Configurar o SAML 2.0 para WorkSpaces Personal - Amazon WorkSpaces
RequisitosPré-requisitosEtapa 1: Criar um provedor de identidades SAML no AWS IAMEtapa 2: Criar um perfil do IAM de federação SAML 2.0Etapa 3: Incorporar uma política em linha para o perfil do IAMEtapa 4: Configurar um provedor de identidades SAML 2.0Etapa 5: Criar declarações para a resposta de autenticação SAMLEtapa 6: Configurar o estado de retransmissão da federaçãoEtapa 7: Habilitar a integração com o SAML 2.0 no diretório do WorkSpaces

Configurar o SAML 2.0 para WorkSpaces Personal

Habilite o registro de aplicação cliente do WorkSpaces e o login no WorkSpaces para os usuários usando as credenciais do provedor de identidades (IdP) SAML 2.0 e os métodos de autenticação deles, configurando a federação de identidades usando o SAML 2.0. Para definir a federação de identidades usando o SAML 2.0, use o perfil do IAM e o URL de estado de retransmissão para configurar o IdP e habilitar a AWS. Isso autoriza os usuários federados acessar o diretório do WorkSpaces. O estado de retransmissão é o endpoint do diretório do WorkSpaces para o qual os usuários são encaminhados após conseguirem fazer login na AWS.

Requisitos

  • A autenticação SAML 2.0 está disponível nas seguintes regiões:

    • Região Leste dos EUA (N. da Virgínia)

    • Região Oeste dos EUA (Oregon)

    • Região África (Cidade do Cabo)

    • Região Ásia-Pacífico (Mumbai)

    • Região Ásia-Pacífico (Seul)

    • Região Ásia-Pacífico (Singapura)

    • Região Ásia-Pacífico (Sydney)

    • Região Ásia-Pacífico (Tóquio)

    • Região do Canadá (Central)

    • Região Europa (Frankfurt)

    • Região Europa (Irlanda)

    • Região Europa (Londres)

    • Região América do Sul (São Paulo)

    • Região de Israel (Tel Aviv)

    • AWS GovCloud (Oeste dos EUA)

    • AWS GovCloud (Leste dos EUA)

  • Para usar a autenticação SAML 2.0 com WorkSpaces, o IdP deve ser compatível com SSO não solicitada e iniciada por IdP com um recurso de destino de link profundo ou URL de endpoint do estado de retransmissão. Exemplos de IdPs incluem ADFS, Azure AD, Duo Single Sign-On, Okta, PingFederate e PingOne. Para obter mais informações, consulte a documentação do IdP.

  • A autenticação do SAML 2.0 funcionará com WorkSpaces inicializados por meio do Simple AD, mas não é uma ação recomendada, pois o Simple AD não se integra aos IdPs SAML 2.0.

  • A autenticação SAML 2.0 é compatível com os seguintes clientes do WorkSpaces. Outras versões do cliente não são compatíveis com a autenticação SAML 2.0. Abra a página Client Downloads do Amazon WorkSpaces para encontrar as versões mais recentes:

    • Aplicação cliente para Windows versão 5.1.0.3029 ou posterior

    • Cliente para macOS versão 5.x ou posterior

    • Cliente Linux para Ubuntu 22.04 versão 2024.1 ou posterior, Ubuntu 20.04 versão 24.1 ou posterior

    • Web Access

    Outras versões do cliente não poderão se conectar ao WorkSpaces habilitados para autenticação SAML 2.0, a menos que o fallback esteja habilitado. Para obter mais informações, consulte Enable SAML 2.0 authentication on the WorkSpaces directory.

Para obter instruções detalhadas a fim de integrar o SAML 2.0 ao WorkSpaces usando ADFS, Azure AD, Duo Single Sign-On, Okta, OneLogin, PingFederate e PingOne for Enterprise, consulte o documento Amazon WorkSpaces SAML Authentication Implementation Guide.

Pré-requisitos

Cumpra os pré-requisitos a seguir antes de configurar a conexão do provedor de identidades (IdP) SAML 2.0 com um diretório do WorkSpaces.

  1. Configurar o IdP para integrar identidades de usuário do Microsoft Active Directory usado com o diretório WorkSpaces. No caso de um usuário com WorkSpace, os atributos de usuário sAMAccountName e e-mail do Active Directory e os valores de declaração SAML devem ser iguais para o usuário fazer login no WorkSpaces usando o IdP. Para obter mais informações sobre a integração do Active Directory com seu IdP, consulte a documentação do seu IdP.

  2. Configurar o IdP para estabelecer uma relação de confiançaAWS.

    • Consultar o artigo Integrando provedores de soluções SAML de terceiros AWS para obter mais informações sobre como configurarAWS a federação. Exemplos relevantes incluem a integração do IdP com o AWS IAM para acessar o Console de Gerenciamento da AWS.

    • Usar o IdP para gerar e fazer download de um documento de metadados de federação que descreva a empresa como um IdP. Este documento XML assinado é usado para estabelecer a confiança da parte dependente. Salvar este arquivo em um local para acessar posteriormente no console do IAM.

  3. Criar ou registrar um diretório para WorkSpaces usando o console de gerenciamento do WorkSpaces. Para obter mais informações, consulte Manage directories for WorkSpaces. A autenticação SAML 2.0 para WorkSpaces é compatível com os seguintes tipos de diretório:

    • AD Connector

    • AWSManaged Microsoft AD

  4. Criar um WorkSpace para um usuário que possa fazer login no IdP usando um tipo de diretório compatível. Você pode criar um WorkSpace usando o console de gerenciamento do WorkSpaces, a AWS CLI ou a API do WorkSpaces. Para obter mais informações, consulte Launch a virtual desktop using WorkSpaces.

Etapa 1: Criar um provedor de identidades SAML no AWS IAM

Primeiro, crie um IdP SAML no AWS IAM. Esse IdP define a relação de confiança entre o IdP da sua organização e a AWS usando o documento de metadados gerado pelo software de IdP em sua organização. Para obter mais informações, consulte Criação e gerenciamento de um provedor de identidade do IAM SAML (console). Para obter informações sobre como trabalhar com IdPs SAML nas regiões AWS GovCloud (Oeste dos EUA) e AWS GovCloud (Leste dos EUA), consulte AWS Identity and Access Management.

Etapa 2: Criar um perfil do IAM de federação SAML 2.0

A seguir, crie um perfil do IAM de federação SAML 2.0. Essa etapa estabelece uma relação de confiança entre o IAM e o IdP da sua organização, o que identifica seu IdP como uma entidade confiável para federação.

Como criar um perfil do IAM para o IdP SAML

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Perfis > Criar perfil.

  3. Em Tipo de perfil, escolha Federação SAML 2.0.

  4. Em Provedor SAML, selecionar o IdP SAML que você criou.

    Importante

    Não escolha nenhum dos dois métodos de acesso SAML 2.0 (Permitir somente acesso programático ou Permitir acesso programático e pelo Console de Gerenciamento da Amazon Web Services).

  5. Em Atributo, selecione SAML:sub_type.

  6. Em Valor, insira persistent. Esse valor restringe o acesso de perfis a solicitações de streaming de usuários do SAML que incluam uma declaração do tipo de assunto de SAML com um valor persistente. Se o SAML:sub_type for persistente, o IdP envia o mesmo valor exclusivo para o elemento NameID em todas as solicitações de SAML de um usuário específico. Para obter mais informações sobre a declaração de SAML:sub_type, consulte a seção Identificar exclusivamente os usuários na federação baseada em SAML em Usar a federação baseada em SAML para acesso da API à AWS.

  7. Verificar as informações de confiança do SAML 2.0 confirmando a entidade confiável e a condição corretas e, em seguida, selecionar Próximo: Permissões.

  8. Na página Anexar políticas de permissões, selecione Próximo: Etiquetas.

  9. (Opcional) Insira uma chave e um valor para cada etiqueta que deseja adicionar. Para obter mais informações, consulte Recursos de etiquetas do IAM.

  10. Ao concluir, selecione Próximo: revisão. Você pode criar e incorporar uma política em linha para esse perfil posteriormente.

  11. Em Nome do perfil, insira um nome que identifique a finalidade desse perfil. Como várias entidades podem fazer referência ao perfil, não é possível editar o nome do perfil depois que ele é criado.

  12. (Opcional) Em Descrição da função, insira uma descrição para o novo perfil.

  13. Revisar os detalhes do perfil e selecionar Criar perfil.

  14. Adicione a permissão sts:TagSession à política de confiança do seu novo perfil do IAM. Para obter mais informações, consulte Passar tags de sessão no AWS STS. Nos detalhes do novo perfil do IAM, selecione a guia Relações de confiança e escolha Editar relação de confiança*. Quando o editor de políticas Editar relação de confiança for aberto, adicione a permissão sts:TagSession*, conforme mostrado a seguir:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::111122223333:saml-provider/IDENTITY-PROVIDER"
            },
            "Action": [
                "sts:AssumeRoleWithSAML",
                "sts:TagSession"
            ],
            "Condition": {
                "StringEquals": {
                    "SAML:aud": "https://signin.aws.amazon.com/saml"
                }
            }
        }
    ]
}

Substitua IDENTITY-PROVIDER pelo nome do IdP SAML criado na etapa 1. Depois, escolha Atualizar política de confiança.

Etapa 3: Incorporar uma política em linha para o perfil do IAM

A seguir, incorpore uma política do IAM em linha para o perfil que você criou. Quando você incorpora uma política em linha, as permissões nela não podem ser anexadas acidentalmente à entidade principal errada. A política em linha fornece aos usuários federados acesso ao diretório do WorkSpaces.

Importante

As políticas do IAM para gerenciar o acesso à AWS com base no IP de origem não são compatíveis com a ação workspaces:Stream. Para gerenciar controles de acesso IP para WorkSpaces, use grupos de controle de acesso IP. Além disso, ao usar a autenticação SAML 2.0, você pode usar políticas de controle de acesso IP se elas estiverem disponíveis no seu IdP do SAML 2.0.

  1. Nos detalhes do perfil do IAM que você criou, escolha a guia Permissões e adicione as permissões necessárias à política de permissões do perfil. O assistente Criar política será iniciado.

  2. Em Criar política, selecione a guia JSON.

  3. Copie e cole a política JSON a seguir na janela JSON. Depois, modifique o recurso inserindo o código da região da AWS, o ID de conta e o ID do diretório. Na política a seguir, "Action": "workspaces:Stream" é a ação que fornece aos usuários do WorkSpaces permissões para se conectarem às sessões de área de trabalho no diretório do WorkSpaces.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "workspaces:Stream",
            "Resource": "arn:aws:workspaces:us-east-1:123456789012:directory/DIRECTORY-ID",
            "Condition": {
                "StringEquals": {
                    "workspaces:userId": "${saml:sub}"
                }
            }
        }
    ]
}

    Substituir REGION-CODE pela AWS região onde existe o diretório do WorkSpaces. Substituir DIRECTORY-ID pelo ID do diretório do WorkSpaces, que pode ser encontrado no console de gerenciamento do WorkSpaces. Para recursos em AWS GovCloud (Oeste dos EUA) AWS ou GovCloud (Leste dos EUA), use o seguinte formato para o ARN: arn:aws-us-gov:workspaces:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:directory/DIRECTORY-ID.

  4. Ao concluir, selecionar Revisar política. O Validador de política indica se há erros de sintaxe.

Etapa 4: Configurar um provedor de identidades SAML 2.0

Em seguida, dependendo do seu IdP SAML 2.0, pode ser necessário atualizar manualmente o IdP para ser confiável AWS como um provedor de serviços, fazendo upload saml-metadata.xml do arquivo em https://signin.aws.amazon.com/static/saml-metadata.xml ao seu IdP. Esta etapa atualiza os metadados do seu IdP. Para alguns IdPs, a atualização pode já estar configurada. Se for esse o caso, prosseguir para a próxima etapa.

Se esta atualização ainda não estiver configurada no seu IdP, revise a documentação fornecida pelo IdP para obter informações sobre como atualizar os metadados. Alguns provedores dão a opção de digitar o URL, e o IdP obtém e instala o arquivo para você. Outros exigem que você baixe o arquivo pelo URL e forneça como arquivo local.

Importante

Neste momento, você também pode autorizar usuários no IdP a acessar a aplicação do WorkSpaces configurada no IdP. Os usuários autorizados a acessar a aplicação do WorkSpaces do seu diretório não têm um WorkSpace criado automaticamente para eles. Da mesma forma, os usuários que têm um WorkSpace criado para eles não são autorizados automaticamente a acessar a aplicação do WorkSpaces. Para se conectar com êxito a um WorkSpace usando a autenticação SAML 2.0, um usuário deve ser autorizado pelo IdP e ter um WorkSpace criado.

Etapa 5: Criar declarações para a resposta de autenticação SAML

Em seguida, configurar as informações que seu IdP envia AWS como atributos SAML em sua resposta de autenticação. Dependendo do IdP, isso já está configurado. Nesse caso, pule esta etapa e prossiga para Step 6: Configure the relay state of your federation.

Se essas informações ainda não estiverem configuradas no seu IdP, forneça o seguinte:

  • NameID de assunto de SAML: o identificador exclusivo do usuário que está fazendo login. O valor deve corresponder ao nome de usuário do WorkSpaces e normalmente é o atributo sAMAccountName do usuário do Active Directory.

  • Tipo de assunto de SAML (com um valor definido como persistent): definir o valor como persistent garante que o IdP envia o mesmo valor exclusivo para o elemento NameID em todas as solicitações SAML de determinado usuário. Garanta que a política do IAM inclua uma condição para permitir apenas solicitações SAML com sub_type de SAML definido como persistent, conforme descrito em Step 2: Create a SAML 2.0 federation IAM role.

  • Elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/Role: este elemento contém um ou mais elementos AttributeValue que listam o perfil do IAM e o IdP SAML para o qual o usuário é mapeado pelo IdP. O perfil e o IdP são especificados como um par de ARNs delimitados por vírgulas. Um exemplo do valor esperado éarn:aws:iam::ACCOUNTNUMBER:role/ROLENAME,arn:aws:iam::ACCOUNTNUMBER:saml-provider/PROVIDERNAME.

  • Elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/RoleSessionName: este elemento contém um elemento AttributeValue que fornece um identificador para as credenciais temporárias da AWS que são emitidas para SSO. O valor no AttributeValue elemento deve ter entre 2 e 64 caracteres, pode conter apenas caracteres alfanuméricos, sublinhados e os seguintes caracteres: _ . : / = + - @. Não pode conter espaços. O valor geralmente é um endereço de e-mail ou um nome de entidade principal de usuário (UPN). Não deve ser um valor que inclua um espaço, como o nome de exibição de um usuário.

  • Elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email: este elemento contém um elemento AttributeValue que fornece o endereço de e-mail do usuário. O valor deve corresponder ao endereço de e-mail do usuário do WorkSpaces conforme definido no diretório do WorkSpaces. Os valores da etiqueta podem incluir combinações de letras, números, espaços e caracteres _ . : / = + - @. Para obter mais informações, consulte Regras para etiquetar no IAM e no AWS STS no Guia do usuário do IAM.

  • Elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName (opcional): este elemento contém um elemento AttributeValue que fornece o userPrincipalName do Active Directory para o usuário que está fazendo login. O valor deve ser fornecido no formato username@domain.com. Este parâmetro é usado com autenticação baseada em certificado como Nome Alternativo do Assunto no certificado do usuário final. Para obter mais informações, consulte Certificate-Based Authentication.

  • Elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid (opcional): este elemento contém um elemento AttributeValue que fornece o identificador de segurança (SID) do Active Directory para o usuário que está fazendo login. Esse parâmetro é usado com a autenticação baseada em certificado para permitir um mapeamento forte para o usuário do Active Directory. Para obter mais informações, consulte Certificate-Based Authentication.

  • Elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/PrincipalTag:ClientUserName (opcional): este elemento contém um elemento AttributeValue que fornece um formato de nome de usuário alternativo. Use esse atributo se você tiver casos de uso que exijam formatos de nome de usuário, como corp\username, corp.example.com\username ou username@corp.example.com, para fazer login usando o cliente do WorkSpaces. As chaves e os valores da etiqueta podem incluir qualquer combinação de letras, números, espaços e caracteres _ : / . + = @ -. Para obter mais informações, consulte Regras para etiquetar no IAM e no AWS STS no Guia do usuário do IAM. Para reivindicar os formatos corp\username ou corp.example.com\username, substitua \ por / na declaração SAML.

  • Elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/PrincipalTag:Domain (opcional): este elemento contém um elemento AttributeValue que fornece o nome de domínio totalmente qualificado (FQDN) do DNS do Active Directory para os usuários que estão fazendo login. Esse parâmetro é usado com autenticação baseada em certificado quando o Active Directory userPrincipalName do usuário contém um sufixo alternativo. O valor deve ser fornecido nodomain.com, incluindo quaisquer subdomínios.

  • Elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/SessionDuration (opcional): este elemento contém um elemento AttributeValue que especifica o tempo máximo que uma sessão de streaming federada para um usuário pode permanecer ativa antes que a reautenticação seja necessária. O valor padrão é de 3.600 segundos (60 minutos). Para obter mais informações, consulte SAML SessionDurationAttribute.

    nota

    Embora SessionDuration seja um atributo opcional, recomendamos incluí-lo na resposta SAML. Se o atributo não for especificado, a duração da sessão será definida para o valor padrão de 3.600 segundos (60 minutos). As sessões de área de trabalho do WorkSpaces são desconectadas após o término da duração da sessão.

Para obter mais informações sobre como configurar esses elementos, consulte Configuração de declarações SAML para a resposta de autenticação no Guia de usuário do IAM. Para obter informações sobre requisitos de configuração específicos do seu IdP, consulte a documentação do seu IdP.

Etapa 6: Configurar o estado de retransmissão da federação

Usar o IdP para configurar o estado de retransmissão da federação para apontar para o URL do estado de retransmissão do diretório WorkSpaces. Após a autenticação bem-sucedida de AWS, o usuário é direcionado para o endpoint do diretório WorkSpaces, definido como o estado de retransmissão na resposta de autenticação SAML.

O URL do estado de retransmissão tem o seguinte formato:


https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code

Criar o URL do estado de retransmissão a partir do código de registro do diretório do WorkSpaces e do endpoint de estado de retransmissão associado à região na qual seu diretório está localizado. O código de registro pode ser encontrado no console de gerenciamento do WorkSpaces.

Se estiver usando o redirecionamento entre regiões para WorkSpaces, você poderá substituir o código de registro pelo nome de domínio totalmente qualificado (FQDN) associado aos diretórios em suas regiões primárias e de failover. Para obter mais informações, consulte Cross-region redirection for Amazon WorkSpaces. Ao usar o redirecionamento entre regiões e a autenticação SAML 2.0, os diretórios primário e de failover precisam ser habilitados para a autenticação SAML 2.0 e configurados de forma independente com o IdP, usando o endpoint de estado de retransmissão associado a cada região. Isso permitirá que o FQDN seja configurado corretamente quando os usuários registrarem suas aplicações cliente do WorkSpaces antes de fazerem login e permitirá que os usuários se autentiquem durante um evento de failover.

A tabela a seguir lista os endpoints de estado de retransmissão para as regiões onde o WorkSpaces SAML 2.0 está disponível.

Regiões onde a autenticação SAML 2.0 do WorkSpaces está disponível
Região Endpoint de estado de retransmissão
Região Leste dos EUA (Norte da Virgínia)

  • workspaces.euc-sso.us-east-1.aws.amazon.com

  • (FIPS) workspaces.euc-sso-fips.us-east-1.aws.amazon.com
Região Oeste dos EUA (Oregon)

  • workspaces.euc-sso.us-west-2.aws.amazon.com

  • (FIPS) workspaces.euc-sso-fips.us-west-2.aws.amazon.com
Região África (Cidade do Cabo) workspaces.euc-sso.af-south-1.aws.amazon.com
Região Ásia-Pacífico (Mumbai) workspaces.euc-sso.ap-south-1.aws.amazon.com
Região Ásia-Pacífico (Seul) https://workspaces.ap-northeast-2.amazonaws.com
Região Ásia-Pacífico (Singapura) https://workspaces.ap-southeast-1.amazonaws.com
Região Ásia-Pacífico (Sydney) https://workspaces.ap-southeast-2.amazonaws.com
Região Ásia-Pacífico (Tóquio) https://workspaces.ap-northeast-1.amazonaws.com
Região Canadá (Central) workspaces.euc-sso.ca-central-1.aws.amazon.com
Região Europa (Frankfurt) workspaces.euc-sso.eu-central-1.aws.amazon.com
Região Europa (Irlanda) workspaces.euc-sso.eu-west-1.aws.amazon.com
Região Europa (Londres) workspaces.euc-sso.eu-west-2.aws.amazon.com
Região América do Sul (São Paulo) workspaces.euc-sso.sa-east-1.aws.amazon.com
Região de Israel (Tel Aviv) workspaces.euc-sso.eu-central-1.aws.amazon.com
AWS GovCloud (Oeste dos EUA)

  • workspaces.euc-sso.us-gov-west-1.amazonaws-us-gov.com

  • (FIPS) workspaces.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com

nota

Para obter mais informações, consulte Amazon WorkSpaces no Guia do usuário da AWS GovCloud (EUA).
AWS GovCloud (Leste dos EUA)

  • workspaces.euc-sso.us-gov-east-1.amazonaws-us-gov.com

  • (FIPS) workspaces.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com

nota

Para obter mais informações, consulte Amazon WorkSpaces no Guia do usuário da AWS GovCloud (EUA).

Com um fluxo iniciado pelo provedor de identidade (IdP), você pode optar por especificar o cliente que deseja usar para a federação SAML 2.0. Para fazer isso, especifique native ou web no final do URL do estado de retransmissão, depois de &client=. Quando o parâmetro é especificado em uma URL de estado de retransmissão, as sessões correspondentes serão iniciadas automaticamente no cliente especificado.

Etapa 7: Habilitar a integração com o SAML 2.0 no diretório do WorkSpaces

Você pode usar o console do WorkSpaces para habilitar a autenticação SAML 2.0 no diretório WorkSpaces.

Habilitar integração com SAML 2.0

  1. Abra o console do WorkSpaces em https://console.aws.amazon.com/workspaces/v2/home.

  2. No painel de navegação, selecionar Diretórios.

  3. Selecionar o ID do diretório para os WorkSpaces.

  4. Em Autenticação, selecione Editar.

  5. Selecione Editar provedor de identidades SAML 2.0.

  6. Desmarcar Habilitar autenticação SAML 2.0.

  7. Em URL de acesso de usuários e Nome do parâmetro de link profundo do IdP, insira valores que sejam aplicáveis ao IdP e à aplicação configurados na etapa 1. O valor padrão para o nome do parâmetro de link direto do IdP é “RelayState“ caso omita esse parâmetro. A tabela a seguir lista URLs de acesso de usuários e nomes de parâmetros exclusivos de vários provedores de identidades para aplicações.

    Domínios e endereços IP para adicionar à sua lista de permissões
    Provedor de identidades Parameter URL de acesso de usuário
    ADFS RelayState https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>
    Azure AD RelayState https://myapps.microsoft.com/signin/<app_id>?tenantId=<tenant_id>
    Duo Single Sign-On RelayState https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app_id>/sso
    Okta RelayState https://<sub_domain>.okta.com/app/<app_name>/<app_id>/sso/saml
    OneLogin RelayState https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>
    JumpCloud RelayState https://sso.jumpcloud.com/saml2/<app-id>
    Auth0 RelayState https://<DefaultTenatName>.us.auth0.com/samlp/<Client_Id>
    PingFederate TargetResource https://<host>/idp/startSSO.ping?PartnerSpId=<sp_id>
    PingOne for Enterprise TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app_id>&idpid=<idp_id>

    O URL de acesso do usuário geralmente é definido pelo provedor para SSO não solicitado iniciado pelo IdP. Um usuário pode inserir esse URL em um navegador da web para se federar diretamente à aplicação SAML. Para testar o URL de acesso do usuário e os valores dos parâmetros do seu IdP, selecionar Testar. Copie e cole o URL de teste em uma janela privada no seu navegador atual ou em outro navegador para testar o login do SAML 2.0 sem interromper a sessão atual do Console de Gerenciamento da AWS. Quando o fluxo iniciado pelo IdP for aberto, você poderá registrar o cliente no WorkSpaces. Para obter mais informações, consulte Identity provider (IdP)-initiated flow.

  8. Gerenciar as configurações de fallback marcando ou desmarcando Permitir login de clientes que não suportam SAML 2.0. Habilitar essa configuração para continuar fornecendo aos usuários acesso aos WorkSpaces usando tipos ou versões de cliente que não oferecem suporte ao SAML 2.0 ou se os usuários precisarem de tempo para atualizar para a versão mais recente do cliente.

    nota

    Essa configuração permite que os usuários ignorem o SAML 2.0 e façam login usando autenticação de diretório usando versões de cliente mais antigas.

  9. Para usar SAML com o cliente web, habilite o Acesso via Web. Para obter mais informações, consulte Enable and configure Amazon WorkSpaces Web Access.

    nota

    PCoIP com SAML não é compatível com o Acesso via Web.

  10. Selecionar Salvar. O diretório WorkSpaces agora está habilitado com integração SAML 2.0. Você pode usar os fluxos iniciados por IdP e por aplicação cliente para registrar aplicações cliente do WorkSpaces e fazer login no WorkSpaces.