本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 示例身份验证工作流程
<a name="external-identity-providers-example"></a>

下图说明了 WorkSpaces 应用程序和第三方身份提供商 (IdP) 之间的身份验证流程。在此示例中，管理员设置了一个名为 `applications.exampleco.com` “ WorkSpaces 应用程序” 的登录页面。此网页使用符合 SAML 2.0 标准的联合身份验证服务来触发登录请求。管理员还设置了一个允许访问 WorkSpaces 应用程序的用户。

![\[亚马逊 WorkSpaces 应用程序 SAML 图\]](http://docs.aws.amazon.com/zh_cn/appstream2/latest/developerguide/images/aas2-saml.png)


1. 用户浏览到 `https://applications.exampleco.com`。登录页请求对用户进行身份验证。

1. 联合身份验证服务请求从组织的身份存储进行身份验证。

1. 该身份存储将对用户进行身份验证，并将身份验证响应返回到联合身份验证服务。

1. 在成功进行身份验证后，联合身份验证服务会将 SAML 断言发布到用户的浏览器。

1. 用户的浏览器将 SAML 断言发布到 AWS 登录 SAML 端点 ()。`https://signin.aws.amazon.com/saml` AWS Sign-In 接收 SAML 请求，处理请求，对用户进行身份验证，然后将身份验证令牌转发给应用程序。 WorkSpaces 

   有关在 AWS GovCloud (US) 各区域使用 SAML 的信息，请参阅《*AWS GovCloud (US) 用户指南*》中的 Ident [AWS ity and Access Managem](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html) ent。

1.  WorkSpaces 应用程序使用中的身份验证令牌对用户进行授权并将应用程序呈现给浏览器。 AWS

从用户的角度来看，整个过程以透明的方式进行。用户从贵组织的内部门户开始，无需输入 AWS 凭据即可自动重定向到 WorkSpaces 应用程序应用程序门户。