As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Introdução ao Amazon WorkSpaces Secure Browser
<a name="getting-started"></a>

Siga estas etapas para criar um portal web do WorkSpaces Secure Browser e fornecer aos usuários acesso a sites internos e SaaS a partir de seus navegadores existentes. É possível criar um portal da web em qualquer região com suporte por conta. 

**nota**  
Para solicitar um aumento de limite para mais de um portal, entre em contato com o suporte com seu Conta da AWS ID, número de portais a serem solicitados e. Região da AWS

Esse processo normalmente leva cinco minutos com o assistente de criação do portal da web e até 15 minutos adicionais para que o portal se torne **Ativo**.

Não há custos associados à criação de um portal da web. WorkSpaces O Secure Browser oferece pay-as-you-go preços, incluindo um preço baixo mensal para usuários que usam ativamente o serviço. Não há custos antecipados, licenças nem compromissos de longo prazo.

**Importante**  
Antes de começar, você deve atender aos pré-requisitos necessários para um portal da web. Para ter mais informações sobre os pré-requisitos do portal da web, consulte [Configurando o Amazon WorkSpaces Secure Browser](setting-up.md).

**Topics**
+ [Criação de um portal web para o Amazon WorkSpaces Secure Browser](getting-started-step1.md)
+ [Testando seu portal web no Amazon WorkSpaces Secure Browser](getting-started-step2.md)
+ [Distribuindo seu portal web no Amazon WorkSpaces Secure Browser](getting-started-step3.md)

# Criação de um portal web para o Amazon WorkSpaces Secure Browser
<a name="getting-started-step1"></a>

Siga estas etapas para criar um portal da web.

**Topics**
+ [Definindo as configurações de rede para o Amazon WorkSpaces Secure Browser](network-settings.md)
+ [Definindo as configurações do portal para o Amazon WorkSpaces Secure Browser](portal-settings.md)
+ [Definindo as configurações do usuário para o Amazon WorkSpaces Secure Browser](user-settings.md)
+ [Configurando seu provedor de identidade para o Amazon WorkSpaces Secure Browser](identity-settings.md)
+ [Lançamento de um portal web com o Amazon WorkSpaces Secure Browser](review-settings.md)

# Definindo as configurações de rede para o Amazon WorkSpaces Secure Browser
<a name="network-settings"></a>

Para definir as configurações de rede para o WorkSpaces Secure Browser, siga estas etapas.

1. Abra o console do WorkSpaces Secure Browser em [https://console.aws.amazon.com/workspaces-web/casa](https://console.aws.amazon.com/workspaces-web/home).

1. Escolha **Navegador WorkSpaces seguro**, depois **Portais da Web** e escolha **Criar portal da Web**.

1. Na página **Etapa 1: especificar conexão de rede**, conclua as etapas a seguir para conectar a VPC ao portal da web e configurar a VPC e sub-redes.

   1. Para **obter detalhes da rede**, escolha uma VPC com uma conexão com o conteúdo que você deseja que seus usuários acessem com o WorkSpaces Secure Browser.

   1. Escolha até três sub-redes privadas que atendam aos requisitos a seguir. Para obter mais informações, consulte [Rede para o Amazon WorkSpaces Secure Browser](setup-vpc.md).
      + Escolha um mínimo de duas sub-redes privadas para criar um portal.
      + Para garantir a alta disponibilidade do portal da web, recomendamos que você forneça o número máximo de sub-redes privadas em zonas de disponibilidade exclusivas para a VPC. 

   1. Escolha um grupo de segurança.

# Definindo as configurações do portal para o Amazon WorkSpaces Secure Browser
<a name="portal-settings"></a>

Na página **Etapa 2: definir configurações do portal da web**, conclua as etapas a seguir para personalizar a experiência de navegação dos usuários quando eles iniciam uma sessão.

1. Em **Detalhes do portal da web**, em **Nome de exibição**, insira um nome identificável para o seu portal da web.

1. Em **Tipo de instância**, selecione o tipo de instância no portal da web no menu suspenso. Em seguida, insira seu **limite máximo de usuários simultâneos** para o portal da web. Para obter mais informações, consulte [Gerenciando cotas de serviço para seu portal no Amazon WorkSpaces Secure Browser](request-service-quota.md).
**nota**  
A seleção de um novo tipo de instância alterará o custo de cada usuário ativo mensal. Para obter mais informações, consulte os [preços do Amazon WorkSpaces Secure Browser](https://aws.amazon.com/workspaces/web/pricing/).

1. Em **Domínio Personalizado**, você pode configurar um domínio personalizado para seu portal para habilitar o acesso através do seu próprio nome de domínio em vez do endpoint padrão do portal. Para obter mais informações, consulte [Configurando domínio personalizado para seu portal](custom-domains.md). **Isso é opcional.**

1. Em **Registrador de sessão**, você pode especificar um bucket do S3 para armazenar arquivos de log de sessão. Para obter mais informações, consulte [Configurando o Session Logger para o Amazon WorkSpaces Secure Browser](session-logger.md). **Isso é opcional.**

1. Em **Registro de acesso do usuário**, para **Kinesis stream ID**, selecione o stream de dados do Amazon Kinesis para o qual você deseja enviar os arquivos de log. Para obter mais informações, consulte [Configurando o registro de atividades do usuário no Amazon WorkSpaces Secure Browser](user-logging.md). **Isso é opcional.**

1. Em **Controle de acesso IP**, escolha se deseja restringir o acesso a redes confiáveis. Para obter mais informações, consulte [Gerenciando controles de acesso IP no Amazon WorkSpaces Secure Browser](ip-access-controls.md). **Isso é opcional.**

1. Em **Configurações de proteção de dados**, você pode criar políticas para o WorkSpaces Secure Browser para redigir informações confidenciais. Para obter mais informações, consulte [Gerenciando configurações de proteção de dados no Amazon WorkSpaces Secure Browser](data-protection-settings.md). **Isso é opcional**.

1. Em **Filtragem de URL**, você pode especificar quais usuários URLs finais têm permissão para acessar ou bloquear categorias específicas URLs ou de domínio para restringir o acesso. Para obter mais informações, consulte [Filtragem de conteúdo da Web no Amazon WorkSpaces Secure Browser](web-content-filtering.md). **Isso é opcional.**

   1. Para restringir a navegação por sessão a alguns domínios selecionados, ative a opção **Bloquear tudo URLs** e clique em **adicionar URL** para fornecer a lista de URLs seus usuários finais que podem acessar.

   1. Para criar uma lista de bloqueios URLs para usuários finais, clique em **Adicionar URL** para listar o único URLs a ser bloqueado ou clique em **Adicionar categorias** para selecionar categorias de domínios que estão bloqueados (por exemplo, redes sociais).

1. Em **Configurações de política**, você pode definir qualquer política do navegador usando as políticas do Chrome disponíveis para a versão estável mais recente do portal da web. Para obter mais informações, consulte [Gerenciando a política do navegador no Amazon WorkSpaces Secure Browser](browser-policies.md). **Isso é opcional.**

   1. Você pode selecionar rapidamente algumas das políticas mais comuns no **editor visual**
      + Para **URL de inicialização - opcional**, insira um domínio para usar como página inicial quando os usuários iniciarem o navegador. A VPC deve ter uma conexão estável com esse URL.
      + Selecione ou desmarque a opção de **Navegação privada** e **Exclusão do histórico** para ativar ou desativar esses recursos durante a sessão de um usuário.
**nota**  
URLs visitado enquanto navega de forma privada, ou antes de um usuário excluir o histórico do navegador, não pode ser registrado no registro de acesso do usuário. Para obter mais informações, consulte [Configurando o registro de atividades do usuário no Amazon WorkSpaces Secure Browser](user-logging.md).
      + Para **Favoritos do navegador - opcional**, insira o **nome de exibição**, o **domínio** e a **pasta** dos favoritos que você deseja que seus usuários vejam no navegador. Depois, escolha **Adicionar marcador**.
**nota**  
**Domínio** é um campo obrigatório para os favoritos do navegador.  
No Chrome, os usuários podem encontrar marcadores gerenciados na pasta **Gerenciador de favoritos** na barra de ferramentas de favoritos.

   1. Você também pode adicionar ou editar políticas diretamente usando o editor JSON em vez do editor visual. Para saber o formato específico de uma política, consulte a [lista de políticas do Chrome Enterprise](https://chromeenterprise.google/policies/).

   1. Você também pode importar as políticas do Chrome usadas em sua organização fazendo o upload de um arquivo JSON no portal da web. Para obter detalhes, consulte [Tutorial: Definindo uma política de navegador personalizada no Amazon WorkSpaces Secure Browser](browser-policies-custom.md)

      Ao carregar um arquivo de política, você pode ver as políticas disponíveis no arquivo no console. No entanto, não é possível editar todas as políticas no editor visual. O console lista políticas no arquivo JSON que você não pode editar com o editor visual em **Políticas JSON adicionais**. Para fazer alterações nessas políticas, você deve editá-las manualmente.

1. Adicione **tags** ao seu portal. Você pode usar tags para pesquisar ou filtrar seus AWS recursos. As tags consistem em uma chave e um valor opcional e estão associadas ao recurso do portal. **Isso é opcional.**

1. Escolha **Próximo** para continuar.

# Definindo as configurações do usuário para o Amazon WorkSpaces Secure Browser
<a name="user-settings"></a>

Na página **Etapa 3: selecionar configurações do usuário**, conclua as etapas a seguir para escolher quais recursos os usuários podem acessar na barra de navegação superior durante a sessão e escolha **Próximo**:

1. Em **Personalização da marca**, você pode personalizar as telas de login e carregamento que aparecem para seus usuários finais modificando elementos visuais, conteúdo de texto e termos de serviço. Para obter mais informações, consulte [Personalização da marca no Amazon WorkSpaces Secure Browser](branding-customization.md). **Isso é opcional.**

1. Em **Permissões**, escolha se deseja ativar a extensão para login único. Para obter mais informações, consulte [Gerenciando a extensão de login único no Amazon WorkSpaces Secure Browser](allow-extension.md).

1. Em **Permitir que os usuários imprimam em um dispositivo local a partir do portal da web**, escolha **Permitir** ou **Não permitir**. 

1. Em **Permitir que os usuários façam um deep link para o portal da web**, escolha **Permitir** ou **Não permitir**. Para obter mais informações sobre deep links, consulte [Links diretos no Amazon WorkSpaces Secure Browser](deep-links.md).

1. Em **Permitir que os usuários utilizem a autenticação local em sua sessão do portal**, escolha **Permitido** ou **Não Permitido**. Para obter mais informações sobre autenticação na web, consulte[Habilitando WebAuthn o suporte de redirecionamento no Amazon WorkSpaces Secure Browser](web-authentication.md).

1. Em **Controles da barra** de ferramentas, escolha as configurações desejadas em **Recursos**.

1. Em **Configurações**, gerencie a exibição da apresentação da barra de ferramentas no início da sessão, incluindo o estado da barra de ferramentas (encaixada ou desconectada), o tema (modo escuro ou claro), a visibilidade do ícone e a resolução máxima de exibição da sessão. Deixe essas configurações desdefinidas para conceder aos usuários finais controle total sobre essas opções. Para obter mais informações, consulte [Gerenciamento de controles da barra de ferramentas no Amazon WorkSpaces Secure Browser](toolbar-controls.md).

1. Para **Tempos limite de sessão**, especifique o seguinte: 
   + Para **Disconnect timeout in minutes (Tempo limite de desconexão em minutos)**, escolha a quantidade de tempo que uma sessão de streaming permanece ativa após os usuários se desconectarem. Se os usuários tentarem se reconectar à sessão de streaming após uma desconexão ou interrupção na rede dentro desse intervalo de tempo, eles serão conectados à sessão anterior. Caso contrário, eles serão conectados a uma nova sessão com uma nova instância de streaming. 

     Se um usuário encerrar a sessão, o tempo limite de desconexão não se aplicará. Em vez disso, o usuário é solicitado a salvar os documentos abertos e, depois, é desconectado imediatamente da instância de streaming. A instância que o usuário estava usando é encerrada. 
   + Para **Idle disconnect timeout in minutes (Tempo limite de desconexão de inatividade em minutos)**, escolha a quantidade de tempo em que os usuários podem ficar ociosos (inativos) antes de serem desconectados de sua sessão de streaming e o início do intervalo de tempo de **Disconnect timeout in minutes (Tempo limite de desconexão em minutos)**. Os usuários são notificados antes de serem desconectados devido à inatividade. Se eles tentarem reconectar-se à sessão de streaming antes do intervalo de tempo especificado em **Disconnect timeout in minutes (Tempo limite de desconexão em minutos)** terminar, eles são conectados à sessão anterior. Caso contrário, eles serão conectados a uma nova sessão com uma nova instância de streaming. Definir esse valor como 0 o desabilita. Quando esse valor estiver desabilitado, os usuários não serão desconectados devido à inatividade.
**nota**  
Os usuários são considerados ociosos quando param de fornecer entradas de teclado ou mouse durante a sessão de streaming. Uploads e downloads de arquivos, entradas de áudio, saídas de áudio e alteração de pixels não são considerados atividade do usuário. Se os usuários permanecerem ociosos depois que o intervalo de tempo em **Idle disconnect timeout in minutes (Limite de desconexão ociosa em minutos)** terminar, eles serão desconectados. 

# Configurando seu provedor de identidade para o Amazon WorkSpaces Secure Browser
<a name="identity-settings"></a>

Use as etapas a seguir para configurar seu provedor de identidades (IdP).

**Topics**
+ [Escolha do tipo de provedor de identidade para o Amazon WorkSpaces Secure Browser](choose-type.md)
+ [Alteração do tipo de provedor de identidade para o Amazon WorkSpaces Secure Browser](change-type.md)

# Escolha do tipo de provedor de identidade para o Amazon WorkSpaces Secure Browser
<a name="choose-type"></a>

WorkSpaces O Secure Browser oferece dois tipos de autenticação: **Padrão **Centro de Identidade do AWS IAM****e. Na **página Configurar o provedor de identidade**, escolha qual tipo de autenticação deve ser utilizada com o portal. 
+ Para o tipo **Padrão** (opção padrão), faça a federação de seu provedor de identidade SAML 2.0 de terceiros (como Okta ou Ping) diretamente com seu portal. Para obter mais informações, consulte [Configurando o tipo de autenticação padrão para o Amazon WorkSpaces Secure Browser](configure-standard.md). O tipo padrão é compatível com fluxos de autenticação iniciados pelo SP ou pelo IdP.
+ Para o **IAM Identity Center** (opção avançada), faça a federação do IAM Identity Center com seu portal. Para usar esse tipo de autenticação, o IAM Identity Center e o portal do WorkSpaces Secure Browser devem residir no mesmo Região da AWS. Para obter mais informações, consulte [Configurando o tipo de autenticação do IAM Identity Center para o Amazon WorkSpaces Secure Browser](configure-iam.md).

**Topics**
+ [Configurando o tipo de autenticação padrão para o Amazon WorkSpaces Secure Browser](configure-standard.md)
+ [Configurando o tipo de autenticação do IAM Identity Center para o Amazon WorkSpaces Secure Browser](configure-iam.md)

# Configurando o tipo de autenticação padrão para o Amazon WorkSpaces Secure Browser
<a name="configure-standard"></a>

O tipo de autenticação *padrão* é o tipo de autenticação inicial fornecido. Ele dá suporte a fluxos de login iniciados pelo provedor de serviços (iniciados pelo SP) e pelo provedor de identidades (iniciados pelo IdP) com IdP compatível com SAML 2.0. Para configurar o tipo de autenticação padrão, siga as etapas abaixo para federar o IdP SAML 2.0 de terceiros (como Okta ou Ping) diretamente com seu portal.

**Topics**
+ [Configurando seu provedor de identidade no Amazon WorkSpaces Secure Browser](configure-idp-step1.md)
+ [Configurar seu IdP em seu próprio IdP](configure-idp-step2.md)
+ [Concluindo a configuração do IdP no Amazon Secure WorkSpaces Browser](upload-metadata.md)
+ [Orientação para uso específico IdPs com o Amazon WorkSpaces Secure Browser](idp-guidance.md)

# Configurando seu provedor de identidade no Amazon WorkSpaces Secure Browser
<a name="configure-idp-step1"></a>

Conclua as etapas a seguir para configurar seu provedor de identidades:

1. Na página **Configurar o provedor de identidade** do assistente de criação, escolha **Padrão**.

1. Escolha **Continuar com o IdP padrão**.

1. Faça o download do arquivo de metadados do SP e mantenha a guia aberta para os valores de metadados individuais.
   + Se o arquivo de metadados do SP estiver disponível, escolha **Baixar arquivo de metadados** para baixar o documento de metadados do provedor de serviços (SP) e carregar o arquivo de metadados do provedor de serviços no IdP na próxima etapa. Sem isso, os usuários não conseguirão fazer login.
   + Se seu provedor não fizer upload dos arquivos de metadados do SP, insira manualmente os valores dos metadados.

1. Em **Escolher tipo de login SAML**, escolha entre **declarações de SAML iniciadas pelo SP e iniciadas pelo IdP** ou **somente declarações de SAML iniciadas pelo SP**.
   + As **declarações de SAML iniciadas pelo SP e pelo IdP** permitem que seu portal ofereça suporte aos dois tipos de fluxos de login. Os portais que oferecem suporte a fluxos iniciados pelo IdP permitem que você apresente declarações de SAML ao endpoint da federação de identidade de serviço sem exigir que os usuários iniciem uma sessão visitando a URL do portal. 
     + Escolha essa opção para permitir que o portal aceite declarações de SAML não solicitadas iniciadas pelo IdP. 
     + Essa opção exige que um **estado de retransmissão padrão** seja configurado em seu provedor de identidade SAML 2.0. O parâmetro de estado de retransmissão do seu portal está no console em **login de SAML iniciado por IdP**, ou você pode copiá-lo do arquivo de metadados SP em `<md:IdPInitRelayState>`.
     +  Observação
       + O formato a seguir representa o estado de retransmissão: `redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider`. 
       + Se você copiar e colar o valor do arquivo de metadados do SP, certifique-se de alterar `&amp; ` para `&`. `&amp;` é um caractere de escape de XML.
   + Escolha somente **declarações de SAML iniciadas pelo SP** para que o portal ofereça suporte somente aos fluxos de login iniciados pelo SP. Essa opção rejeitará declarações de SAML não solicitadas de fluxos de login iniciados pelo IdP. 
**nota**  
Alguns terceiros IdPs permitem que você crie um aplicativo SAML personalizado que pode oferecer experiências de autenticação iniciadas pelo IdP aproveitando fluxos iniciados pelo SP. Consulte um exemplo em [Add an Okta bookmark application](https://help.okta.com/oag/en-us/content/topics/access-gateway/add-app-saml-pass-thru-add-bookmark.htm).

1. Escolha se você deseja habilitar **Assinar solicitações de SAML para esse provedor**. A autenticação iniciada pelo SP permite que o IdP valide se a solicitação de autenticação está vindo do portal, o que impede a aceitação de outras solicitações de terceiros. 

   1. Baixe o certificado de assinatura e faça o upload para o seu IdP. O mesmo certificado de assinatura pode ser usado para um único logout.

   1. Habilitar a solicitação assinada em seu IdP. O nome pode ser diferente, dependendo do IdP.
**nota**  
RSA- SHA256 é o único algoritmo de solicitação e assinatura de solicitação padrão suportado.

1. Escolha se você deseja habilitar **Exigir declarações de SAML criptografadas**. Isso permite que você criptografe a declaração de SAML que vem do seu IdP. Isso pode impedir que os dados sejam interceptados em declarações SAML entre o IdP e o Secure Browser. WorkSpaces 
**nota**  
O certificado de criptografia não está disponível nessa etapa. Ele será criado após o portal ser iniciado. Depois de iniciar o portal, baixe o certificado de criptografia e faça o upload para o IdP. Em seguida, habilite a criptografia de declaração em seu IdP (o nome pode ser diferente, dependendo do IdP). 

1. Escolha se você deseja ativar o **Logout único**. O logout único permite que seus usuários finais saiam da sessão do IdP WorkSpaces e do Secure Browser com uma única ação.

   1. Baixe o certificado de assinatura do WorkSpaces Secure Browser e carregue-o em seu IdP. Esse é o mesmo certificado de assinatura usado para **Solicitar assinatura** na etapa anterior.

   1. Usar o **Logout único** exige que você configure um **URL de logout único** no seu provedor de identidade SAML 2.0. Você pode encontrar o **URL de logout único** do seu portal no console em **Detalhes do provedor de serviços (SP) - Mostrar valores de metadados individuais** ou do arquivo de metadados SP em `<md:SingleLogoutService>`. 

   1. Habilitar **logout único** em seu IdP. O nome pode ser diferente, dependendo do IdP. 

# Configurar seu IdP em seu próprio IdP
<a name="configure-idp-step2"></a>

Para configurar seu IdP em seu próprio IdP, siga estas etapas.

1. Abra uma nova guia no navegador.

1. Adicione os metadados do portal ao SAML IdP.

   Faça o upload do documento de metadados do SP que você baixou na etapa anterior no IdP ou copie e cole os valores dos metadados nos campos corretos do IdP. Alguns provedores não permitem o upload de arquivos.

   Os detalhes desse processo podem variar entre os provedores. Encontre a documentação do seu provedor em [Orientação para uso específico IdPs com o Amazon WorkSpaces Secure Browser](idp-guidance.md) para obter ajuda sobre como adicionar os detalhes do portal à sua configuração de IdP.

1. Confirme o **NameID** para sua declaração de SAML.

   Certifique-se de que seu SAML IdP preencha o **NameID** na declaração de SAML com o campo de e-mail do usuário. O **NameID** e e-mail do usuário são usados para identificar exclusivamente o usuário federado de SAML com o portal. Use o formato de ID de Nome do SAML persistente.

1. Opcional: configure o **estado de retransmissão** para a autenticação iniciada pelo IdP.

   Se você escolheu **Aceitar declarações de SAML iniciadas pelo SP e iniciadas pelo IdP** na etapa anterior, siga as etapas na etapa 2 de [Configurando seu provedor de identidade no Amazon WorkSpaces Secure Browser](configure-idp-step1.md) para definir o **estado de retransmissão padrão** para seu aplicativo de IdP. 

1. Opcional: configure **Solicitar assinatura**. Se você escolheu **Assinar solicitações de SAML para esse provedor** na etapa anterior, siga as etapas na etapa 3 de [Configurando seu provedor de identidade no Amazon WorkSpaces Secure Browser](configure-idp-step1.md) para fazer upload do certificado de assinatura no seu IdP e habilitar a assinatura da solicitação. **Alguns IdPs , como o Okta, podem exigir que seu **NameID** pertença ao tipo “persistente” para usar a assinatura de solicitação.** Certifique-se de confirmar seu **NameID** para sua declaração de SAML seguindo as etapas acima.

1. Opcional: configure a **criptografia de declaração**. Se você escolher **Exigir declarações de SAML criptografadas desse provedor**, aguarde até que a criação do portal seja concluída e siga a etapa 4 em “Fazer upload de metadados” abaixo para carregar o certificado de criptografia em seu IdP e habilitar a criptografia de declaração.

1. Opcional: configure o **logout único**. Se você escolheu **Logout único**, siga as etapas na etapa 5 de [Configurando seu provedor de identidade no Amazon WorkSpaces Secure Browser](configure-idp-step1.md) para carregar o certificado de assinatura em seu IdP, preencher o **URL de logout único** e habilite o **Logout único**.

1. Conceda acesso aos seus usuários em seu IdP para usar o Navegador WorkSpaces Seguro.

1. Baixe um arquivo de troca de metadados do seu IdP. Você fará o upload desses metadados para o WorkSpaces Secure Browser na próxima etapa.

# Concluindo a configuração do IdP no Amazon Secure WorkSpaces Browser
<a name="upload-metadata"></a>

Para concluir a configuração do IdP no WorkSpaces Secure Browser, siga estas etapas.

1. Retorne ao console do WorkSpaces Secure Browser. Na **página Configurar provedor de identidade** do assistente de criação, em **Metadados do IdP**, faça upload de um arquivo de metadados ou insira um URL de metadados do IdP. O portal usa esses metadados do IdP para estabelecer confiança.

1. Para carregar um arquivo de metadados, em **Documento de metadados do IdP**, selecione **Escolher arquivo**. Carregue o arquivo de metadados no formato XML do IdP que você baixou na etapa anterior. 

1. Para usar um URL de metadados, acesse o IdP que você configurou na etapa anterior e obtenha o **URL de metadados**. Volte para o console do WorkSpaces Secure Browser e, em URL de **metadados do IdP, insira o URL** dos metadados que você obteve do seu IdP. 

1. Quando concluir, escolha **Next**.

1. Para portais nos quais você habilitou a opção **Exigir declarações SAML criptografadas deste provedor**, você precisa baixar o certificado de criptografia da seção de detalhes do IdP do portal e carregá-lo no seu IdP. Em seguida, você pode ativar a opção lá.
**nota**  
WorkSpaces O Secure Browser exige que o assunto ou o nameID sejam mapeados e definidos na declaração SAML nas configurações do seu IdP. Seu IdP pode criar esses mapeamentos automaticamente. Se esses mapeamentos não estiverem configurados corretamente, os usuários não poderão fazer login no portal da web e iniciar uma sessão.  
WorkSpaces O Secure Browser exige que as seguintes afirmações estejam presentes na resposta do SAML. Você pode encontrar *<Your SP Entity ID>* e *<Your SP ACS URL>* a partir do documento de metadados ou detalhes do provedor de serviços do seu portal, seja pelo console ou pela CLI.  
Uma reivindicação `AudienceRestriction` com um valor de `Audience` que define o ID da entidade SP como o destino da resposta. Exemplo:  

     ```
     <saml:AudienceRestriction>
         <saml:Audience><Your SP Entity ID></saml:Audience>
     </saml:AudienceRestriction>
     ```
Uma reivindicação `Response` com um valor de `InResponseTo` do ID da solicitação SAML original. Exemplo:  

     ```
     <samlp:Response ... InResponseTo="<originalSAMLrequestId>">
     ```
Uma reivindicação `SubjectConfirmationData` com um valor de `Recipient` do URL ACS SP e um valor de `InResponseTo` que corresponde ao ID da solicitação SAML original. Exemplo:  

     ```
     <saml:SubjectConfirmation>
         <saml:SubjectConfirmationData ... 
             Recipient="<Your SP ACS URL>"
             InResponseTo="<originalSAMLrequestId>"
             />
     </saml:SubjectConfirmation>
     ```
WorkSpaces O Secure Browser valida seus parâmetros de solicitação e declarações de SAML. Para declarações de SAML iniciadas pelo IdP, os detalhes da solicitação devem ser formatados como um parâmetro `RelayState` no corpo de uma solicitação HTTP POST. O corpo da solicitação também deve conter sua declaração de SAML como um parâmetro `SAMLResponse`. Ambos devem estar presentes se você tiver seguido a etapa anterior.  
Veja a seguir um exemplo de corpo de `POST` para um provedor de SAML iniciado pelo IdP.  

   ```
   SAMLResponse=<Base64-encoded SAML assertion>&RelayState=<RelayState> 
   ```

# Orientação para uso específico IdPs com o Amazon WorkSpaces Secure Browser
<a name="idp-guidance"></a>

Para garantir que você configure corretamente a federação SAML para seu portal, consulte os links abaixo para obter a documentação dos mais usados IdPs. 


| IdP | Configuração do aplicativo SAML | Gerenciamento de usuários | Autenticação iniciada pelo IDP | Solicitar assinatura | Criptografia da declaração | Logout único | 
| --- | --- | --- | --- | --- | --- | --- | 
| Okta | [Criar integrações de aplicativos SAML](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Gerenciamento de usuários](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Referência do campo SAML do Assistente de integração de aplicativo](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Referência do campo SAML do Assistente de integração de aplicativo](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Referência do campo SAML do Assistente de integração de aplicativo](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Referência do campo SAML do Assistente de integração de aplicativo](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | 
| Entra | [Criar seu próprio aplicativo](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Início rápido: criar e atribuir uma conta de usuário](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-assign-users) | [Habilitar o login único para um aplicativo corporativo](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-setup-sso) | [Verificação da assinatura da solicitação SAML](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-enforce-signed-saml-authentication) | [Configurar a criptografia de token SAML do Microsoft Entra](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-saml-token-encryption?tabs=azure-portal) | [Protocolo SAML de logout único](https://learn.microsoft.com/en-us/entra/identity-platform/single-sign-out-saml-protocol) | 
| Ping | [Adicionar um aplicativo SAML](https://docs.pingidentity.com/r/en-us/pingone/pingone_p1tutorial_add_a_saml_app) | [Usuários](https://docs.pingidentity.com/r/en-us/pingone/p1_c_aboutusers) | [Habilitar o SSO iniciado pelo IdP](https://docs.pingidentity.com/r/en-us/pingone/pingone_configuring_the_oidc_application) | [Configurando o login da solicitação de autenticação PingOne para Enterprise](https://docs.pingidentity.com/r/en-us/solution-guides/htg_config_authn_req_sign_p14e) | [O PingOne for Enterprise oferece suporte à criptografia?](https://support.pingidentity.com/s/article/Does-PingOne-support-encryption) | [Logout único do SAML 2.0](https://docs.pingidentity.com/r/en-us/pingone/pingone_c_saml_2-0_slo?tocId=aKUl0dlpyVDVw3PJmLIGGg) | 
| One Login | [Conector personalizado SAML (avançado) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Adicionar usuários OneLogin manualmente](https://www.onelogin.com/getting-started/free-trial-plan/add-users-manually) | [Conector personalizado SAML (avançado) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Conector personalizado SAML (avançado) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Conector personalizado SAML (avançado) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [Conector personalizado SAML (avançado) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | 
| Centro de Identidade do IAM | [Configurar sua própria aplicação SAML 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [Configurar sua própria aplicação SAML 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [Configurar sua própria aplicação SAML 2.0](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | N/D | N/D | N/D | 

# Configurando o tipo de autenticação do IAM Identity Center para o Amazon WorkSpaces Secure Browser
<a name="configure-iam"></a>

Para o **Centro de Identidade do IAM** (avançado), faça a federação do Centro de Identidade do IAM com seu portal. Selecione essa opção somente se o seguinte se aplicar a você:
+ Seu IAM Identity Center está configurado no mesmo portal da web Conta da AWS e Região da AWS no mesmo.
+ Se você estiver usando AWS Organizations, você está usando uma conta de gerenciamento. 

Antes de criar um portal da web com o tipo de autenticação do Centro de Identidade do IAM, você deve configurá-lo como um provedor independente. Para obter mais informações, consulte [Get started with common tasks in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html). Ou você pode conectar seu IdP SAML 2.0 ao Centro de Identidade do IAM. Para obter mais informações, consulte [Conectar-se a um provedor de identidade externo](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html). Caso contrário, você não terá nenhum usuário ou grupo para atribuir ao portal da web.

Se você já usa o Centro de Identidade do IAM, pode escolhê-lo como um tipo de provedor e seguir as etapas abaixo para adicionar, visualizar ou remover usuários ou grupos do portal da web.

**nota**  
Para usar esse tipo de autenticação, seu IAM Identity Center precisa estar no mesmo Conta da AWS portal do WorkSpaces Secure Browser. Região da AWS Se o seu IAM Identity Center estiver em um local separado Conta da AWS ou Região da AWS, siga as instruções para o tipo de autenticação **padrão**. Para obter mais informações, consulte [Configurando o tipo de autenticação padrão para o Amazon WorkSpaces Secure Browser](configure-standard.md).  
Se você estiver usando AWS Organizations, só poderá criar portais do WorkSpaces Secure Browser integrados ao IAM Identity Center usando uma conta de gerenciamento.

**Topics**
+ [Criar um portal da web com o Centro de Identidade do IAM](web-portal-IAM.md)
+ [Gerenciar o portal da web com o Centro de Identidade do IAM](manage-IAM.md)
+ [Adicionar mais usuários e grupos a um portal da web](add-users-groups.md)
+ [Visualizar e remover usuários e grupos do portal da web](remove-users-groups.md)

# Criar um portal da web com o Centro de Identidade do IAM
<a name="web-portal-IAM"></a>

Para criar um portal da web com o Centro de Identidade do IAM, siga estas etapas.

**Para criar um portal da web com o Centro de Identidade do IAM**

1. Durante a criação do portal na **Etapa 4: Configurar provedor de identidade**, escolha **Centro de Identidade do AWS IAM**.

1. Escolha **Continuar com o IAM Identity Center**.

1. Na página **Atribuir usuários e grupos**, escolha a guia and/or **Grupos** de **usuários**.

1. Marque a caixa próxima aos usuários ou grupos que deseja adicionar ao portal.

1. Depois de criar seu portal, os usuários que você associou podem entrar no WorkSpaces Secure Browser com seu nome de usuário e senha do IAM Identity Center.

# Gerenciar o portal da web com o Centro de Identidade do IAM
<a name="manage-IAM"></a>

Para gerenciar um portal da web com o Centro de Identidade do IAM, siga estas etapas.

**Para gerenciar o portal da web com o Centro de Identidade do IAM**

1. Depois que o portal for criado, ele será listado no console do Centro de Identidade do IAM como uma aplicação configurada.

1. Para acessar a configuração dessa aplicação, escolha **Aplicações** na barra lateral e procure uma aplicação configurada com um nome que corresponda ao nome de exibição do seu portal da web.
**nota**  
Se você não inseriu um nome de exibição, o GUID do portal será exibido em vez disso. O GUID é o ID prefixado ao URL do endpoint do seu portal da web.

# Adicionar mais usuários e grupos a um portal da web
<a name="add-users-groups"></a>

Para adicionar mais usuários e grupos a um portal da web existente, siga estas etapas.

**Para adicionar mais usuários e grupos a um portal da web existente**

1. Abra o console do WorkSpaces Secure Browser em[https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/](https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/).

1. Escolha **Navegador WorkSpaces seguro**, **portais da** Web, escolha seu portal da Web e escolha **Editar**.

1. Escolha **Configurações do provedor de identidade** e **Atribuir usuários e grupos adicionais**. Agora você pode adicionar usuários e grupos ao seu portal da web.
**nota**  
Não é possível adicionar usuários ou grupos pelo console do Centro de Identidade do IAM. Você deve fazer isso na página de edição do portal do WorkSpaces Secure Browser.

# Visualizar e remover usuários e grupos do portal da web
<a name="remove-users-groups"></a>

Para visualizar ou remover usuários e grupos do seu portal da web, use as ações disponíveis na tabela **Usuários atribuídos**. Para obter mais informações, consulte [Manage access to applications](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-applications.html)

**nota**  
Você não pode visualizar ou remover usuários e grupos da página de edição do portal do Navegador WorkSpaces Seguro. Você deve fazer isso na página de edição do console do Centro de Identidade do IAM.

# Alteração do tipo de provedor de identidade para o Amazon WorkSpaces Secure Browser
<a name="change-type"></a>

É possível alterar o tipo de autenticação do portal a qualquer momento. Para isso, siga estas etapas.
+ Para mudar de **Centro de Identidade do IAM** para **Padrão**, siga as etapas em [Configurando o tipo de autenticação padrão para o Amazon WorkSpaces Secure Browser](configure-standard.md). 
+ Para mudar de **Padrão** para **Centro de Identidade do IAM**, siga as etapas em [Configurando o tipo de autenticação do IAM Identity Center para o Amazon WorkSpaces Secure Browser](configure-iam.md).

As alterações no tipo de provedor de identidade podem levar até 15 minutos para serem implantadas e não se encerrarão automaticamente as sessões em andamento. 

Você pode visualizar as alterações do tipo de provedor de identidade em seu portal AWS CloudTrail inspecionando `UpdatePortal` eventos. O tipo fica visível nas cargas úteis de solicitação e resposta do evento.

# Lançamento de um portal web com o Amazon WorkSpaces Secure Browser
<a name="review-settings"></a>

Quando terminar de configurar seu portal da web, você poderá seguir estas etapas para iniciá-lo.

1. Na página **Etapa 5: analisar e executar**, revise as configurações que você selecionou para o seu portal da web. Você pode selecionar **Editar** para alterar as configurações de determinada seção. Também é possível alterar essas configurações posteriormente na guia **Portais da Web** do console.

1. Quando terminar, escolha **Iniciar o portal da Web**.

1. Para visualizar o status do seu portal da web, selecione **Portais da Web**, escolha seu portal e **Visualizar detalhes**. 

   Um portal da web tem um dos seguintes status:
   + **Incompleto**: faltam configurações necessárias do provedor de identidades no portal da web.
   + **Pendente**: o portal da web está aplicando alterações em suas configurações.
   + **Ativo**: o portal da web está pronto e disponível para uso.

1. Aguarde até 15 minutos para que o portal se torne **Ativo**.

# Testando seu portal web no Amazon WorkSpaces Secure Browser
<a name="getting-started-step2"></a>

Depois de criar um portal da web, você pode entrar no endpoint do WorkSpaces Secure Browser para navegar nos sites conectados como um usuário final faria.

Se você já concluiu essas etapas em [Configurando seu provedor de identidade para o Amazon WorkSpaces Secure Browser](identity-settings.md), ignore esta seção e vá para [Distribuindo seu portal web no Amazon WorkSpaces Secure Browser](getting-started-step3.md).

1. Abra o console do WorkSpaces Secure Browser em [https://console.aws.amazon.com/workspaces-web/casa? região = us-east-1\$1/](https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/).

1. Escolha **Navegador WorkSpaces seguro**, **portais da** Web, escolha seu portal da Web e escolha **Exibir detalhes**

1. Em **Endpoint do portal da Web**, vá até o URL especificada para seu portal. O endpoint do portal da web é o ponto de acesso pelo qual os usuários iniciarão seu portal da web após fazerem login com o provedor de identidades configurado para o portal. Ele está disponível publicamente na internet e pode ser incorporado à sua rede.

1. Na página de login do WorkSpaces Secure Browser, escolha **Entrar**, **SAML** e insira suas credenciais do SAML.

1. Quando você vê a página **Sua sessão está sendo preparada**, sua sessão do Navegador WorkSpaces Seguro está sendo iniciada. Não feche nem saia dessa página.

1. O navegador da web é iniciado, exibindo o URL de inicialização e qualquer outro comportamento adicional definido por meio das configurações de política do navegador.

1. Agora você pode navegar até sites conectados escolhendo links ou URLs entrando na barra de endereço.

# Distribuindo seu portal web no Amazon WorkSpaces Secure Browser
<a name="getting-started-step3"></a>

Quando estiver pronto para que seus usuários comecem a usar o Navegador WorkSpaces Seguro, você escolhe entre as seguintes opções para distribuir o portal:
+ Adicione o portal ao gateway do aplicativo SAML para que os usuários iniciem uma sessão diretamente do IdP. Você pode fazer isso por meio do fluxo de login iniciado pelo IdP com seu IdP compatível com SAML 2.0. Para obter mais informações, consulte **Declarações de SAML iniciadas pelo SP e iniciadas pelo IdP** em [Configurando o tipo de autenticação padrão para o Amazon WorkSpaces Secure Browser](configure-standard.md). Como alternativa, você pode criar um aplicativo SAML personalizado que possa fornecer experiências de autenticação iniciadas pelo IdP usando fluxos iniciados pelo SP. Para ver mais informações, consulte [Create a Bookmark App integration](https://help.okta.com/en-us/Content/Topics/Apps/apps-create-bookmark.htm).
+ Adicione o URL do portal a um site de sua propriedade e use um redirecionamento de navegador para direcionar os usuários ao portal da web.
+ Envie por e-mail o URL do portal para seus usuários ou envie para um dispositivo que você gerencia como página inicial ou marcador do navegador.
+ Use um domínio personalizado se você tiver configurado um para o seu portal em vez da URL do portal para uma experiência de identidade visual mais integrada aos seus usuários. Para obter mais informações, consulte [Configurando domínio personalizado para seu portal](custom-domains.md).