

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Integração WorkSpaces de aplicativos da Amazon com SAML 2.0
<a name="external-identity-providers"></a>

O Amazon WorkSpaces Applications oferece suporte à federação de identidades em pilhas de WorkSpaces aplicativos por meio da Security Assertion Markup Language 2.0 (SAML 2.0). Você pode usar um provedor de identidade (IdP) compatível com SAML 2.0, como os Serviços de Federação do Active Directory (AD FS) no Windows Server, Ping One Federation Server ou Okta, para fornecer um fluxo de integração para os usuários de seus aplicativos. WorkSpaces 

Esse recurso oferece aos usuários a conveniência de acessar com um clique seus WorkSpaces aplicativos usando suas credenciais de identidade existentes. Você tem também o benefício de segurança da autenticação de identidade fornecida pelo seu IdP. Ao usar seu IdP, você pode controlar quais usuários têm acesso a uma pilha de WorkSpaces aplicativos específica.

**Topics**
+ [Fluxo de trabalho de autenticação de exemplo](external-identity-providers-example.md)
+ [Configuração do SAML](external-identity-providers-setting-up-saml.md)
+ [WorkSpaces Integração de aplicativos com SAML 2.0](external-identity-providers-further-info.md)

# Fluxo de trabalho de autenticação de exemplo
<a name="external-identity-providers-example"></a>

O diagrama a seguir ilustra o fluxo de autenticação entre WorkSpaces aplicativos e um provedor de identidade (IdP) terceirizado. Neste exemplo, o administrador configurou uma página de login para acessar os WorkSpaces Aplicativos, chamada. `applications.exampleco.com` A página da web usa um serviço de federação compatível com o SAML 2.0 para acionar uma solicitação de login. O administrador também configurou um usuário para permitir o acesso aos WorkSpaces aplicativos.

![\[Diagrama SAML da Amazon WorkSpaces Applications\]](http://docs.aws.amazon.com/pt_br/appstream2/latest/developerguide/images/aas2-saml.png)


1. O usuário navega até `https://applications.exampleco.com`. A página de logon solicita a autenticação do usuário.

1. O serviço de federação solicita autenticação do armazenamento de identidades da organização.

1. O armazenamento de identidades autentica o usuário e retorna a resposta de autenticação ao serviço de federação.

1. Quando uma autenticação é bem-sucedida, o serviço de federação publica a declaração SAML no navegador do usuário.

1. O navegador do usuário publica a declaração SAML no endpoint SAML de AWS login (). `https://signin.aws.amazon.com/saml` AWS O Sign-In recebe a solicitação SAML, processa a solicitação, autentica o usuário e encaminha o token de autenticação para os aplicativos. WorkSpaces 

   Para obter informações sobre como trabalhar com SAML nas AWS GovCloud (US) regiões, consulte [AWS Identity and Access Management](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html) no *Guia do AWS GovCloud (US) usuário*.

1. Usando o token de autenticação do AWS, o WorkSpaces Applications autoriza o usuário e apresenta os aplicativos ao navegador.

Da perspectiva do usuário, esse processo ocorre de forma transparente. O usuário começa no portal interno da sua organização e é automaticamente redirecionado para um portal de WorkSpaces aplicativos de aplicativos sem precisar inserir AWS credenciais.

# Configuração do SAML
<a name="external-identity-providers-setting-up-saml"></a>

Para permitir que os usuários entrem nos WorkSpaces Aplicativos usando suas credenciais existentes e iniciem o streaming de aplicativos, você pode configurar a federação de identidades usando o SAML 2.0. Para fazer isso, use uma função do IAM e uma URL de estado de retransmissão para configurar seu provedor de identidade (IdP) compatível com SAML 2.0 e permitir que seus usuários federados acessem uma AWS pilha de aplicativos. WorkSpaces O perfil do IAM concede aos usuários permissões de acesso à pilha. O estado de retransmissão é o portal de pilha para o qual os usuários são encaminhados após a autenticação bem-sucedida pela AWS.

**Topics**
+ [Pré-requisitos](#external-identity-providers-setting-up-prerequisites)
+ [Etapa 1: criar um provedor de identidade SAML no IAM AWS](#external-identity-providers-create-saml-provider)
+ [Etapa 2: Criar um perfil do IAM de federação SAML 2.0](#external-identity-providers-grantperms)
+ [Etapa 3: Incorporar uma política em linha para o perfil do IAM](#external-identity-providers-embed-inline-policy-for-IAM-role)
+ [Etapa 4: Configurar seu IdP com base em SAML](#external-identity-providers-config-idp)
+ [Etapa 5: criar declarações para a resposta de autenticação de SAML](#external-identity-providers-create-assertions)
+ [Etapa 6: configurar o estado de retransmissão da federação](#external-identity-providers-relay-state)

## Pré-requisitos
<a name="external-identity-providers-setting-up-prerequisites"></a>

Execute os pré-requisitos a seguir antes de configurar a conexão com o SAML 2.0.

1. Configure seu IdP baseado em SAML para estabelecer uma relação de confiança com a AWS. 
   + Na rede de sua organização, configure o armazenamento de identidades para trabalhar com um IdP com base no SAML. Para obter recursos de configuração, consulte [WorkSpaces Integração de aplicativos com SAML 2.0](external-identity-providers-further-info.md).
   + Use seu IdP com base no SAML para gerar e fazer download de um documento de metadados de federação que descreve sua organização como um IdP. Este documento XML assinado é usado para estabelecer a confiança da parte dependente. Salvar este arquivo em um local para acessar posteriormente no console do IAM.

1. Use o console de gerenciamento de WorkSpaces aplicativos para criar uma pilha de WorkSpaces aplicativos. Você precisa do nome da pilha para criar a política do IAM e configurar sua integração de IdP WorkSpaces com aplicativos, conforme descrito posteriormente neste tópico.

   Você pode criar uma pilha de WorkSpaces aplicativos usando o console de gerenciamento de WorkSpaces aplicativos ou a API de WorkSpaces aplicativos. AWS CLI Para obter mais informações, consulte [Crie uma frota e uma pilha de WorkSpaces aplicativos da Amazon](set-up-stacks-fleets.md).

## Etapa 1: criar um provedor de identidade SAML no IAM AWS
<a name="external-identity-providers-create-saml-provider"></a>

Primeiro, crie um SAML IdP AWS no IAM. Esse IdP define a relação de AWS confiança entre IdP e IdP de sua organização usando o documento de metadados gerado pelo software IdP em sua organização. Para obter mais informações, consulte [Creating and Managing a SAML Identity Provider (Amazon Web Services Management Console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) no *Guia do usuário do IAM*. Para obter informações sobre como trabalhar com SAML IdPs nas AWS GovCloud (US) regiões, consulte [AWS Identity and Access Management](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html) no *Guia do AWS GovCloud (US) usuário*.

## Etapa 2: Criar um perfil do IAM de federação SAML 2.0
<a name="external-identity-providers-grantperms"></a>

A seguir, crie um perfil do IAM de federação SAML 2.0. Essa etapa estabelece uma relação de confiança entre o IAM e o IdP da sua organização, o que identifica seu IdP como uma entidade confiável para federação. 

**Como criar um perfil do IAM para o IdP do SAML**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Perfil** e então, **Criar perfil**. 

1. Em **Tipo de perfil**, escolha **Federação SAML 2.0**. 

1. Em **SAML Provider**, selecione o IdP de SAML que você criou. 
**Importante**  
Não escolha nenhum dos dois métodos de acesso SAML 2.0 (**Permitir somente acesso programático** ou **Permitir acesso programático e pelo Console de Gerenciamento da AWS**).

1. Em **Atributo**, selecione **SAML:sub\$1type**. 

1. Em **Valor**, insira **https://signin.aws.amazon.com/saml**. Esse valor restringe o acesso de perfis a solicitações de streaming de usuários do SAML que incluam uma declaração de tipo de assunto do SAML com um valor persistente. Se o SAML:sub\$1type for persistente, o IdP envia o mesmo valor exclusivo para o elemento NameID em todas as solicitações de SAML de um usuário específico. [Para obter mais informações sobre a declaração SAML:sub\$1type, consulte a seção *Identificação exclusiva de usuários na federação baseada em SAML em Usando a federação baseada em SAML* para acesso à API a. AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring)
**nota**  
Embora o **https://signin.aws.amazon.com/saml** endpoint esteja altamente disponível, ele só é hospedado na região us-east-1 de. AWS Para evitar interrupções no serviço no caso improvável de a disponibilidade de um endpoint regional ser afetada, use endpoints regionais e configure endpoints de login SAML adicionais para failover. Para ter mais informações, consulte [How to use regional SAML endpoints for failover](https://aws.amazon.com/blogs/security/how-to-use-regional-saml-endpoints-for-failover/).

1. Verificar as informações de confiança do SAML 2.0 confirmando a entidade confiável e a condição corretas e, em seguida, selecionar **Próximo: Permissões**. 

1. Na página **Anexar políticas de permissões**, selecione **Próximo: Etiquetas**.

1. (Opcional) Insira uma chave e um valor para cada etiqueta que deseja adicionar. Para obter mais informações, consulte [Recursos de etiquetas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html). 

1. Ao concluir, selecione **Próximo: revisão**. Mais adiante, você criará e incorporará uma política em linha para esse perfil.

1. Em **Nome da função**, insira um nome que identifique a finalidade desse perfil. Como várias entidades podem fazer referência ao perfil, não é possível editar o nome do perfil depois que ele é criado.

1. (Opcional) Em **Descrição da função**, insira uma descrição para o novo perfil.

1. Revisar os detalhes do perfil e selecionar **Criar perfil**.

1. (Opcional) Se você planeja usar contexto de sessão ou direitos de aplicativos baseados em atributos usando um provedor de identidade SAML 2.0 terceirizado ou autenticação baseada em certificado, você deve adicionar a TagSession permissão sts: à política de confiança da sua nova função do IAM. Para obter mais informações, consulte [Direitos de aplicação baseados em atributos usando um provedor de identidades SAML 2.0 de terceiros](application-entitlements-saml.md) e [Passar tags de sessão no AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).

   Nos detalhes do novo perfil do IAM, selecione a guia **Relações de confiança** e escolha **Editar relação de confiança**. O editor de políticas “Editar relação de confiança” é iniciado. Adicione a TagSession permissão **sts:**, da seguinte forma:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Federated": "arn:aws:iam::111122223333:saml-provider/IDENTITY-PROVIDER"
               },
               "Action": [
                   "sts:AssumeRoleWithSAML",
                   "sts:TagSession"
               ],
               "Condition": {
                   "StringEquals": {
                       "SAML:sub_type": "persistent"
                   }
               }
           }
       ]
   }
   ```

------

   Substitua *IDENTITY-PROVIDER***** pelo nome do IdP SAML criado na etapa 1. Depois, escolha **Atualizar política de confiança**.

## Etapa 3: Incorporar uma política em linha para o perfil do IAM
<a name="external-identity-providers-embed-inline-policy-for-IAM-role"></a>

A seguir, incorpore uma política do IAM em linha para o perfil que você criou. Quando você incorpora uma política em linha, as permissões nela não podem ser anexadas acidentalmente à entidade principal errada. A política em linha fornece aos usuários federados acesso à pilha de WorkSpaces aplicativos que você criou.

1. Nos detalhes do perfil do IAM que você criou, escolha a guia **Permissões** e selecione **Adicionar política em linha**. O assistente Create policy (Criar política) será iniciado.

1. Em **Criar política**, selecione a guia **JSON**.

1. Copie e cole a política JSON a seguir na janela JSON. Em seguida, modifique o recurso inserindo seu Região da AWS código, ID da conta e nome da pilha. Na política a seguir, `"Action": "appstream:Stream"` está a ação que fornece aos usuários de WorkSpaces aplicativos permissões para se conectarem às sessões de streaming na pilha que você criou. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "appstream:Stream",
               "Resource": "arn:aws:appstream:us-east-1:111122223333:stack/STACK-NAME",
               "Condition": {
                   "StringEquals": {
                       "appstream:userId": "${saml:sub}"
                   }
               }
           }
       ]
   }
   ```

------

   *REGION-CODE*Substitua pela AWS região em que sua pilha de WorkSpaces aplicativos existe. *STACK-NAME*Substitua pelo nome da pilha. *STACK-NAME*diferencia maiúsculas de minúsculas e deve corresponder exatamente à letra maiúscula e minúscula do nome da pilha mostrado no painel de **pilhas do console** de gerenciamento de aplicativos. WorkSpaces 

   Para recursos nas AWS GovCloud (US) regiões, use o seguinte formato para o ARN: 

   `arn:aws-us-gov:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME`

1. (Opcional) Se você planeja usar direitos de aplicação baseados em atributos usando um provedor de identidades SAML 2.0 de terceiros com **SAML 2.0 Multi-stack Application Catalogs**, o recurso em sua política em linha de perfil do IAM deve ser **"Resource": "arn:aws:appstream:*REGION-CODE*:*ACCOUNT-ID-WITHOUT-HYPHENS*:stack/\$1"** a fim de permitir que os direitos da aplicação controlem o acesso de streaming às pilhas. Para aplicar proteção adicional a um recurso da pilha, você pode adicionar uma negação explícita na política. Para obter mais informações, consulte [Direitos de aplicação baseados em atributos usando um provedor de identidades SAML 2.0 de terceiros](application-entitlements-saml.md) e [Lógica da avaliação de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html).

1. Ao concluir, selecionar **Revisar política**. O [Validador de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) indica se há qualquer erro de sintaxe. 

## Etapa 4: Configurar seu IdP com base em SAML
<a name="external-identity-providers-config-idp"></a>

[Em seguida, dependendo do seu IdP baseado em SAML, talvez seja necessário atualizar manualmente seu IdP para confiar AWS como provedor de serviços fazendo o upload do arquivo `saml-metadata.xml` em saml-metadata.xml para seu IdP. https://signin.aws.amazon.com/static/](https://signin.aws.amazon.com/static/saml-metadata.xml) Esta etapa atualiza os metadados do seu IdP. Para alguns IdPs, a atualização pode já estar configurada. Se for esse o caso, prosseguir para a próxima etapa.

Se essa atualização ainda não estiver configurada no seu IdP, consulte a documentação fornecida por seu IdP para obter informações sobre como atualizar os metadados. Alguns provedores dão a opção de digitar o URL, e o IdP obtém e instala o arquivo para você. Outros exigem que você baixe o arquivo pelo URL e forneça como arquivo local.

## Etapa 5: criar declarações para a resposta de autenticação de SAML
<a name="external-identity-providers-create-assertions"></a>

Em seguida, talvez seja necessário configurar as informações que seu IdP envia AWS como atributos SAML em sua resposta de autenticação. Dependendo do seu IdP, é possível que essas informações já estejam pré-configuradas. Se esse for o caso, pule esta etapa e siga para a etapa 6.

Se essas informações ainda não estiverem configuradas no seu IdP, providencie o seguinte:
+ **NameID de assunto de SAML**: o identificador exclusivo do usuário que está fazendo login. 
**nota**  
Para pilhas com frotas unidas ao domínio, o valor NameID para o usuário deve ser fornecido no formato "" usando o s Name ou `domain\username` "" usando. AMAccount `username@domain.com` userPrincipalName Se você estiver usando o formato s AMAccount Name, poderá especificá-lo `domain` usando o nome NetBIOS ou o nome de domínio totalmente qualificado (FQDN). O formato s AMAccount Name é necessário para cenários de confiança unidirecional do Active Directory. Para obter mais informações, consulte [Usando o Active Directory com WorkSpaces aplicativos](active-directory.md).
+ **Tipo de assunto de SAML** (com um valor definido como `persistent`): definir o valor como `persistent` garante que o IdP envia o mesmo valor exclusivo para o elemento `NameID` em todas as solicitações SAML de determinado usuário. Garanta que a política do IAM inclua uma condição para permitir apenas solicitações SAML com sub\$1type de SAML definido como `persistent`, conforme descrito em [Etapa 2: Criar um perfil do IAM de federação SAML 2.0](#external-identity-providers-grantperms).
+ **`Attribute`elemento com o `Name` https://aws.amazon.com/SAML/ atributo definido como Attributes/Role** — Esse elemento contém um ou mais `AttributeValue` elementos que listam a função do IAM e o IdP do SAML para os quais o usuário é mapeado pelo seu IdP. A função e o IdP são especificados como um par delimitado por vírgula de. ARNs
+ **`Attribute`elemento com o `Name` https://aws.amazon.com/SAML/ atributo definido como Attributes/ RoleSessionName** — Esse elemento contém um `AttributeValue` elemento que fornece um identificador para as credenciais AWS temporárias emitidas para o SSO. O valor no elemento `AttributeValue` deve ter entre 2 e 64 caracteres, pode conter apenas caracteres alfanuméricos, sublinhados e os seguintes caracteres: \$1 (sinal de adição), = (sinal de igual), , (vírgula), . (ponto), @ (arroba) e - (hífen). Ele nome não pode conter espaços. O valor é geralmente um ID de usuário (bobsmith) ou um endereço de e-mail (bobsmith@example.com). Ele não deve ser um valor que inclua espaço, como um nome de exibição de um usuário (Bob Smith).
+ **`Attribute`elemento com o `Name` https://aws.amazon.com/SAML/ atributo definido como Attributes/PrincipalTag: SessionContext (opcional)** — Esse elemento contém um `AttributeValue` elemento que fornece parâmetros que podem ser usados para transmitir parâmetros de contexto de sessão para seus aplicativos de streaming. Para obter mais informações, consulte [Contexto da sessão em WorkSpaces aplicativos da Amazon](managing-stacks-fleets-session-context.md).
+ **`Attribute`elemento com o `Name` https://aws.amazon.com/SAML/ atributo definido como Attributes/PrincipalTag: ObjectSid (opcional)** — Esse elemento contém um `AttributeValue` elemento que fornece o identificador de segurança do Active Directory (SID) para o usuário que está fazendo login. Esse parâmetro é usado com a autenticação baseada em certificado para permitir um mapeamento forte para o usuário do Active Directory.
+ **`Attribute`elemento com o `Name` https://aws.amazon.com/SAML/ atributo definido como Attributes/:Domain PrincipalTag (opcional) —** Esse elemento contém um elemento `AttributeValue` que fornece o nome de domínio totalmente qualificado (FQDN) do Active Directory DNS para o usuário que está fazendo login. Esse parâmetro é usado com a autenticação baseada em certificado quando `userPrincipalName` do Active Directory para o usuário contém um sufixo alternativo. O valor deve ser fornecido no formato **domain.com**, incluindo quaisquer subdomínios.
+ **`Attribute`elemento com o `SessionDuration` https://aws.amazon.com/SAML/ atributo definido como Attributes/ SessionDuration (opcional)** — Esse elemento contém um `AttributeValue` elemento que especifica o tempo máximo em que uma sessão de streaming federada para um usuário pode permanecer ativa antes que a reautenticação seja necessária. O valor padrão é de 60 minutos, ou 3.600 segundos. Para obter mais informações, consulte a SessionDuration seção *Um elemento de atributo opcional com o SessionDuration https://aws.amazon.com/SAML/ atributo definido como Atributos/* em [Configurando asserções SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) para a resposta de autenticação.
**nota**  
Embora `SessionDuration` seja um atributo opcional, recomendamos incluí-lo na resposta SAML. Se você não especificar esse atributo, a duração da sessão será definida como um valor padrão de 60 minutos.  
Se seus usuários acessarem seus aplicativos de streaming em WorkSpaces Aplicativos usando o cliente nativo de WorkSpaces Aplicativos ou usando o navegador da Web na nova experiência, suas sessões serão desconectadas após a expiração da duração da sessão. Se seus usuários acessarem seus aplicativos de streaming em WorkSpaces Aplicativos usando um navegador da web na old/classic experiência, depois que a duração da sessão dos usuários expirar e eles atualizarem a página do navegador, suas sessões serão desconectadas.

Para obter mais informações sobre como configurar esses elementos, consulte [Configuração de declarações SAML para a resposta de autenticação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) no *Guia do usuário do IAM*. Para obter informações sobre os requisitos específicos de configuração para o IdP, consulte a documentação do IdP.

## Etapa 6: configurar o estado de retransmissão da federação
<a name="external-identity-providers-relay-state"></a>

Por fim, use seu IdP para configurar o estado de retransmissão da sua federação para apontar para a URL do estado de retransmissão da pilha de WorkSpaces aplicativos. Após a autenticação bem-sucedida AWS, o usuário é direcionado ao portal da pilha de WorkSpaces aplicativos, definido como o estado de retransmissão na resposta de autenticação SAML.

O formato do URL de estado de retransmissão é o seguinte:

```
https://relay-state-region-endpoint?stack=stackname&accountId=aws-account-id-without-hyphens
```

Crie o URL do estado de retransmissão com base no ID de sua conta da Amazon Web Services, no nome da pilha e no endpoint de estado de retransmissão associado à região em que a pilha está localizada.

Como alternativa, você pode especificar o nome do aplicativo que deseja executar automaticamente. Para encontrar o nome do aplicativo, selecione a imagem no console WorkSpaces Aplicativos, escolha a guia **Aplicativos** e anote o nome exibido na coluna **Nome do Aplicativo**. Como alternativa, se ainda não tiver criado a imagem, conecte-se ao criador de imagens onde o aplicativo foi instalado e abra o Image Assistant. Os nomes dos aplicativos são exibidos na guia **Add Apps (Adicionar aplicativos)**.

Se sua frota estiver habilitada para a visualização de streaming **Área de trabalho**, você também poderá optar por iniciar diretamente na área de trabalho do sistema operacional. Para fazer isso, especifique **Desktop** no final do URL do estado de retransmissão, depois de **&app=**.

Com um fluxo iniciado pelo provedor de identidade (IdP), no navegador padrão do sistema, depois que os usuários se conectam ao IdP e selecionam o WorkSpaces aplicativo Aplicativos no portal do usuário do IdP, eles são redirecionados para uma página de login de WorkSpaces Aplicativos no navegador padrão do sistema com as seguintes opções:
+ **Continuar com o navegador**
+ **Cliente de WorkSpaces aplicativos abertos**

Na página, os usuários podem optar por iniciar a sessão no navegador ou com o aplicativo cliente WorkSpaces Applications. É também possível especificar qual cliente deve ser usado para uma federação SAML 2.0. Para fazer isso, especifique `native` ou `web` no final do URL do estado de retransmissão, depois de `&client=`. Quando o parâmetro estiver presente em um URL do estado de retransmissão, as sessões correspondentes serão iniciadas automaticamente no cliente especificado, sem que os usuários façam a escolha.

**nota**  
Esse recurso só estará disponível se você usar os novos endpoints da região de estado de retransmissão (na Tabela 1 abaixo) para criar a URL do estado de retransmissão e usar a versão 1.1.1300 e posterior do cliente de WorkSpaces aplicativos. Além disso, os usuários devem sempre usar o navegador padrão do sistema para fazer login no IdP. O recurso não funcionará se eles usarem um navegador não padrão.

Com direitos de aplicação baseados em atributos usando um provedor de identidades SAML 2.0 de terceiros, você pode habilitar o acesso a várias pilhas por um único URL em estado de retransmissão. Remova os parâmetros da pilha e da aplicação (se presentes) do URL do estado de retransmissão, da seguinte forma:

```
https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens
```

Quando os usuários se federam no catálogo de WorkSpaces aplicativos, eles recebem todas as pilhas nas quais os direitos do aplicativo corresponderam a um ou mais aplicativos ao usuário para o ID da conta e o endpoint do estado de retransmissão associados à região em que suas pilhas estão localizadas. Quando um usuário seleciona um catálogo, os direitos de aplicação exibirão somente as aplicações às quais o usuário tem direito.

**nota**  
Os usuários não podem transmitir de várias pilhas ao mesmo tempo.

Para obter mais informações, consulte [Direitos de aplicação baseados em atributos usando um provedor de identidades SAML 2.0 de terceiros](application-entitlements-saml.md).

A tabela 1 abaixo lista os endpoints de estado de retransmissão para as regiões em que os WorkSpaces aplicativos estão disponíveis. Os endpoints do estado de retransmissão na Tabela 1 são compatíveis com o [WorkSpaces Acesso ao navegador da Web de aplicativos (versão 2)](web-browser-access-v2.md) e com a aplicação cliente Windows versão 1.1.1300 e posterior. Se você estiver usando versões mais antigas do cliente Windows, deverá usar os endpoints do estado de retransmissão antigos listados na Tabela 2 para configurar sua federação SAML 2.0. Se desejar que seus usuários façam streaming usando uma conexão compatível com o FIPS, use um endpoint compatível com o FIPS. Para obter mais informações sobre os endpoints do FIPS, consulte [Como proteger dados em trânsito com endpoints do FIPS](protecting-data-in-transit-FIPS-endpoints.md).


**Tabela 1: Endpoints da região de estado de retransmissão de WorkSpaces aplicativos (recomendado)**  

| Região | Endpoint de estado de retransmissão | 
| --- | --- | 
| Leste dos EUA (Norte da Virgínia) |  `https://appstream2.euc-sso.us-east-1.aws.amazon.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-east-1.aws.amazon.com/saml`  | 
| Leste dos EUA (Ohio) | https://appstream2.euc-sso.us-east-2.aws.amazon.com/saml | 
| Oeste dos EUA (Oregon) |  `https://appstream2.euc-sso.us-west-2.aws.amazon.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-west-2.aws.amazon.com/saml`  | 
| Ásia-Pacífico (Malásia) | https://appstream2.euc-sso.ap-southeast-5.aws.amazon.com/saml | 
| Ásia-Pacífico (Mumbai) | https://appstream2.euc-sso.ap-south-1.aws.amazon.com/saml | 
| Ásia-Pacífico (Seul) | https://appstream2.euc-sso.ap-northeast-2.aws.amazon.com/saml | 
| Ásia-Pacífico (Singapura) | https://appstream2.euc-sso.ap-southeast-1.aws.amazon.com/saml | 
| Ásia-Pacífico (Sydney) | https://appstream2.euc-sso.ap-southeast-2.aws.amazon.com/saml | 
| Ásia-Pacífico (Tóquio) | https://appstream2.euc-sso.ap-northeast-1.aws.amazon.com/saml | 
|  Canadá (Central)  | https://appstream2.euc-sso.ca-central-1.aws.amazon.com/saml | 
| Europa (Frankfurt) | https://appstream2.euc-sso.eu-central-1.aws.amazon.com/saml | 
| Europa (Irlanda) | https://appstream2.euc-sso.eu-west-1.aws.amazon.com/saml | 
| Europa (Londres) | https://appstream2.euc-sso.eu-west-2.aws.amazon.com/saml | 
| Europa (Milão) | https://appstream2.euc-sso.eu-south-1.aws.amazon.com/saml | 
| Europe (Paris) | https://appstream2.euc-sso.eu-west-3.aws.amazon.com/saml | 
| Europa (Espanha) | https://appstream2.euc-sso.eu-south-2.aws.amazon.com/saml | 
| AWS GovCloud (Leste dos EUA) |  `https://appstream2.euc-sso.us-gov-east-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com/saml`  Para obter mais informações sobre o uso de WorkSpaces aplicativos em AWS GovCloud (US) regiões, consulte [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) no *Guia AWS GovCloud (US) do usuário*.   | 
| AWS GovCloud (Oeste dos EUA) |  `https://appstream2.euc-sso.us-gov-west-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com/saml`  Para obter mais informações sobre o uso de WorkSpaces aplicativos em AWS GovCloud (US) regiões, consulte [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) no *Guia AWS GovCloud (US) do usuário*.   | 
| América do Sul (São Paulo) | https://appstream2.euc-sso.sa-east-1.aws.amazon.com/saml | 
| Israel (Tel Aviv) | https://appstream2.euc-sso.il-central-1.aws.amazon.com/saml | 

A Tabela 2 abaixo lista os endpoints antigos do estado de retransmissão que ainda estão disponíveis. No entanto, recomenda-se que você use os novos endpoints do estado de retransmissão listados na Tabela 1 para configurar suas federações SAML 2.0. Em particular, com os novos endpoints de estado de retransmissão, você pode permitir que seus usuários iniciem o aplicativo cliente WorkSpaces Applications (versão 1.1.1300 e posterior) a partir de sessões de streaming iniciadas pelo IdP. Os novos endpoints de estado de retransmissão na Tabela 1 também permitem que os usuários façam login em outros AWS aplicativos em guias diferentes do mesmo navegador da Web, sem afetar a sessão contínua WorkSpaces de streaming de aplicativos. Os endpoints antigos do estado de retransmissão na Tabela 2 não são compatíveis com isso. Para obter mais informações, consulte [Os usuários do cliente My WorkSpaces Applications são desconectados da sessão de WorkSpaces aplicativos a cada 60 minutos.](troubleshooting-user-issues.md#troubleshooting-client-users-disconnected-every-60-minutes).


**Tabela 2: Endpoints da região de estado de retransmissão de WorkSpaces aplicativos antigos (não recomendado)**  

| Região | Endpoint de estado de retransmissão | 
| --- | --- | 
| Leste dos EUA (Norte da Virgínia) |  `https://appstream2.us-east-1.aws.amazon.com/saml` (FIPS) `https://appstream2-fips.us-east-1.aws.amazon.com/saml`  | 
| Leste dos EUA (Ohio) | https://appstream2.us-east-2.aws.amazon.com/saml | 
| Oeste dos EUA (Oregon) |  `https://appstream2.us-west-2.aws.amazon.com/saml` (FIPS) `https://appstream2-fips.us-west-2.aws.amazon.com/saml`  | 
| Ásia-Pacífico (Mumbai) | https://appstream2.ap-south-1.aws.amazon.com/saml | 
| Ásia-Pacífico (Seul) | https://appstream2.ap-northeast-2.aws.amazon.com/saml | 
| Ásia-Pacífico (Singapura) | https://appstream2.ap-southeast-1.aws.amazon.com/saml | 
| Ásia-Pacífico (Sydney) | https://appstream2.ap-southeast-2.aws.amazon.com/saml | 
| Ásia-Pacífico (Tóquio) | https://appstream2.ap-northeast-1.aws.amazon.com/saml | 
|  Canadá (Central)  | https://appstream2.ca-central-1.aws.amazon.com/saml | 
| Europa (Frankfurt) | https://appstream2.eu-central-1.aws.amazon.com/saml | 
| Europa (Irlanda) | https://appstream2.eu-west-1.aws.amazon.com/saml | 
| Europa (Londres) | https://appstream2.eu-west-2.aws.amazon.com/saml | 
| AWS GovCloud (Leste dos EUA) |  `https://appstream2.us-gov-east-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2-fips.us-gov-east-1.amazonaws-us-gov.com/saml`  Para obter mais informações sobre o uso de WorkSpaces aplicativos em AWS GovCloud (US) regiões, consulte [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) no *Guia AWS GovCloud (US) do usuário*.   | 
| AWS GovCloud (Oeste dos EUA) |  `https://appstream2.us-gov-west-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2-fips.us-gov-west-1.amazonaws-us-gov.com/saml`  Para obter mais informações sobre o uso de WorkSpaces aplicativos em AWS GovCloud (US) regiões, consulte [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) no *Guia AWS GovCloud (US) do usuário*.   | 
| América do Sul (São Paulo) | https://appstream2.sa-east-1.aws.amazon.com/saml | 

A Tabela 3 abaixo lista todos os parâmetros disponíveis que você pode usar para construir um URL do estado de retransmissão.


**Tabela 3: parâmetros de URL do estado de retransmissão**  

| Parâmetro | Obrigatório | Formato | Com suporte por | 
| --- | --- | --- | --- | 
| accountId | Obrigatório | ID de 12 caracteres Conta da AWS  | Endpoints novos e antigos nas Tabelas 1 e 2 | 
| pilha | Opcional | Nome da pilha | Endpoints novos e antigos nas Tabelas 1 e 2 | 
| aplicação | Opcional | Nome da aplicação ou “Desktop” | Endpoints novos e antigos nas Tabelas 1 e 2 | 
| client | Opcional | “nativo” ou “web” | Somente novos endpoints na Tabela 1 | 

# WorkSpaces Integração de aplicativos com SAML 2.0
<a name="external-identity-providers-further-info"></a>

Os links a seguir ajudam você a configurar soluções terceirizadas do provedor de identidade SAML 2.0 para trabalhar com WorkSpaces aplicativos.


| Solução IdP | Mais informações | 
| --- | --- | 
| Centro de Identidade do AWS IAM |  [Habilite a federação com o IAM Identity Center e o Amazon WorkSpaces Applications](https://aws.amazon.com/blogs/desktop-and-application-streaming/enable-federation-with-aws-single-sign-on-and-amazon-appstream-2-0/) — Descreve como usar o IAM Identity Center para federar o acesso do usuário aos seus WorkSpaces aplicativos com suas credenciais corporativas existentes. | 
| Active Directory Federation Services (AD FS) para Windows Server | [AppStream](https://gg4l.com/product/appstream/)no site da GG4 L — Descreve como fornecer aos usuários acesso por SSO aos WorkSpaces aplicativos usando suas credenciais corporativas existentes. Você pode configurar identidades federadas para WorkSpaces aplicativos usando o AD FS 3.0.  | 
| Azure Active Directory (Azure AD) |  [Habilitando a federação com o Azure AD Single Sign-On e os WorkSpaces aplicativos da Amazon](https://aws.amazon.com/blogs/desktop-and-application-streaming/enabling-federation-with-azure-ad-single-sign-on-and-amazon-appstream-2-0/) — descreve como configurar o acesso de usuário federado para WorkSpaces aplicativos da Amazon usando o Azure AD SSO para aplicativos corporativos. | 
| GG4Passaporte escolar L™ |  [Habilitando a federação de identidade com o GG4 L's School Passport™ e os WorkSpaces aplicativos da Amazon](https://sso.gg4l.com/docs/#/appstream) — descreve como configurar o GG4 L's School Passport™ para federar o login nos WorkSpaces aplicativos.  | 
| Google |  [Configuração da federação do G Suite SAML 2.0 com o Amazon WorkSpaces Applications](https://aws.amazon.com/blogs/desktop-and-application-streaming/setting-up-g-suite-saml-2-0-federation-with-amazon-appstream-2-0/) — descreve como usar o G Suite Admin Console para configurar a federação SAML para WorkSpaces aplicativos para usuários em domínios do G Suite.  | 
| Okta |  [Como configurar o SAML 2.0 para WorkSpaces aplicativos da Amazon](http://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Amazon-AppStream-2-0.html) — Descreve como usar o Okta para configurar a federação SAML para aplicativos. WorkSpaces Nas pilhas ingressadas em um domínio, o "Application username format" deve ser definido como "AD user principal name". | 
| Ping Identity |  [Configurando uma conexão SSO com os WorkSpaces aplicativos da Amazon](https://support.pingidentity.com/s/article/Configuring-an-SSO-connection-to-Amazon-AppStream-2-0) — Descreve como configurar o login único (SSO) nos aplicativos. WorkSpaces  | 
| Shibboleth |  [Login único: integração, AWS OpenLDAP e Shibboleth — descreve como configurar a federação inicial entre o Shibboleth IdP e](https://aws.amazon.com/blogs/security/new-whitepaper-single-sign-on-integrating-aws-openldap-and-shibboleth/) o. Console de gerenciamento da AWS Você deve concluir as etapas adicionais a seguir para habilitar a federação de WorkSpaces aplicativos. A etapa 4 do whitepaper da AWS Security descreve como criar perfis do IAM que definem as permissões que os usuários federados têm para o Console de gerenciamento da AWS. Depois de criar essas funções e incorporar a política em linha conforme descrito no whitepaper, modifique essa política para que ela forneça aos usuários federados permissões para acessar somente uma pilha de aplicativos. WorkSpaces Para isso, substitua a política existente pela política descrita na seção *Step 3: Embed an Inline Policy for the IAM Role* em [Configuração do SAML](external-identity-providers-setting-up-saml.md).Quando você adiciona o URL de estado de retransmissão da pilha, como descrito na *Etapa 6: Configurar o estado de retransmissão da federação*, em [Configuração do SAML](external-identity-providers-setting-up-saml.md), adicione o parâmetro de estado de retransmissão ao URL de federação como um atributo de solicitação de destino. O URL deve ser codificado. Para obter informações sobre como configurar parâmetros de estado de retransmissão, consulte a seção [SAML 2.0](https://wiki.shibboleth.net/confluence/display/IDP30/UnsolicitedSSOConfiguration#UnsolicitedSSOConfiguration-SAML2.0) na documentação do Shibboleth.Para obter mais informações, consulte [Habilitando a federação de identidades com Shibboleth e Amazon](https://aws.amazon.com/blogs/desktop-and-application-streaming/enabling-identity-federation-with-shibboleth-and-amazon-appstream-2-0/) Applications. WorkSpaces  | 
| VMware WorkSpace UM |  [Federando o acesso aos WorkSpaces aplicativos da Amazon a partir do VMware Workspace ONE](https://aws.amazon.com/blogs/desktop-and-application-streaming/federating-access-to-amazon-appstream-2-0-from-vmware-workspace-one/) — Descreve como usar a plataforma VMware Workspace ONE para federar o acesso dos usuários aos seus aplicativos de aplicativos. WorkSpaces  | 
| Simples SAMLphp | [Habilitando a federação com WorkSpaces aplicativos Simple SAMLphp e Amazon](https://aws.amazon.com/blogs/desktop-and-application-streaming/enabling-federation-with-simplesamlphp-and-amazon-appstream-2-0/) — Descreve como configurar a federação SAML 2.0 para WorkSpaces aplicativos usando SimpleSAMLphp. | 
| OneLogin Login único (SSO) | [OneLogin SSO com WorkSpaces aplicativos da Amazon](https://aws.amazon.com/blogs/desktop-and-application-streaming/onelogin-sso-with-amazon-appstream-2-0/) — Descreve como configurar o acesso de usuários federados para WorkSpaces aplicativos usando OneLogin o SSO. | 
| JumpCloud Login único (SSO) | [Habilitar a federação com o JumpCloud SSO e os WorkSpaces aplicativos da Amazon](https://aws.amazon.com/blogs/desktop-and-application-streaming/enable-federation-with-jumpcloud-sso-and-appstream-2-0/) — Descreve como configurar o acesso de usuários federados para WorkSpaces aplicativos usando o JumpCloud SSO. | 
| Chave biológica PortalGuard | [Habilite a federação com o Bio-key e o PortalGuard Amazon AppStream 2.0](https://aws.amazon.com/blogs/desktop-and-application-streaming/enable-federation-with-bio-key-portalguard-and-amazon-appstream-2-0/) — Descreve como configurar o Bio-key PortalGuard para logins federados em aplicativos. WorkSpaces  | 

Para obter soluções para problemas comuns que você pode encontrar, consulte [Solução de problemas](troubleshooting.md).

Para obter mais informações sobre outros provedores de SAML compatíveis, consulte [Integrar provedores de soluções SAML de terceiros com a AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html) no *Guia do usuário do IAM*.