

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configuração do SAML
<a name="external-identity-providers-setting-up-saml"></a>

Para permitir que os usuários entrem nos WorkSpaces Aplicativos usando suas credenciais existentes e iniciem o streaming de aplicativos, você pode configurar a federação de identidades usando o SAML 2.0. Para fazer isso, use uma função do IAM e uma URL de estado de retransmissão para configurar seu provedor de identidade (IdP) compatível com SAML 2.0 e permitir que seus usuários federados acessem uma AWS pilha de aplicativos. WorkSpaces O perfil do IAM concede aos usuários permissões de acesso à pilha. O estado de retransmissão é o portal de pilha para o qual os usuários são encaminhados após a autenticação bem-sucedida pela AWS.

**Topics**
+ [Pré-requisitos](#external-identity-providers-setting-up-prerequisites)
+ [Etapa 1: criar um provedor de identidade SAML no IAM AWS](#external-identity-providers-create-saml-provider)
+ [Etapa 2: Criar um perfil do IAM de federação SAML 2.0](#external-identity-providers-grantperms)
+ [Etapa 3: Incorporar uma política em linha para o perfil do IAM](#external-identity-providers-embed-inline-policy-for-IAM-role)
+ [Etapa 4: Configurar seu IdP com base em SAML](#external-identity-providers-config-idp)
+ [Etapa 5: criar declarações para a resposta de autenticação de SAML](#external-identity-providers-create-assertions)
+ [Etapa 6: configurar o estado de retransmissão da federação](#external-identity-providers-relay-state)
+ [Tabela 1: Endpoints da região de estado de retransmissão de WorkSpaces aplicativos (recomendado)](#relay-state-endpoints)
+ [Tabela 2: Endpoints da região de estado de retransmissão de WorkSpaces aplicativos antigos (não recomendado)](#relay-state-OLD-endpoints)
+ [Tabela 3: parâmetros de URL do estado de retransmissão](#relay-state-URL-parameters)

## Pré-requisitos
<a name="external-identity-providers-setting-up-prerequisites"></a>

Execute os pré-requisitos a seguir antes de configurar a conexão com o SAML 2.0.

1. Configure seu IdP baseado em SAML para estabelecer uma relação de confiança com a AWS. 
   + Na rede de sua organização, configure o armazenamento de identidades para trabalhar com um IdP com base no SAML. Para obter recursos de configuração, consulte [WorkSpaces Integração de aplicativos com SAML 2.0](external-identity-providers-further-info.md).
   + Use seu IdP com base no SAML para gerar e fazer download de um documento de metadados de federação que descreve sua organização como um IdP. Este documento XML assinado é usado para estabelecer a confiança da parte dependente. Salvar este arquivo em um local para acessar posteriormente no console do IAM.

1. Use o console de gerenciamento de WorkSpaces aplicativos para criar uma pilha de WorkSpaces aplicativos. Você precisa do nome da pilha para criar a política do IAM e configurar sua integração de IdP WorkSpaces com aplicativos, conforme descrito posteriormente neste tópico.

   Você pode criar uma pilha de WorkSpaces aplicativos usando o console de gerenciamento de WorkSpaces aplicativos ou a API de WorkSpaces aplicativos. AWS CLI Para obter mais informações, consulte [Crie uma frota e uma pilha de WorkSpaces aplicativos da Amazon](set-up-stacks-fleets.md).

## Etapa 1: criar um provedor de identidade SAML no IAM AWS
<a name="external-identity-providers-create-saml-provider"></a>

Primeiro, crie um SAML IdP AWS no IAM. Esse IdP define a relação de AWS confiança entre IdP e IdP de sua organização usando o documento de metadados gerado pelo software IdP em sua organização. Para obter mais informações, consulte [Creating and Managing a SAML Identity Provider (Amazon Web Services Management Console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) no *Guia do usuário do IAM*. Para obter informações sobre como trabalhar com SAML IdPs nas AWS GovCloud (US) regiões, consulte [AWS Identity and Access Management](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html) no *Guia do AWS GovCloud (US) usuário*.

## Etapa 2: Criar um perfil do IAM de federação SAML 2.0
<a name="external-identity-providers-grantperms"></a>

A seguir, crie um perfil do IAM de federação SAML 2.0. Essa etapa estabelece uma relação de confiança entre o IAM e o IdP da sua organização, o que identifica seu IdP como uma entidade confiável para federação. 

**Como criar um perfil do IAM para o IdP do SAML**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Perfil** e então, **Criar perfil**. 

1. Em **Tipo de perfil**, escolha **Federação SAML 2.0**. 

1. Em **SAML Provider**, selecione o IdP de SAML que você criou. 
**Importante**  
Não escolha nenhum dos dois métodos de acesso SAML 2.0 (**Permitir somente acesso programático** ou **Permitir acesso programático e pelo Console de Gerenciamento da AWS**).

1. Em **Atributo**, selecione **SAML:sub\_type**. 

1. Em **Valor**, insira **https://signin.aws.amazon.com/saml**. Esse valor restringe o acesso de perfis a solicitações de streaming de usuários do SAML que incluam uma declaração de tipo de assunto do SAML com um valor persistente. Se o SAML:sub\_type for persistente, o IdP envia o mesmo valor exclusivo para o elemento NameID em todas as solicitações de SAML de um usuário específico. [Para obter mais informações sobre a declaração SAML:sub\_type, consulte a seção *Identificação exclusiva de usuários na federação baseada em SAML em Usando a federação baseada em SAML* para acesso à API a. AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring)
**nota**  
Embora o **https://signin.aws.amazon.com/saml** endpoint esteja altamente disponível, ele só é hospedado na região us-east-1 de. AWS Para evitar interrupções no serviço no caso improvável de a disponibilidade de um endpoint regional ser afetada, use endpoints regionais e configure endpoints de login SAML adicionais para failover. Para ter mais informações, consulte [How to use regional SAML endpoints for failover](https://aws.amazon.com/blogs/security/how-to-use-regional-saml-endpoints-for-failover/).

1. Verificar as informações de confiança do SAML 2.0 confirmando a entidade confiável e a condição corretas e, em seguida, selecionar **Próximo: Permissões**. 

1. Na página **Anexar políticas de permissões**, selecione **Próximo: Etiquetas**.

1. (Opcional) Insira uma chave e um valor para cada etiqueta que deseja adicionar. Para obter mais informações, consulte [Recursos de etiquetas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html). 

1. Ao concluir, selecione **Próximo: revisão**. Mais adiante, você criará e incorporará uma política em linha para esse perfil.

1. Em **Nome da função**, insira um nome que identifique a finalidade desse perfil. Como várias entidades podem fazer referência ao perfil, não é possível editar o nome do perfil depois que ele é criado.

1. (Opcional) Em **Descrição da função**, insira uma descrição para o novo perfil.

1. Revisar os detalhes do perfil e selecionar **Criar perfil**.

1. (Opcional) Se você planeja usar contexto de sessão ou direitos de aplicativos baseados em atributos usando um provedor de identidade SAML 2.0 terceirizado ou autenticação baseada em certificado, você deve adicionar a TagSession permissão sts: à política de confiança da sua nova função do IAM. Para obter mais informações, consulte [Attribute-Based Direitos do aplicativo usando um provedor de identidade Third-Party SAML 2.0](application-entitlements-saml.md) e [Passar tags de sessão no AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).

   Nos detalhes do novo perfil do IAM, selecione a guia **Relações de confiança** e escolha **Editar relação de confiança**. O editor de políticas “Editar relação de confiança” é iniciado. Adicione a TagSession permissão **sts:**, da seguinte forma:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Federated": "arn:aws:iam::{{111122223333}}:saml-provider/{{IDENTITY-PROVIDER}}"
               },
               "Action": [
                   "sts:AssumeRoleWithSAML",
                   "sts:TagSession"
               ],
               "Condition": {
                   "StringEquals": {
                       "SAML:sub_type": "persistent"
                   }
               }
           }
       ]
   }
   ```

------

   Substitua {{IDENTITY-PROVIDER}}**** pelo nome do IdP SAML criado na etapa 1. Depois, escolha **Atualizar política de confiança**.

## Etapa 3: Incorporar uma política em linha para o perfil do IAM
<a name="external-identity-providers-embed-inline-policy-for-IAM-role"></a>

A seguir, incorpore uma política do IAM em linha para o perfil que você criou. Quando você incorpora uma política em linha, as permissões nela não podem ser anexadas acidentalmente à entidade principal errada. A política em linha fornece aos usuários federados acesso à pilha de WorkSpaces aplicativos que você criou.

1. Nos detalhes do perfil do IAM que você criou, escolha a guia **Permissões** e selecione **Adicionar política em linha**. O assistente Create policy (Criar política) será iniciado.

1. Em **Criar política**, selecione a guia **JSON**.

1. Copie e cole a política JSON a seguir na janela JSON. Em seguida, modifique o recurso inserindo seu Região da AWS código, ID da conta e nome da pilha. Na política a seguir, `"Action": "appstream:Stream"` está a ação que fornece aos usuários de WorkSpaces aplicativos permissões para se conectarem às sessões de streaming na pilha que você criou. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "appstream:Stream",
               "Resource": "arn:aws:appstream:{{us-east-1}}:{{111122223333}}:stack/{{STACK-NAME}}",
               "Condition": {
                   "StringEquals": {
                       "appstream:userId": "${saml:sub}"
                   }
               }
           }
       ]
   }
   ```

------

   {{REGION-CODE}}Substitua pela AWS região em que sua pilha de WorkSpaces aplicativos existe. {{STACK-NAME}}Substitua pelo nome da pilha. {{STACK-NAME}}diferencia maiúsculas de minúsculas e deve corresponder exatamente à letra maiúscula e minúscula do nome da pilha mostrado no painel de **pilhas do console** de gerenciamento de aplicativos. WorkSpaces 

   Para recursos nas AWS GovCloud (US) regiões, use o seguinte formato para o ARN: 

   `arn:aws-us-gov:appstream:{{REGION-CODE}}:{{ACCOUNT-ID-WITHOUT-HYPHENS}}:stack/{{STACK-NAME}}`

1. (Opcional) Se você planeja usar direitos de aplicação baseados em atributos usando um provedor de identidades SAML 2.0 de terceiros com **SAML 2.0 Multi-stack Application Catalogs**, o recurso em sua política em linha de perfil do IAM deve ser **"Resource": "arn:aws:appstream:{{REGION-CODE}}:{{ACCOUNT-ID-WITHOUT-HYPHENS}}:stack/\*"** a fim de permitir que os direitos da aplicação controlem o acesso de streaming às pilhas. Para aplicar proteção adicional a um recurso da pilha, você pode adicionar uma negação explícita na política. Para obter mais informações, consulte [Attribute-Based Direitos do aplicativo usando um provedor de identidade Third-Party SAML 2.0](application-entitlements-saml.md) e [Lógica da avaliação de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html).

1. Ao concluir, selecionar **Revisar política**. O [Validador de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) indica se há qualquer erro de sintaxe. 

## Etapa 4: Configurar seu IdP com base em SAML
<a name="external-identity-providers-config-idp"></a>

[Em seguida, dependendo do seu IdP baseado em SAML, talvez seja necessário atualizar manualmente seu IdP para confiar AWS como provedor de serviços fazendo o upload do arquivo `saml-metadata.xml` em saml-metadata.xml para seu IdP. https://signin.aws.amazon.com/static/](https://signin.aws.amazon.com/static/saml-metadata.xml) Esta etapa atualiza os metadados do seu IdP. Para alguns IdPs, a atualização pode já estar configurada. Se for esse o caso, prosseguir para a próxima etapa.

Se essa atualização ainda não estiver configurada no seu IdP, consulte a documentação fornecida por seu IdP para obter informações sobre como atualizar os metadados. Alguns provedores dão a opção de digitar o URL, e o IdP obtém e instala o arquivo para você. Outros exigem que você baixe o arquivo pelo URL e forneça como arquivo local.

## Etapa 5: criar declarações para a resposta de autenticação de SAML
<a name="external-identity-providers-create-assertions"></a>

Em seguida, talvez seja necessário configurar as informações que seu IdP envia AWS como atributos SAML em sua resposta de autenticação. Dependendo do seu IdP, é possível que essas informações já estejam pré-configuradas. Se esse for o caso, pule esta etapa e siga para a etapa 6.

Se essas informações ainda não estiverem configuradas no seu IdP, providencie o seguinte:
+ **NameID de assunto de SAML**: o identificador exclusivo do usuário que está fazendo login. 
**nota**  
Para pilhas com frotas unidas ao domínio, o valor NameID para o usuário deve ser fornecido no formato "" usando o s Name ou `{{domain}}\username` "" usando. AMAccount `username@domain.com` userPrincipalName Se você estiver usando o formato s AMAccount Name, poderá especificá-lo `{{domain}}` usando o nome NetBIOS ou o nome de domínio totalmente qualificado (FQDN). O formato s AMAccount Name é necessário para cenários de confiança unidirecional do Active Directory. Para obter mais informações, consulte [Usando o Active Directory com WorkSpaces aplicativos](active-directory.md).
+ **Tipo de assunto de SAML** (com um valor definido como `persistent`): definir o valor como `persistent` garante que o IdP envia o mesmo valor exclusivo para o elemento `NameID` em todas as solicitações SAML de determinado usuário. Garanta que a política do IAM inclua uma condição para permitir apenas solicitações SAML com sub\_type de SAML definido como `persistent`, conforme descrito em [Etapa 2: Criar um perfil do IAM de federação SAML 2.0](#external-identity-providers-grantperms).
+ **`Attribute`elemento com o `Name` https://aws.amazon.com/SAML/ atributo definido como Attributes/Role** — Esse elemento contém um ou mais `AttributeValue` elementos que listam a função do IAM e o IdP do SAML para os quais o usuário é mapeado pelo seu IdP. A função e o IdP são especificados como um par delimitado por vírgula de. ARNs
+ **`Attribute`elemento com o `Name` https://aws.amazon.com/SAML/ atributo definido como Attributes/ RoleSessionName** — Esse elemento contém um `AttributeValue` elemento que fornece um identificador para as credenciais AWS temporárias emitidas para o SSO. O valor no elemento `AttributeValue` deve ter entre 2 e 64 caracteres, pode conter apenas caracteres alfanuméricos, sublinhados e os seguintes caracteres: \+ (sinal de adição), = (sinal de igual), , (vírgula), . (ponto), @ (arroba) e - (hífen). Ele nome não pode conter espaços. O valor é geralmente um ID de usuário (bobsmith) ou um endereço de e-mail (bobsmith@example.com). Ele não deve ser um valor que inclua espaço, como um nome de exibição de um usuário (Bob Smith).
+ **`Attribute`elemento com o `Name` https://aws.amazon.com/SAML/ atributo definido como Attributes/PrincipalTag: SessionContext (opcional)** — Esse elemento contém um `AttributeValue` elemento que fornece parâmetros que podem ser usados para transmitir parâmetros de contexto de sessão para seus aplicativos de streaming. Para obter mais informações, consulte [Contexto da sessão em WorkSpaces aplicativos da Amazon](managing-stacks-fleets-session-context.md).
+ **`Attribute`elemento com o `Name` https://aws.amazon.com/SAML/ atributo definido como Attributes/PrincipalTag: ObjectSid (opcional)** — Esse elemento contém um `AttributeValue` elemento que fornece o identificador de segurança do Active Directory (SID) para o usuário que está fazendo login. Esse parâmetro é usado com a autenticação baseada em certificado para permitir um mapeamento forte para o usuário do Active Directory.
+ **`Attribute`elemento com o `Name` https://aws.amazon.com/SAML/ atributo definido como Attributes/:Domain PrincipalTag (opcional) —** Esse elemento contém um elemento `AttributeValue` que fornece o nome de domínio totalmente qualificado (FQDN) do Active Directory DNS para o usuário que está fazendo login. Esse parâmetro é usado com a autenticação baseada em certificado quando `userPrincipalName` do Active Directory para o usuário contém um sufixo alternativo. O valor deve ser fornecido no formato **domain.com**, incluindo quaisquer subdomínios.
+ **`Attribute`elemento com o `SessionDuration` https://aws.amazon.com/SAML/ atributo definido como Attributes/ SessionDuration (opcional)** — Esse elemento contém um `AttributeValue` elemento que especifica o tempo máximo em que uma sessão de streaming federada para um usuário pode permanecer ativa antes que a reautenticação seja necessária. O valor padrão é de 60 minutos, ou 3.600 segundos. Para obter mais informações, consulte a SessionDuration seção *Um elemento de atributo opcional com o SessionDuration https://aws.amazon.com/SAML/ atributo definido como Atributos/* em [Configurando asserções SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) para a resposta de autenticação.
**nota**  
Embora `SessionDuration` seja um atributo opcional, recomendamos incluí-lo na resposta SAML. Se você não especificar esse atributo, a duração da sessão será definida como um valor padrão de 60 minutos.  
Se seus usuários acessarem seus aplicativos de streaming em WorkSpaces Aplicativos usando o cliente nativo de WorkSpaces Aplicativos ou usando o navegador da Web na nova experiência, suas sessões serão desconectadas após a expiração da duração da sessão. Se seus usuários acessarem seus aplicativos de streaming em WorkSpaces Aplicativos usando um navegador da web na old/classic experiência, depois que a duração da sessão dos usuários expirar e eles atualizarem a página do navegador, suas sessões serão desconectadas.

Para obter mais informações sobre como configurar esses elementos, consulte [Configuração de declarações SAML para a resposta de autenticação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) no *Guia do usuário do IAM*. Para obter informações sobre os requisitos específicos de configuração para o IdP, consulte a documentação do IdP.

## Etapa 6: configurar o estado de retransmissão da federação
<a name="external-identity-providers-relay-state"></a>

Por fim, use seu IdP para configurar o estado de retransmissão da sua federação para apontar para a URL do estado de retransmissão da pilha de WorkSpaces aplicativos. Após a autenticação bem-sucedida AWS, o usuário é direcionado ao portal da pilha de WorkSpaces aplicativos, definido como o estado de retransmissão na resposta de autenticação SAML.

O formato do URL de estado de retransmissão é o seguinte:

```
https://{{relay-state-region-endpoint}}?stack={{stackname}}&accountId={{aws-account-id-without-hyphens}}
```

Crie o URL do estado de retransmissão com base no ID de sua conta da Amazon Web Services, no nome da pilha e no endpoint de estado de retransmissão associado à região em que a pilha está localizada.

Como alternativa, você pode especificar o nome do aplicativo que deseja executar automaticamente. Para encontrar o nome do aplicativo, selecione a imagem no console WorkSpaces Aplicativos, escolha a guia **Aplicativos** e anote o nome exibido na coluna **Nome do Aplicativo**. Como alternativa, se ainda não tiver criado a imagem, conecte-se ao criador de imagens onde o aplicativo foi instalado e abra o Image Assistant. Os nomes dos aplicativos são exibidos na guia **Add Apps (Adicionar aplicativos)**.

Se sua frota estiver habilitada para a visualização de streaming **Área de trabalho**, você também poderá optar por iniciar diretamente na área de trabalho do sistema operacional. Para fazer isso, especifique **Desktop** no final do URL do estado de retransmissão, depois de **&app=**.

Com um fluxo iniciado pelo provedor de identidade (IdP), no navegador padrão do sistema, depois que os usuários se conectam ao IdP e selecionam o WorkSpaces aplicativo Aplicativos no portal do usuário do IdP, eles são redirecionados para uma página de login de WorkSpaces Aplicativos no navegador padrão do sistema com as seguintes opções:
+ **Continuar com o navegador**
+ **Cliente de WorkSpaces aplicativos abertos**

Na página, os usuários podem optar por iniciar a sessão no navegador ou com o aplicativo cliente WorkSpaces Applications. É também possível especificar qual cliente deve ser usado para uma federação SAML 2.0. Para fazer isso, especifique `native` ou `web` no final do URL do estado de retransmissão, depois de `&client=`. Quando o parâmetro estiver presente em um URL do estado de retransmissão, as sessões correspondentes serão iniciadas automaticamente no cliente especificado, sem que os usuários façam a escolha.

**nota**  
Esse recurso só estará disponível se você usar os novos endpoints da região de estado de retransmissão (na Tabela 1 abaixo) para criar a URL do estado de retransmissão e usar a versão 1.1.1300 e posterior do cliente de WorkSpaces aplicativos. Além disso, os usuários devem sempre usar o navegador padrão do sistema para fazer login no IdP. O recurso não funcionará se eles usarem um navegador não padrão.

Com direitos de aplicação baseados em atributos usando um provedor de identidades SAML 2.0 de terceiros, você pode habilitar o acesso a várias pilhas por um único URL em estado de retransmissão. Remova os parâmetros da pilha e da aplicação (se presentes) do URL do estado de retransmissão, da seguinte forma:

```
https://{{relay-state-region-endpoint}}?accountId={{aws-account-id-without-hyphens}}
```

Quando os usuários se federam no catálogo de WorkSpaces aplicativos, eles recebem todas as pilhas nas quais os direitos do aplicativo corresponderam a um ou mais aplicativos ao usuário para o ID da conta e o endpoint do estado de retransmissão associados à região em que suas pilhas estão localizadas. Quando um usuário seleciona um catálogo, os direitos de aplicação exibirão somente as aplicações às quais o usuário tem direito.

**nota**  
Os usuários não podem transmitir de várias pilhas ao mesmo tempo.

Para obter mais informações, consulte [Attribute-Based Direitos do aplicativo usando um provedor de identidade Third-Party SAML 2.0](application-entitlements-saml.md).

## Tabela 1: Endpoints da região de estado de retransmissão de WorkSpaces aplicativos (recomendado)
<a name="relay-state-endpoints"></a>

A tabela 1 abaixo lista os endpoints de estado de retransmissão para as regiões em que os WorkSpaces aplicativos estão disponíveis. Os endpoints do estado de retransmissão na Tabela 1 são compatíveis com o [WorkSpaces Acesso ao navegador da Web de aplicativos (versão 2)](web-browser-access-v2.md) e com a aplicação cliente Windows versão 1.1.1300 e posterior. Se você estiver usando versões mais antigas do cliente Windows, deverá usar os endpoints do estado de retransmissão antigos listados na Tabela 2 para configurar sua federação SAML 2.0. Se desejar que seus usuários façam streaming usando uma conexão compatível com o FIPS, use um endpoint compatível com o FIPS. Para obter mais informações sobre os endpoints do FIPS, consulte [Como proteger dados em trânsito com endpoints do FIPS](protecting-data-in-transit-FIPS-endpoints.md).


**Tabela 1: Endpoints da região de estado de retransmissão de WorkSpaces aplicativos (recomendado)**  

| Região | Endpoint de estado de retransmissão | 
| --- | --- | 
| Leste dos EUA (Norte da Virgínia) | `https://appstream2.euc-sso.us-east-1.aws.amazon.com/saml`<br />(FIPS) `https://appstream2.euc-sso-fips.us-east-1.aws.amazon.com/saml` | 
| Leste dos EUA (Ohio) | https://appstream2.euc-sso.us-east-2.aws.amazon.com/saml | 
| Oeste dos EUA (Oregon) | `https://appstream2.euc-sso.us-west-2.aws.amazon.com/saml`<br />(FIPS) `https://appstream2.euc-sso-fips.us-west-2.aws.amazon.com/saml` | 
| Ásia-Pacífico (Malásia) | https://appstream2.euc-sso.ap-southeast-5.aws.amazon.com/saml | 
| Ásia-Pacífico (Mumbai) | https://appstream2.euc-sso.ap-south-1.aws.amazon.com/saml | 
| Ásia-Pacífico (Seul) | https://appstream2.euc-sso.ap-northeast-2.aws.amazon.com/saml | 
| Ásia-Pacífico (Singapura) | https://appstream2.euc-sso.ap-southeast-1.aws.amazon.com/saml | 
| Ásia-Pacífico (Sydney) | https://appstream2.euc-sso.ap-southeast-2.aws.amazon.com/saml | 
| Ásia-Pacífico (Tóquio) | https://appstream2.euc-sso.ap-northeast-1.aws.amazon.com/saml | 
| Canadá (Central) | https://appstream2.euc-sso.ca-central-1.aws.amazon.com/saml | 
| Europa (Frankfurt) | https://appstream2.euc-sso.eu-central-1.aws.amazon.com/saml | 
| Europa (Irlanda) | https://appstream2.euc-sso.eu-west-1.aws.amazon.com/saml | 
| Europa (Londres) | https://appstream2.euc-sso.eu-west-2.aws.amazon.com/saml | 
| Europa (Milão) | https://appstream2.euc-sso.eu-south-1.aws.amazon.com/saml | 
| Europe (Paris) | https://appstream2.euc-sso.eu-west-3.aws.amazon.com/saml | 
| Europa (Espanha) | https://appstream2.euc-sso.eu-south-2.aws.amazon.com/saml | 
| AWS GovCloud (Leste dos EUA) | `https://appstream2.euc-sso.us-gov-east-1.amazonaws-us-gov.com/saml`<br />(FIPS) `https://appstream2.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com/saml` Para obter mais informações sobre o uso de WorkSpaces aplicativos em AWS GovCloud (US) regiões, consulte [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) no *Guia AWS GovCloud (US) do usuário*.  | 
| AWS GovCloud (Oeste dos EUA) | `https://appstream2.euc-sso.us-gov-west-1.amazonaws-us-gov.com/saml`<br />(FIPS) `https://appstream2.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com/saml` Para obter mais informações sobre o uso de WorkSpaces aplicativos em AWS GovCloud (US) regiões, consulte [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) no *Guia AWS GovCloud (US) do usuário*.  | 
| América do Sul (São Paulo) | https://appstream2.euc-sso.sa-east-1.aws.amazon.com/saml | 
| Israel (Tel Aviv) | https://appstream2.euc-sso.il-central-1.aws.amazon.com/saml | 

## Tabela 2: Endpoints da região de estado de retransmissão de WorkSpaces aplicativos antigos (não recomendado)
<a name="relay-state-OLD-endpoints"></a>

A Tabela 2 abaixo lista os endpoints antigos do estado de retransmissão que ainda estão disponíveis. No entanto, recomenda-se que você use os novos endpoints do estado de retransmissão listados na Tabela 1 para configurar suas federações SAML 2.0. Em particular, com os novos endpoints de estado de retransmissão, você pode permitir que seus usuários iniciem o aplicativo cliente WorkSpaces Applications (versão 1.1.1300 e posterior) a partir de sessões de streaming iniciadas pelo IdP. Os novos endpoints de estado de retransmissão na Tabela 1 também permitem que os usuários façam login em outros AWS aplicativos em guias diferentes do mesmo navegador da Web, sem afetar a sessão contínua WorkSpaces de streaming de aplicativos. Os endpoints antigos do estado de retransmissão na Tabela 2 não são compatíveis com isso. Para obter mais informações, consulte [Os usuários do cliente My WorkSpaces Applications são desconectados da sessão de WorkSpaces aplicativos a cada 60 minutos.](troubleshooting-user-issues.md#troubleshooting-client-users-disconnected-every-60-minutes).


**Tabela 2: Endpoints da região de estado de retransmissão de WorkSpaces aplicativos antigos (não recomendado)**  

| Região | Endpoint de estado de retransmissão | 
| --- | --- | 
| Leste dos EUA (Norte da Virgínia) | `https://appstream2.us-east-1.aws.amazon.com/saml`<br />(FIPS) `https://appstream2-fips.us-east-1.aws.amazon.com/saml` | 
| Leste dos EUA (Ohio) | https://appstream2.us-east-2.aws.amazon.com/saml | 
| Oeste dos EUA (Oregon) | `https://appstream2.us-west-2.aws.amazon.com/saml`<br />(FIPS) `https://appstream2-fips.us-west-2.aws.amazon.com/saml` | 
| Ásia-Pacífico (Mumbai) | https://appstream2.ap-south-1.aws.amazon.com/saml | 
| Ásia-Pacífico (Seul) | https://appstream2.ap-northeast-2.aws.amazon.com/saml | 
| Ásia-Pacífico (Singapura) | https://appstream2.ap-southeast-1.aws.amazon.com/saml | 
| Ásia-Pacífico (Sydney) | https://appstream2.ap-southeast-2.aws.amazon.com/saml | 
| Ásia-Pacífico (Tóquio) | https://appstream2.ap-northeast-1.aws.amazon.com/saml | 
| Canadá (Central) | https://appstream2.ca-central-1.aws.amazon.com/saml | 
| Europa (Frankfurt) | https://appstream2.eu-central-1.aws.amazon.com/saml | 
| Europa (Irlanda) | https://appstream2.eu-west-1.aws.amazon.com/saml | 
| Europa (Londres) | https://appstream2.eu-west-2.aws.amazon.com/saml | 
| AWS GovCloud (Leste dos EUA) | `https://appstream2.us-gov-east-1.amazonaws-us-gov.com/saml`<br />(FIPS) `https://appstream2-fips.us-gov-east-1.amazonaws-us-gov.com/saml` Para obter mais informações sobre o uso de WorkSpaces aplicativos em AWS GovCloud (US) regiões, consulte [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) no *Guia AWS GovCloud (US) do usuário*.  | 
| AWS GovCloud (Oeste dos EUA) | `https://appstream2.us-gov-west-1.amazonaws-us-gov.com/saml`<br />(FIPS) `https://appstream2-fips.us-gov-west-1.amazonaws-us-gov.com/saml` Para obter mais informações sobre o uso de WorkSpaces aplicativos em AWS GovCloud (US) regiões, consulte [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) no *Guia AWS GovCloud (US) do usuário*.  | 
| América do Sul (São Paulo) | https://appstream2.sa-east-1.aws.amazon.com/saml | 

## Tabela 3: parâmetros de URL do estado de retransmissão
<a name="relay-state-URL-parameters"></a>

A Tabela 3 abaixo lista todos os parâmetros disponíveis que você pode usar para construir um URL do estado de retransmissão.


**Tabela 3: parâmetros de URL do estado de retransmissão**  

| Parâmetro | Obrigatório | Formato | Com suporte por | 
| --- | --- | --- | --- | 
| accountId | Obrigatório | ID de 12 caracteres Conta da AWS  | Endpoints novos e antigos nas Tabelas 1 e 2 | 
| pilha | Opcional | Nome da pilha | Endpoints novos e antigos nas Tabelas 1 e 2 | 
| aplicação | Opcional | Nome da aplicação ou “Desktop” | Endpoints novos e antigos nas Tabelas 1 e 2 | 
| client | Opcional | “nativo” ou “web” | Somente novos endpoints na Tabela 1 |