Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Choix du type de fournisseur d'identité pour Amazon WorkSpaces Secure Browser
WorkSpaces Secure Browser propose deux types d'authentification : **Standard** et **AWS IAM Identity Center**. Vous choisissez le type d'authentification à utiliser avec votre portail sur la **page Configurer le fournisseur d'identité**.
+ Pour **Standard** (option par défaut), fédérez votre fournisseur d'identité SAML 2.0 tiers (tel qu'Okta ou Ping) directement avec votre portail. Pour de plus amples informations, veuillez consulter [Configuration du type d'authentification standard pour Amazon WorkSpaces Secure Browser](configure-standard.md). Le type standard prend en charge les flux d'authentification initiés par le SP et par l'IDP.
+ Pour **IAM Identity Center** (option avancée), fédérez le IAM Identity Center avec votre portail. Pour utiliser ce type d'authentification, votre centre d'identité IAM et votre portail WorkSpaces Secure Browser doivent tous deux résider dans le même Région AWS emplacement. Pour de plus amples informations, veuillez consulter [Configuration du type d'authentification IAM Identity Center pour Amazon WorkSpaces Secure Browser](configure-iam.md).
**Topics**
+ [Configuration du type d'authentification standard pour Amazon WorkSpaces Secure Browser](configure-standard.md)
+ [Configuration du type d'authentification IAM Identity Center pour Amazon WorkSpaces Secure Browser](configure-iam.md)
# Configuration du type d'authentification standard pour Amazon WorkSpaces Secure Browser
Le type d'authentification *standard* est le type d'authentification par défaut. Il peut prendre en charge les flux de connexion initiés par le fournisseur de services (initié par le SP) et par le fournisseur d'identité (initié par l'IdP) avec votre IdP conforme à la norme SAML 2.0. Pour configurer le type d'authentification standard, suivez les étapes ci-dessous pour fédérer votre IdP SAML 2.0 tiers (tel qu'Okta ou Ping) directement avec votre portail.
**Topics**
+ [Configuration de votre fournisseur d'identité sur Amazon WorkSpaces Secure Browser](configure-idp-step1.md)
+ [Configuration de votre IdP sur votre propre IdP](configure-idp-step2.md)
+ [Finalisation de la configuration de l'IdP sur Amazon Secure Browser WorkSpaces](upload-metadata.md)
+ [Conseils d'utilisation spécifiques IdPs avec Amazon WorkSpaces Secure Browser](idp-guidance.md)
# Configuration de votre fournisseur d'identité sur Amazon WorkSpaces Secure Browser
Procédez comme suit pour configurer votre fournisseur d'identité :
1. Sur la page **Configurer le fournisseur d’identité** de l’assistant de création, sélectionnez **Standard**.
1. Choisissez **Continuer avec un IdP standard**.
1. Téléchargez le fichier de métadonnées SP et laissez l'onglet ouvert pour les valeurs de métadonnées individuelles.
+ Si le fichier de métadonnées SP est disponible, choisissez **Télécharger le fichier de métadonnées** pour télécharger le document de métadonnées du fournisseur de services (SP), puis téléchargez le fichier de métadonnées du fournisseur de services sur votre IdP à l'étape suivante. Sans cela, les utilisateurs ne pourront pas se connecter.
+ Si votre fournisseur ne télécharge pas les fichiers de métadonnées SP, entrez manuellement les valeurs des métadonnées.
1. **Sous **Choisir le type de connexion SAML**, choisissez entre les assertions SAML **initiées par le SP et l'IDP, ou les assertions SAML initiées par** le SP uniquement.**
+ Les **assertions SAML initiées par le SP et par l'IdP** permettent à votre portail de prendre en charge les deux types de flux de connexion. Les portails qui prennent en charge les flux initiés par l'IdP vous permettent de présenter des assertions SAML au point de terminaison de fédération des identités de service sans obliger les utilisateurs à lancer une session en accédant à l'URL du portail.
+ Choisissez cette option pour autoriser le portail à accepter les assertions SAML non sollicitées initiées par un IdP.
+ Cette option nécessite la configuration d'un **état de relais par défaut** dans votre fournisseur d'identité SAML 2.0. Le paramètre d'état du relais pour votre portail se trouve dans la console lors de la **connexion SAML initiée par l'IdP**, ou vous pouvez le copier à partir du fichier de métadonnées SP situé sous. ``
+ Remarque
+ Voici le format de l'état du relais :`redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider`.
+ Si vous copiez et collez la valeur à partir du fichier de métadonnées SP, assurez-vous de passer `& ` à`&`. `&`est un caractère d'échappement XML.
+ Choisissez les **assertions SAML initiées par le SP uniquement pour que** le portail ne prenne en charge que les flux de connexion initiés par le SP. Cette option rejettera les assertions SAML non sollicitées provenant des flux de connexion initiés par l'IdP.
**Note**
Certains tiers vous IdPs permettent de créer une application SAML personnalisée capable de fournir des expériences d'authentification initiées par l'IdP en tirant parti des flux initiés par le SP. Pour voir un exemple, consultez [Add an Okta bookmark application](https://help.okta.com/oag/en-us/content/topics/access-gateway/add-app-saml-pass-thru-add-bookmark.htm).
1. Choisissez si vous souhaitez activer les **demandes de signature SAML adressées à ce fournisseur**. L'authentification initiée par le SP permet à votre IdP de valider que la demande d'authentification provient du portail, ce qui empêche d'accepter d'autres demandes de tiers.
1. Téléchargez le certificat de signature et chargez-le sur votre IdP. Le même certificat de signature peut être utilisé pour une déconnexion unique.
1. Activez la demande signée dans votre IdP. Le nom peut être différent en fonction de l'IdP.
**Note**
RSA- SHA256 est le seul algorithme de demande et de signature de demande par défaut pris en charge.
1. Choisissez si vous souhaitez activer **Exiger des assertions SAML chiffrées**. Cela vous permet de chiffrer l'assertion SAML provenant de votre IdP. Cela peut empêcher les données d'être interceptées dans les assertions SAML entre l'IdP et Secure Browser. WorkSpaces
**Note**
Le certificat de chiffrement n'est pas disponible à cette étape. Il sera créé après le lancement de votre portail. Après avoir lancé le portail, téléchargez le certificat de chiffrement et chargez-le sur votre IdP. Activez ensuite le chiffrement des assertions dans votre IdP (le nom peut être différent en fonction de l'IdP).
1. Choisissez si vous souhaitez activer la **déconnexion unique**. La déconnexion unique permet à vos utilisateurs finaux de se déconnecter à la fois de leur IdP WorkSpaces et de leur session Secure Browser en une seule action.
1. Téléchargez le certificat de signature depuis WorkSpaces Secure Browser et chargez-le sur votre IdP. Il s'agit du même certificat de signature que celui utilisé pour la **signature des demandes** à l'étape précédente.
1. L'utilisation de la **déconnexion unique** vous oblige à configurer une **URL de déconnexion unique** dans votre fournisseur d'identité SAML 2.0. Vous trouverez l'**URL de déconnexion unique** de votre portail dans la console sous **Détails du fournisseur de services (SP) - Afficher les valeurs de métadonnées individuelles**, ou dans le fichier de métadonnées SP sous``.
1. Activez la **déconnexion unique** dans votre IdP. Le nom peut être différent en fonction de l'IdP.
# Configuration de votre IdP sur votre propre IdP
Pour configurer votre IdP sur votre propre IdP, procédez comme suit.
1. Ouvrez un nouvel onglet dans votre navigateur.
1. Ajoutez les métadonnées de votre portail à votre IdP SAML.
Téléchargez le document de métadonnées SP que vous avez téléchargé à l'étape précédente sur votre IdP, ou copiez et collez les valeurs des métadonnées dans les champs appropriés de votre IdP. Certains fournisseurs n'autorisent pas le téléchargement de fichiers.
Les détails de ce processus peuvent varier d'un fournisseur à l'autre. Consultez la documentation de votre fournisseur [Conseils d'utilisation spécifiques IdPs avec Amazon WorkSpaces Secure Browser](idp-guidance.md) pour obtenir de l'aide sur la façon d'ajouter les détails du portail à la configuration de votre IdP.
1. Confirmez le **NameID** de votre assertion SAML.
Assurez-vous que votre IdP SAML renseigne **NameID** dans l'assertion SAML avec le champ e-mail de l'utilisateur. **Le NameID** et l'adresse e-mail de l'utilisateur sont utilisés pour identifier de manière unique votre utilisateur fédéré SAML auprès du portail. Utilisez le format d'identifiant de nom SAML persistant.
1. Facultatif : configurez l'**état du relais pour l'**authentification initiée par l'IDP.
Si vous avez choisi **Accepter les assertions SAML initiées par le SP et par l'IdP** à l'étape précédente, suivez les étapes de l'étape 2 pour définir l'**état du [Configuration de votre fournisseur d'identité sur Amazon WorkSpaces Secure Browser](configure-idp-step1.md) relais par défaut pour** votre application IdP.
1. Facultatif : configurez **la signature des demandes**. Si vous avez choisi **Signer les demandes SAML à ce fournisseur** à l'étape précédente, suivez les étapes de l'étape 3 [Configuration de votre fournisseur d'identité sur Amazon WorkSpaces Secure Browser](configure-idp-step1.md) pour télécharger le certificat de signature sur votre IdP et activer la signature des demandes. Certains IdPs , comme Okta, peuvent exiger que votre **NameID** appartienne au type « persistant » pour **utiliser** la signature des demandes. Assurez-vous de confirmer votre **NameID** pour votre assertion SAML en suivant les étapes ci-dessus.
1. Facultatif : configurez le **chiffrement des assertions**. Si vous avez choisi **Exiger des assertions SAML chiffrées auprès de ce fournisseur**, attendez que la création du portail soit terminée, puis suivez l'étape 4 de la section « Charger les métadonnées » ci-dessous pour télécharger le certificat de chiffrement sur votre IdP et activer le chiffrement des assertions.
1. Facultatif : configurez **une déconnexion unique**. **Si vous avez choisi **Single Logout**, suivez les étapes de l'étape 5 [Configuration de votre fournisseur d'identité sur Amazon WorkSpaces Secure Browser](configure-idp-step1.md) pour télécharger le certificat de signature sur votre IdP, renseigner l'URL de **déconnexion unique et activer la déconnexion unique**.**
1. Accordez l'accès à vos utilisateurs dans votre IdP pour utiliser WorkSpaces Secure Browser.
1. Téléchargez un fichier d’échange de métadonnées auprès de votre IdP. Vous téléchargerez ces métadonnées dans WorkSpaces Secure Browser à l'étape suivante.
# Finalisation de la configuration de l'IdP sur Amazon Secure Browser WorkSpaces
Pour terminer la configuration de l'IdP sur WorkSpaces Secure Browser, procédez comme suit.
1. Retournez à la console WorkSpaces Secure Browserconsole. Sur la **page Configurer le fournisseur d'identité** de l'assistant de création, sous **Métadonnées de l'IdP**, téléchargez un fichier de métadonnées ou entrez une URL de métadonnées depuis votre IdP. Le portail utilise ces métadonnées provenant de votre IdP pour établir la confiance.
1. Pour télécharger un fichier de métadonnées, sous **Document de métadonnées IdP**, sélectionnez **Choisir** un fichier. Chargez le fichier de métadonnées au format XML que vous avez téléchargé auprès de votre IdP à l’étape précédente.
1. Pour utiliser une URL de métadonnées, accédez à votre IdP que vous avez configuré à l'étape précédente et obtenez son URL de **métadonnées**. Revenez à la console WorkSpaces Secure Browser et, sous URL des **métadonnées de l'IdP, entrez l'URL** des métadonnées que vous avez obtenue auprès de votre IdP.
1. Lorsque vous avez terminé, cliquez sur **Next**.
1. Pour les portails sur lesquels vous avez activé l'option **Exiger des assertions SAML cryptées auprès de ce fournisseur**, vous devez télécharger le certificat de chiffrement depuis la section des détails de l'IdP du portail et le télécharger sur votre IdP. Ensuite, vous pouvez activer l'option ici.
**Note**
WorkSpaces Secure Browser nécessite que le sujet ou le NameID soit mappé et défini dans l'assertion SAML dans les paramètres de votre IdP. Votre IdP peut créer ces mappages automatiquement. Si ces mappages ne sont pas configurés correctement, vos utilisateurs ne peuvent pas se connecter au portail web et démarrer une session.
WorkSpaces Secure Browser nécessite que les affirmations suivantes soient présentes dans la réponse SAML. Vous pouvez trouver ** et consulter les informations ** du fournisseur de services ou le document de métadonnées de votre portail, via la console ou la CLI.
Une `AudienceRestriction` réclamation dont `Audience` la valeur définit votre ID d'entité SP comme cible de la réponse. Exemple :
```
```
Un champ standard `Response` avec une valeur `InResponseTo` de l'ID de demande SAML d'origine. Exemple :
```
```
Une `SubjectConfirmationData` réclamation avec `Recipient` la valeur de votre URL SP ACS et une `InResponseTo` valeur correspondant à l'ID de demande SAML d'origine. Exemple :
```
```
WorkSpaces Secure Browser valide les paramètres de votre demande et vos assertions SAML. Pour les assertions SAML initiées par l'IdP, les détails de votre demande doivent être formatés en tant que `RelayState` paramètre dans le corps d'une requête HTTP POST. Le corps de la demande doit également contenir votre assertion SAML en tant que `SAMLResponse` paramètre. Ces deux éléments devraient être présents si vous avez suivi l'étape précédente.
Voici un exemple de `POST` corps pour un fournisseur SAML initié par un IDP.
```
SAMLResponse=&RelayState=
```
# Conseils d'utilisation spécifiques IdPs avec Amazon WorkSpaces Secure Browser
Pour vous assurer de configurer correctement la fédération SAML pour votre portail, consultez les liens ci-dessous pour accéder à la documentation couramment utilisée IdPs.
| IdP | Configuration de l'application SAML | Gestion des utilisateurs | Authentification initiée par l'IDP | Signature de la demande | Cryptage des assertions | Déconnexion unique |
| --- | --- | --- | --- | --- | --- | --- |
| Okta | [Créez des intégrations d'applications SAML](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Gestion des utilisateurs](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Référence de champ SAML de l'assistant d'intégration des applications](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Référence de champ SAML de l'assistant d'intégration des applications](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Référence de champ SAML de l'assistant d'intégration des applications](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Référence de champ SAML de l'assistant d'intégration des applications](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) |
| Entrer | [Créez votre propre application](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Démarrage rapide : création et attribution d'un compte utilisateur](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-assign-users) | [Activer l'authentification unique pour une application d'entreprise](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-setup-sso) | [Vérification de la signature des demandes SAML](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-enforce-signed-saml-authentication) | [Configurer le chiffrement par jeton SAML Microsoft Entra](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-saml-token-encryption?tabs=azure-portal) | [Protocole SAML de connexion unique](https://learn.microsoft.com/en-us/entra/identity-platform/single-sign-out-saml-protocol) |
| Ping | [Ajouter une application SAML](https://docs.pingidentity.com/r/en-us/pingone/pingone_p1tutorial_add_a_saml_app) | [Utilisateurs](https://docs.pingidentity.com/r/en-us/pingone/p1_c_aboutusers) | [Activation du SSO initié par l'IdP](https://docs.pingidentity.com/r/en-us/pingone/pingone_configuring_the_oidc_application) | [Configuration de la connexion aux demandes d'authentification PingOne pour Enterprise](https://docs.pingidentity.com/r/en-us/solution-guides/htg_config_authn_req_sign_p14e) | [Est-ce que PingOne for Enterprise prend en charge le chiffrement ?](https://support.pingidentity.com/s/article/Does-PingOne-support-encryption) | [Déconnexion unique SAML 2.0](https://docs.pingidentity.com/r/en-us/pingone/pingone_c_saml_2-0_slo?tocId=aKUl0dlpyVDVw3PJmLIGGg) |
| Un seul identifiant | [Connecteur personnalisé SAML (avancé) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Ajouter des utilisateurs OneLogin manuellement](https://www.onelogin.com/getting-started/free-trial-plan/add-users-manually) | [Connecteur personnalisé SAML (avancé) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Connecteur personnalisé SAML (avancé) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Connecteur personnalisé SAML (avancé) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Connecteur personnalisé SAML (avancé) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) |
| IAM Identity Center | [Configurez votre propre application SAML 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [Configurez votre propre application SAML 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [Configurez votre propre application SAML 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | N/A | N/A | N/A |
# Configuration du type d'authentification IAM Identity Center pour Amazon WorkSpaces Secure Browser
Pour le type **IAM Identity Center** (avancé), vous fédérez IAM Identity Center avec votre portail. Sélectionnez cette option uniquement si les conditions suivantes s'appliquent à vous :
+ Votre centre d'identité IAM est configuré de la même manière Compte AWS Région AWS que votre portail Web.
+ Si vous utilisez AWS Organizations, vous utilisez un compte de gestion.
Avant de créer un portail Web avec le type d'authentification IAM Identity Center, vous devez configurer IAM Identity Center en tant que fournisseur autonome. Pour plus d'informations, voir [Commencer à exécuter les tâches courantes dans IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html). Vous pouvez également connecter votre IdP SAML 2.0 à IAM Identity Center. Pour plus d'informations, voir [Se connecter à un fournisseur d'identité externe](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html). À défaut, vous n’aurez aucun utilisateur ou groupe à affecter à votre portail web.
Si vous utilisez déjà IAM Identity Center, vous pouvez choisir IAM Identity Center comme type de fournisseur et suivre les étapes ci-dessous pour ajouter, afficher ou supprimer des utilisateurs ou des groupes de votre portail Web.
**Note**
Pour utiliser ce type d'authentification, votre centre d'identité IAM doit se trouver dans le même emplacement Compte AWS Région AWS que votre portail WorkSpaces Secure Browser. Si votre centre d'identité IAM se trouve dans un autre Compte AWS ou Région AWS, suivez les instructions relatives au type d'authentification **standard**. Pour de plus amples informations, veuillez consulter [Configuration du type d'authentification standard pour Amazon WorkSpaces Secure Browser](configure-standard.md).
Si vous utilisez AWS Organizations, vous ne pouvez créer des portails WorkSpaces Secure Browser intégrés à IAM Identity Center qu'à l'aide d'un compte de gestion.
**Topics**
+ [Création d'un portail Web avec IAM Identity Center](web-portal-IAM.md)
+ [Gestion de votre portail Web avec IAM Identity Center](manage-IAM.md)
+ [Ajout d'utilisateurs et de groupes supplémentaires à un portail Web](add-users-groups.md)
+ [Afficher ou supprimer des utilisateurs et des groupes pour votre portail Web](remove-users-groups.md)
# Création d'un portail Web avec IAM Identity Center
Pour créer un portail Web avec IAM Identity Center, procédez comme suit.
**Pour créer un portail web avec IAM Identity Center**
1. Lors de la création du portail, à **l'étape 4 : Configurer le fournisseur d'identité**, choisissez **AWS IAM Identity Center**.
1. Choisissez **Continuer avec IAM Identity Center**.
1. Sur la page **Attribuer des utilisateurs et des groupes**, choisissez l'onglet and/or **Groupes** d'**utilisateurs**.
1. Cochez la case à côté du ou des utilisateurs ou groupes que vous souhaitez ajouter au portail.
1. Après avoir créé votre portail, les utilisateurs que vous avez associés peuvent se connecter à WorkSpaces Secure Browser à l'aide de leur nom d'utilisateur et de leur mot de passe IAM Identity Center.
# Gestion de votre portail Web avec IAM Identity Center
Pour gérer votre portail Web avec IAM Identity Center, procédez comme suit.
**Pour gérer votre portail web avec IAM Identity Center**
1. Une fois que vous avez créé votre portail, il est répertorié dans la console IAM Identity Center en tant qu'application configurée.
1. Pour accéder à la configuration de cette application, sélectionnez **Applications** dans la barre latérale et recherchez une application configurée dont le nom correspond au nom d’affichage de votre portail web.
**Note**
Si vous n’avez pas saisi de nom d’affichage, le GUID de votre portail est présenté à la place. Le GUID est l’ID qui est ajouté sous forme de préfixe à l’URL du point de terminaison de votre portail web.
# Ajout d'utilisateurs et de groupes supplémentaires à un portail Web
Pour ajouter des utilisateurs et des groupes supplémentaires à un portail Web existant, procédez comme suit.
**Pour ajouter des utilisateurs et des groupes supplémentaires à un portail web existant**
1. Ouvrez la console WorkSpaces Secure Browser à l'adresse[https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/](https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/).
1. Choisissez **WorkSpaces Secure Browser**, **Portails Web**, choisissez votre portail Web, puis sélectionnez **Modifier**.
1. Sélectionnez **Paramètres du fournisseur d’identité** et **Attribuer des utilisateurs et des groupes supplémentaires**. De là, vous pouvez ajouter des utilisateurs et des groupes à votre portail web.
**Note**
Vous ne pouvez pas ajouter d’utilisateurs ou de groupes depuis la console IAM Identity Center. Vous devez le faire depuis la page d'édition de votre portail WorkSpaces Secure Browser.
# Afficher ou supprimer des utilisateurs et des groupes pour votre portail Web
Pour afficher ou supprimer des utilisateurs et des groupes pour votre portail Web, utilisez les actions disponibles dans le tableau **Utilisateurs assignés**. Pour plus d'informations, voir [Gérer l'accès aux applications](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-applications.html)
**Note**
Vous ne pouvez pas afficher ou supprimer des utilisateurs et des groupes depuis la page d'édition du portail WorkSpaces Secure Browserportal. Vous devez le faire à partir de la page de modification de votre console IAM Identity Center.