As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurando o tipo de autenticação padrão para o Amazon WorkSpaces Secure Browser
O tipo de autenticação *padrão* é o tipo de autenticação inicial fornecido. Ele dá suporte a fluxos de login iniciados pelo provedor de serviços (iniciados pelo SP) e pelo provedor de identidades (iniciados pelo IdP) com IdP compatível com SAML 2.0. Para configurar o tipo de autenticação padrão, siga as etapas abaixo para federar o IdP SAML 2.0 de terceiros (como Okta ou Ping) diretamente com seu portal.
**Topics**
+ [Configurando seu provedor de identidade no Amazon WorkSpaces Secure Browser](configure-idp-step1.md)
+ [Configurar seu IdP em seu próprio IdP](configure-idp-step2.md)
+ [Concluindo a configuração do IdP no Amazon Secure WorkSpaces Browser](upload-metadata.md)
+ [Orientação para uso específico IdPs com o Amazon WorkSpaces Secure Browser](idp-guidance.md)
# Configurando seu provedor de identidade no Amazon WorkSpaces Secure Browser
Conclua as etapas a seguir para configurar seu provedor de identidades:
1. Na página **Configurar o provedor de identidade** do assistente de criação, escolha **Padrão**.
1. Escolha **Continuar com o IdP padrão**.
1. Faça o download do arquivo de metadados do SP e mantenha a guia aberta para os valores de metadados individuais.
+ Se o arquivo de metadados do SP estiver disponível, escolha **Baixar arquivo de metadados** para baixar o documento de metadados do provedor de serviços (SP) e carregar o arquivo de metadados do provedor de serviços no IdP na próxima etapa. Sem isso, os usuários não conseguirão fazer login.
+ Se seu provedor não fizer upload dos arquivos de metadados do SP, insira manualmente os valores dos metadados.
1. Em **Escolher tipo de login SAML**, escolha entre **declarações de SAML iniciadas pelo SP e iniciadas pelo IdP** ou **somente declarações de SAML iniciadas pelo SP**.
+ As **declarações de SAML iniciadas pelo SP e pelo IdP** permitem que seu portal ofereça suporte aos dois tipos de fluxos de login. Os portais que oferecem suporte a fluxos iniciados pelo IdP permitem que você apresente declarações de SAML ao endpoint da federação de identidade de serviço sem exigir que os usuários iniciem uma sessão visitando a URL do portal.
+ Escolha essa opção para permitir que o portal aceite declarações de SAML não solicitadas iniciadas pelo IdP.
+ Essa opção exige que um **estado de retransmissão padrão** seja configurado em seu provedor de identidade SAML 2.0. O parâmetro de estado de retransmissão do seu portal está no console em **login de SAML iniciado por IdP**, ou você pode copiá-lo do arquivo de metadados SP em ``.
+ Observação
+ O formato a seguir representa o estado de retransmissão: `redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider`.
+ Se você copiar e colar o valor do arquivo de metadados do SP, certifique-se de alterar `& ` para `&`. `&` é um caractere de escape de XML.
+ Escolha somente **declarações de SAML iniciadas pelo SP** para que o portal ofereça suporte somente aos fluxos de login iniciados pelo SP. Essa opção rejeitará declarações de SAML não solicitadas de fluxos de login iniciados pelo IdP.
**nota**
Alguns terceiros IdPs permitem que você crie um aplicativo SAML personalizado que pode oferecer experiências de autenticação iniciadas pelo IdP aproveitando fluxos iniciados pelo SP. Consulte um exemplo em [Add an Okta bookmark application](https://help.okta.com/oag/en-us/content/topics/access-gateway/add-app-saml-pass-thru-add-bookmark.htm).
1. Escolha se você deseja habilitar **Assinar solicitações de SAML para esse provedor**. A autenticação iniciada pelo SP permite que o IdP valide se a solicitação de autenticação está vindo do portal, o que impede a aceitação de outras solicitações de terceiros.
1. Baixe o certificado de assinatura e faça o upload para o seu IdP. O mesmo certificado de assinatura pode ser usado para um único logout.
1. Habilitar a solicitação assinada em seu IdP. O nome pode ser diferente, dependendo do IdP.
**nota**
RSA- SHA256 é o único algoritmo de solicitação e assinatura de solicitação padrão suportado.
1. Escolha se você deseja habilitar **Exigir declarações de SAML criptografadas**. Isso permite que você criptografe a declaração de SAML que vem do seu IdP. Isso pode impedir que os dados sejam interceptados em declarações SAML entre o IdP e o Secure Browser. WorkSpaces
**nota**
O certificado de criptografia não está disponível nessa etapa. Ele será criado após o portal ser iniciado. Depois de iniciar o portal, baixe o certificado de criptografia e faça o upload para o IdP. Em seguida, habilite a criptografia de declaração em seu IdP (o nome pode ser diferente, dependendo do IdP).
1. Escolha se você deseja ativar o **Logout único**. O logout único permite que seus usuários finais saiam da sessão do IdP WorkSpaces e do Secure Browser com uma única ação.
1. Baixe o certificado de assinatura do WorkSpaces Secure Browser e carregue-o em seu IdP. Esse é o mesmo certificado de assinatura usado para **Solicitar assinatura** na etapa anterior.
1. Usar o **Logout único** exige que você configure um **URL de logout único** no seu provedor de identidade SAML 2.0. Você pode encontrar o **URL de logout único** do seu portal no console em **Detalhes do provedor de serviços (SP) - Mostrar valores de metadados individuais** ou do arquivo de metadados SP em ``.
1. Habilitar **logout único** em seu IdP. O nome pode ser diferente, dependendo do IdP.
# Configurar seu IdP em seu próprio IdP
Para configurar seu IdP em seu próprio IdP, siga estas etapas.
1. Abra uma nova guia no navegador.
1. Adicione os metadados do portal ao SAML IdP.
Faça o upload do documento de metadados do SP que você baixou na etapa anterior no IdP ou copie e cole os valores dos metadados nos campos corretos do IdP. Alguns provedores não permitem o upload de arquivos.
Os detalhes desse processo podem variar entre os provedores. Encontre a documentação do seu provedor em [Orientação para uso específico IdPs com o Amazon WorkSpaces Secure Browser](idp-guidance.md) para obter ajuda sobre como adicionar os detalhes do portal à sua configuração de IdP.
1. Confirme o **NameID** para sua declaração de SAML.
Certifique-se de que seu SAML IdP preencha o **NameID** na declaração de SAML com o campo de e-mail do usuário. O **NameID** e e-mail do usuário são usados para identificar exclusivamente o usuário federado de SAML com o portal. Use o formato de ID de Nome do SAML persistente.
1. Opcional: configure o **estado de retransmissão** para a autenticação iniciada pelo IdP.
Se você escolheu **Aceitar declarações de SAML iniciadas pelo SP e iniciadas pelo IdP** na etapa anterior, siga as etapas na etapa 2 de [Configurando seu provedor de identidade no Amazon WorkSpaces Secure Browser](configure-idp-step1.md) para definir o **estado de retransmissão padrão** para seu aplicativo de IdP.
1. Opcional: configure **Solicitar assinatura**. Se você escolheu **Assinar solicitações de SAML para esse provedor** na etapa anterior, siga as etapas na etapa 3 de [Configurando seu provedor de identidade no Amazon WorkSpaces Secure Browser](configure-idp-step1.md) para fazer upload do certificado de assinatura no seu IdP e habilitar a assinatura da solicitação. **Alguns IdPs , como o Okta, podem exigir que seu **NameID** pertença ao tipo “persistente” para usar a assinatura de solicitação.** Certifique-se de confirmar seu **NameID** para sua declaração de SAML seguindo as etapas acima.
1. Opcional: configure a **criptografia de declaração**. Se você escolher **Exigir declarações de SAML criptografadas desse provedor**, aguarde até que a criação do portal seja concluída e siga a etapa 4 em “Fazer upload de metadados” abaixo para carregar o certificado de criptografia em seu IdP e habilitar a criptografia de declaração.
1. Opcional: configure o **logout único**. Se você escolheu **Logout único**, siga as etapas na etapa 5 de [Configurando seu provedor de identidade no Amazon WorkSpaces Secure Browser](configure-idp-step1.md) para carregar o certificado de assinatura em seu IdP, preencher o **URL de logout único** e habilite o **Logout único**.
1. Conceda acesso aos seus usuários em seu IdP para usar o Navegador WorkSpaces Seguro.
1. Baixe um arquivo de troca de metadados do seu IdP. Você fará o upload desses metadados para o WorkSpaces Secure Browser na próxima etapa.
# Concluindo a configuração do IdP no Amazon Secure WorkSpaces Browser
Para concluir a configuração do IdP no WorkSpaces Secure Browser, siga estas etapas.
1. Retorne ao console do WorkSpaces Secure Browser. Na **página Configurar provedor de identidade** do assistente de criação, em **Metadados do IdP**, faça upload de um arquivo de metadados ou insira um URL de metadados do IdP. O portal usa esses metadados do IdP para estabelecer confiança.
1. Para carregar um arquivo de metadados, em **Documento de metadados do IdP**, selecione **Escolher arquivo**. Carregue o arquivo de metadados no formato XML do IdP que você baixou na etapa anterior.
1. Para usar um URL de metadados, acesse o IdP que você configurou na etapa anterior e obtenha o **URL de metadados**. Volte para o console do WorkSpaces Secure Browser e, em URL de **metadados do IdP, insira o URL** dos metadados que você obteve do seu IdP.
1. Quando concluir, escolha **Next**.
1. Para portais nos quais você habilitou a opção **Exigir declarações SAML criptografadas deste provedor**, você precisa baixar o certificado de criptografia da seção de detalhes do IdP do portal e carregá-lo no seu IdP. Em seguida, você pode ativar a opção lá.
**nota**
WorkSpaces O Secure Browser exige que o assunto ou o nameID sejam mapeados e definidos na declaração SAML nas configurações do seu IdP. Seu IdP pode criar esses mapeamentos automaticamente. Se esses mapeamentos não estiverem configurados corretamente, os usuários não poderão fazer login no portal da web e iniciar uma sessão.
WorkSpaces O Secure Browser exige que as seguintes afirmações estejam presentes na resposta do SAML. Você pode encontrar ** e ** a partir do documento de metadados ou detalhes do provedor de serviços do seu portal, seja pelo console ou pela CLI.
Uma reivindicação `AudienceRestriction` com um valor de `Audience` que define o ID da entidade SP como o destino da resposta. Exemplo:
```
```
Uma reivindicação `Response` com um valor de `InResponseTo` do ID da solicitação SAML original. Exemplo:
```
```
Uma reivindicação `SubjectConfirmationData` com um valor de `Recipient` do URL ACS SP e um valor de `InResponseTo` que corresponde ao ID da solicitação SAML original. Exemplo:
```
```
WorkSpaces O Secure Browser valida seus parâmetros de solicitação e declarações de SAML. Para declarações de SAML iniciadas pelo IdP, os detalhes da solicitação devem ser formatados como um parâmetro `RelayState` no corpo de uma solicitação HTTP POST. O corpo da solicitação também deve conter sua declaração de SAML como um parâmetro `SAMLResponse`. Ambos devem estar presentes se você tiver seguido a etapa anterior.
Veja a seguir um exemplo de corpo de `POST` para um provedor de SAML iniciado pelo IdP.
```
SAMLResponse=&RelayState=
```
# Orientação para uso específico IdPs com o Amazon WorkSpaces Secure Browser
Para garantir que você configure corretamente a federação SAML para seu portal, consulte os links abaixo para obter a documentação dos mais usados IdPs.
| IdP | Configuração do aplicativo SAML | Gerenciamento de usuários | Autenticação iniciada pelo IDP | Solicitar assinatura | Criptografia da declaração | Logout único |
| --- | --- | --- | --- | --- | --- | --- |
| Okta | [Criar integrações de aplicativos SAML](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Gerenciamento de usuários](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Referência do campo SAML do Assistente de integração de aplicativo](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Referência do campo SAML do Assistente de integração de aplicativo](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Referência do campo SAML do Assistente de integração de aplicativo](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Referência do campo SAML do Assistente de integração de aplicativo](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) |
| Entra | [Criar seu próprio aplicativo](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Início rápido: criar e atribuir uma conta de usuário](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-assign-users) | [Habilitar o login único para um aplicativo corporativo](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-setup-sso) | [Verificação da assinatura da solicitação SAML](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-enforce-signed-saml-authentication) | [Configurar a criptografia de token SAML do Microsoft Entra](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-saml-token-encryption?tabs=azure-portal) | [Protocolo SAML de logout único](https://learn.microsoft.com/en-us/entra/identity-platform/single-sign-out-saml-protocol) |
| Ping | [Adicionar um aplicativo SAML](https://docs.pingidentity.com/r/en-us/pingone/pingone_p1tutorial_add_a_saml_app) | [Usuários](https://docs.pingidentity.com/r/en-us/pingone/p1_c_aboutusers) | [Habilitar o SSO iniciado pelo IdP](https://docs.pingidentity.com/r/en-us/pingone/pingone_configuring_the_oidc_application) | [Configurando o login da solicitação de autenticação PingOne para Enterprise](https://docs.pingidentity.com/r/en-us/solution-guides/htg_config_authn_req_sign_p14e) | [O PingOne for Enterprise oferece suporte à criptografia?](https://support.pingidentity.com/s/article/Does-PingOne-support-encryption) | [Logout único do SAML 2.0](https://docs.pingidentity.com/r/en-us/pingone/pingone_c_saml_2-0_slo?tocId=aKUl0dlpyVDVw3PJmLIGGg) |
| One Login | [Conector personalizado SAML (avançado) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Adicionar usuários OneLogin manualmente](https://www.onelogin.com/getting-started/free-trial-plan/add-users-manually) | [Conector personalizado SAML (avançado) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Conector personalizado SAML (avançado) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Conector personalizado SAML (avançado) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Conector personalizado SAML (avançado) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) |
| Centro de Identidade do IAM | [Configurar sua própria aplicação SAML 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [Configurar sua própria aplicação SAML 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [Configurar sua própria aplicação SAML 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | N/D | N/D | N/D |