As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Autenticação do cliente em AWS Client VPN
<a name="client-authentication"></a>

A autenticação do cliente é implementada no primeiro ponto de entrada na AWS nuvem. Ela é usada para determinar se os clientes têm permissão para se conectar ao endpoint da Client VPN. Se a autenticação for bem-sucedida, os clientes se conectarão ao endpoint da cliente VPN e estabelecerão uma sessão de VPN. Se a autenticação falhar, a conexão será negada, e o cliente será impedido de estabelecer uma sessão de VPN.

O VPN do Cliente oferece os seguintes tipos de autenticação de cliente: 
+ [Autenticação do Active Directory](ad.md) (baseada no usuário)
+ [Autenticação mútua](mutual.md) (baseada em certificado)
+ [Single Sign-On (autenticação federada baseada em SAML)](federated-authentication.md) (baseado no usuário)

É possível usar apenas um dos métodos anteriores ou uma combinação de autenticação mútua com um método baseado em usuário, como o seguinte:
+ Autenticação mútua e autenticação federada
+ Autenticação mútua e autenticação do Active Directory

**Importante**  
Para criar um endpoint da Client VPN, você deve provisionar um certificado de servidor no AWS Certificate Manager, independentemente do tipo de autenticação usado. Para obter mais informações sobre como criar e provisionar um certificado de servidor, consulte as etapas em [Autenticação mútua em AWS Client VPN](mutual.md).
Se você usar uma combinação de autenticação mútua e autenticação baseada em usuário, deverá usar os dois métodos para se autenticar corretamente na VPN. 

# Autenticação do Active Directory na Client VPN
<a name="ad"></a>

O Client VPN fornece suporte ao Active Directory por meio da integração com o. Directory Service Com a autenticação via Active Directory, os clientes são autenticados com grupos existentes do Active Directory. Usando Directory Service, o Client VPN pode se conectar aos Active Directories existentes provisionados em AWS ou em sua rede local. Isso permite que você use sua infraestrutura de autenticação de cliente existente. Se você estiver usando um Active Directory local e não tiver um Microsoft AD AWS gerenciado existente, deverá configurar um conector do Active Directory (AD Connector). É possível usar um servidor do Active Directory para autenticar os usuários. Para obter mais informações sobre a integração do Active Directory, consulte o [Guia de administração do AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/).

A cliente VPN é compatível com a autenticação multifator (MFA) quando ela está habilitada para o Managed Microsoft AD da AWS ou o AD Connector. Se a MFA estiver habilitada, os clientes devem inserir um nome de usuário, senha e código MFA ao se conectarem a um endpoint do cliente VPN. Para obter mais informações sobre como habilitar a MFA, consulte [Habilitar a autenticação multifator para o Managed Microsoft AD da AWS](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) e [Habilitar a autenticação multifator para o AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html) no *Guia de administração do AWS Directory Service *. 

Para obter cotas e regras para configurar usuários e grupos no Active Directory, consulte [Cotas de usuários e grupos](limits.md#quotas-users-groups).

# Autenticação mútua em AWS Client VPN
<a name="mutual"></a>

Com a autenticação mútua, a Client VPN usa certificados para realizar a autenticação entre o cliente e o servidor. Os certificados são uma forma digital de identificação emitida por uma autoridade certificadora (CA). O servidor usa certificados de cliente para autenticar clientes quando eles tentam se conectar ao endpoint do cliente VPN. É necessário criar um certificado e uma chave de servidor e pelo menos um certificado e uma chave de cliente.

Você deve carregar o certificado do servidor para AWS Certificate Manager (ACM) e especificá-lo ao criar um endpoint Client VPN. Ao fazer upload do certificado do servidor no ACM, você também especifica a autoridade de certificação (CA). Você precisa fazer upload do certificado de cliente no ACM somente quando a CA do certificado de cliente for diferente da CA do certificado de servidor. Para obter mais informações sobre o ACM, consulte o [Guia do usuário do AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/). 

É possível criar um certificado de cliente separado e uma chave para cada cliente que se conectará ao endpoint do cliente VPN. Isso permite revogar um certificado de cliente específico se um usuário sair de sua organização. Nesse caso, ao criar o endpoint da Client VPN, é possível especificar o ARN de certificado de servidor para o certificado de cliente, desde que o certificado de cliente seja emitido pela mesma CA que o certificado de servidor.

Os certificados usados no AWS Client VPN devem seguir a [RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile](https://datatracker.ietf.org/doc/html/rfc5280) bem como as extensões de certificado específicas na seção 4.2 do memorando.

**nota**  
Um endpoint do cliente VPN é compatível apenas com tamanhos de chave RSA de 1024 bits e 2048 bits. Além disso, o certificado do cliente deve ter o atributo CN no campo Subject (Assunto).  
Quando o certificado utilizado pelo serviço Client VPN é atualizado, seja por meio da alternância automática do ACM, da importação manual automática de um novo certificado ou da atualização de metadados no Centro de Identidade do IAM, o serviço Client VPN atualiza automaticamente o endpoint do Client VPN com o certificado mais recente. Esse é um processo automatizado que pode levar até 5 horas. 

**Topics**
+ [Habilite a autenticação mútua](client-auth-mutual-enable.md)
+ [Renovar o certificado de servidor](mutual-renew.md)

# Habilite a autenticação mútua para AWS Client VPN
<a name="client-auth-mutual-enable"></a>

Você pode ativar a autenticação mútua no Client VPN em qualquer um Linux/MacOS ou no Windows.

------
#### [ Linux/macOS ]

O procedimento a seguir usa o OpenVPN easy-rsa para gerar os certificados e as chaves de servidor e cliente e faz upload do certificado e da chave de servidor no ACM. Para obter mais informações, consulte a seção [LER de início rápido do Easy-RSA 3](https://github.com/OpenVPN/easy-rsa/blob/v3.0.6/README.quickstart.md).

**Para gerar os certificados e as chaves de servidor e cliente e transferi-los por upload ao ACM**

1. Clone o repositório easy-rsa do OpenVPN para o computador local e navegue até a pasta `easy-rsa/easyrsa3`.

   ```
   $ git clone https://github.com/OpenVPN/easy-rsa.git
   ```

   ```
   $ cd easy-rsa/easyrsa3
   ```

1. Inicialize um novo ambiente PKI.

   ```
   $ ./easyrsa init-pki
   ```

1. Para criar uma nova autoridade de certificação (CA), execute este comando e siga as instruções.

   ```
   $ ./easyrsa build-ca nopass
   ```

1. Gere o certificado e a chave de servidor.

   ```
   $ ./easyrsa --san=DNS:server build-server-full server nopass
   ```

1. Gere o certificado e a chave de cliente.

   Certifique-se de salvar o certificado de cliente e a chave privada de cliente, pois você precisará deles ao configurar o cliente.

   ```
   $ ./easyrsa build-client-full client1.domain.tld nopass
   ```

   Opcionalmente, você pode repetir essa etapa para cada cliente (usuário final) que exija um certificado e uma chave de cliente.

1. Copie os certificados e as chaves de servidor e de cliente para uma pasta personalizada e depois navegue até ela.

   Antes de copiar os certificados e as chaves, crie a pasta personalizada usando o comando `mkdir`. O exemplo a seguir cria uma pasta personalizada em seu diretório base.

   ```
   $ mkdir ~/custom_folder/
   $ cp pki/ca.crt ~/custom_folder/
   $ cp pki/issued/server.crt ~/custom_folder/
   $ cp pki/private/server.key ~/custom_folder/
   $ cp pki/issued/client1.domain.tld.crt ~/custom_folder
   $ cp pki/private/client1.domain.tld.key ~/custom_folder/
   $ cd ~/custom_folder/
   ```

1. Faça upload do certificado e da chave do servidor e do certificado e da chave do cliente no ACM. Certifique-se de fazer upload deles na mesma região em que pretende criar o endpoint da Client VPN. Os comandos a seguir usam a AWS CLI para fazer upload dos certificados. Para fazer upload dos certificados usando o console do ACM, consulte [Importar certificados](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) no *Guia do usuário do AWS Certificate Manager *.

   ```
   $ aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt
   ```

   ```
   $ aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt
   ```

   Você não precisa necessariamente carregar o certificado do cliente no ACM. Se os certificados de servidor e de cliente tiverem sido emitidos pela mesma autoridade de certificação (CA), você poderá usar o ARN de certificado de servidor tanto para o servidor quanto para o cliente ao criar o endpoint do cliente VPN. Nas etapas acima, a mesma CA foi usada para criar ambos os certificados. Entretanto, as etapas para carregar o certificado do cliente estão incluídas para que as instruções fiquem completas.

------
#### [ Windows ]

O procedimento a seguir instala o software Easy-RSA 3.x e o usa para gerar os certificados e chaves do servidor e do cliente.

**Para gerar os certificados e as chaves de servidor e cliente e carregá-los no ACM**

1. Acesse a página de [lançamentos do EasyRSA](https://github.com/OpenVPN/easy-rsa/releases), baixe o arquivo ZIP para sua versão do Windows e extraia-o.

1. Abra um prompt de comando e navegue até o local para o qual a pasta `EasyRSA-3.x` foi extraída.

1. Execute o comando a seguir para abrir o shell do EasyRSA 3.

   ```
   C:\Program Files\EasyRSA-3.x> .\EasyRSA-Start.bat
   ```

1. Inicialize um novo ambiente PKI.

   ```
   # ./easyrsa init-pki
   ```

1. Para criar uma nova autoridade de certificação (CA), execute este comando e siga as instruções.

   ```
   # ./easyrsa build-ca nopass
   ```

1. Gere o certificado e a chave de servidor.

   ```
   # ./easyrsa --san=DNS:server build-server-full server nopass
   ```

1. Gere o certificado e a chave de cliente.

   ```
   # ./easyrsa build-client-full client1.domain.tld nopass
   ```

   Opcionalmente, você pode repetir essa etapa para cada cliente (usuário final) que exija um certificado e uma chave de cliente.

1. Saia do shell do EasyRSA 3.

   ```
   # exit
   ```

1. Copie os certificados e as chaves de servidor e de cliente para uma pasta personalizada e depois navegue até ela.

   Antes de copiar os certificados e as chaves, crie a pasta personalizada usando o comando `mkdir`. O exemplo a seguir cria uma pasta personalizada na unidade C:\$1.

   ```
   C:\Program Files\EasyRSA-3.x> mkdir C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\ca.crt C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\issued\server.crt C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\private\server.key C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\issued\client1.domain.tld.crt C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\private\client1.domain.tld.key C:\custom_folder
   C:\Program Files\EasyRSA-3.x> cd C:\custom_folder
   ```

1. Faça upload do certificado e da chave do servidor e do certificado e da chave do cliente no ACM. Certifique-se de fazer upload deles na mesma região em que pretende criar o endpoint da Client VPN. Os comandos a seguir usam o AWS CLI para carregar os certificados. Para fazer upload dos certificados usando o console do ACM, consulte [Importar certificados](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) no *Guia do usuário do AWS Certificate Manager *.

   ```
   aws acm import-certificate \
       --certificate fileb://server.crt \ 
       --private-key fileb://server.key \
       --certificate-chain fileb://ca.crt
   ```

   ```
   aws acm import-certificate \
       --certificate fileb://client1.domain.tld.crt \
       --private-key fileb://client1.domain.tld.key \
       --certificate-chain fileb://ca.crt
   ```

   Você não precisa necessariamente carregar o certificado do cliente no ACM. Se os certificados de servidor e de cliente tiverem sido emitidos pela mesma autoridade de certificação (CA), você poderá usar o ARN de certificado de servidor tanto para o servidor quanto para o cliente ao criar o endpoint do cliente VPN. Nas etapas acima, a mesma CA foi usada para criar ambos os certificados. Entretanto, as etapas para carregar o certificado do cliente estão incluídas para que as instruções fiquem completas.

------

# Renovar o certificado de servidor para AWS Client VPN
<a name="mutual-renew"></a>

É possível utilizar o certificado do servidor VPN do Client que tenha expirado. Dependendo da versão do OpenVPN easy-rsa que você está utilizando, o processo irá variar. Consulte a documentação de [renovação e revogação de certificados do Easy-RSA 3 para](https://github.com/OpenVPN/easy-rsa/blob/master/doc/EasyRSA-Renew-and-Revoke.md) obter mais detalhes.

**Para renovar o certificado de servidor**

1. Execute **um** destes procedimentos:
   + Easy-RSA versão 3.1.x

     1. Execute o comando de renovação do certificado.

       ```
       $ ./easyrsa renew server nopass
       ```
   + Easy-RSA versão 3.2.x

     1. Execute o comando expire.

        ```
        $ ./easyrsa expire server
        ```

     1. Assine um novo certificado.

        ```
        $ ./easyrsa --san=DNS:server sign-req server server
        ```

1. Crie uma pasta personalizada, copie os novos arquivos para ela e navegue até a pasta.

   ```
   $ mkdir ~/custom_folder2
   $ cp pki/ca.crt ~/custom_folder2/
   $ cp pki/issued/server.crt ~/custom_folder2/
   $ cp pki/private/server.key ~/custom_folder2/
   $ cd ~/custom_folder2/
   ```

1. Importe os novos arquivos para o ACM. É necessário importá-los na mesma região que o endpoint da Client VPN. 

   ```
   $ aws acm import-certificate \
       --certificate fileb://server.crt \
       --private-key fileb://server.key \
       --certificate-chain fileb://ca.crt \
       --certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901
   ```

# Single Sign-On — Autenticação federada baseada em SAML 2.0 — na Client VPN
<a name="federated-authentication"></a>

AWS Client VPN oferece suporte à federação de identidades com o Security Assertion Markup Language 2.0 (SAML 2.0) para endpoints Client VPN. Você pode usar provedores de identidade (IdPs) que oferecem suporte ao SAML 2.0 para criar identidades de usuário centralizadas. Depois, você pode configurar um endpoint do cliente VPN para usar a autenticação federada baseada em SAML e associá-lo ao IdP. Os usuários se conectam ao endpoint do cliente VPN usando as respectivas credenciais centralizadas.

**Topics**
+ [Habilitar SAML](client-auth-enable-saml.md)
+ [Fluxo de trabalho de autenticação](#federated-authentication-workflow)
+ [Requisitos e considerações para autenticação federada baseada em SAML](#saml-requirements)
+ [Recursos de configuração de IdPs baseados em SAML](#saml-config-resources)

# Habilitar SAML para AWS Client VPN
<a name="client-auth-enable-saml"></a>

 É possível habilitar o SAML para login único para Client VPN ao seguir estas etapas. Como alternativa, se você tiver habilitado o portal de autoatendimento para o endpoint da cliente VPN, instrua os usuários a acessá-lo para obter o arquivo de configuração e o cliente fornecido pela AWS . Para obter mais informações, consulte [Acesso ao portal de autoatendimento do AWS Client VPN](cvpn-self-service-portal.md).

**Para permitir que o IdP baseado em SAML funcione com um endpoint da Client VPN, você deve fazer o seguinte.**

1. Crie um aplicativo baseado em SAML no IdP escolhido para usar com AWS Client VPN ou use um aplicativo existente.

1. Configure seu IdP para estabelecer uma relação de confiança com a AWS. Para obter recursos, consulte [Recursos de configuração de IdPs baseados em SAML](federated-authentication.md#saml-config-resources).

1. No IdP, gere e faça download de um documento de metadados de federação que descreve sua organização como um IdP. 

   Esse documento XML assinado é usado para estabelecer a relação de confiança entre a AWS e o IdP.

1. Crie um provedor de identidade SAML do IAM na mesma AWS conta do endpoint do Client VPN. 

   O provedor de identidade SAML do IAM define a relação de confiança entre o IdP e AWS a confiança da sua organização usando o documento de metadados gerado pelo IdP. Para obter mais informações, consulte [Criar provedores de identidade SAML do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) no *Guia do usuário do IAM*. Se você atualizar posteriormente a configuração da aplicação no IdP, gere um novo documento de metadados e atualize seu provedor de identidade SAML do IAM.
**nota**  
Não é necessário criar uma função do IAM para usar o provedor de identidade SAML do IAM.

1. Crie um endpoint do cliente VPN. 

   Especifique a autenticação federada como o tipo de autenticação e especifique o provedor de identidade SAML do IAM que você criou. Para obter mais informações, consulte [Crie um AWS Client VPN endpoint](cvpn-working-endpoint-create.md).

1. Exporte o [arquivo de configuração do cliente](cvpn-working-endpoint-export.md) e distribua-o aos usuários. Instrua os usuários a fazerem download da versão mais recente do [cliente fornecido pela AWS](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/connect-aws-client-vpn-connect.html) e usá-la para carregar o arquivo de configuração e se conectar ao endpoint da cliente VPN.

## Fluxo de trabalho de autenticação
<a name="federated-authentication-workflow"></a>

O diagrama a seguir fornece uma visão geral do fluxo de trabalho de autenticação para um endpoint do cliente VPN que usa autenticação federada baseada em SAML. Ao criar e configurar o endpoint do cliente VPN, você especifica o provedor de identidade SAML do IAM.

![\[Fluxo de trabalho de autenticação\]](http://docs.aws.amazon.com/pt_br/vpn/latest/clientvpn-admin/images/federated-auth-workflow.png)


1. O usuário abre o cliente AWS fornecido em seu dispositivo e inicia uma conexão com o endpoint do Client VPN.

1. O endpoint do cliente VPN envia um URL de IdP e uma solicitação de autenticação de volta ao cliente, com base nas informações fornecidas no provedor de identidade SAML do IAM.

1. O cliente AWS fornecido abre uma nova janela do navegador no dispositivo do usuário. O navegador faz uma solicitação para o IdP e exibe uma página de login.

1. O usuário insere as credenciais na página de login e o IdP envia uma declaração SAML assinada de volta ao cliente.

1. O cliente AWS fornecido envia a declaração SAML para o endpoint do Client VPN.

1. O endpoint do cliente VPN valida a declaração e permite ou nega o acesso ao usuário.

## Requisitos e considerações para autenticação federada baseada em SAML
<a name="saml-requirements"></a>

Veja a seguir requisitos e considerações para autenticação federada baseada em SAML.
+ Para obter cotas e regras para configurar usuários e grupos em um IdP baseado em SAML, consulte [Cotas de usuários e grupos](limits.md#quotas-users-groups).
+ A declaração e a resposta SAML devem ser assinadas.
+ AWS Client VPN só oferece suporte às condições AudienceRestriction "" e "NotBefore e NotOnOrAfter" nas afirmações do SAML.
+ O tamanho máximo compatível com respostas SAML é 128 KB.
+ AWS Client VPN não fornece solicitações de autenticação assinadas.
+ Não há compatibilidade com logout único SAML. Os usuários podem sair desconectando-se do cliente AWS fornecido ou você pode [encerrar as](cvpn-working-connections-disassociate.md) conexões.
+ Um endpoint do cliente VPN é compatível apenas com um único IdP.
+ A autenticação multifator (MFA) é permitida quando está habilitada no IdP.
+ Os usuários devem usar o cliente AWS fornecido para se conectar ao endpoint do Client VPN. Eles devem usar a versão 1.2.0 ou posterior. Para obter mais informações, consulte [Conectar usando o cliente AWS fornecido](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/connect-aws-client-vpn-connect.html).
+ Os seguintes navegadores são compatíveis com a autenticação IdP: Apple Safari, Google Chrome, Microsoft Edge e Mozilla Firefox.
+ O cliente AWS fornecido reserva a porta TCP 35001 nos dispositivos dos usuários para a resposta SAML.
+ Se o documento de metadados do provedor de identidade SAML do IAM for atualizado com um URL incorreto ou mal-intencionado, isso poderá causar problemas de autenticação para os usuários ou resultar em ataques de phishing. Portanto, recomendamos que você use o AWS CloudTrail para monitorar atualizações feitas no provedor de identidade SAML do IAM. Para obter mais informações, consulte [Como registrar o IAM e chamadas do AWS STS com o AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html) no *Guia do usuário do IAM*.
+ AWS Client VPN envia uma solicitação AuthN ao IdP por meio de uma associação de redirecionamento HTTP. Portanto, o IdP deve ser compatível com a vinculação de redirecionamento HTTP e deve estar presente no documento de metadados do IdP.
+ Para a declaração SAML, é preciso usar um formato de endereço de e-mail para o atributo `NameID`.
+ O tamanho máximo do nome de usuário (`NameID`) é de 1024 bytes. Conexões com nomes de usuário mais longos serão rejeitadas.
+ Quando o certificado utilizado pelo serviço Client VPN é atualizado, seja por meio da alternância automática do ACM, da importação manual automática de um novo certificado ou da atualização de metadados no Centro de Identidade do IAM, o serviço Client VPN atualiza automaticamente o endpoint do Client VPN com o certificado mais recente. Esse é um processo automatizado que pode levar até 5 horas.

## Recursos de configuração de IdPs baseados em SAML
<a name="saml-config-resources"></a>

A tabela a seguir lista o baseado em SAML com o IdPs qual testamos para uso e os recursos que podem ajudá-lo a configurar o IdP. AWS Client VPN


| IdP | Recurso | 
| --- | --- | 
| Okta | [Autenticar AWS Client VPN usuários com SAML](https://aws.amazon.com/blogs/networking-and-content-delivery/authenticate-aws-client-vpn-users-with-saml/) | 
| Microsoft Entra ID (antigo Azure Active Directory) | Para obter mais informações, consulte o [Tutorial: Microsoft Entra na integração de login único (SSO) com o AWS ClientVPN](https://learn.microsoft.com/en-gb/entra/identity/saas-apps/aws-clientvpn-tutorial) no site de documentação da Microsoft. | 
| JumpCloud | [Integre com AWS Client VPN](https://jumpcloud.com/support/integrate-with-aws-client-vpn) | 
| Centro de Identidade do AWS IAM | [Usando o IAM Identity Center com AWS Client VPN para autenticação e autorização](https://aws.amazon.com/blogs/networking-and-content-delivery/using-aws-sso-with-aws-client-vpn-for-authentication-and-authorization/)  | 

### Informações do provedor de serviços para criar um aplicativo
<a name="saml-config-service-provider-info"></a>

Para criar um aplicativo baseado em SAML usando um IdP que não esteja listado na tabela anterior, use as informações a seguir para configurar as informações do provedor de serviços. AWS Client VPN 
+ URL do Assertion Consumer Service (ACS): `http://127.0.0.1:35001`
+ URI do público: `urn:amazon:webservices:clientvpn`

Pelo menos um atributo deve ser incluído na resposta SAML do IdP. Veja os exemplos de atributo a seguir.


| Atributo | Description | 
| --- | --- | 
| FirstName | O nome do usuário. | 
| LastName | O sobrenome do usuário. | 
| memberOf | Os grupos aos quais o usuário pertence. | 

**nota**  
O atributo `memberOf` é necessário para usar as regras de autorização baseadas em grupos do Active Directory ou do IdP SAML. Também diferencia letras maiúsculas de minúsculas e deve ser configurado exatamente como especificado. Consulte [Autorização com base em rede](client-authorization.md#auth-rules) e [AWS Client VPN regras de autorização](cvpn-working-rules.md) para obter mais informações.

### Suporte para o portal de autoatendimento
<a name="saml-self-service-support"></a>

Se você habilitar o portal de autoatendimento do endpoint do cliente VPN, os usuários fazem login no portal usando as credenciais IdP baseadas em SAML.

Se o seu IdP oferecer suporte a vários Assertion Consumer Service (ACS) URLs, adicione o seguinte URL do ACS ao seu aplicativo.

```
https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
```

Se você estiver usando o endpoint do Client VPN em uma GovCloud região, use o seguinte URL do ACS em vez disso. Se você usar o mesmo aplicativo IDP para autenticar tanto para o padrão quanto para as GovCloud regiões, poderá adicionar os dois. URLs

```
https://gov.self-service.clientvpn.amazonaws.com/api/auth/sso/saml
```

Se o seu IdP não suportar vários ACS URLs, faça o seguinte: 

1. Crie uma aplicação adicional baseado em SAML no IdP e especifique o seguinte URL do ACS.

   ```
   https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
   ```

1. Gere e faça download de um documento de metadados de federação.

1. Crie um provedor de identidade SAML do IAM na mesma AWS conta do endpoint do Client VPN. Para obter mais informações, consulte [Criar provedores de identidade SAML do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) no *Guia do usuário do IAM*. 
**nota**  
Crie este provedor de identidade SAML além daquele [criado para a aplicação principal](#federated-authentication).

1. [Crie o endpoint do cliente VPN](cvpn-working-endpoint-create.md) e especifique os provedores de identidade SAML do IAM.