Configurar o SAML 2.0 e criar um diretório do WorkSpaces Pools - Amazon WorkSpaces
Etapa 1: considere os requisitosEtapa 2: concluir os pré-requisitosEtapa 3: criar um provedor de identidades SAML no IAMEtapa 4: criar diretório do WorkSpace PoolEtapa 5: criar um perfil do IAM de federação SAML 2.0Etapa 6: configurar um provedor de identidades SAML 2.0Etapa 7: criar declarações para a resposta de autenticação SAMLEtapa 8: configurar o estado de retransmissão da federaçãoEtapa 9: habilitar a integração com o SAML 2.0 no diretório do WorkSpaces PoolSolução de problemas

Configurar o SAML 2.0 e criar um diretório do WorkSpaces Pools

Você pode habilitar o registro de aplicação do cliente do WorkSpaces e o login no WorkSpaces em um WorkSpaces Pool ao configurar a federação de identidades usando o SAML 2.0. Para fazer isso, use um perfil do AWS Identity and Access Management (IAM) e um URL em estado de retransmissão para configurar o provedor de identidades (IdP) SAML 2.0 e habilitá-lo para a AWS. Isso autoriza os usuários federados acessar o diretório do WorkSpaces Pool. O estado de retransmissão é o endpoint do diretório do WorkSpaces para o qual os usuários são encaminhados após conseguirem fazer login na AWS.

Importante

Os WorkSpaces Pools não oferecem suporte a configurações SAML 2.0 baseadas em IP.

Tópicos

Etapa 1: considere os requisitos

Os requisitos a seguir se aplicam ao configurar o SAML para um diretório do WorkSpaces Pools.

  • O perfil do IAM workspaces_DefaultRole deve existir em sua conta da AWS. Esse perfil é criado automaticamente quando você usa a Configuração Rápida do WorkSpaces ou se você já iniciou um WorkSpace usando o Console de gerenciamento da AWS. Ela concede permissão ao Amazon WorkSpaces para acessar recursos da AWS específicos em seu nome. Se o perfil já existir, talvez seja necessário anexar a política gerenciada AmazonWorkspacePoolServiceAccess a ele, que o Amazon WorkSpaces usa para acessar os recursos necessários na conta da AWS do WorkSpaces Pools. Para obter mais informações, consulte Criar o perfil workspaces_DefaultRole e Política gerenciada pela AWS: AmazonWorkSpacesPoolServiceAccess.

  • Você pode configurar a autenticação SAML 2.0 para o WorkSpaces Pools nas Regiões da AWS que são compatíveis com o atributo. Para obter mais informações, consulte Regiões da AWS e Zonas de disponibilidade do WorkSpaces Pools.

  • Para usar a autenticação SAML 2.0 com WorkSpaces, o IdP deve ser compatível com SSO não solicitada e iniciada por IdP com um recurso de destino de link profundo ou URL de endpoint do estado de retransmissão. Exemplos de IdPs compatíveis incluem ADFS, Azure AD, Duo Single Sign-On, Okta, PingFederate e PingOne. Para obter mais informações, consulte a documentação do IdP.

  • A autenticação SAML 2.0 é compatível somente com os seguintes clientes do WorkSpaces. Para os clientes do WorkSpaces mais recentes, consulte a página de download do cliente do Amazon WorkSpaces.

    • Aplicação cliente para Windows versão 5.20.0 ou posterior

    • Cliente para macOS versão 5.20.0 ou posterior

    • Web Access

Etapa 2: concluir os pré-requisitos

Cumpra os pré-requisitos a seguir antes de configurar a conexão do IdP SAML 2.0 com um diretório do WorkSpaces Pool.

  • Configurar o IdP para estabelecer uma relação de confiançaAWS.

  • Consultar o artigo Integrando provedores de soluções SAML de terceiros AWS para obter mais informações sobre como configurarAWS a federação. Exemplos relevantes incluem a integração do IdP com o IAM para acessar o Console de gerenciamento da AWS.

  • Usar o IdP para gerar e fazer download de um documento de metadados de federação que descreva a empresa como um IdP. Este documento XML assinado é usado para estabelecer a confiança da parte dependente. Salvar este arquivo em um local para acessar posteriormente no console do IAM.

  • Crie um diretório do WorkSpaces Pool usando o console do WorkSpaces. Para obter mais informações, consulte Como usar o Active Directory com o WorkSpaces Pools.

  • Crie um WorkSpace Pool para usuários que possam fazer login no IdP usando um tipo de diretório compatível. Para obter mais informações, consulte Criar um WorkSpaces Pool.

Etapa 3: criar um provedor de identidades SAML no IAM

Para começar, crie um IdP SAML no IAM. Esse IdP define a relação de confiança entre o IdP da sua organização e a AWS usando o documento de metadados gerado pelo software de IdP em sua organização. Para obter mais informações, consulte Como criar e gerenciar um provedor de identidade SAML no Guia do usuário do AWS Identity and Access Management. Para obter informações sobre como trabalhar com IdPs SAML no AWS GovCloud (US) Regions, consulte AWS Identity and Access Management no Guia do usuário do AWS GovCloud (US).

Etapa 4: criar diretório do WorkSpace Pool

Realize o procedimento a seguir para criar um diretório do WorkSpaces Pool.

  1. Abra o console do WorkSpaces em https://console.aws.amazon.com/workspaces/v2/home.

  2. No painel de navegação, selecione Directories.

  3. Selecione Criar diretório.

  4. Para Tipo de espaço de trabalho, escolha Pool.

  5. Na seção Origem da identidade do usuário da página:

    1. Insira um valor de espaço reservado na caixa de texto URL de acesso do usuário. Por exemplo, insira placeholder na caixa de texto. Você editará isso mais tarde, depois de configurar o direito à aplicação em seu IdP.

    2. Deixe a caixa de texto Nome do parâmetro de estado de retransmissão em branco. Você editará isso mais tarde, depois de configurar o direito ao aplicativo em seu IdP.

  6. Na seção Informações do diretório da página, insira um nome e uma descrição para o diretório. O nome e a descrição do diretório devem ter menos de 128 caracteres, podem conter caracteres alfanuméricos e os seguintes caracteres especiais: _ @ # % * + = : ? . / ! \ -. O nome e a descrição do diretório não podem começar com um caractere especial.

  7. Na seção Rede e segurança da página:

    1. Escolha uma VPC e 2 sub-redes com acesso aos recursos da rede necessários para seu aplicativo. Para maior tolerância a falhas, você deve escolher duas sub-redes em zonas de disponibilidade diferentes.

    2. Escolha um grupo de segurança que permita que os WorkSpaces criem links de rede em sua VPC. Os grupos de segurança controlam qual tráfego de rede pode fluir dos WorkSpaces para sua VPC. Por exemplo, se seu grupo de segurança restringir todas as conexões HTTPS de entrada, os usuários que acessarem seu portal da web não poderão carregar sites HTTPS dos WorkSpaces.

  8. A seção Configuração do Active Directory é opcional. No entanto, você deve especificar os detalhes do Active Directory (AD) durante a criação do diretório do WorkSpaces Pools se planeja usar um AD com seus WorkSpaces Pools. Você não pode editar as Configurações do Active Directory para o diretório do WorkSpaces Pools depois de criá-lo. Para obter mais informações sobre como especificar os detalhes do AD para o diretório do WorkSpaces Pool, consulte Especifique detalhes do Active Directory para o diretório WorkSpaces Pools. Depois de concluir o processo descrito naquele tópico, você deve retornar a este tópico para concluir a criação do diretório do WorkSpaces Pools.

    Você pode pular a seção Configurações do Active Directory se não planeja usar um AD com seus WorkSpaces Pools.

  9. Na seção Propriedades de transmissão da página:

    • Escolha o comportamento das permissões da área de transferência e insira uma cópia para o limite de caracteres local (opcional) e cole no limite de caracteres da sessão remota (opcional).

    • Escolha se permite ou não imprimir para um dispositivo local.

    • Escolha permitir ou não permitir o registro em log de diagnóstico.

    • Escolha permitir ou não permitir o login com cartão inteligente. Esse recurso se aplica somente se você tiver habilitado a configuração do AD anteriormente neste procedimento.

  10. Na seção Armazenamento da página, você pode optar por habilitar as pastas iniciais.

  11. Na seção do perfil do IAM da página, escolha um perfil do IAM para estar disponível para todas as instâncias de transmissão do desktop. Para criar uma perfil do IAM, escolha Create a New Role.

    Ao aplicar um perfil do IAM da sua conta a um diretório do WorkSpace Pool, você pode fazer solicitações da API da AWS de um WorkSpace no WorkSpace Pool sem gerenciar manualmente as credenciais da AWS. Para obter mais informações, consulte Creating a role to delegate permissions to an IAM user no Guia do usuário do AWS Identity and Access Management.

  12. Selecione Criar diretório.

Etapa 5: criar um perfil do IAM de federação SAML 2.0

Realize o procedimento a seguir para criar um perfil do IAM de federação SAML 2.0 no console do IAM.

  1. Abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. Selecione Roles (Funções) no painel de navegação.

  3. Selecione Criar perfil.

  4. Selecione federação SAML 2.0 para o tipo de entidade confiável.

  5. Em SAML 2.0-based provider (Provedor baseado em SAML 2.0), escolha o provedor de identidade que você criou no IAM. Para obter mais informações, consulte Criar um provedor de identidades SAML no IAM.

  6. Selecione Permitir somente acesso programático para o acesso a ser permitido.

  7. Escolha SAML:sub_type para o atributo.

  8. Em Valor, insira https://signin.aws.amazon.com/saml. Esse valor restringe o acesso de perfis a solicitações de streaming de usuários do SAML que incluam uma declaração do tipo de assunto de SAML com um valor persistent. Se o SAML:sub_type for persistente, o IdP envia o mesmo valor exclusivo para o elemento NameID em todas as solicitações de SAML de um usuário específico. Para obter mais informações, consulte Identificação exclusiva de usuários na federação baseada em SAML no Guia do usuário do AWS Identity and Access Management.

  9. Escolha Próximo para continuar.

  10. Não faça alterações ou seleções na página Adicionar permissões. Escolha Próximo para continuar.

  11. Digite um nome e uma descrição para o perfil.

  12. Selecione Criar perfil.

  13. Na página Roles, escolha a função que você criou.

  14. Selecione a guia Trust relationships (Relações de confiança).

  15. Selecione Edit trust policy (Editar política de confiança).

  16. Na caixa de texto JSON Editar política de confiança, adicione a ação sts:TagSession à política de confiança. Para obter mais informações, consulte Passing session tags in AWS STS no Guia do usuário do AWS Identity and Access Management.

    O resultado será algo semelhante a este exemplo:

    Um exemplo de política de confiança.

  17. Escolha Atualizar política.

  18. Escolha a aba Permissões.

  19. Na seção Políticas de permissões da página, escolha Adicionar permissões e, em seguida, escolha Criar política em linha.

  20. Na seção Editor de políticas da página, escolha a opção JSON.

  21. Na caixa de texto JSON Editor de políticas, insira a política a seguir. Não se esqueça de substituir:

    • <region-code> pelo código da região da AWS na qual você criou seu diretório do WorkSpace Pool.

    • <account-id> com o ID de conta da AWS.

    • <directory-id> com o I o diretório que você criou anteriormente. Você pode obter isso no console do WorkSpaces.

    Para obter os recursos na AWS GovCloud (US) Regions, use o seguinte formato para o ARN: arn:aws-us-gov:workspaces:<region-code>:<account-id>:directory/<directory-id>.

  22. Escolha Next (Próximo).

  23. Insira um nome para a política e escolha Create policy (Criar política).

Etapa 6: configurar um provedor de identidades SAML 2.0

Dependendo do seu IdP SAML 2.0, pode ser necessário atualizar manualmente o IdP para confiar na AWS como um provedor de serviços. É possível fazer isso baixando o arquivo saml-metadata.xml encontrado em https://signin.aws.amazon.com/static/saml-metadata.xml e, em seguida, enviando-o para o seu IdP. Isso atualiza os metadados do seu IdP.

Para alguns IdPs, a atualização pode já estar configurada. Você pode pular esta etapa se ela já estiver configurada. Se a atualização ainda não estiver configurada no seu IdP, revise a documentação fornecida pelo IdP para obter informações sobre como atualizar os metadados. Alguns provedores dão a opção de digitar o URL do arquivo XML no painel deles e o IdP obtém e instala o arquivo para você. Outros exigem que você baixe o arquivo pelo URL e carregue-o para o painel deles.

Importante

Neste momento, você também pode autorizar usuários no IdP a acessar a aplicação do WorkSpaces configurada no IdP. Os usuários autorizados a acessar a aplicação do WorkSpaces do seu diretório não têm um WorkSpace criado automaticamente para eles. Da mesma forma, os usuários que têm um WorkSpace criado para eles não são autorizados automaticamente a acessar a aplicação do WorkSpaces. Para se conectar com êxito a um WorkSpace usando a autenticação SAML 2.0, um usuário deve ser autorizado pelo IdP e ter um WorkSpace criado.

Etapa 7: criar declarações para a resposta de autenticação SAML

Configure as informações que seu IdP envia para AWS como atributos SAML em sua resposta de autenticação. Dependendo do seu IdP, pode ser que isso já esteja configurado. Você pode pular esta etapa se ela já estiver configurada. Se ainda não estiver configurado, forneça o seguinte:

  • NameID de assunto de SAML: o identificador exclusivo do usuário que está fazendo login. Não altere o formato/valor desse campo. Caso contrário, o atributo da pasta inicial não funcionará conforme o esperado porque o usuário será tratado como um usuário diferente.

    nota

    Para WorkSpaces Pools associados ao domínio, o valor de NameID para o usuário deve ser fornecido no formato domain\username usando o sAMAccountName ou no formato username@domain.com usando userPrincipalName ou apenas userName. Se estiver usando o formato sAMAccountName, você pode especificar o domínio usando o nome NetBIOS ou o nome do domínio totalmente qualificado (FQDN). O formato sAMAccountName é necessário para cenários de confiança unidirecional do Active Directory. Para obter mais informações, consulte Como usar o Active Directory com o WorkSpaces Pools. Se apenas userName for fornecido, o usuário será logado no domínio primário

  • Tipo de assunto de SAML (com um valor definido como persistent): definir o valor como persistent garante que o IdP envia o mesmo valor exclusivo para o elemento NameID em todas as solicitações SAML de determinado usuário. Garanta que a política do IAM inclua uma condição para permitir apenas solicitações SAML com um sub_type do SAML definido como persistent, conforme descrito na seção Etapa 5: criar um perfil do IAM de federação SAML 2.0.

  • Elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/Role: este elemento contém um ou mais elementos AttributeValue que listam o perfil do IAM e o IdP do SAML para o qual o usuário é mapeado pelo IdP. O perfil e o IdP são especificados como um par de ARNs delimitados por vírgulas. Um exemplo do valor esperado é arn:aws:iam::<account-id>:role/<role-name>,arn:aws:iam::<account-id>:saml-provider/<provider-name>.

  • Elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/RoleSessionName: este elemento contém um elemento AttributeValue que fornece um identificador para as credenciais temporárias da AWS que são emitidas para SSO. O valor no elemento AttributeValue deve ter entre 2 e 64 caracteres, pode conter apenas caracteres alfanuméricos, sublinhados e os seguintes caracteres especiais: _ . : / = + - @. Ele não pode conter espaços. O valor geralmente é um endereço de e-mail ou um nome de entidade principal de usuário (UPN). Não deve ser um valor que inclua um espaço, como o nome de exibição de um usuário.

  • Elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email: este elemento contém um elemento AttributeValue que fornece o endereço de e-mail do usuário. O valor deve corresponder ao endereço de e-mail do usuário do WorkSpaces conforme definido no diretório do WorkSpaces. Os valores da etiqueta podem incluir combinações de letras, números, espaços e caracteres _ . : / = + - @. Para obter mais informações, consulte Rules for tagging in IAM and AWS STS no Guia do usuário do AWS Identity and Access Management.

  • (Opcional) Elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName: este elemento contém um elemento AttributeValue que fornece o userPrincipalName do Active Directory para o usuário que está fazendo login. O valor deve ser fornecido no formato username@domain.com. Este parâmetro é usado com autenticação baseada em certificado como Nome Alternativo do Assunto no certificado do usuário final. Para obter mais informações, consulte Autenticação baseada em certificado e WorkSpaces Personal.

  • (Opcional) Elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid (opcional) : este elemento contém um elemento AttributeValue que fornece o identificador de segurança (SID) do Active Directory para o usuário que está fazendo login. Esse parâmetro é usado com a autenticação baseada em certificado para permitir um mapeamento forte para o usuário do Active Directory. Para obter mais informações, consulte Autenticação baseada em certificado e WorkSpaces Personal.

  • (Opcional) Elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/PrincipalTag:Domain: este elemento contém um elemento AttributeValue que fornece o nome de domínio totalmente qualificado (FQDN) do DNS do Active Directory para os usuários que estão fazendo login. Esse parâmetro é usado com autenticação baseada em certificado quando o Active Directory userPrincipalName do usuário contém um sufixo alternativo. O valor deve ser fornecido no formato domain.com e deve incluir quaisquer subdomínios.

  • (Opcional) Elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/SessionDuration: este elemento contém um elemento AttributeValue que especifica o tempo máximo que uma sessão de streaming federada para um usuário pode permanecer ativa antes que uma nova autenticação seja necessária. O valor padrão é de 3600 segundos (60 minutos). Para obter mais informações, consulte o SessionDurationAttribute do SAML no Guia do usuário do AWS Identity and Access Management.

    nota

    Embora SessionDuration seja um atributo opcional, recomendamos incluí-lo na resposta SAML. Se o atributo não for especificado, a duração da sessão será definida para o valor padrão de 3600 segundos (60 minutos). As sessões de área de trabalho do WorkSpaces são desconectadas após o término da duração da sessão.

Para obter mais informações sobre como configurar esses elementos, consulte Configuring SAML assertions for the authentication response no Guia de usuário do AWS Identity and Access Management. Para obter informações sobre requisitos de configuração específicos do seu IdP, consulte a documentação do seu IdP.

Etapa 8: configurar o estado de retransmissão da federação

Use o IdP para configurar o estado de retransmissão da federação para apontar para o URL do estado de retransmissão do diretório do WorkSpaces Pool. Após a autenticação bem-sucedida de AWS, o usuário é direcionado para o endpoint do diretório do WorkSpaces Pool, definido como o estado de retransmissão na resposta de autenticação SAML.

O URL do estado de retransmissão tem o seguinte formato:


https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code

A tabela a seguir lista os endpoints de estado de retransmissão para as regiões da AWS onde a autenticação SAML 2.0 do WorkSpaces está disponível. AWS As regiões nas quais o atributo do WorkSpaces Pools não está disponível foram removidas.

Região Endpoint de estado de retransmissão
Região Leste dos EUA (Norte da Virgínia)

  • workspaces.euc-sso.us-east-1.aws.amazon.com

  • (FIPS) workspaces.euc-sso-fips.us-east-1.aws.amazon.com
Região Oeste dos EUA (Oregon)

  • workspaces.euc-sso.us-west-2.aws.amazon.com

  • (FIPS) workspaces.euc-sso-fips.us-west-2.aws.amazon.com
Região Ásia-Pacífico (Mumbai) workspaces.euc-sso.ap-south-1.aws.amazon.com
Região Ásia-Pacífico (Seul) https://workspaces.ap-northeast-2.amazonaws.com
Região Ásia-Pacífico (Singapura) https://workspaces.ap-southeast-1.amazonaws.com
Região Ásia-Pacífico (Sydney) https://workspaces.ap-southeast-2.amazonaws.com
Região Ásia-Pacífico (Tóquio) https://workspaces.ap-northeast-1.amazonaws.com
Região Canadá (Central) workspaces.euc-sso.ca-central-1.aws.amazon.com
Região Europa (Frankfurt) workspaces.euc-sso.eu-central-1.aws.amazon.com
Região Europa (Irlanda) workspaces.euc-sso.eu-west-1.aws.amazon.com
Região Europa (Londres) workspaces.euc-sso.eu-west-2.aws.amazon.com
Região América do Sul (São Paulo) workspaces.euc-sso.sa-east-1.aws.amazon.com
AWS GovCloud (Oeste dos EUA)

  • workspaces.euc-sso.us-gov-west-1.amazonaws-us-gov.com

  • (FIPS) workspaces.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com

nota

Para obter mais informações sobre como trabalhar com IdPs do SAML no AWS GovCloud (US) Regions, consulte Amazon WorkSpaces no Guia do usuário da GovCloud (EUA) AWS.
AWS GovCloud (Leste dos EUA)

  • workspaces.euc-sso.us-gov-east-1.amazonaws-us-gov.com

  • (FIPS) workspaces.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com

nota

Para obter mais informações sobre como trabalhar com IdPs do SAML no AWS GovCloud (US) Regions, consulte Amazon WorkSpaces no Guia do usuário da GovCloud (EUA) AWS.

Etapa 9: habilitar a integração com o SAML 2.0 no diretório do WorkSpaces Pool

Realize o procedimento a seguir para habilitar a autenticação SAML 2.0 para o diretório do WorkSpaces Pool.

  1. Abra o console do WorkSpaces em https://console.aws.amazon.com/workspaces/v2/home.

  2. No painel de navegação, selecione Directories.

  3. Selecione a guia Diretórios de grupos.

  4. Selecione o ID do diretório que você quer editar.

  5. Selecione Editar na seção Autenticação da página.

  6. Selecione Editar provedor de identidades SAML 2.0.

  7. Para o URL de acesso do usuário, que às vezes é conhecido como “URL de SSO”, substitua o valor do espaço reservado pelo URL de SSO fornecido a você pelo seu IdP.

  8. No Nome do parâmetro de link profundo do IdP, insira o parâmetro que seja aplicável ao IdP e à aplicação que você configurou. O valor padrão é de RelayState se você omitir o nome do parâmetro.

    A tabela a seguir lista os URLs de acesso de usuários e nomes de parâmetros de link profundo exclusivos de vários provedores de identidades para aplicações.

    Provedor de identidades Parameter URL de acesso de usuário
    ADFS RelayState https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>
    Azure AD RelayState https://myapps.microsoft.com/signin/<app-id>?tenantId=<tenant-id>
    Duo Single Sign-On RelayState https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app-id>/sso
    Okta RelayState https://<sub-domain>.okta.com/app/<app-name>/<app-id>/sso/saml
    OneLogin RelayState https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>
    JumpCloud RelayState https://sso.jumpcloud.com/saml2/<app-id>
    Auth0 RelayState https://<default-tenant-name>.us.auth0.com/samlp/<client-id>
    PingFederate TargetResource https://<host>/idp/startSSO.ping?PartnerSpId=<sp-id>
    PingOne for Enterprise TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app-id>&idpid=<idp-id>

  9. Escolha Salvar.

Importante

Revogar o SAML 2.0 de um usuário não desconectará diretamente sua sessão. O usuário será removidoa somente após o início do tempo limite. Eles também podem encerrá-lo usando a API TerminateWorkspacesPoolSession.

Solução de problemas

As informações a seguir podem ajudar você a solucionar problemas específicos com seu WorkSpaces Pools.

Estou recebendo a mensagem “Não é possível fazer login” no cliente WorkSpaces Pools depois de concluir a autenticação SAML

O nameID e PrincipalTag:Email nas declarações SAML precisam corresponder ao nome de usuário e e-mail configurados no Active Directory. Alguns IdPs podem exigir uma atualização ou reimplantação após o ajuste de determinados atributos. Se você fizer um ajuste e ele não estiver refletido na captura do SAML, consulte a documentação ou o programa de suporte do seu IdP sobre as etapas específicas necessárias para que a alteração entre em vigor.