Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Guida introduttiva ad Amazon WorkSpaces Secure Browser
<a name="getting-started"></a>

Segui questi passaggi per creare un portale web WorkSpaces Secure Browser e fornire agli utenti l'accesso ai siti Web interni e SaaS dai browser esistenti. Puoi creare un portale web in qualsiasi area supportata per account. 

**Nota**  
Per richiedere un aumento del limite per più di un portale, contatta l'assistenza indicando il tuo Account AWS ID, il numero di portali da richiedere e. Regione AWS

Questo processo richiede in genere cinque minuti con la procedura guidata di creazione del portale Web e fino a altri 15 minuti affinché il portale diventi **attivo**.

Non ci sono costi associati alla configurazione di un portale web. WorkSpaces Secure Browser offre pay-as-you-go prezzi, tra cui un prezzo mensile basso per gli utenti che utilizzano attivamente il servizio. Non ci sono costi iniziali, licenze o impegni a lungo termine.

**Importante**  
Prima di iniziare devi completare i prerequisiti necessari per un portale web. Per ulteriori informazioni sui prerequisiti, consulta [Configurazione di Amazon WorkSpaces Secure Browser](setting-up.md).

**Topics**
+ [Creazione di un portale Web per Amazon WorkSpaces Secure Browser](getting-started-step1.md)
+ [Verifica del tuo portale web in Amazon WorkSpaces Secure Browser](getting-started-step2.md)
+ [Distribuzione del tuo portale web in Amazon WorkSpaces Secure Browser](getting-started-step3.md)

# Creazione di un portale Web per Amazon WorkSpaces Secure Browser
<a name="getting-started-step1"></a>

Per creare un portale web, segui queste fasi:

**Topics**
+ [Configurazione delle impostazioni di rete per Amazon WorkSpaces Secure Browser](network-settings.md)
+ [Configurazione delle impostazioni del portale per Amazon WorkSpaces Secure Browser](portal-settings.md)
+ [Configurazione delle impostazioni utente per Amazon WorkSpaces Secure Browser](user-settings.md)
+ [Configurazione del tuo provider di identità per Amazon WorkSpaces Secure Browser](identity-settings.md)
+ [Avvio di un portale Web con Amazon WorkSpaces Secure Browser](review-settings.md)

# Configurazione delle impostazioni di rete per Amazon WorkSpaces Secure Browser
<a name="network-settings"></a>

Per configurare le impostazioni di rete per WorkSpaces Secure Browser, segui questi passaggi.

1. Apri la console WorkSpaces Secure Browser a [https://console.aws.amazon.com/workspaces-web/casa](https://console.aws.amazon.com/workspaces-web/home).

1. Scegli **WorkSpaces Secure Browser**, quindi **Portali Web**, quindi scegli **Crea portale web**.

1. Nella pagina **Passaggio 1: specificare la connessione di rete**, completa i seguenti passaggi per connettere il VPC al portale Web e configurare il VPC e le sottoreti.

   1. Per **i dettagli sulla rete**, scegli un VPC con una connessione ai contenuti a cui desideri che i tuoi utenti accedano con WorkSpaces Secure Browser.

   1. Scegli fino a tre sottoreti private che soddisfino i seguenti requisiti. Per ulteriori informazioni, consulta [Rete per Amazon WorkSpaces Secure Browser](setup-vpc.md).
      + È necessario scegliere un minimo di due sottoreti private per creare un portale.
      + Per garantire un'elevata disponibilità del tuo portale web, ti consigliamo di fornire il numero massimo di sottoreti private in zone di disponibilità uniche per il tuo VPC. 

   1. Scelta del gruppo di sicurezza.

# Configurazione delle impostazioni del portale per Amazon WorkSpaces Secure Browser
<a name="portal-settings"></a>

Nella pagina **Passaggio 2: Configurazione delle impostazioni del portale web**, completa i seguenti passaggi per personalizzare l'esperienza di navigazione degli utenti all'inizio di una sessione.

1. In **Dettagli del portale Web**, in **Nome visualizzato**, inserisci un nome identificabile per il tuo portale web.

1. In **Tipo di istanza**, seleziona il tipo di istanza per il tuo portale web dal menu a discesa. Quindi, inserisci il **limite massimo di utenti simultanei** per il portale web. Per ulteriori informazioni, consulta [Gestione delle quote di servizio per il tuo portale in Amazon WorkSpaces Secure Browser](request-service-quota.md).
**Nota**  
La selezione di un nuovo tipo di istanza modificherà il costo per ogni utente attivo mensile. Per ulteriori informazioni, consulta i [prezzi di Amazon WorkSpaces Secure Browser](https://aws.amazon.com/workspaces/web/pricing/).

1. In **Dominio personalizzato**, puoi configurare un dominio personalizzato per il tuo portale per consentire l'accesso tramite il tuo nome di dominio anziché l'endpoint predefinito del portale. Per ulteriori informazioni, consulta [Configurazione di un dominio personalizzato per il portale](custom-domains.md). **Questo è facoltativo.**

1. In **Session Logger**, puoi specificare un bucket S3 per archiviare i file di registro delle sessioni. Per ulteriori informazioni, consulta [Configurazione di Session Logger per Amazon WorkSpaces Secure Browser](session-logger.md). **Questo è facoltativo.**

1. In **Registrazione degli accessi utente**, per **Kinesis stream** ID, seleziona il flusso di dati Amazon Kinesis a cui desideri inviare i file di log. Per ulteriori informazioni, consulta [Configurazione della registrazione delle attività degli utenti in Amazon WorkSpaces Secure Browser](user-logging.md). **Questo è facoltativo.**

1. In **Controllo dell'accesso IP**, scegli se limitare l'accesso a reti affidabili. Per ulteriori informazioni, consulta [Gestione dei controlli di accesso IP in Amazon WorkSpaces Secure Browser](ip-access-controls.md). **Questa operazione è facoltativa.**

1. In **Impostazioni di protezione dei dati**, puoi creare politiche per WorkSpaces Secure Browser per oscurare le informazioni sensibili. Per ulteriori informazioni, consulta [Gestione delle impostazioni di protezione dei dati in Amazon WorkSpaces Secure Browser](data-protection-settings.md). **Questo è facoltativo**.

1. Nel **filtro URL**, puoi specificare a quali utenti URLs finali è consentito accedere o bloccare categorie specifiche URLs o di dominio per limitare l'accesso. Per ulteriori informazioni, consulta [Filtraggio dei contenuti Web in Amazon WorkSpaces Secure Browser](web-content-filtering.md). **Questo è facoltativo.**

   1. Per limitare la navigazione della sessione a pochi domini selezionati, attiva l'opzione **Blocca tutto URLs** e fai clic su **aggiungi URL** per visualizzare l'elenco degli utenti finali a cui è consentito URLs l'accesso.

   1. Per creare un elenco URLs da bloccare per gli utenti finali, fai clic su **Aggiungi URL** per elencare il singolo URLs da bloccare o fai clic su **Aggiungi categorie** per selezionare le categorie di domini bloccati (ad esempio, social network).

1. In **Impostazioni delle norme**, puoi impostare qualsiasi criterio del browser utilizzando i criteri di Chrome disponibili per l'ultima versione stabile del portale web. Per ulteriori informazioni, consulta [Gestione delle policy del browser in Amazon WorkSpaces Secure Browser](browser-policies.md). **Questo è facoltativo.**

   1. È possibile selezionare rapidamente alcune delle politiche più comuni nell'**editor Visual**
      + Per **URL di avvio: facoltativo**, inserisci un dominio da utilizzare come home page quando gli utenti avviano il browser. Il VPC deve includere una connessione stabile a questo URL.
      + Seleziona o deseleziona **Navigazione privata** ed **Eliminazione della cronologia** per attivare o disattivare queste funzionalità durante la sessione di un utente
**Nota**  
URLs i visitatori visitati durante la navigazione privata o prima che un utente elimini la cronologia del browser non possono essere registrati nella registrazione degli accessi degli utenti. Per ulteriori informazioni, consulta [Configurazione della registrazione delle attività degli utenti in Amazon WorkSpaces Secure Browser](user-logging.md).
      + Per i **segnalibri del browser: facoltativo**, inserisci il **nome visualizzato, il** **dominio** e la **cartella** per tutti i segnalibri che desideri che gli utenti vedano nel loro browser. Quindi, scegli **Aggiungi segnalibro**.
**Nota**  
Il **dominio** è un campo obbligatorio per i segnalibri del browser.  
In Chrome, gli utenti possono trovare i segnalibri gestiti nella cartella **Segnalibri gestiti** sulla barra degli strumenti dei segnalibri.

   1. Puoi anche aggiungere o modificare direttamente le politiche utilizzando l'editor JSON anziché l'editor visuale. Per il formato specifico di una policy, consulta l'[elenco delle policy di Chrome Enterprise](https://chromeenterprise.google/policies/).

   1. Puoi anche importare le politiche di Chrome utilizzate nella tua organizzazione caricando un file JSON nel portale web. Per i dettagli, consulta [Tutorial: impostazione di una politica del browser personalizzata in Amazon WorkSpaces Secure Browser](browser-policies-custom.md)

      Quando carichi un file di policy, puoi vedere le policy disponibili nel file nella console. Tuttavia, non è possibile modificare tutte le policy nell'editor visivo. La console elenca le policy nel file JSON che non è possibile modificare con l'editor visivo in **Policy JSON aggiuntive**. Per apportare modifiche a queste policy, devi modificarle manualmente.

1. Aggiungi **tag** al tuo portale. Puoi utilizzare i tag per cercare o filtrare AWS le tue risorse. I tag sono costituiti da un valore chiave e facoltativo e sono associati alla risorsa del portale. **Questo è facoltativo.**

1. Seleziona **Successivo** per continuare.

# Configurazione delle impostazioni utente per Amazon WorkSpaces Secure Browser
<a name="user-settings"></a>

Nel **Passaggio 3: Seleziona la pagina delle impostazioni utente**, completa i seguenti passaggi per scegliere a quali funzionalità gli utenti possono accedere dalla barra di navigazione in alto durante la sessione, quindi scegli **Avanti**:

1. Nella sezione **Personalizzazione del marchio**, puoi personalizzare le schermate di accesso e caricamento visualizzate dagli utenti finali modificando gli elementi visivi, il contenuto testuale e i termini di servizio. Per ulteriori informazioni, consulta [Personalizzazione del marchio in Amazon Secure Browser WorkSpaces](branding-customization.md). **Questa operazione è facoltativa.**

1. In **Autorizzazioni**, scegli se abilitare l'estensione per il Single Sign-On. Per ulteriori informazioni, consulta [Gestione dell'estensione Single Sign-On in Amazon Secure Browser WorkSpaces](allow-extension.md).

1. **Per **Consenti agli utenti di stampare su un dispositivo locale dal loro portale web**, scegli **Consentita o Non consentita**.** 

1. Per **Consenti agli utenti di creare collegamenti diretti al loro portale web**, scegli **Consentito o **Non** consentito**. Per ulteriori informazioni sui link diretti, consulta. [Collegamenti diretti in Amazon WorkSpaces Secure Browser](deep-links.md)

1. Per **Consenti agli utenti di utilizzare l'autenticazione locale nella sessione del portale**, scegli **Consentita** o **Non consentita**. Per ulteriori informazioni sull'autenticazione web, consulta[Abilitazione del supporto WebAuthn per il reindirizzamento in Amazon WorkSpaces Secure Browser](web-authentication.md).

1. In **Controlli della barra degli strumenti**, scegli le impostazioni che desideri in **Funzionalità**.

1. In **Impostazioni**, gestisci la visualizzazione della presentazione della barra degli strumenti all'inizio della sessione, incluso lo stato della barra degli strumenti (ancorata o scollegata), il tema (modalità scura o chiara), la visibilità delle icone e la risoluzione massima dello schermo per la sessione. Lascia queste impostazioni non configurate per concedere agli utenti finali il pieno controllo su queste opzioni. Per ulteriori informazioni, consulta [Gestione dei controlli della barra degli strumenti in Amazon WorkSpaces Secure Browser](toolbar-controls.md).

1. Per i **timeout delle sessioni**, specifica quanto segue: 
   + Per **Disconnect timeout in minutes (Scollega timeout in pochi minuti)**, scegliere la quantità di tempo in cui una sessione di streaming rimane attiva dopo la disconnessione degli utenti. Se gli utenti provano a riconnettersi alla sessione di streaming dopo una disconnessione o un'interruzione di rete entro questo intervallo di tempo, vengono connessi alla sessione precedente. Altrimenti, sono connessi a una nuova sessione con una nuova istanza di streaming. 

     Se un utente termina la sessione, il timeout di disconnessione non si applica. Al contrario, all'utente viene chiesto di salvare qualsiasi documento aperto e quindi viene immediatamente disconnesso dall'istanza di streaming. L'istanza utilizzata dall'utente viene quindi terminata. 
   + Per **Idle disconnect timeout in minutes (Timeout disconnessione inattività in pochi minuti)**, scegliere la quantità di tempo in cui gli utenti possono rimanere inattivi prima di essere disconnessi dalla sessione di streaming e l'inizio dell'intervallo di tempo **Disconnect timeout in minutes (Timeout disconnessione in minuti)**. Gli utenti vengono avvisati prima di essere disconnessi per inattività. Se tentano di riconnettersi alla sessione di streaming prima che sia trascorso l'intervallo di tempo specificato in **Disconnect timeout in minutes (Timeout disconnessione in minuti)**, vengono collegati alla sessione precedente. In caso contrario, vengono collegati a una nuova sessione con una nuova istanza di streaming. L'impostazione di questo valore su 0 lo disabilita. Quando questo valore viene disabilitato, gli utenti non vengono disconnessi a causa di inattività.
**Nota**  
Gli utenti vengono considerati inattivi quando smettono di fornire input da tastiera o mouse durante la sessione di streaming. Download e upload dei file, file audio in entrata e in uscita e modifiche dei pixel non vengono considerati attività degli utenti. Se gli utenti continueranno ad essere inattivi una volta trascorso **Idle disconnect timeout in minutes (Timeout disconnessione inattività in pochi minuti)**, vengono disconnessi. 

# Configurazione del tuo provider di identità per Amazon WorkSpaces Secure Browser
<a name="identity-settings"></a>

Utilizza i seguenti passaggi per configurare il tuo provider di identità (IdP).

**Topics**
+ [Scelta del tipo di provider di identità per Amazon WorkSpaces Secure Browser](choose-type.md)
+ [Modifica del tipo di provider di identità per Amazon WorkSpaces Secure Browser](change-type.md)

# Scelta del tipo di provider di identità per Amazon WorkSpaces Secure Browser
<a name="choose-type"></a>

WorkSpaces Secure Browser offre due tipi di autenticazione: **Standard** e **AWS IAM Identity Center**. È possibile scegliere il tipo di autenticazione da utilizzare con il portale nella **pagina Configura provider di identità**. 
+ Per **Standard** (opzione predefinita), federate il vostro provider di identità SAML 2.0 di terze parti (come Okta o Ping) direttamente con il portale. Per ulteriori informazioni, consulta [Configurazione del tipo di autenticazione standard per Amazon WorkSpaces Secure Browser](configure-standard.md). Il tipo standard supporta sia i flussi di autenticazione avviati da SP che quelli avviati da IdP.
+ Per **IAM Identity Center** (opzione avanzata), federa IAM Identity Center con il tuo portale. Per utilizzare questo tipo di autenticazione, il portale IAM Identity Center e WorkSpaces Secure Browser devono risiedere entrambi nello stesso. Regione AWS Per ulteriori informazioni, consulta [Configurazione del tipo di autenticazione IAM Identity Center per Amazon WorkSpaces Secure Browser](configure-iam.md).

**Topics**
+ [Configurazione del tipo di autenticazione standard per Amazon WorkSpaces Secure Browser](configure-standard.md)
+ [Configurazione del tipo di autenticazione IAM Identity Center per Amazon WorkSpaces Secure Browser](configure-iam.md)

# Configurazione del tipo di autenticazione standard per Amazon WorkSpaces Secure Browser
<a name="configure-standard"></a>

Il tipo di autenticazione *standard* è il tipo di autenticazione predefinito. Può supportare flussi di accesso avviati dal provider di servizi (iniziati da SP) e avviati dal provider di identità (avviati da IdP) con il tuo IdP conforme a SAML 2.0. Per configurare il tipo di autenticazione standard, segui i passaggi seguenti per federare il tuo IdP SAML 2.0 di terze parti (come Okta o Ping) direttamente con il tuo portale.

**Topics**
+ [Configurazione del tuo provider di identità su Amazon WorkSpaces Secure Browser](configure-idp-step1.md)
+ [Configurazione del tuo IdP sul tuo IdP](configure-idp-step2.md)
+ [Completamento della configurazione IdP su Amazon WorkSpaces Secure Browser](upload-metadata.md)
+ [Linee guida per l'utilizzo specifico IdPs con Amazon WorkSpaces Secure Browser](idp-guidance.md)

# Configurazione del tuo provider di identità su Amazon WorkSpaces Secure Browser
<a name="configure-idp-step1"></a>

Completa i seguenti passaggi per configurare il tuo provider di identità:

1. Nella pagina **Configura gestore dell'identità digitale** della procedura guidata di creazione, scegli **Standard**.

1. Scegli **Continua con IdP standard**.

1. Scarica il file di metadati SP e mantieni aperta la scheda per i singoli valori dei metadati.
   + Se il file di metadati SP è disponibile, scegli **Scarica file di metadati per scaricare il documento di metadati del fornitore di servizi (SP) e carica il file** di metadati del fornitore di servizi sul tuo IdP nel passaggio successivo. Senza questo, gli utenti non saranno in grado di accedere.
   + Se il tuo provider non carica i file di metadati SP, inserisci manualmente i valori dei metadati.

1. **In **Scegli il tipo di accesso SAML**, scegli tra asserzioni SAML **avviate da SP e IdP o solo asserzioni SAML avviate da** SP.**
   + Le **asserzioni SAML avviate da SP e IdP** consentono al portale di supportare entrambi i tipi di flussi di accesso. I portali che supportano i flussi avviati dall'IdP consentono di presentare asserzioni SAML all'endpoint di federazione delle identità del servizio senza richiedere agli utenti di avviare una sessione visitando l'URL del portale. 
     + Seleziona questa opzione per consentire al portale di accettare asserzioni SAML non richieste avviate da IdP. 
     + Questa opzione richiede la configurazione di un **Relay State predefinito** nel tuo provider di identità SAML 2.0. Il parametro Relay state per il portale si trova nella console in **Accesso SAML avviato da IdP**, oppure puoi copiarlo dal file di metadati SP sotto. `<md:IdPInitRelayState>`
     +  Nota
       + Di seguito è riportato il formato dello stato del relè:. `redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider` 
       + Se copi e incolli il valore dal file di metadati SP, assicurati di passare `&amp; ` a. `&` `&amp;`è un carattere di escape XML.
   + Scegliete solo **asserzioni SAML avviate da SP affinché il portale supporti solo** i flussi di accesso avviati da SP. Questa opzione rifiuterà le asserzioni SAML non richieste dai flussi di accesso avviati dall'IdP. 
**Nota**  
Alcune terze parti IdPs consentono di creare un'applicazione SAML personalizzata in grado di fornire esperienze di autenticazione avviate da IdP sfruttando i flussi avviati da SP. Ad esempio, consulta [Aggiungere un'applicazione di segnalibri Okta](https://help.okta.com/oag/en-us/content/topics/access-gateway/add-app-saml-pass-thru-add-bookmark.htm).

1. **Scegli se abilitare le richieste Sign SAML a questo provider.** L'autenticazione avviata da SP consente all'IdP di verificare che la richiesta di autenticazione provenga dal portale, il che impedisce l'accettazione di altre richieste di terze parti. 

   1. Scarica il certificato di firma e caricalo sul tuo IdP. Lo stesso certificato di firma può essere utilizzato per il singolo logout.

   1. Abilita la richiesta firmata nel tuo IdP. Il nome potrebbe essere diverso, a seconda dell'IdP.
**Nota**  
RSA- SHA256 è l'unico algoritmo di richiesta e firma delle richieste predefinito supportato.

1. Scegli se abilitare le asserzioni **SAML crittografate** Require. Ciò ti consente di crittografare l'asserzione SAML che proviene dal tuo IdP. Può impedire che i dati vengano intercettati nelle asserzioni SAML tra l'IdP e Secure Browser. WorkSpaces 
**Nota**  
Il certificato di crittografia non è disponibile in questa fase. Verrà creato dopo l'avvio del portale. Dopo aver avviato il portale, scarica il certificato di crittografia e caricalo sul tuo IdP. Quindi, abilita la crittografia delle asserzioni nel tuo IdP (il nome potrebbe essere diverso a seconda dell'IdP). 

1. **Scegli se abilitare il Single Logout.** Il single logout consente agli utenti finali di disconnettersi sia dalla sessione IdP WorkSpaces che da quella di Secure Browser con un'unica azione.

   1. Scarica il certificato di firma da WorkSpaces Secure Browser e caricalo sul tuo IdP. Si tratta dello stesso certificato di firma utilizzato per **Request Signing** nel passaggio precedente.

   1. L'utilizzo di **Single Logout** richiede la configurazione di un **URL Single Logout** nel provider di identità SAML 2.0. Puoi trovare l'**URL di accesso singolo** per il tuo portale nella console in **Dettagli del fornitore di servizi (SP) - Mostra valori di metadati individuali o dal file di metadati** SP sotto. `<md:SingleLogoutService>` 

   1. Abilita **Single Logout** nel tuo IdP. Il nome potrebbe essere diverso, a seconda dell'IdP. 

# Configurazione del tuo IdP sul tuo IdP
<a name="configure-idp-step2"></a>

Per configurare il tuo IdP sul tuo IdP, segui questi passaggi.

1. Apri una nuova scheda nel browser.

1. Aggiungi i metadati del tuo portale al tuo IdP SAML.

   Carica il documento di metadati SP scaricato nel passaggio precedente sul tuo IdP oppure copia e incolla i valori dei metadati nei campi corretti del tuo IdP. Alcuni provider non consentono il caricamento di file.

   I dettagli di questo processo possono variare tra i provider. [Linee guida per l'utilizzo specifico IdPs con Amazon WorkSpaces Secure Browser](idp-guidance.md)Per assistenza su come aggiungere i dettagli del portale alla configurazione del tuo IdP, consulta la documentazione del tuo provider.

1. Conferma il **NameID** per l'asserzione SAML.

   Assicurati che il tuo IdP SAML inserisca **NameID** nell'asserzione SAML con il campo email dell'utente. Il **NameID** e l'e-mail dell'utente vengono utilizzati per identificare in modo univoco l'utente federato SAML con il portale. Utilizza il formato persistente SAML Name ID.

1. Facoltativo: configurare lo **stato di inoltro** per l'autenticazione avviata dall'IdP.

   **Se nel passaggio precedente hai scelto **Accetta asserzioni SAML avviate da SP e IdP**, segui i passaggi del passaggio 2 di per impostare lo stato di inoltro predefinito [Configurazione del tuo provider di identità su Amazon WorkSpaces Secure Browser](configure-idp-step1.md) per la tua applicazione IdP.** 

1. **Facoltativo**: configura la firma delle richieste. Se hai scelto **Firma richieste SAML a questo provider** nel passaggio precedente, segui i passaggi del passaggio 3 [Configurazione del tuo provider di identità su Amazon WorkSpaces Secure Browser](configure-idp-step1.md) per caricare il certificato di firma sul tuo IdP e abilitare la firma delle richieste. **Alcuni IdPs come Okta potrebbero richiedere che il **NameID** appartenga al tipo «persistente» per utilizzare la firma delle richieste.** Assicurati di confermare il tuo **NameID** per l'asserzione SAML seguendo i passaggi precedenti.

1. **Facoltativo: configura la crittografia delle asserzioni.** Se hai scelto **Richiedi asserzioni SAML crittografate da questo provider**, attendi il completamento della creazione del portale, quindi segui il passaggio 4 in «Carica metadati» di seguito per caricare il certificato di crittografia sul tuo IdP e abilitare la crittografia delle asserzioni.

1. **Facoltativo: configura Single Logout.** **Se hai scelto **Single Logout**, segui i passaggi indicati nel passaggio 5 [Configurazione del tuo provider di identità su Amazon WorkSpaces Secure Browser](configure-idp-step1.md) per caricare il certificato di firma sul tuo IdP, inserire Single **Logout URL e abilitare Single Logout**.**

1. Concedi l'accesso ai tuoi utenti nel tuo IdP per utilizzare WorkSpaces Secure Browser.

1. Scarica un file di scambio di metadati dal tuo gestore dell'identità digitale. Caricherai questi metadati su WorkSpaces Secure Browser nel passaggio successivo.

# Completamento della configurazione IdP su Amazon WorkSpaces Secure Browser
<a name="upload-metadata"></a>

Per completare la configurazione IdP su WorkSpaces Secure Browser, segui questi passaggi.

1. Torna alla console WorkSpaces Secure Browser. Nella **pagina Configura provider di identità** della procedura guidata di creazione, in Metadati **IdP**, carica un file di metadati o inserisci un URL di metadati dal tuo IdP. Il portale utilizza questi metadati del tuo IdP per stabilire la fiducia.

1. **Per caricare un file di metadati, in Documento di **metadati IdP**, scegli Scegli file.** Carica il file di metadati in formato XML dal tuo IdP scaricato nel passaggio precedente. 

1. Per utilizzare un URL di metadati, vai al tuo IdP che hai configurato nel passaggio precedente e ottieni il **relativo** URL dei metadati. Torna alla console WorkSpaces Secure Browser e, in URL **dei metadati IdP, inserisci l'URL** dei metadati che hai ottenuto dal tuo IdP. 

1. Al termine, seleziona **Next** (Avanti).

1. Per i portali in cui hai abilitato l'opzione **Richiedi asserzioni SAML crittografate da questo provider**, devi scaricare il certificato di crittografia dalla sezione dei dettagli dell'IdP del portale e caricarlo sul tuo IdP. Quindi, puoi abilitare l'opzione lì.
**Nota**  
WorkSpaces Secure Browser richiede che l'oggetto o il NameID siano mappati e impostati nell'asserzione SAML all'interno delle impostazioni del tuo IdP. Il tuo IdP può creare queste mappature automaticamente. Se queste mappature non sono configurate correttamente, gli utenti non possono accedere al portale web e iniziare una sessione.  
WorkSpaces Secure Browser richiede che le seguenti affermazioni siano presenti nella risposta SAML. Puoi trovare *<Your SP Entity ID>* e consultare i dettagli *<Your SP ACS URL>* del fornitore di servizi o il documento di metadati del tuo portale, tramite la console o la CLI.  
Un `AudienceRestriction` claim con un `Audience` valore che imposta il tuo SP Entity ID come obiettivo della risposta. Esempio:  

     ```
     <saml:AudienceRestriction>
         <saml:Audience><Your SP Entity ID></saml:Audience>
     </saml:AudienceRestriction>
     ```
Una richiesta `Response` con il valore `InResponseTo`  dell'ID della richiesta SAML originale. Esempio:  

     ```
     <samlp:Response ... InResponseTo="<originalSAMLrequestId>">
     ```
Un'`SubjectConfirmationData`attestazione con un `Recipient` valore dell'URL SP ACS e un `InResponseTo` valore che corrisponde all'ID della richiesta SAML originale. Esempio:  

     ```
     <saml:SubjectConfirmation>
         <saml:SubjectConfirmationData ... 
             Recipient="<Your SP ACS URL>"
             InResponseTo="<originalSAMLrequestId>"
             />
     </saml:SubjectConfirmation>
     ```
WorkSpaces Secure Browser convalida i parametri della richiesta e le asserzioni SAML. Per le asserzioni SAML avviate da IdP, i dettagli della richiesta devono essere formattati come `RelayState` parametri nel corpo di una richiesta HTTP POST. Il corpo della richiesta deve contenere anche l'asserzione SAML come parametro. `SAMLResponse` Entrambi dovrebbero essere presenti se hai seguito il passaggio precedente.  
Di seguito è riportato un `POST` corpo di esempio per un provider SAML avviato da IdP.  

   ```
   SAMLResponse=<Base64-encoded SAML assertion>&RelayState=<RelayState> 
   ```

# Linee guida per l'utilizzo specifico IdPs con Amazon WorkSpaces Secure Browser
<a name="idp-guidance"></a>

Per assicurarti di configurare correttamente la federazione SAML per il tuo portale, consulta i link seguenti per la documentazione di uso IdPs comune. 


| IdP | Configurazione dell'applicazione SAML | Gestione degli utenti | Autenticazione avviata da IDP | Richiedi la firma | Crittografia delle asserzioni | Disconnessione singola | 
| --- | --- | --- | --- | --- | --- | --- | 
| Okta | [Crea integrazioni di app SAML](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Gestione degli utenti](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Riferimento al campo SAML di Application Integration Wizard](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Riferimento al campo SAML di Application Integration Wizard](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Riferimento al campo SAML di Application Integration Wizard](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Riferimento al campo SAML di Application Integration Wizard](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | 
| Entra | [Crea la tua applicazione](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Quickstart: crea e assegna un account utente](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-assign-users) | [Abilita il Single Sign-On per un'applicazione aziendale](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-setup-sso) | [Verifica della firma delle richieste SAML](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-enforce-signed-saml-authentication) | [Configurare la crittografia del token SAML Microsoft Entra](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-saml-token-encryption?tabs=azure-portal) | [Protocollo SAML Single Sign-Out](https://learn.microsoft.com/en-us/entra/identity-platform/single-sign-out-saml-protocol) | 
| Ping | [Aggiungi un'applicazione SAML](https://docs.pingidentity.com/r/en-us/pingone/pingone_p1tutorial_add_a_saml_app) | [Utenti](https://docs.pingidentity.com/r/en-us/pingone/p1_c_aboutusers) | [Abilitazione dell'SSO avviato da IdP](https://docs.pingidentity.com/r/en-us/pingone/pingone_configuring_the_oidc_application) | [Configurazione della richiesta di autenticazione per l'accesso a Enterprise PingOne ](https://docs.pingidentity.com/r/en-us/solution-guides/htg_config_authn_req_sign_p14e) | [ PingOne For Enterprise supporta la crittografia?](https://support.pingidentity.com/s/article/Does-PingOne-support-encryption) | [Disconnessione singola SAML 2.0](https://docs.pingidentity.com/r/en-us/pingone/pingone_c_saml_2-0_slo?tocId=aKUl0dlpyVDVw3PJmLIGGg) | 
| Un solo accesso | [Connettore personalizzato SAML (avanzato) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Aggiungi utenti a Manualmente OneLogin ](https://www.onelogin.com/getting-started/free-trial-plan/add-users-manually) | [Connettore personalizzato SAML (avanzato) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Connettore personalizzato SAML (avanzato) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Connettore personalizzato SAML (avanzato) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Connettore personalizzato SAML (avanzato) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | 
| Centro identità IAM | [Configura la tua applicazione SAML 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [Configura la tua applicazione SAML 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [Configura la tua applicazione SAML 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | N/D | N/D | N/D | 

# Configurazione del tipo di autenticazione IAM Identity Center per Amazon WorkSpaces Secure Browser
<a name="configure-iam"></a>

Per il tipo **IAM Identity Center** (avanzato), federate IAM Identity Center con il vostro portale. Seleziona questa opzione solo se ti riguarda quanto segue:
+ Il tuo IAM Identity Center è configurato nello stesso Account AWS portale web. Regione AWS 
+ Se utilizzi AWS Organizations, stai utilizzando un account di gestione. 

Prima di creare un portale web con il tipo di autenticazione IAM Identity Center, devi configurare IAM Identity Center come provider autonomo. Per ulteriori informazioni, consulta [Introduzione alle attività comuni in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html). In alternativa, puoi connettere il tuo IdP SAML 2.0 a IAM Identity Center. Per ulteriori informazioni, consulta [Connect to a un provider di identità esterno](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html). Altrimenti, non avrai utenti o gruppi da assegnare al tuo portale web.

Se utilizzi già IAM Identity Center, puoi scegliere IAM Identity Center come tipo di provider e seguire i passaggi seguenti per aggiungere, visualizzare o rimuovere utenti o gruppi dal tuo portale web.

**Nota**  
Per utilizzare questo tipo di autenticazione, il tuo IAM Identity Center deve trovarsi nello stesso Account AWS portale WorkSpaces Secure Browser. Regione AWS Se il tuo IAM Identity Center si trova in un altro Account AWS o Regione AWS, segui le istruzioni per il tipo di autenticazione **Standard**. Per ulteriori informazioni, consulta [Configurazione del tipo di autenticazione standard per Amazon WorkSpaces Secure Browser](configure-standard.md).  
Se lo utilizzi AWS Organizations, puoi creare solo portali WorkSpaces Secure Browser integrati con IAM Identity Center utilizzando un account di gestione.

**Topics**
+ [Creazione di un portale web con IAM Identity Center](web-portal-IAM.md)
+ [Gestione del portale web con IAM Identity Center](manage-IAM.md)
+ [Aggiungere utenti e gruppi aggiuntivi a un portale web](add-users-groups.md)
+ [Visualizzazione o rimozione di utenti e gruppi per il portale web](remove-users-groups.md)

# Creazione di un portale web con IAM Identity Center
<a name="web-portal-IAM"></a>

Per creare un portale web con IAM Identity Center, segui questi passaggi.

**Per creare un portale web con IAM Identity Center**

1. Durante la creazione del portale, allo **Step 4: Configura il provider di identità**, scegli **AWS IAM Identity Center**.

1. Scegli **Continua con IAM Identity Center**.

1. Nella pagina **Assegna utenti e gruppi**, scegli la scheda and/or **Gruppi** di **utenti**.

1. Seleziona la casella accanto agli utenti o ai gruppi che desideri aggiungere al portale.

1. Dopo aver creato il portale, gli utenti associati possono accedere a WorkSpaces Secure Browser con il nome utente e la password di IAM Identity Center.

# Gestione del portale web con IAM Identity Center
<a name="manage-IAM"></a>

Per gestire il tuo portale web con IAM Identity Center, segui questi passaggi.

**Per gestire un portale Web con IAM Identity Center**

1. Dopo aver creato il portale, questo viene elencato nella console IAM Identity Center come applicazione configurata.

1. Per accedere alla configurazione di questa applicazione, scegli **Applicazioni** nella barra laterale e cerca un'applicazione configurata con un nome che corrisponda al nome visualizzato del tuo portale web.
**Nota**  
Se non hai inserito un nome visualizzato, viene visualizzato il GUID del portale. Il GUID è l'ID con il prefisso dell'URL dell'endpoint del portale web.

# Aggiungere utenti e gruppi aggiuntivi a un portale web
<a name="add-users-groups"></a>

Per aggiungere altri utenti e gruppi a un portale Web esistente, procedi nel seguente modo.

**Per aggiungere altri utenti e gruppi a un portale web esistente**

1. Apri la console WorkSpaces Secure Browser all'indirizzo[https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/](https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/).

1. Scegli **WorkSpaces Secure Browser**, **Web portals**, scegli il tuo portale web, quindi scegli **Modifica**.

1. Scegli le **Impostazioni del gestore dell'identità digitale** e **Assegna utenti e gruppi aggiuntivi**. Da qui, puoi aggiungere utenti e gruppi al tuo portale Web.
**Nota**  
Non puoi aggiungere utenti o gruppi dalla console IAM Identity Center. È necessario eseguire questa operazione dalla pagina di modifica del portale WorkSpaces Secure Browser.

# Visualizzazione o rimozione di utenti e gruppi per il portale web
<a name="remove-users-groups"></a>

Per visualizzare o rimuovere utenti e gruppi dal portale Web, utilizzate le azioni disponibili nella tabella **Utenti assegnati**. Per ulteriori informazioni, consulta [Gestire l'accesso alle applicazioni](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-applications.html)

**Nota**  
Non puoi visualizzare o rimuovere utenti e gruppi dalla pagina di modifica del WorkSpaces Secure Browserportal. È necessario eseguire questa operazione dalla pagina di modifica della console IAM Identity Center.

# Modifica del tipo di provider di identità per Amazon WorkSpaces Secure Browser
<a name="change-type"></a>

Puoi modificare il tipo di autenticazione del tuo portale in qualsiasi momento. Per fare ciò, segui questi passaggi.
+ Per passare da **IAM Identity Center** a **Standard**, segui i passaggi riportati in[Configurazione del tipo di autenticazione standard per Amazon WorkSpaces Secure Browser](configure-standard.md). 
+ Per passare da **Standard** a **IAM Identity Center**, segui i passaggi riportati in[Configurazione del tipo di autenticazione IAM Identity Center per Amazon WorkSpaces Secure Browser](configure-iam.md).

L'implementazione delle modifiche al tipo di provider di identità può richiedere fino a 15 minuti e non interromperanno automaticamente le sessioni in corso. 

È possibile visualizzare le modifiche al tipo di provider di identità apportate al portale AWS CloudTrail controllando gli eventi. `UpdatePortal` Il tipo è visibile nei payload di richiesta e risposta dell'evento.

# Avvio di un portale Web con Amazon WorkSpaces Secure Browser
<a name="review-settings"></a>

Quando hai finito di configurare il tuo portale web, puoi seguire questi passaggi per avviarlo.

1. Nella pagina **Passo 5: Rivedi e avvia**, controlla le impostazioni che hai selezionato per il tuo portale web. Puoi scegliere **Modifica** per modificare le impostazioni all'interno di una determinata sezione. È inoltre possibile modificare queste impostazioni in un secondo momento dalla scheda **Portali Web** della console.

1. Al termine, scegli **Avvia portale web**.

1. Per visualizzare lo stato del tuo portale web, scegli **Portali Web**, scegli il tuo portale e quindi scegli **Visualizza dettagli**. 

   Un portale Web ha uno dei seguenti stati:
   + **Incompleto**: nella configurazione del portale web mancano le impostazioni richieste del gestore dell'identità digitale.
   + **In sospeso**: il portale web sta applicando modifiche alle sue impostazioni.
   + **Attivo**: il portale web è pronto e disponibile per l'uso.

1. Attendi fino a 15 minuti prima che il portale diventi **Attivo**.

# Verifica del tuo portale web in Amazon WorkSpaces Secure Browser
<a name="getting-started-step2"></a>

Dopo aver creato un portale Web, è possibile accedere all'endpoint WorkSpaces Secure Browser per sfogliare i siti Web collegati come farebbe un utente finale.

Se hai già completato questi passaggi in [Configurazione del tuo provider di identità per Amazon WorkSpaces Secure Browser](identity-settings.md), puoi ignorare questa sezione e andare su [Distribuzione del tuo portale web in Amazon WorkSpaces Secure Browser](getting-started-step3.md).

1. Aprire la console WorkSpaces Secure Browser a [https://console.aws.amazon.com/workspaces-web/casa? region=us-east-1\$1/.](https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/)

1. **Scegli **WorkSpaces Secure Browser**, **Web portals**, scegli il tuo portale web, quindi scegli Visualizza dettagli**

1. In **Endpoint del portale web**, vai all'URL specificato per il tuo portale. L'endpoint del portale Web è il punto di accesso da cui gli utenti avvieranno il portale Web dopo aver effettuato l'accesso con il gestore dell'identità digitale configurato per il portale. È disponibile pubblicamente su Internet e può essere integrato nella rete.

1. Nella pagina di accesso a WorkSpaces Secure Browser, scegli **Accedi**, **SAML** e inserisci le tue credenziali SAML.

1. Quando vedi la pagina La **tua sessione è in preparazione, la sessione WorkSpaces Secure Browser viene** avviata. Non chiudere o uscire da questa pagina.

1. Il browser Web si avvia, visualizzando l'URL di avvio e qualsiasi altro comportamento aggiuntivo configurato tramite le impostazioni della policy del browser.

1. Ora puoi navigare verso i siti Web collegati scegliendo i link o URLs accedendo alla barra degli indirizzi.

# Distribuzione del tuo portale web in Amazon WorkSpaces Secure Browser
<a name="getting-started-step3"></a>

Quando sei pronto per consentire ai tuoi utenti di iniziare a utilizzare WorkSpaces Secure Browser, scegli tra le seguenti opzioni per distribuire il portale:
+ Aggiungi il tuo portale al tuo gateway applicativo SAML per consentire agli utenti di avviare una sessione direttamente dal proprio IdP. Puoi farlo tramite il flusso di accesso avviato dall'IdP con il tuo IdP conforme a SAML 2.0. Per ulteriori informazioni, consulta Asserzioni **SAML iniziate da SP e IdP** in. [Configurazione del tipo di autenticazione standard per Amazon WorkSpaces Secure Browser](configure-standard.md) In alternativa, puoi creare un'applicazione SAML personalizzata in grado di fornire esperienze di autenticazione avviate da IdP utilizzando flussi avviati da SP. [Per ulteriori informazioni, consulta Creare un'integrazione con l'app Bookmark.](https://help.okta.com/en-us/Content/Topics/Apps/apps-create-bookmark.htm)
+ Aggiungi l'URL del portale a un sito web di tua proprietà e utilizza un reindirizzamento del browser per indirizzare gli utenti al portale web.
+ Invia l'URL del portale via e-mail agli utenti o invialo a un dispositivo che gestisci come home page del browser o come segnalibro.
+ Utilizza un dominio personalizzato se ne hai configurato uno per il tuo portale anziché l'URL del portale per un'esperienza di branding più integrata per i tuoi utenti. Per ulteriori informazioni, consulta [Configurazione di un dominio personalizzato per il portale](custom-domains.md).