à la fin de l’URL RelayState, après **&app=**.

Dans le cas d'un flux initié par un fournisseur d'identité (IdP), dans le navigateur par défaut du système, une fois que les utilisateurs se sont connectés à l'IdP et ont sélectionné l' WorkSpaces application Applications sur le portail utilisateur de l'IdP, ils sont redirigés vers une page de connexion aux WorkSpaces applications dans le navigateur par défaut du système avec les options suivantes :
+ **Continuer avec le navigateur**
+ **Client WorkSpaces d'applications ouvertes**

Sur la page, les utilisateurs peuvent choisir de démarrer la session soit dans le navigateur, soit avec l'application cliente WorkSpaces Applications. Facultativement, vous pouvez également spécifier le client à utiliser pour une fédération SAML 2.0. Pour ce faire, spécifiez l'URL de l'état du relais `native` ou `web` à la fin de celle-ci, après`&client=`. Lorsque le paramètre est présent dans une URL d'état de relais, les sessions correspondantes démarrent automatiquement dans le client spécifié, sans que les utilisateurs n'aient à faire de choix.

**Note**  
Cette fonctionnalité n'est disponible que si vous utilisez les nouveaux points de terminaison de la région de l'état du relais (dans le tableau 1 ci-dessous) pour créer l'URL de l'état du relais et si vous utilisez le client WorkSpaces Applications version 1.1.1300 et versions ultérieures. En outre, les utilisateurs doivent toujours utiliser le navigateur par défaut de leur système pour se connecter à l'IdP. La fonctionnalité ne fonctionnera pas s'ils utilisent un navigateur autre que celui par défaut.

Avec les droits d’application basés sur les attributs faisant appel à un fournisseur d’identité SAML 2.0 tiers, vous pouvez autoriser l’accès à plusieurs piles à partir d’une seule URL d’état du relais. Supprimez les paramètres de pile et d’application (le cas échéant) de l’URL d’état du relais, comme suit :

```
https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens
```

Lorsque les utilisateurs se fédérent vers le catalogue d' WorkSpaces applications, ils voient apparaître toutes les piles pour lesquelles les droits d'application ont fait correspondre une ou plusieurs applications à l'utilisateur en ce qui concerne l'ID de compte et le point de terminaison de l'état du relais associés à la région dans laquelle se trouvent vos piles. Lorsqu’un utilisateur sélectionne un catalogue, les droits d’application affichent uniquement les applications auxquelles l’utilisateur est autorisé à accéder.

**Note**  
Les utilisateurs ne peuvent pas diffuser à partir de plusieurs piles en même temps.

Pour de plus amples informations, veuillez consulter [Droits d’application basés sur les attributs faisant appel à un fournisseur d’identité SAML 2.0 tiers](application-entitlements-saml.md).

Le tableau 1 ci-dessous répertorie les points de terminaison de l'état du relais pour les régions dans lesquelles WorkSpaces les applications sont disponibles. Les points de terminaison de l'état du relais présentés dans le tableau 1 sont compatibles avec les versions 1.1.1300 [WorkSpaces Accès au navigateur Web des applications (version 2)](web-browser-access-v2.md) et ultérieures de l'application cliente Windows. Si vous utilisez d'anciennes versions du client Windows, vous devez utiliser les anciens points de terminaison de l'état du relais répertoriés dans le Tableau 2 pour configurer votre fédération SAML 2.0. Si vous souhaitez que les utilisateurs diffusent en continu à l’aide d’une connexion FIPS compatible, vous devez utiliser un point de terminaison FIPS compatible. Pour de plus amples informations sur les points de terminaison, veuillez consulter [Protection des données en transit avec les points de terminaison FIPS](protecting-data-in-transit-FIPS-endpoints.md).


**Tableau 1 : WorkSpaces Les applications relaient les points de terminaison des régions d'état (recommandé)**  

| Région | Point de terminaison RelayState | 
| --- | --- | 
| USA Est (Virginie du Nord) |  `https://appstream2.euc-sso.us-east-1.aws.amazon.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-east-1.aws.amazon.com/saml`  | 
| USA Est (Ohio) | https://appstream2.euc-sso.us-east-2.aws.amazon.com/saml | 
| USA Ouest (Oregon) |  `https://appstream2.euc-sso.us-west-2.aws.amazon.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-west-2.aws.amazon.com/saml`  | 
| Asie-Pacifique (Malaisie) | https://appstream2.euc-sso.ap-southeast-5.aws.amazon.com/saml | 
| Asie-Pacifique (Mumbai) | https://appstream2.euc-sso.ap-south-1.aws.amazon.com/saml | 
| Asie-Pacifique (Séoul) | https://appstream2.euc-sso.ap-northeast-2.aws.amazon.com/saml | 
| Asie-Pacifique (Singapour) | https://appstream2.euc-sso.ap-southeast-1.aws.amazon.com/saml | 
| Asie-Pacifique (Sydney) | https://appstream2.euc-sso.ap-southeast-2.aws.amazon.com/saml | 
| Asie-Pacifique (Tokyo) | https://appstream2.euc-sso.ap-northeast-1.aws.amazon.com/saml | 
|  Canada (Centre)  | https://appstream2.euc-sso.ca-central-1.aws.amazon.com/saml | 
| Europe (Francfort) | https://appstream2.euc-sso.eu-central-1.aws.amazon.com/saml | 
| Europe (Irlande) | https://appstream2.euc-sso.eu-west-1.aws.amazon.com/saml | 
| Europe (Londres) | https://appstream2.euc-sso.eu-west-2.aws.amazon.com/saml | 
| Europe (Milan) | https://appstream2.euc-sso.eu-south-1.aws.amazon.com/saml | 
| Europe (Paris) | https://appstream2.euc-sso.eu-west-3.aws.amazon.com/saml | 
| Europe (Espagne) | https://appstream2.euc-sso.eu-south-2.aws.amazon.com/saml | 
| AWS GovCloud (USA Est) |  `https://appstream2.euc-sso.us-gov-east-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com/saml`  Pour plus d'informations sur l'utilisation WorkSpaces des applications dans AWS GovCloud (US) les régions, consultez [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) dans le *guide de AWS GovCloud (US) l'utilisateur*.   | 
| AWS GovCloud (US-Ouest) |  `https://appstream2.euc-sso.us-gov-west-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com/saml`  Pour plus d'informations sur l'utilisation WorkSpaces des applications dans AWS GovCloud (US) les régions, consultez [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) dans le *guide de AWS GovCloud (US) l'utilisateur*.   | 
| Amérique du Sud (São Paulo) | https://appstream2.euc-sso.sa-east-1.aws.amazon.com/saml | 
| Israël (Tel Aviv) | https://appstream2.euc-sso.il-central-1.aws.amazon.com/saml | 

Le tableau 2 ci-dessous répertorie les anciens points de terminaison de l'état du relais qui sont toujours disponibles. Toutefois, il est recommandé d'utiliser les nouveaux points de terminaison de l'état du relais répertoriés dans le Tableau 1 pour configurer vos fédérations SAML 2.0. En particulier, avec les nouveaux points de terminaison de l'état du relais, vous pouvez permettre à vos utilisateurs de lancer l'application cliente WorkSpaces Applications (version 1.1.1300 et versions ultérieures) à partir de sessions de streaming initiées par l'IDP. Les nouveaux points de terminaison de l'état du relais présentés dans le tableau 1 permettent également aux utilisateurs de se connecter à d'autres AWS applications dans différents onglets du même navigateur Web, sans impact sur la session de streaming WorkSpaces des applications en cours. Les anciens points de terminaison de l'état du relais présentés dans le tableau 2 ne le permettent pas. Pour de plus amples informations, consultez [Les utilisateurs du client My WorkSpaces Applications sont déconnectés de leur session WorkSpaces Applications toutes les 60 minutes.](troubleshooting-user-issues.md#troubleshooting-client-users-disconnected-every-60-minutes).


**Tableau 2 : WorkSpaces Les anciennes applications relaient les points de terminaison régionaux (non recommandé)**  

| Région | Point de terminaison RelayState | 
| --- | --- | 
| USA Est (Virginie du Nord) |  `https://appstream2.us-east-1.aws.amazon.com/saml` (FIPS) `https://appstream2-fips.us-east-1.aws.amazon.com/saml`  | 
| USA Est (Ohio) | https://appstream2.us-east-2.aws.amazon.com/saml | 
| USA Ouest (Oregon) |  `https://appstream2.us-west-2.aws.amazon.com/saml` (FIPS) `https://appstream2-fips.us-west-2.aws.amazon.com/saml`  | 
| Asie-Pacifique (Mumbai) | https://appstream2.ap-south-1.aws.amazon.com/saml | 
| Asie-Pacifique (Séoul) | https://appstream2.ap-northeast-2.aws.amazon.com/saml | 
| Asie-Pacifique (Singapour) | https://appstream2.ap-southeast-1.aws.amazon.com/saml | 
| Asie-Pacifique (Sydney) | https://appstream2.ap-southeast-2.aws.amazon.com/saml | 
| Asie-Pacifique (Tokyo) | https://appstream2.ap-northeast-1.aws.amazon.com/saml | 
|  Canada (Centre)  | https://appstream2.ca-central-1.aws.amazon.com/saml | 
| Europe (Francfort) | https://appstream2.eu-central-1.aws.amazon.com/saml | 
| Europe (Irlande) | https://appstream2.eu-west-1.aws.amazon.com/saml | 
| Europe (Londres) | https://appstream2.eu-west-2.aws.amazon.com/saml | 
| AWS GovCloud (USA Est) |  `https://appstream2.us-gov-east-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2-fips.us-gov-east-1.amazonaws-us-gov.com/saml`  Pour plus d'informations sur l'utilisation WorkSpaces des applications dans AWS GovCloud (US) les régions, consultez [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) dans le *guide de AWS GovCloud (US) l'utilisateur*.   | 
| AWS GovCloud (US-Ouest) |  `https://appstream2.us-gov-west-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2-fips.us-gov-west-1.amazonaws-us-gov.com/saml`  Pour plus d'informations sur l'utilisation WorkSpaces des applications dans AWS GovCloud (US) les régions, consultez [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) dans le *guide de AWS GovCloud (US) l'utilisateur*.   | 
| Amérique du Sud (São Paulo) | https://appstream2.sa-east-1.aws.amazon.com/saml | 

Le tableau 3 ci-dessous répertorie tous les paramètres disponibles que vous pouvez utiliser pour créer une URL d'état de relais.


**Tableau 3 : Paramètres de l'URL de l'état du relais**  

| Paramètre | Obligatoire | Format | Pris en charge par | 
| --- | --- | --- | --- | 
| accountId | Obligatoire | ID à 12 caractères Compte AWS  | Nouveaux et anciens points de terminaison dans les tableaux 1 et 2 | 
| pile | Facultatif | Nom de la pile | Nouveaux et anciens points de terminaison dans les tableaux 1 et 2 | 
| app | Facultatif | Nom de l'application ou « Ordinateur de bureau » | Nouveaux et anciens points de terminaison dans les tableaux 1 et 2 | 
| client | Facultatif | « natif » ou « web » | Nouveaux points de terminaison dans le tableau 1 uniquement |