

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Integrasi WorkSpaces Aplikasi Amazon dengan SAMP 2.0
<a name="external-identity-providers"></a>

 WorkSpaces Aplikasi Amazon mendukung federasi identitas ke tumpukan WorkSpaces Aplikasi melalui Security Assertion Markup Language 2.0 (SAMP 2.0). Anda dapat menggunakan penyedia identitas (IDP) yang mendukung SAMP 2.0 — seperti Active Directory Federation Services (AD FS) di Windows Server, Ping One Federation Server, atau OKTA — untuk menyediakan alur orientasi bagi pengguna Aplikasi Anda. WorkSpaces 

Fitur ini menawarkan pengguna Anda kenyamanan akses sekali klik ke WorkSpaces aplikasi Aplikasi mereka menggunakan kredensi identitas yang ada. Anda juga memiliki manfaat keamanan dari otentikasi identitas oleh IDP Anda. Dengan menggunakan iDP Anda, Anda dapat mengontrol pengguna mana yang memiliki akses ke tumpukan WorkSpaces Aplikasi tertentu.

**Topics**
+ [Contoh Alur Kerja Otentikasi](external-identity-providers-example.md)
+ [Menyiapkan SAMP](external-identity-providers-setting-up-saml.md)
+ [WorkSpaces Integrasi Aplikasi dengan SAMP 2.0](external-identity-providers-further-info.md)

# Contoh Alur Kerja Otentikasi
<a name="external-identity-providers-example"></a>

Diagram berikut menggambarkan aliran otentikasi antara WorkSpaces Aplikasi dan penyedia identitas pihak ketiga (iDP). Dalam contoh ini, administrator telah menyiapkan halaman masuk untuk mengakses WorkSpaces Aplikasi, yang disebut`applications.exampleco.com`. Halaman web menggunakan layanan federasi yang sesuai dengan SAMP 2.0 untuk memicu permintaan masuk. Administrator juga telah mengatur pengguna untuk mengizinkan akses ke WorkSpaces Aplikasi.

![\[Diagram SAMP WorkSpaces Aplikasi Amazon\]](http://docs.aws.amazon.com/id_id/appstream2/latest/developerguide/images/aas2-saml.png)


1. Pengguna menelusuri ke`https://applications.exampleco.com`. Halaman sign-on meminta otentikasi untuk pengguna.

1. Layanan federasi meminta otentikasi dari toko identitas organisasi.

1. Toko identitas mengautentikasi pengguna dan mengembalikan respons otentikasi ke layanan federasi.

1. Pada otentikasi yang berhasil, layanan federasi memposting pernyataan SAMP ke browser pengguna.

1. Browser pengguna memposting pernyataan SAMP ke titik akhir SAMP AWS Masuk (). `https://signin.aws.amazon.com/saml` AWS Masuk menerima permintaan SAMP, memproses permintaan, mengautentikasi pengguna, dan meneruskan token otentikasi ke Aplikasi. WorkSpaces 

   Untuk informasi tentang bekerja dengan SAMP di AWS GovCloud (US) Wilayah, lihat [AWS Identity and Access Management](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html) di *Panduan AWS GovCloud (US) Pengguna*.

1. Menggunakan token otentikasi dari AWS, WorkSpaces Aplikasi mengotorisasi pengguna dan menyajikan aplikasi ke browser.

Dari perspektif pengguna, proses terjadi secara transparan: Pengguna memulai di portal internal organisasi Anda dan secara otomatis dialihkan ke portal WorkSpaces aplikasi Aplikasi tanpa harus memasukkan AWS kredensil.

# Menyiapkan SAMP
<a name="external-identity-providers-setting-up-saml"></a>

Untuk memungkinkan pengguna masuk ke WorkSpaces Aplikasi dengan menggunakan kredensialnya yang ada, dan memulai streaming aplikasi, Anda dapat mengatur federasi identitas menggunakan SAMP 2.0. Untuk melakukan ini, gunakan peran IAM dan URL status relai untuk mengonfigurasi penyedia identitas (IDP) yang sesuai dengan SAMP 2.0 Anda dan aktifkan AWS untuk mengizinkan pengguna federasi Anda mengakses tumpukan Aplikasi. WorkSpaces Peran IAM memberi pengguna izin untuk mengakses tumpukan. Status relai adalah portal tumpukan tempat pengguna diteruskan setelah otentikasi berhasil. AWS

**Topics**
+ [Prasyarat](#external-identity-providers-setting-up-prerequisites)
+ [Langkah 1: Buat Penyedia Identitas SAMP di AWS IAM](#external-identity-providers-create-saml-provider)
+ [Langkah 2: Buat Peran IAM Federasi SAMP 2.0](#external-identity-providers-grantperms)
+ [Langkah 3: Sematkan Kebijakan Inline untuk Peran IAM](#external-identity-providers-embed-inline-policy-for-IAM-role)
+ [Langkah 4: Konfigurasikan IDP berbasis SAML Anda](#external-identity-providers-config-idp)
+ [Langkah 5: Buat Pernyataan untuk Respons Otentikasi SAMP](#external-identity-providers-create-assertions)
+ [Langkah 6: Konfigurasikan Status Relay Federasi Anda](#external-identity-providers-relay-state)

## Prasyarat
<a name="external-identity-providers-setting-up-prerequisites"></a>

Selesaikan prasyarat berikut sebelum mengonfigurasi koneksi SAMP 2.0 Anda.

1. Konfigurasikan IDP berbasis SAMP Anda untuk membangun hubungan kepercayaan dengan. AWS
   + Di dalam jaringan organisasi Anda, konfigurasikan toko identitas Anda agar berfungsi dengan IDP berbasis SAML. Untuk sumber daya konfigurasi, lihat[WorkSpaces Integrasi Aplikasi dengan SAMP 2.0](external-identity-providers-further-info.md).
   + Gunakan IDP berbasis SAML untuk membuat dan mengunduh dokumen metadata federasi yang menjelaskan organisasi Anda sebagai IDP. Dokumen XHTML yang ditandatangani ini digunakan untuk membangun kepercayaan pihak yang mengandalkan. Simpan file ini ke lokasi yang dapat Anda akses dari konsol IAM nanti.

1. Gunakan konsol manajemen WorkSpaces Aplikasi untuk membuat tumpukan WorkSpaces Aplikasi. Anda memerlukan nama tumpukan untuk membuat kebijakan IAM dan mengonfigurasi integrasi IDP Anda WorkSpaces dengan Aplikasi, seperti yang dijelaskan nanti dalam topik ini.

   Anda dapat membuat tumpukan WorkSpaces Applications menggunakan WorkSpaces Applications management console AWS CLI, atau WorkSpaces Applications API. Untuk informasi selengkapnya, lihat [Buat Armada dan Tumpukan WorkSpaces Aplikasi Amazon](set-up-stacks-fleets.md).

## Langkah 1: Buat Penyedia Identitas SAMP di AWS IAM
<a name="external-identity-providers-create-saml-provider"></a>

Pertama, buat SAMP iDP AWS di IAM. IDP ini mendefinisikan hubungan AWS IDP-to-trust organisasi Anda menggunakan dokumen metadata yang dihasilkan oleh perangkat lunak iDP di organisasi Anda. Untuk informasi selengkapnya, lihat [Membuat dan Mengelola Penyedia Identitas SAMP (Amazon Web Services Management Console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) di *Panduan Pengguna IAM*. Untuk informasi tentang bekerja dengan SAMP IdPs di AWS GovCloud (US) Wilayah, lihat [AWS Identity and Access Management](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html) di *Panduan AWS GovCloud (US) Pengguna*.

## Langkah 2: Buat Peran IAM Federasi SAMP 2.0
<a name="external-identity-providers-grantperms"></a>

Selanjutnya, buat peran IAM federasi SAMP 2.0. Langkah ini menetapkan hubungan kepercayaan antara IAM dan IDP organisasi Anda, yang mengidentifikasi IDP Anda sebagai entitas tepercaya untuk federasi. 

**Untuk membuat peran IAM untuk IDP SAMP**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dalam panel navigasi, pilih **Roles** (Peran), lalu **Create role** (Buat peran). 

1. Untuk **tipe Peran**, pilih **federasi SAMP 2.0**. 

1. Untuk **SAMP Provider**, pilih SAMP iDP yang Anda buat. 
**penting**  
Jangan memilih salah satu dari dua metode akses SAMP 2.0 (Izinkan akses **terprogram saja atau Izinkan akses** **Konsol Manajemen Layanan Amazon Web Services dan Amazon Web Services**).

1. Untuk **Atribut**, pilih **SAML:SUB\$1TYPE**. 

1. Untuk **Nilai**, masukkan **https://signin.aws.amazon.com/saml**. Nilai ini membatasi akses peran ke permintaan streaming pengguna SAMP yang menyertakan pernyataan tipe subjek SAMP dengan nilai persisten. Jika SAML:sub\$1type persisten, IDP Anda mengirimkan nilai unik yang sama untuk elemen NameID di semua permintaan SAMP dari pengguna tertentu. [Untuk informasi selengkapnya tentang pernyataan SAML:sub\$1type, lihat bagian *Mengidentifikasi Pengguna Secara Unik di Federasi Berbasis SAMP di Menggunakan Federasi berbasis SAMP* untuk Akses API. AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring)
**catatan**  
Meskipun **https://signin.aws.amazon.com/saml** titik akhir sangat tersedia, itu hanya di-host di wilayah us-east-1. AWS Untuk mencegah gangguan layanan jika salah satu ketersediaan titik akhir regional terpengaruh, gunakan titik akhir regional dan siapkan titik akhir masuk SAMP tambahan untuk failover. Untuk informasi lebih lanjut, silakan lihat [Cara menggunakan titik akhir SAMP regional untuk](https://aws.amazon.com/blogs/security/how-to-use-regional-saml-endpoints-for-failover/) failover.

1. Tinjau informasi kepercayaan SAMP 2.0 Anda, konfirmasikan entitas dan kondisi tepercaya yang benar, lalu pilih **Berikutnya: Izin**. 

1. Pada halaman **Lampirkan kebijakan izin**, pilih **Berikutnya: Tag**.

1. (Opsional) Masukkan kunci dan nilai untuk setiap tag yang ingin Anda tambahkan. Untuk informasi selengkapnya, lihat [Menandai Pengguna dan Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html). 

1. Setelah selesai, pilih **Berikutnya: Tinjau**. Nanti, Anda akan membuat dan menyematkan kebijakan inline untuk peran ini.

1. Untuk **nama Peran**, masukkan nama yang mengidentifikasi tujuan peran ini. Karena beberapa entitas mungkin mereferensikan peran, Anda tidak dapat mengedit nama peran setelah dibuat.

1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi.

1. Tinjau detail peran dan pilih **Buat peran**.

1. (Opsional) Jika Anda berencana untuk menggunakan konteks sesi atau hak aplikasi berbasis atribut menggunakan penyedia identitas SAMP 2.0 pihak ketiga atau otentikasi berbasis sertifikat, Anda harus menambahkan TagSession izin sts: ke kebijakan kepercayaan peran IAM baru Anda. Untuk informasi selengkapnya, lihat [Hak Aplikasi Berbasis Atribut Menggunakan Penyedia Identitas SAMP 2.0 Pihak Ketiga](application-entitlements-saml.md) dan [Melewati tag sesi di AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).

   Di detail peran IAM baru Anda, pilih tab **Trust relationship**, lalu pilih **Edit trust relationship**. Editor kebijakan Edit Trust Relationship dimulai. Tambahkan **sts: TagSession** izin, sebagai berikut:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Federated": "arn:aws:iam::111122223333:saml-provider/IDENTITY-PROVIDER"
               },
               "Action": [
                   "sts:AssumeRoleWithSAML",
                   "sts:TagSession"
               ],
               "Condition": {
                   "StringEquals": {
                       "SAML:sub_type": "persistent"
                   }
               }
           }
       ]
   }
   ```

------

   Ganti *IDENTITY-PROVIDER* **** dengan nama SAMP iDP yang Anda buat di Langkah 1. Kemudian pilih **Perbarui Kebijakan Kepercayaan**.

## Langkah 3: Sematkan Kebijakan Inline untuk Peran IAM
<a name="external-identity-providers-embed-inline-policy-for-IAM-role"></a>

Selanjutnya, sematkan kebijakan IAM sebaris untuk peran yang Anda buat. Saat Anda menyematkan kebijakan sebaris, izin dalam kebijakan tersebut tidak dapat secara tidak sengaja dilampirkan ke entitas utama yang salah. Kebijakan inline memberi pengguna federasi akses ke tumpukan WorkSpaces Aplikasi yang Anda buat.

1. Dalam detail untuk peran IAM yang Anda buat, pilih tab **Izin**, lalu pilih **Tambahkan kebijakan sebaris**. Wizard Create policy dimulai.

1. Di **Buat kebijakan**, pilih tab **JSON**.

1. Salin dan tempel kebijakan JSON berikut ke jendela JSON. Kemudian, ubah sumber daya dengan memasukkan Wilayah AWS Kode, ID akun, dan nama tumpukan Anda. Dalam kebijakan berikut, `"Action": "appstream:Stream"` adalah tindakan yang memberi pengguna WorkSpaces Aplikasi izin untuk terhubung ke sesi streaming di tumpukan yang Anda buat. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "appstream:Stream",
               "Resource": "arn:aws:appstream:us-east-1:111122223333:stack/STACK-NAME",
               "Condition": {
                   "StringEquals": {
                       "appstream:userId": "${saml:sub}"
                   }
               }
           }
       ]
   }
   ```

------

   Ganti *REGION-CODE* dengan AWS Wilayah tempat tumpukan WorkSpaces Aplikasi Anda ada. Ganti *STACK-NAME* dengan nama tumpukan. *STACK-NAME*peka huruf besar/kecil, dan harus cocok dengan kasus dan ejaan yang tepat seperti nama tumpukan yang ditampilkan di dasbor **Stacks** konsol manajemen Aplikasi. WorkSpaces 

   Untuk sumber daya di AWS GovCloud (US) Wilayah, gunakan format berikut untuk ARN: 

   `arn:aws-us-gov:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME`

1. (Opsional) Jika Anda berencana untuk menggunakan hak aplikasi berbasis atribut menggunakan penyedia identitas SAMP 2.0 pihak ketiga dengan **Katalog Aplikasi Multi-stack SAMP 2.0, Sumber Daya dalam kebijakan inline peran IAM Anda harus **"Resource": "arn:aws:appstream:*REGION-CODE*:*ACCOUNT-ID-WITHOUT-HYPHENS*:stack/\$1"** mengizinkan hak aplikasi** untuk mengontrol akses streaming ke tumpukan. Untuk menerapkan perlindungan tambahan pada sumber daya tumpukan, Anda dapat menambahkan penolakan eksplisit dalam kebijakan. Untuk informasi lebih lanjut, lihat [Hak Aplikasi Berbasis Atribut Menggunakan Penyedia Identitas SAMP 2.0 Pihak Ketiga](application-entitlements-saml.md) dan [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html).

1. Setelah selesai, pilih **Kebijakan tinjau**. [Validator Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) melaporkan kesalahan sintaksis. 

## Langkah 4: Konfigurasikan IDP berbasis SAML Anda
<a name="external-identity-providers-config-idp"></a>

[Selanjutnya, tergantung pada IDP berbasis SAML Anda, Anda mungkin perlu memperbarui IDP Anda secara manual agar dipercaya AWS sebagai penyedia layanan dengan mengunggah file `saml-metadata.xml` di saml-metadata.xml ke IDP Anda. https://signin.aws.amazon.com/static/](https://signin.aws.amazon.com/static/saml-metadata.xml) Langkah ini memperbarui metadata IDP Anda. Bagi sebagian orang IdPs, pembaruan mungkin sudah dikonfigurasi. Jika ini masalahnya, lanjutkan ke langkah berikutnya.

Jika pembaruan ini belum dikonfigurasi di IDP Anda, tinjau dokumentasi yang disediakan oleh IDP Anda untuk informasi tentang cara memperbarui metadata. Beberapa penyedia memberi Anda opsi untuk mengetik URL, dan iDP memperoleh dan menginstal file untuk Anda. Lainnya mengharuskan Anda mengunduh file dari URL lalu menyediakannya sebagai file lokal.

## Langkah 5: Buat Pernyataan untuk Respons Otentikasi SAMP
<a name="external-identity-providers-create-assertions"></a>

Selanjutnya, Anda mungkin perlu mengonfigurasi informasi yang dikirim IDP Anda AWS sebagai atribut SAMP dalam respons otentikasi. Bergantung pada IDP Anda, informasi ini mungkin sudah dikonfigurasi sebelumnya. Jika ini masalahnya, lewati langkah ini dan lanjutkan ke Langkah 6,

Jika informasi ini belum dikonfigurasi di IDP Anda, berikan yang berikut ini:
+ **NameID Subjek SAMP** — Pengidentifikasi unik untuk pengguna yang masuk. 
**catatan**  
Untuk tumpukan dengan armada yang bergabung dengan domain, nilai NameID untuk pengguna harus disediakan dalam format "" menggunakan Nama s atau `domain\username` "" menggunakan. AMAccount `username@domain.com` userPrincipalName Jika Anda menggunakan format AMAccount Nama s, Anda dapat menentukan `domain` dengan menggunakan nama NetBIOS atau nama domain yang sepenuhnya memenuhi syarat (FQDN). Format s AMAccount Name diperlukan untuk skenario kepercayaan satu arah Direktori Aktif. Untuk informasi selengkapnya, lihat [Menggunakan Active Directory dengan WorkSpaces Aplikasi](active-directory.md).
+ **Jenis Subjek SAMP** (dengan nilai yang disetel ke`persistent`) - Mengatur nilai untuk `persistent` memastikan bahwa IDP Anda mengirimkan nilai unik yang sama untuk elemen `NameID` di semua permintaan SAMP dari pengguna tertentu. Pastikan bahwa kebijakan IAM Anda menyertakan kondisi untuk hanya mengizinkan permintaan SAMP dengan sub\$1type SAMP yang disetel ke`persistent`, seperti yang dijelaskan dalam. [Langkah 2: Buat Peran IAM Federasi SAMP 2.0](#external-identity-providers-grantperms)
+ **`Attribute`elemen dengan `Name` atribut disetel ke https://aws.amazon.com/SAML/ Atribut/Peran - Elemen ini berisi satu atau lebih `AttributeValue` elemen yang mencantumkan peran** IAM dan SAMP iDP yang pengguna dipetakan oleh IDP Anda. Peran dan idP ditentukan sebagai pasangan yang dibatasi koma dari. ARNs
+ **`Attribute`elemen dengan `Name` atribut disetel ke https://aws.amazon.com/SAML/ Attributes/ RoleSessionName** - Elemen ini berisi satu `AttributeValue` elemen yang menyediakan pengenal untuk kredensi AWS sementara yang dikeluarkan untuk SSO. Nilai dalam `AttributeValue` elemen harus antara 2 dan 64 karakter, hanya dapat berisi karakter alfanumerik, garis bawah, dan karakter berikut: \$1 (tanda plus), = (sama dengan tanda),, (koma),. (titik), @ (pada simbol), dan - (tanda hubung). Tidak dapat berisi spasi. Nilainya biasanya ID pengguna (bobsmith) atau alamat email (bobsmith@example.com). Seharusnya tidak menjadi nilai yang mencakup spasi, seperti nama tampilan pengguna (Bob Smith).
+ **`Attribute`elemen dengan `Name` atribut disetel ke https://aws.amazon.com/SAML/ Attributes/PrincipalTag: SessionContext (opsional)** - Elemen ini berisi satu `AttributeValue` elemen yang menyediakan parameter yang dapat digunakan untuk meneruskan parameter konteks sesi ke aplikasi streaming Anda. Untuk informasi selengkapnya, lihat [Konteks Sesi dalam WorkSpaces Aplikasi Amazon](managing-stacks-fleets-session-context.md).
+ **`Attribute`elemen dengan `Name` atribut disetel ke https://aws.amazon.com/SAML/ Attributes/PrincipalTag: ObjectSid (opsional)** - Elemen ini berisi satu `AttributeValue` elemen yang menyediakan pengenal keamanan Direktori Aktif (SID) untuk pengguna yang masuk. Parameter ini digunakan dengan otentikasi berbasis sertifikat untuk mengaktifkan pemetaan yang kuat ke pengguna Active Directory.
+ **`Attribute`elemen dengan `Name` atribut disetel ke https://aws.amazon.com/SAML/ Atributes/:Domain PrincipalTag (opsional) -** Elemen ini berisi satu elemen `AttributeValue` yang menyediakan nama domain yang sepenuhnya memenuhi syarat DNS Direktori Aktif (FQDN) untuk pengguna yang masuk. Parameter ini digunakan dengan otentikasi berbasis sertifikat ketika Active Directory `userPrincipalName` untuk pengguna berisi akhiran alternatif. Nilai harus disediakan dalam format**domain.com**, termasuk subdomain apa pun.
+ **`Attribute`elemen dengan `SessionDuration` atribut diatur ke https://aws.amazon.com/SAML/ Attributes/ SessionDuration (opsional)** - Elemen ini berisi satu `AttributeValue` elemen yang menentukan jumlah maksimum waktu bahwa sesi streaming federasi untuk pengguna dapat tetap aktif sebelum otentikasi ulang diperlukan. Nilai default adalah 60 menit, atau 3.600 detik. Untuk informasi selengkapnya, lihat *elemen Atribut opsional dengan SessionDuration atribut disetel ke SessionDuration bagian https://aws.amazon.com/SAML/ Attributes/* di [Mengonfigurasi Pernyataan SAMP](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) untuk Respons Otentikasi.
**catatan**  
Meskipun `SessionDuration` merupakan atribut opsional, kami sarankan Anda memasukkannya ke dalam respons SAMP. Jika Anda tidak menentukan atribut ini, durasi sesi diatur ke nilai default 60 menit.  
Jika pengguna Anda mengakses aplikasi streaming mereka di WorkSpaces Aplikasi dengan menggunakan klien asli WorkSpaces Aplikasi atau menggunakan browser web pada pengalaman baru, sesi mereka terputus setelah durasi sesi mereka berakhir. Jika pengguna Anda mengakses aplikasi streaming mereka di WorkSpaces Aplikasi dengan menggunakan browser web pada old/classic pengalaman, setelah durasi sesi pengguna berakhir dan mereka menyegarkan halaman browser mereka, sesi mereka terputus.

*Untuk informasi selengkapnya tentang cara mengonfigurasi elemen-elemen ini, lihat [Mengonfigurasi Pernyataan SAMP untuk Respons Otentikasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) di Panduan Pengguna IAM.* Untuk informasi tentang persyaratan konfigurasi khusus untuk IDP Anda, lihat dokumentasi untuk IDP Anda.

## Langkah 6: Konfigurasikan Status Relay Federasi Anda
<a name="external-identity-providers-relay-state"></a>

Terakhir, gunakan IDP Anda untuk mengonfigurasi status relai federasi Anda untuk menunjuk ke URL status relai tumpukan WorkSpaces Aplikasi. Setelah otentikasi berhasil oleh AWS, pengguna diarahkan ke portal tumpukan WorkSpaces Aplikasi, yang didefinisikan sebagai status relai dalam respons otentikasi SAMP.

Format URL status relai adalah sebagai berikut:

```
https://relay-state-region-endpoint?stack=stackname&accountId=aws-account-id-without-hyphens
```

Buat URL status relai dari ID akun Amazon Web Services, nama tumpukan, dan titik akhir status relai yang terkait dengan Wilayah tempat tumpukan Anda berada.

Secara opsional, Anda dapat menentukan nama aplikasi yang ingin Anda luncurkan secara otomatis. Untuk menemukan nama aplikasi, pilih gambar di konsol WorkSpaces Aplikasi, pilih tab **Aplikasi**, dan catat nama yang ditampilkan di kolom **Nama Aplikasi**. Atau, jika Anda belum membuat gambar, sambungkan ke pembuat gambar tempat Anda menginstal aplikasi, dan buka Image Assistant. Nama-nama aplikasi ditampilkan di tab **Add Apps**.

Jika armada Anda diaktifkan untuk tampilan streaming **Desktop**, Anda juga dapat memilih untuk meluncurkan langsung ke desktop sistem operasi. Untuk melakukannya, tentukan **Desktop** di akhir URL status relai, setelahnya**&app=**.

Dengan alur yang dimulai oleh penyedia identitas (iDP), di browser default sistem, setelah pengguna masuk ke iDP dan memilih aplikasi WorkSpaces Aplikasi dari portal pengguna iDP, mereka diarahkan ke halaman masuk WorkSpaces Aplikasi di browser default sistem dengan opsi berikut:
+ **Lanjutkan dengan Browser**
+ **Buka klien WorkSpaces Aplikasi**

Pada halaman, pengguna dapat memilih untuk memulai sesi baik di browser, atau dengan WorkSpaces aplikasi klien Aplikasi. Secara opsional, Anda juga dapat menentukan klien mana yang harus digunakan untuk federasi SAMP 2.0. Untuk melakukan ini, tentukan salah satu `native` atau `web` di akhir URL status relai, setelahnya`&client=`. Ketika parameter hadir dalam URL status relai, sesi yang sesuai akan dimulai di klien yang ditentukan secara otomatis, tanpa pengguna membuat pilihan.

**catatan**  
Fitur ini hanya tersedia jika Anda menggunakan titik akhir wilayah status relai baru (pada Tabel 1 di bawah) untuk membuat URL status relai, dan menggunakan klien WorkSpaces Aplikasi versi 1.1.1300 dan yang lebih baru. Selain itu, pengguna harus selalu menggunakan browser default sistem mereka untuk masuk ke iDP. Fitur ini tidak akan berfungsi jika mereka menggunakan browser non-default.

Dengan hak aplikasi berbasis atribut menggunakan penyedia identitas SAMP 2.0 pihak ketiga, Anda dapat mengaktifkan akses ke beberapa tumpukan dari satu URL status relai. Hapus parameter stack dan app (jika ada) dari URL status relai, sebagai berikut:

```
https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens
```

Ketika pengguna bergabung ke katalog WorkSpaces aplikasi Aplikasi, mereka akan disajikan dengan semua tumpukan di mana hak aplikasi telah mencocokkan satu atau beberapa aplikasi dengan pengguna untuk ID akun dan titik akhir status relay yang terkait dengan Wilayah tempat tumpukan Anda berada. Ketika pengguna memilih katalog, hak aplikasi hanya akan menampilkan aplikasi yang berhak dimiliki pengguna.

**catatan**  
Pengguna tidak dapat melakukan streaming dari beberapa tumpukan secara bersamaan.

Untuk informasi selengkapnya, lihat [Hak Aplikasi Berbasis Atribut Menggunakan Penyedia Identitas SAMP 2.0 Pihak Ketiga](application-entitlements-saml.md).

Tabel 1 di bawah ini mencantumkan titik akhir status relai untuk Wilayah tempat WorkSpaces Aplikasi tersedia. Titik akhir status relai pada Tabel 1 kompatibel dengan [WorkSpaces Aplikasi Akses Browser Web (Versi 2)](web-browser-access-v2.md) dan aplikasi klien Windows versi 1.1.1300 dan yang lebih baru. Jika Anda menggunakan versi klien Windows yang lebih lama, Anda harus menggunakan titik akhir status relai lama yang tercantum dalam Tabel 2 untuk mengonfigurasi federasi SAMP 2.0 Anda. Jika Anda ingin pengguna melakukan streaming menggunakan koneksi yang sesuai dengan FIPS, Anda harus menggunakan titik akhir yang sesuai dengan FIPS. Untuk informasi selengkapnya tentang titik akhir FIPS, lihat [Melindungi Data dalam Transit dengan Titik Akhir FIPS](protecting-data-in-transit-FIPS-endpoints.md).


**Tabel 1: WorkSpaces Aplikasi relai titik akhir wilayah negara bagian (Disarankan)**  

| Region | Titik akhir status relai | 
| --- | --- | 
| AS Timur (Virginia Utara) |  `https://appstream2.euc-sso.us-east-1.aws.amazon.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-east-1.aws.amazon.com/saml`  | 
| AS Timur (Ohio) | https://appstream2.euc-sso.us-east-2.aws.amazon.com/saml | 
| AS Barat (Oregon) |  `https://appstream2.euc-sso.us-west-2.aws.amazon.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-west-2.aws.amazon.com/saml`  | 
| Asia Pasifik (Malaysia) | https://appstream2.euc-sso.ap-southeast-5.aws.amazon.com/saml | 
| Asia Pasifik (Mumbai) | https://appstream2.euc-sso.ap-south-1.aws.amazon.com/saml | 
| Asia Pasifik (Seoul) | https://appstream2.euc-sso.ap-northeast-2.aws.amazon.com/saml | 
| Asia Pasifik (Singapura) | https://appstream2.euc-sso.ap-southeast-1.aws.amazon.com/saml | 
| Asia Pasifik (Sydney) | https://appstream2.euc-sso.ap-southeast-2.aws.amazon.com/saml | 
| Asia Pasifik (Tokyo) | https://appstream2.euc-sso.ap-northeast-1.aws.amazon.com/saml | 
|  Kanada (Pusat)  | https://appstream2.euc-sso.ca-central-1.aws.amazon.com/saml | 
| Eropa (Frankfurt) | https://appstream2.euc-sso.eu-central-1.aws.amazon.com/saml | 
| Eropa (Irlandia) | https://appstream2.euc-sso.eu-west-1.aws.amazon.com/saml | 
| Eropa (London) | https://appstream2.euc-sso.eu-west-2.aws.amazon.com/saml | 
| Eropa (Milan) | https://appstream2.euc-sso.eu-south-1.aws.amazon.com/saml | 
| Eropa (Paris) | https://appstream2.euc-sso.eu-west-3.aws.amazon.com/saml | 
| Eropa (Spanyol) | https://appstream2.euc-sso.eu-south-2.aws.amazon.com/saml | 
| AWS GovCloud (AS-Timur) |  `https://appstream2.euc-sso.us-gov-east-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com/saml`  Untuk informasi selengkapnya tentang menggunakan WorkSpaces Aplikasi di AWS GovCloud (US) Wilayah, lihat [ WorkSpaces Aplikasi Amazon](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) di *Panduan AWS GovCloud (US) Pengguna*.   | 
| AWS GovCloud (AS-Barat) |  `https://appstream2.euc-sso.us-gov-west-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com/saml`  Untuk informasi selengkapnya tentang menggunakan WorkSpaces Aplikasi di AWS GovCloud (US) Wilayah, lihat [ WorkSpaces Aplikasi Amazon](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) di *Panduan AWS GovCloud (US) Pengguna*.   | 
| Amerika Selatan (Sao Paulo) | https://appstream2.euc-sso.sa-east-1.aws.amazon.com/saml | 
| Israel (Tel Aviv) | https://appstream2.euc-sso.il-central-1.aws.amazon.com/saml | 

Tabel 2 di bawah ini mencantumkan titik akhir status relai lama yang masih tersedia. Namun, disarankan agar Anda menggunakan titik akhir status relai baru yang tercantum dalam Tabel 1 untuk mengonfigurasi federasi SAMP 2.0 Anda. Secara khusus, dengan titik akhir status relai baru, Anda dapat mengaktifkan pengguna Anda untuk meluncurkan WorkSpaces aplikasi klien Aplikasi (versi 1.1.1300 dan yang lebih baru) dari sesi streaming yang dimulai IDP. Titik akhir status relai baru pada Tabel 1 juga memungkinkan pengguna untuk masuk ke AWS aplikasi lain di tab berbeda dari browser web yang sama, tanpa memengaruhi sesi streaming WorkSpaces Aplikasi yang sedang berlangsung. Titik akhir status relai lama pada Tabel 2 tidak mendukung ini. Untuk informasi selengkapnya, lihat [Pengguna klien WorkSpaces Aplikasi Saya terputus dari sesi WorkSpaces Aplikasi mereka setelah setiap 60 menit.](troubleshooting-user-issues.md#troubleshooting-client-users-disconnected-every-60-minutes)


**Tabel 2: WorkSpaces Aplikasi Lama menyampaikan titik akhir wilayah negara bagian (Tidak disarankan)**  

| Region | Titik akhir status relai | 
| --- | --- | 
| AS Timur (Virginia Utara) |  `https://appstream2.us-east-1.aws.amazon.com/saml` (FIPS) `https://appstream2-fips.us-east-1.aws.amazon.com/saml`  | 
| AS Timur (Ohio) | https://appstream2.us-east-2.aws.amazon.com/saml | 
| AS Barat (Oregon) |  `https://appstream2.us-west-2.aws.amazon.com/saml` (FIPS) `https://appstream2-fips.us-west-2.aws.amazon.com/saml`  | 
| Asia Pasifik (Mumbai) | https://appstream2.ap-south-1.aws.amazon.com/saml | 
| Asia Pasifik (Seoul) | https://appstream2.ap-northeast-2.aws.amazon.com/saml | 
| Asia Pasifik (Singapura) | https://appstream2.ap-southeast-1.aws.amazon.com/saml | 
| Asia Pasifik (Sydney) | https://appstream2.ap-southeast-2.aws.amazon.com/saml | 
| Asia Pasifik (Tokyo) | https://appstream2.ap-northeast-1.aws.amazon.com/saml | 
|  Kanada (Pusat)  | https://appstream2.ca-central-1.aws.amazon.com/saml | 
| Eropa (Frankfurt) | https://appstream2.eu-central-1.aws.amazon.com/saml | 
| Eropa (Irlandia) | https://appstream2.eu-west-1.aws.amazon.com/saml | 
| Eropa (London) | https://appstream2.eu-west-2.aws.amazon.com/saml | 
| AWS GovCloud (AS-Timur) |  `https://appstream2.us-gov-east-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2-fips.us-gov-east-1.amazonaws-us-gov.com/saml`  Untuk informasi selengkapnya tentang menggunakan WorkSpaces Aplikasi di AWS GovCloud (US) Wilayah, lihat [ WorkSpaces Aplikasi Amazon](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) di *Panduan AWS GovCloud (US) Pengguna*.   | 
| AWS GovCloud (AS-Barat) |  `https://appstream2.us-gov-west-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2-fips.us-gov-west-1.amazonaws-us-gov.com/saml`  Untuk informasi selengkapnya tentang menggunakan WorkSpaces Aplikasi di AWS GovCloud (US) Wilayah, lihat [ WorkSpaces Aplikasi Amazon](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) di *Panduan AWS GovCloud (US) Pengguna*.   | 
| Amerika Selatan (Sao Paulo) | https://appstream2.sa-east-1.aws.amazon.com/saml | 

Tabel 3 di bawah ini mencantumkan semua parameter yang tersedia yang dapat Anda gunakan untuk membuat URL status relai.


**Tabel 3: Parameter URL status relai**  

| Parameter | Diperlukan | Format | Didukung oleh | 
| --- | --- | --- | --- | 
| accountId | Diperlukan | ID 12 karakter Akun AWS  | Endpoint baru dan lama pada Tabel 1 dan 2 | 
| tumpukan | Opsional | Nama tumpukan | Endpoint baru dan lama pada Tabel 1 dan 2 | 
| aplikasi | Opsional | Nama aplikasi atau “Desktop” | Endpoint baru dan lama pada Tabel 1 dan 2 | 
| klien | Opsional | “asli” atau “web” | Endpoint baru pada Tabel 1 saja | 

# WorkSpaces Integrasi Aplikasi dengan SAMP 2.0
<a name="external-identity-providers-further-info"></a>

Tautan berikut membantu Anda mengonfigurasi solusi penyedia identitas SAMP 2.0 pihak ketiga untuk bekerja dengan WorkSpaces Aplikasi.


| Solusi iDP | Informasi selengkapnya | 
| --- | --- | 
| AWS IAM Identity Center |  [Aktifkan federasi dengan Pusat Identitas IAM dan WorkSpaces Aplikasi Amazon](https://aws.amazon.com/blogs/desktop-and-application-streaming/enable-federation-with-aws-single-sign-on-and-amazon-appstream-2-0/) — Menjelaskan cara menggunakan Pusat Identitas IAM untuk menggabungkan akses pengguna ke WorkSpaces aplikasi Aplikasi Anda dengan kredensialnya yang ada. | 
| Layanan Federasi Direktori Aktif (AD FS) untuk Windows Server | [AppStream](https://gg4l.com/product/appstream/)di situs web GG4 L — Menjelaskan cara memberi pengguna akses SSO ke WorkSpaces Aplikasi dengan menggunakan kredensi perusahaan mereka yang ada. Anda dapat mengonfigurasi identitas federasi untuk WorkSpaces Aplikasi dengan menggunakan AD FS 3.0.  | 
| Azure Activey Directory (Azure AD) |  [Mengaktifkan Federasi dengan Azure AD Single Sign-On dan Aplikasi WorkSpaces Amazon](https://aws.amazon.com/blogs/desktop-and-application-streaming/enabling-federation-with-azure-ad-single-sign-on-and-amazon-appstream-2-0/) — Menjelaskan cara mengonfigurasi akses pengguna gabungan untuk Aplikasi WorkSpaces Amazon dengan menggunakan Azure AD SSO untuk aplikasi perusahaan. | 
| GG4L Paspor Sekolah™ |  [Mengaktifkan Federasi Identitas dengan GG4 L's School Passport™ dan WorkSpaces Aplikasi Amazon](https://sso.gg4l.com/docs/#/appstream) — Menjelaskan cara mengonfigurasi GG4 L's School Passport™ untuk memasukkan login ke WorkSpaces Aplikasi.  | 
| Google |  [Menyiapkan federasi G Suite SAMP 2.0 dengan WorkSpaces Aplikasi Amazon](https://aws.amazon.com/blogs/desktop-and-application-streaming/setting-up-g-suite-saml-2-0-federation-with-amazon-appstream-2-0/) — Menjelaskan cara menggunakan konsol Admin G Suite untuk mengatur federasi SAMP ke WorkSpaces Aplikasi bagi pengguna di domain G Suite.  | 
| Okta |  [Cara Mengkonfigurasi SAMP 2.0 untuk WorkSpaces Aplikasi Amazon](http://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Amazon-AppStream-2-0.html) - Menjelaskan cara menggunakan Okta untuk mengatur federasi SAMP ke Aplikasi. WorkSpaces Untuk tumpukan yang digabungkan ke domain, “Format nama pengguna aplikasi” harus disetel ke “Nama utama pengguna AD”. | 
| Identitas Ping |  [Mengonfigurasi koneksi SSO ke WorkSpaces Aplikasi Amazon](https://support.pingidentity.com/s/article/Configuring-an-SSO-connection-to-Amazon-AppStream-2-0) - Menjelaskan cara mengatur sistem masuk tunggal (SSO) ke Aplikasi. WorkSpaces  | 
| Shibboleth |  [Single Sign-On: Integrating, AWS OpenLDAP, dan Shibboleth](https://aws.amazon.com/blogs/security/new-whitepaper-single-sign-on-integrating-aws-openldap-and-shibboleth/) — Menjelaskan cara mengatur federasi awal antara IDP Shibboleth dan. Konsol Manajemen AWS Anda harus menyelesaikan langkah-langkah tambahan berikut untuk mengaktifkan federasi ke WorkSpaces Aplikasi. Langkah 4 dari whitepaper AWS Keamanan menjelaskan cara membuat peran IAM yang menentukan izin yang dimiliki pengguna federasi untuk. Konsol Manajemen AWS Setelah Anda membuat peran ini dan menyematkan kebijakan sebaris seperti yang dijelaskan dalam whitepaper, ubah kebijakan ini sehingga memberikan izin kepada pengguna federasi untuk hanya mengakses tumpukan Aplikasi. WorkSpaces Untuk melakukan ini, ganti kebijakan yang ada dengan kebijakan yang tercantum dalam *Langkah 3: Sematkan Kebijakan Inline untuk Peran IAM*, di. [Menyiapkan SAMP](external-identity-providers-setting-up-saml.md)Saat Anda menambahkan URL status relai tumpukan seperti yang dijelaskan pada *Langkah 6: Konfigurasikan Status Relai Federasi Anda*[Menyiapkan SAMP](external-identity-providers-setting-up-saml.md), di, tambahkan parameter status relai ke URL federasi sebagai atribut permintaan target. URL harus dikodekan. Untuk informasi tentang mengonfigurasi parameter status relai, lihat bagian [SAMP 2.0](https://wiki.shibboleth.net/confluence/display/IDP30/UnsolicitedSSOConfiguration#UnsolicitedSSOConfiguration-SAML2.0) di dokumentasi Shibboleth.Untuk informasi selengkapnya, lihat [Mengaktifkan Federasi Identitas dengan Aplikasi Shibboleth dan Amazon](https://aws.amazon.com/blogs/desktop-and-application-streaming/enabling-identity-federation-with-shibboleth-and-amazon-appstream-2-0/). WorkSpaces  | 
| VMware WorkSpace SATU |  [Menggabungkan Akses ke WorkSpaces Aplikasi Amazon dari VMware Workspace ONE](https://aws.amazon.com/blogs/desktop-and-application-streaming/federating-access-to-amazon-appstream-2-0-from-vmware-workspace-one/) — Menjelaskan cara menggunakan platform VMware Workspace ONE untuk menggabungkan akses pengguna ke aplikasi Aplikasi Anda. WorkSpaces  | 
| Sederhana SAMLphp | [Mengaktifkan Federasi dengan WorkSpaces Aplikasi Sederhana SAMLphp dan Amazon](https://aws.amazon.com/blogs/desktop-and-application-streaming/enabling-federation-with-simplesamlphp-and-amazon-appstream-2-0/) - Menjelaskan cara mengkonfigurasi federasi SAMP 2.0 untuk WorkSpaces Aplikasi menggunakan Simple. SAMLphp | 
| OneLogin Masuk Tunggal (SSO) | [OneLogin SSO dengan WorkSpaces Aplikasi Amazon](https://aws.amazon.com/blogs/desktop-and-application-streaming/onelogin-sso-with-amazon-appstream-2-0/) - Menjelaskan cara mengonfigurasi akses pengguna federasi untuk WorkSpaces Aplikasi menggunakan OneLogin SSO. | 
| JumpCloud Masuk Tunggal (SSO) | [Aktifkan federasi dengan WorkSpaces Aplikasi JumpCloud SSO dan Amazon](https://aws.amazon.com/blogs/desktop-and-application-streaming/enable-federation-with-jumpcloud-sso-and-appstream-2-0/) — Menjelaskan cara mengonfigurasi akses pengguna federasi untuk WorkSpaces Aplikasi yang menggunakan JumpCloud SSO. | 
| Bio-kunci PortalGuard | [Aktifkan federasi dengan Bio-key dan PortalGuard Amazon AppStream 2.0](https://aws.amazon.com/blogs/desktop-and-application-streaming/enable-federation-with-bio-key-portalguard-and-amazon-appstream-2-0/) — Menjelaskan cara mengonfigurasi Bio-key PortalGuard untuk login federasi ke Aplikasi. WorkSpaces  | 

Untuk solusi untuk masalah umum yang mungkin Anda temui, lihat[Pemecahan Masalah](troubleshooting.md).

Untuk informasi selengkapnya tentang penyedia SAMP tambahan yang didukung, lihat [Mengintegrasikan Penyedia Solusi SAMP Pihak Ketiga dengan Panduan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html) Pengguna *IAM*.