本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 开始使用 Amazon WorkSpaces 安全浏览器
按照以下步骤创建 WorkSpaces 安全浏览器门户,并允许用户通过现有浏览器访问内部网站和 SaaS 网站。您可以在任何支持的区域为每个账户创建一个 Web 门户。
**注意**
要申请提高多个门户的限制,请联系支持人员,并提供您的 AWS 账户 身份证件、要申请的门户数量以及 AWS 区域。
使用 Web 门户创建向导时,此过程通常需要 5 分钟,而门户变为**活动**状态最多需要 15 分钟。
设置门户网站不收取任何费用。 WorkSpaces Secure Browser 为积极使用该服务的用户提供 pay-as-you-go定价,包括低廉的月度价格。无需预付费用、许可证或长期订阅。
**重要**
在开始之前,您必须完成 Web 门户的必要先决条件。有关 Web 门户先决条件的更多信息,请参阅[设置 Amazon WorkSpaces 安全浏览器](setting-up.md)。
**Topics**
+ [为 Amazon WorkSpaces 安全浏览器创建门户](getting-started-step1.md)
+ [在 Amazon WorkSpaces 安全浏览器中测试您的门户网站](getting-started-step2.md)
+ [在 Amazon WorkSpaces 安全浏览器中分发您的门户网站](getting-started-step3.md)
# 为 Amazon WorkSpaces 安全浏览器创建门户
按照以下步骤创建 Web 门户。
**Topics**
+ [为 Amazon WorkSpaces 安全浏览器配置网络设置](network-settings.md)
+ [为 Amazon WorkSpaces 安全浏览器配置门户设置](portal-settings.md)
+ [为 Amazon WorkSpaces 安全浏览器配置用户设置](user-settings.md)
+ [为 Amazon WorkSpaces 安全浏览器配置您的身份提供商](identity-settings.md)
+ [使用 Amazon WorkSpaces 安全浏览器启动门户网站](review-settings.md)
# 为 Amazon WorkSpaces 安全浏览器配置网络设置
要为 WorkSpaces 安全浏览器配置网络设置,请按照以下步骤操作。
1. 在[https://console.aws.amazon.com/workspaces-web/家](https://console.aws.amazon.com/workspaces-web/home)中打开 WorkSpaces 安全浏览器控制台。
1. 依次选择**WorkSpaces 安全浏览器**、**Web 门户**,然后选择**创建 Web 门户**。
1. 在**步骤 1:指定网络连接**页面上,完成以下步骤,将您的 VPC 连接到您的 Web 门户并配置您的 VPC 和子网。
1. 要**了解网络详情**,请选择与您希望用户通过 WorkSpaces 安全浏览器访问的内容相关的 VPC。
1. 选择最多 3 个符合以下要求的私有子网。有关更多信息,请参阅 [适用于 Amazon WorkSpaces 安全浏览器的联网](setup-vpc.md)。
+ 您必须选择最少两个私有子网才能创建门户。
+ 为确保 Web 门户的高可用性,建议您在 VPC 的唯一可用区内提供最大数量的私有子网。
1. 选择安全组。
# 为 Amazon WorkSpaces 安全浏览器配置门户设置
在**步骤 2:配置 Web 门户设置**页面上,完成以下步骤,以自定义用户启动会话时的浏览体验。
1. 在 **Web 门户详细信息**下的**显示名称**中,输入 Web 门户的可识别名称。
1. 在**实例类型**下,从下拉菜单中选择 Web 门户的实例类型。然后,输入 Web 门户的**最大并发用户限制**。有关更多信息,请参阅 [在 Amazon WorkSpaces 安全浏览器中管理门户网站的服务配额](request-service-quota.md)。
**注意**
选择新的实例类型将更改每个月活跃用户的费用。有关更多信息,请参阅 [Amazon WorkSpaces 安全浏览器定价](https://aws.amazon.com/workspaces/web/pricing/)。
1. 在**自定义域**下,您可以为门户配置自定义域,以允许通过自己的域名而不是默认的门户终端节点进行访问。有关更多信息,请参阅 [为您的门户配置自定义域](custom-domains.md)。**这是可选的。**
1. 在 S **ession Logger** 下,您可以指定用于存储会话日志文件的 S3 存储桶。有关更多信息,请参阅 [为 Amazon WorkSpaces 安全浏览器设置会话记录器](session-logger.md)。**这是可选的。**
1. 在**用户访问日志**下,对于 **Kinesis 流 ID**,选择您要向其发送日志文件的 Amazon Kinesis 数据流。有关更多信息,请参阅 [在 Amazon WorkSpaces 安全浏览器中设置用户活动记录](user-logging.md)。**这是可选的。**
1. 在 **IP 访问控制**下,选择是否限制对可信网络的访问。有关更多信息,请参阅 [在 Amazon WorkSpaces 安全浏览器中管理 IP 访问控制](ip-access-controls.md)。**这是可选的。**
1. 在 “**数据保护设置”** 下,您可以为 WorkSpaces 安全浏览器创建策略以删除敏感信息。有关更多信息,请参阅 [在 Amazon WorkSpaces 安全浏览器中管理数据保护设置](data-protection-settings.md)。**这是可选的**。
1. 在 **URL 过滤**下,您可以指定允许哪些 URLs 最终用户访问或屏蔽特定类别 URLs 或域名类别以限制访问。有关更多信息,请参阅 [在 Amazon WorkSpaces 安全浏览器中筛选网页内容](web-content-filtering.md)。**这是可选的。**
1. 要将会话浏览限制为几个选定的域名,请启用 “**全部屏蔽**” 开关, URLs然后单击 “**添加网址**” 以提供允许访问的最终用户列表。 URLs
1. 要为最终用户创建 URLs 要屏蔽的列表,请单击 “**添加 URL**” 列出 URLs 要屏蔽的单个,或者单击 “**添加类别**” 以选择被屏蔽的域名类别(例如社交网络)。
1. 在 **“政策设置”** 下,您可以使用适用于门户网站最新稳定版本的 Chrome 政策来设置任何浏览器政策。有关更多信息,请参阅 [在 Amazon WorkSpaces 安全浏览器中管理浏览器策略](browser-policies.md)。**这是可选的。**
1. 您可以在可**视化编辑器**中快速选择一些最常见的策略
+ 对于 “**启动 URL(可选**)”,输入用户启动浏览器时用作主页的域。您的 VPC 必须与此 URL 建立稳定的连接。
+ 选择或清除**私密浏览**和**历史记录删除**,以便在用户会话期间开启或关闭这些功能
**注意**
URLs 在私密浏览时或用户删除浏览器历史记录之前访问过的内容无法记录在用户访问日志中。有关更多信息,请参阅 [在 Amazon WorkSpaces 安全浏览器中设置用户活动记录](user-logging.md)。
+ 对于**浏览器书签-可选**,输入您希望用户在浏览器中看到的所有书签的**显示名称**、**域**名和**文件夹**。然后,选择**添加书签**。
**注意**
**域**是浏览器书签的必填字段。
在 Chrome 中,用户可以在书签工具栏的**管理的书签**文件夹中找到管理的书签。
1. 您也可以使用 JSON 编辑器而不是可视化编辑器直接添加或编辑策略。有关政策的具体格式,请参阅 [Chrome 企业版政策列表](https://chromeenterprise.google/policies/)。
1. 您还可以通过将 JSON 文件上传到门户网站来导入组织中使用的 Chrome 政策。详情请见 [教程:在 Amazon WorkSpaces 安全浏览器中设置自定义浏览器策略](browser-policies-custom.md)
上传策略文件时,可以在控制台中看到文件中的可用策略。但是,您无法在可视化编辑器中编辑所有策略。控制台在 JSON 文件中的**其他 JSON 策略**下列出了您无法使用可视化编辑器编辑的策略。要对这些策略进行更改,必须手动对其进行编辑。
1. 向您的门户添加**标签**。您可以使用标签来搜索或筛选您的 AWS 资源。标签由密钥和可选值组成,并与您的门户资源相关联。**这是可选的。**
1. 选择**下一步**以继续。
# 为 Amazon WorkSpaces 安全浏览器配置用户设置
在**步骤 3:选择用户设置**页面上,完成以下步骤,以选择您的用户在会话期间可以从顶部导航栏访问哪些功能,然后选择**下一步**:
1. 在 “**品牌定制**” 下,您可以通过修改视觉元素、文本内容和服务条款来自定义向最终用户显示的登录和加载屏幕。有关更多信息,请参阅 [Amazon WorkSpaces 安全浏览器中的品牌定制](branding-customization.md)。**这是可选的。**
1. 在 “**权限**” 下,选择是否启用单点登录扩展程序。有关更多信息,请参阅 [在 Amazon WorkSpaces 安全浏览器中管理单点登录扩展](allow-extension.md)。
1. 对于**允许用户从其 Web 门户打印到本地设备**,选择**允许**或**不允许**。
1. 对于**允许用户深度链接到其 Web 门户**,选择**允许**或**不允许**。有关深层链接的更多信息,请参阅 [Amazon WorkSpaces 安全浏览器中的深度链接](deep-links.md)。
1. 对于**允许用户在其门户会话中使用本地身份验证**,请选择**允许**或**不允许**。有关 Web 身份验证的更多信息,请参阅[在 Amazon WorkSpaces 安全浏览器中启用 WebAuthn 重定向支持](web-authentication.md)。
1. 在 **“工具栏控件**” 下,在 “**功能**” 下选择所需的设置。
1. 在 **“设置”** 下,管理会话开始时的工具栏演示视图,包括工具栏状态(停靠或分离)、主题(深色或浅色模式)、图标可见性以及会话的最大显示分辨率。将这些设置保持为未配置状态,以允许最终用户完全控制这些选项。有关更多信息,请参阅 [在 Amazon WorkSpaces 安全浏览器中管理工具栏控件](toolbar-controls.md)。
1. 对于**会话超时**,请指定以下内容:
+ 对于 **Disconnect timeout in minutes (断开连接超时 (分钟))**,请选择在用户断开连接后流式传输会话保持活动状态的时间。如果在此时间间隔内出现连接断开或网络中断的情况后,用户尝试重新连接到流式传输会话,他们将连接到其上一个会话。否则,他们会建立一个新会话,连接到新的流实例。
如果用户结束会话,则断开连接超时不适用。系统而是会提示用户保存任何打开的文档,然后立即断开流实例的连接。用户正在使用的实例随即终止。
+ 对于 **Idle disconnect timeout in minutes (空闲断开连接超时 (分钟))**,请选择用户在与流式传输会话断开连接以及 **Disconnect timeout in minutes (断开连接超时 (分钟))** 时间间隔开始之前可以处于空闲(非活动)状态的时间。用户在因不活动而断开连接之前会收到通知。在 **Disconnect timeout in minutes (断开连接超时 (分钟))** 中指定的时间间隔过去之前,如果他们尝试重新连接到流式传输会话,则会将他们连接到以前的会话。否则,他们会建立一个新会话,连接到新的流实例。如果将该值设置为 0,则会禁用该值。如果禁用了该值,则不会由于处于不活动状态而断开连接用户。
**注意**
如果用户在流式传输会话期间停止提供键盘或鼠标输入,则将其视为处于空闲状态。文件上传和下载、音频输入、音频输出以及像素更改不符合用户活动条件。在 **Idle disconnect timeout in minutes (空闲断开连接超时 (分钟))** 中的时间间隔过去之后,如果用户继续处于空闲状态,则会将他们断开连接。
# 为 Amazon WorkSpaces 安全浏览器配置您的身份提供商
按照以下步骤配置身份提供者(IdP)。
**Topics**
+ [为 Amazon WorkSpaces 安全浏览器选择身份提供者类型](choose-type.md)
+ [更改 Amazon WorkSpaces 安全浏览器的身份提供者类型](change-type.md)
# 为 Amazon WorkSpaces 安全浏览器选择身份提供者类型
WorkSpaces 安全浏览器提供两种身份验证类型:**标准**和**AWS IAM Identity Center**。在**配置身份提供者**页面上,选择要对门户使用的身份验证类型。
+ 对于**标准**(默认选项),将您的第三方 SAML 2.0 身份提供者(例如 Okta 或 Ping)直接与您的门户联合。有关更多信息,请参阅 [为 Amazon WorkSpaces 安全浏览器配置标准身份验证类型](configure-standard.md)。标准类型支持 SP 发起的身份验证流和 IdP 发起的身份验证流。
+ 对于 **IAM Identity Center**(高级选项),将 IAM Identity Center 与您的门户联合。要使用此身份验证类型,您的 IAM 身份中心和 WorkSpaces 安全浏览器门户必须位于同一类型 AWS 区域。有关更多信息,请参阅 [为 Amazon WorkSpaces 安全浏览器配置 IAM 身份中心身份验证类型](configure-iam.md)。
**Topics**
+ [为 Amazon WorkSpaces 安全浏览器配置标准身份验证类型](configure-standard.md)
+ [为 Amazon WorkSpaces 安全浏览器配置 IAM 身份中心身份验证类型](configure-iam.md)
# 为 Amazon WorkSpaces 安全浏览器配置标准身份验证类型
*标准* 身份验证类型是默认身份验证类型。它可以借助符合 SAML 2.0 标准的 IdP,支持服务提供者发起(SP 发起)的登录流和身份提供者发起(IdP 发起)的登录流。要配置标准身份验证类型,请按照以下步骤操作,将您的第三方 SAML 2.0 IdP(例如 Okta 或 Ping)直接与您的门户联合。
**Topics**
+ [在 Amazon WorkSpaces 安全浏览器上配置您的身份提供商](configure-idp-step1.md)
+ [在您自己的 IdP 上配置 IdP](configure-idp-step2.md)
+ [在亚马逊 WorkSpaces 安全浏览器上完成 IdP 配置](upload-metadata.md)
+ [特定 IdPs 于 Amazon WorkSpaces 安全浏览器的使用指南](idp-guidance.md)
# 在 Amazon WorkSpaces 安全浏览器上配置您的身份提供商
按照以下步骤配置身份提供者:
1. 在创建向导的**配置身份提供者**页面上,选择**标准**。
1. 选择**继续使用标准 IdP**。
1. 下载 SP 元数据文件,并保持各个元数据值的选项卡处于打开状态。
+ 如果 SP 元数据文件可用,请选择**下载元数据文件**以下载服务提供者(SP)元数据文档,然后在下一步中将服务提供者元数据文件上传到您的 IdP。否则,用户将无法登录。
+ 如果您的提供者未上传 SP 元数据文件,请手动输入元数据值。
1. 在**选择 SAML 登录类型**下方,在 **SP 发起和 IdP 发起的 SAML 断言**之间进行选择,或选择**仅限 SP 发起的 SAML 断言**。
+ **SP 发起和 IdP 发起的 SAML 断言**允许您的门户支持这两种类型的登录流。通过支持 IdP 发起的登录流的门户,您可以向服务身份联合验证端点呈现 SAML 断言,而无需用户通过访问门户 URL 启动会话。
+ 选择此选项后,该门户可接受未经请求的 IdP 发起的 SAML 断言。
+ 此选项要求在 SAML 2.0 身份提供者中配置**默认中继状态**。您门户的中继状态参数位于控制台的 **IdP 发起的 SAML 登录**下,或者您可以从 `` 下的 SP 元数据文件中进行复制。
+ 备注
+ 以下为中继状态的格式:`redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider`。
+ 如果您从 SP 元数据文件中复制并粘贴该值,请确保将 `& ` 更改为 `&`。`&` 是一个 XML 转义字符。
+ 选择**仅限 SP 发起的 SAML 断言**,使门户仅支持 SP 发起的登录流。此选项将拒绝 IdP 发起的登录流中未经请求的 SAML 断言。
**注意**
某些第三方 IdPs 允许您创建自定义 SAML 应用程序,该应用程序可以利用 SP 启动的流程提供 IDP 启动的身份验证体验。例如,请参阅[添加 Okta 书签应用程序](https://help.okta.com/oag/en-us/content/topics/access-gateway/add-app-saml-pass-thru-add-bookmark.htm)。
1. 选择是否要启用**签署向该提供商发出的 SAML 请求**。通过 SP 发起的身份验证,您的 IdP 可以验证身份验证请求是否来自门户,从而阻止接受其他第三方请求。
1. 下载签名证书并将其上传到您的 IdP。相同的签名证书可用于单次注销。
1. 在您的 IdP 中启用签名请求。名称可能会有所不同,具体取决于 IdP。
**注意**
RSA-SHA256 是唯一支持的请求和默认请求签名算法。
1. 选择是否要启用**需要加密的 SAML 断言**。这支持您对来自您的 IdP 的 SAML 断言进行加密。它可以防止数据在 IdP 和安全浏览器之间的 SAML 断言中被拦截。 WorkSpaces
**注意**
此步骤中没有加密证书。它将在您的门户启动后创建。启动门户后,下载加密证书并将其上传到您的 IdP。然后,在您的 IdP 中启用断言加密(名称可能有所不同,具体取决于 IdP)。
1. 选择是否要启用**单点注销**。单点注销允许您的最终用户通过一个操作退出其 IdP WorkSpaces 和安全浏览器会话。
1. 从 WorkSpaces 安全浏览器下载签名证书并将其上传到您的 IdP。这与上一步中用于**请求签名**的签名证书相同。
1. 使用**单点注销**需要您在 SAML 2.0 身份提供者中配置**单点注销 URL**。您可以在控制台的**服务提供者(SP)详细信息 - 显示各个元数据值**下找到门户的**单点注销 URL**,也可以从 `` 下方的 SP 元数据文件中找到。
1. 在您的 IdP 中启用**单点注销**。名称可能会有所不同,具体取决于 IdP。
# 在您自己的 IdP 上配置 IdP
要在您自己的 IdP 上配置 IdP,请按照以下步骤操作。
1. 在浏览器中打开一个新标签页。
1. 将您的门户元数据添加到 SAML IdP。
将您在上一步中下载的 SP 元数据文档上传到该 IdP,或者复制元数据值并将其粘贴到 IdP 中的正确字段中。某些提供者不允许上传文件。
此过程的详细信息因提供者而异。有关如何将门户详细信息添加到 IdP 配置的帮助,请在[特定 IdPs 于 Amazon WorkSpaces 安全浏览器的使用指南](idp-guidance.md)中查看提供者文档。
1. 确认 SAML 断言的 **NameID**。
确保 SAML IdP 使用用户电子邮件字段填充 SAML 断言的 **NameID**。**NameID** 和用户电子邮件用于在门户中唯一标识您的 SAML 联合用户。使用持久性 SAML 名称 ID 格式。
1. 可选:为 IdP 发起的身份验证配置**中继状态**。
如果您在上一步中选择了**接受 SP 发起和 IdP 发起的 SAML 断言**,请按照[在 Amazon WorkSpaces 安全浏览器上配置您的身份提供商](configure-idp-step1.md)中的步骤 2 操作,为您的 IdP 应用程序设置默认**中继状态**。
1. 可选:配置**请求签名**。如果您在上一步中选择了**签署向该提供者发出的 SAML 请求**,请按照[在 Amazon WorkSpaces 安全浏览器上配置您的身份提供商](configure-idp-step1.md)中的步骤 3 操作,将签名证书上传到您的 IdP 并启用请求签名。有些人 IdPs (例如 Okta)可能需要您的 Name **ID** 属于 “永久” 类型才能**使用**请求签名。请务必按照上述步骤操作,确认您的 SAML 断言的 **NameID**。
1. 可选:配置**断言加密**。如果您选择了**需要此提供者提供加密的 SAML 断言**,请等到门户创建完成,然后按照下文“上传元数据”中的步骤 4 操作,将加密证书上传到您的 IdP 并启用断言加密。
1. 可选:配置**单点注销**。如果您选择了**单点注销**,请按照[在 Amazon WorkSpaces 安全浏览器上配置您的身份提供商](configure-idp-step1.md)中的步骤 5 操作,将签名证书上传到您的 IdP,填写**单点注销 URL**,然后启用**单点注销**。
1. 向 IdP 中的用户授予使用 WorkSpaces 安全浏览器的访问权限。
1. 从 IdP 下载元数据交换文件。您将在下一步中将此元数据上传到 WorkSpaces 安全浏览器。
# 在亚马逊 WorkSpaces 安全浏览器上完成 IdP 配置
要在 WorkSpaces 安全浏览器上完成 IdP 配置,请按照以下步骤操作。
1. 返回 WorkSpaces 安全浏览器控制台。在创建向导的**配置身份提供者**页面的 **IdP 元数据**下,上传元数据文件,或输入来自您的 IdP 的元数据 URL。该门户使用来自 IdP 的这些元数据来建立信任。
1. 要上传元数据文件,请在 **IdP 元数据文档**下,选择**选择文件**。上传您在上一步中下载的 XML 格式的 IdP 元数据文件。
1. 要使用元数据 URL,请前往您在上一步中设置的 IdP,并获取其**元数据 URL**。返回 WorkSpaces 安全浏览器控制台,在 **IdP 元数据 URL** 下,输入您从 IdP 获得的元数据 URL。
1. 完成后,选择**下一步**。
1. 对于启用了**需要此提供者提供加密的 SAML 断言**选项的门户,您需要从门户 IdP 详细信息部分下载加密证书,并将其上传到您的 IdP。然后,可以在那里启用该选项。
**注意**
WorkSpaces 安全浏览器要求在 IdP 设置的 SAML 断言中映射和设置主题或名称 ID。您的 IdP 可以自动创建这些映射。如果这些映射配置不正确,您的用户将无法登录 Web 门户并启动会话。
WorkSpaces 安全浏览器要求在 SAML 响应中包含以下声明。您可以通过控制台或 CLI ** 从门户的服务提供商详细信息或元数据文档中查找**和查找。
一项 `AudienceRestriction` 声明,所具有的 `Audience` 值将您的 SP 实体 ID 设置为响应的目标。示例:
```
```
一项 `Response` 声明,具有原始 SAML 请求 ID 的 `InResponseTo` 值。示例:
```
```
一项 `SubjectConfirmationData` 声明,具有 SP ACS URL 的 `Recipient` 值,以及与原始 SAML 请求 ID 匹配的 `InResponseTo` 值。示例:
```
```
WorkSpaces 安全浏览器会验证您的请求参数和 SAML 断言。对于 IdP 发起的 SAML 断言,必须将您的请求的详细信息的格式设置为 HTTP POST 请求正文中的 `RelayState` 参数。请求正文还必须包含您的 SAML 断言,作为 `SAMLResponse` 参数。如果您已经执行了上一步操作,则这两个参数都应该存在。
以下是 IdP 发起的 SAML 提供者的 `POST` 正文示例。
```
SAMLResponse=&RelayState=
```
# 特定 IdPs 于 Amazon WorkSpaces 安全浏览器的使用指南
为确保正确配置门户的 SAML 联合,请参阅以下链接以获取常用 IdPs文档。
| IdP | SAML 应用程序设置 | 用户管理 | IdP 发起的身份验证 | 请求签名 | 断言加密 | 单点注销 |
| --- | --- | --- | --- | --- | --- | --- |
| Okta | [Create SAML app integrations](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [User management](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Application Integration Wizard SAML field reference](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Application Integration Wizard SAML field reference](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Application Integration Wizard SAML field reference](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Application Integration Wizard SAML field reference](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) |
| Entra | [Create your own application](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Quickstart: Create and assign a user account](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-assign-users) | [Enable single sign-on for an enterprise application](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-setup-sso) | [SAML Request Signature Verification](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-enforce-signed-saml-authentication) | [Configure Microsoft Entra SAML token encryption](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-saml-token-encryption?tabs=azure-portal) | [Single Sign-Out SAML Protocol](https://learn.microsoft.com/en-us/entra/identity-platform/single-sign-out-saml-protocol) |
| Ping | [Add a SAML application](https://docs.pingidentity.com/r/en-us/pingone/pingone_p1tutorial_add_a_saml_app) | [Users](https://docs.pingidentity.com/r/en-us/pingone/p1_c_aboutusers) | [Enabling IdP-initiated SSO](https://docs.pingidentity.com/r/en-us/pingone/pingone_configuring_the_oidc_application) | [为企业配置身份验证 PingOne 请求登录](https://docs.pingidentity.com/r/en-us/solution-guides/htg_config_authn_req_sign_p14e) | [企业版是否 PingOne 支持加密?](https://support.pingidentity.com/s/article/Does-PingOne-support-encryption) | [SAML 2.0 single logout](https://docs.pingidentity.com/r/en-us/pingone/pingone_c_saml_2-0_slo?tocId=aKUl0dlpyVDVw3PJmLIGGg) |
| One Login | [SAML Custom Connector (Advanced) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [将用户添加到 “ OneLogin 手动”](https://www.onelogin.com/getting-started/free-trial-plan/add-users-manually) | [SAML Custom Connector (Advanced) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [SAML Custom Connector (Advanced) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [SAML Custom Connector (Advanced) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [SAML Custom Connector (Advanced) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) |
| IAM Identity Center | [设置您自己的 SAML 2.0 应用程序](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [设置您自己的 SAML 2.0 应用程序](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [设置您自己的 SAML 2.0 应用程序](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | 不适用 | 不适用 | 不适用 |
# 为 Amazon WorkSpaces 安全浏览器配置 IAM 身份中心身份验证类型
对于 **IAM Identity Center** 类型(高级选项),将 IAM Identity Center 与您的门户联合。只有在以下条件适用于您时,才选择此选项:
+ 您的 IAM 身份中心的配置 AWS 账户 与 AWS 区域 您的 Web 门户网站相同。
+ 如果您正在使用 AWS Organizations,则表示您使用的是管理账户。
在创建具有 IAM Identity Center 身份验证类型的 Web 门户之前,您必须将 IAM Identity Center 设置为独立提供者。有关更多信息,请参阅[开始使用 IAM Identity Center 中的常见任务](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)。或者,您可以将您的 SAML 2.0 IdP 连接到 IAM Identity Center。有关更多信息,请参阅[连接到外部身份提供者](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)。否则,将没有任何用户或组可以分配给您的 Web 门户。
如果您已经在使用 IAM Identity Center,则可以选择 IAM Identity Center 作为提供者类型,然后按照以下步骤在您的 Web 门户中添加、查看或删除用户或组。
**注意**
要使用此身份验证类型,您的 IAM 身份中心必须与您的 WorkSpaces 安全浏览器门户处于 AWS 区域 相同 AWS 账户 和相同的位置。如果您的 IAM 身份中心位于单独的 AWS 账户 或 AWS 区域,请按照**标准**身份验证类型的说明进行操作。有关更多信息,请参阅 [为 Amazon WorkSpaces 安全浏览器配置标准身份验证类型](configure-standard.md)。
如果您正在使用 AWS Organizations,则只能使用管理账户创建与 IAM Identity Center 集成的 WorkSpaces 安全浏览器门户。
**Topics**
+ [通过 IAM Identity Center 创建 Web 门户](web-portal-IAM.md)
+ [通过 IAM Identity Center 管理您的 Web 门户](manage-IAM.md)
+ [向 Web 门户中添加其他用户和组](add-users-groups.md)
+ [查看或删除 Web 门户的用户和组](remove-users-groups.md)
# 通过 IAM Identity Center 创建 Web 门户
要通过 IAM Identity Center 创建 Web 门户,请按照以下步骤操作。
**通过 IAM Identity Center 创建 Web 门户**
1. 在**步骤 4:配置身份提供者**的门户创建过程中,选择 **AWS IAM Identity Center**。
1. 选择**继续使用 IAM Identity Center**。
1. 在**分配用户和组**页面上,选择**用户 and/or ****组**选项卡。
1. 选中要添加到门户中的用户或组旁边的复选框。
1. 创建门户后,您关联的用户可以使用其 IAM Identity Center 用户名和密码登录 WorkSpaces 安全浏览器。
# 通过 IAM Identity Center 管理您的 Web 门户
要通过 IAM Identity Center 管理您的 Web 门户,请按照以下步骤操作。
**通过 IAM Identity Center 管理您的 Web 门户**
1. 创建门户后,它将在 IAM Identity Center 控制台中作为已配置的应用程序列出。
1. 要访问此应用程序的配置,请在侧栏中选择**应用程序**,然后查找名称与您的 Web 门户显示名称匹配的已配置应用程序。
**注意**
如果您尚未输入显示名称,则会改为显示门户的 GUID。GUID 是您的 Web 门户端点 URL 前缀的 ID。
# 向 Web 门户中添加其他用户和组
要向现有 Web 门户中添加其他用户和组,请按照以下步骤操作。
**向现有 Web 门户中添加其他用户和组**
1. 打开 WorkSpaces 安全浏览器控制台,网址为[https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/](https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/)。
1. 选择 “**WorkSpaces 安全浏览器**”、“**门户网站**”,选择您的 Web 门户,然后选择 “**编辑”**。
1. 选择**身份提供者设置**和**分配其他用户和组**。在此处,您可以将用户和组添加到您的 Web 门户。
**注意**
您无法从 IAM Identity Center 控制台添加用户或组。您必须从 WorkSpaces 安全浏览器门户的编辑页面执行此操作。
# 查看或删除 Web 门户的用户和组
要查看或删除 Web 门户的用户和组,请执行**分配的用户**表中提供的操作。有关更多信息,请参阅[管理对应用程序的访问](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-applications.html)
**注意**
您无法在 S WorkSpaces ecure BrowserPortal 的编辑页面中查看或删除用户和群组。必须从 IAM Identity Center 控制台的编辑页面执行此操作。
# 更改 Amazon WorkSpaces 安全浏览器的身份提供者类型
您可以随时更改门户的身份验证类型。为此,请按照以下步骤操作。
+ 要从 **IAM Identity Center** 更改为**标准**,请按[为 Amazon WorkSpaces 安全浏览器配置标准身份验证类型](configure-standard.md)中的步骤操作。
+ 要从**标准**更改为 **IAM Identity Center**,请按[为 Amazon WorkSpaces 安全浏览器配置 IAM 身份中心身份验证类型](configure-iam.md)中的步骤操作。
对身份提供者类型的更改最多可能需要 15 分钟才能部署,并且不会自动终止正在进行的会话。
您可以通过 AWS CloudTrail 检查`UpdatePortal`事件来查看门户的身份提供商类型更改。该类型将在事件的请求和响应有效载荷中显示。
# 使用 Amazon WorkSpaces 安全浏览器启动门户网站
Web 门户配置完毕后,您可以按照以下步骤启动门户。
1. 在**步骤 5:查看和启动**页面上,查看您为 Web 门户选择的设置。您可以选择**编辑** 来更改给定部分中的设置。您也可以稍后通过控制台的 **Web 门户**选项卡更改这些设置。
1. 完成后,选择**启动 Web 门户**。
1. 要查看 Web 门户的状态,请选择 **Web 门户**,选择您的门户,然后选择**查看详细信息**。
门户具有下列状态之一:
+ **不完整** - Web 门户的配置缺少所需的身份提供者设置。
+ **待定** - Web 门户正在对其设置应用更改。
+ **激活** - Web 门户已准备就绪,可供使用。
1. 最多等待 15 分钟,让您的门户变为**活动**状态。
# 在 Amazon WorkSpaces 安全浏览器中测试您的门户网站
创建门户网站后,您可以登录 WorkSpaces 安全浏览器端点,像最终用户一样浏览连接的网站。
如果已完成[为 Amazon WorkSpaces 安全浏览器配置您的身份提供商](identity-settings.md)中的这些步骤,则可以跳过本节,进入[在 Amazon WorkSpaces 安全浏览器中分发您的门户网站](getting-started-step3.md)。
1. 在[https://console.aws.amazon.com/workspaces-web/家打开 WorkSpaces 安全浏览器控制台? region=us-e](https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/) ast-1\$1/。
1. 选择 “**WorkSpaces 安全浏览器**”、“**门户网站**”,选择您的 Web 门户,然后选择 “**查看详细信息**”
1. 在 **Web 门户端点**下,转到您门户的指定 URL。Web 门户端点是您的用户在使用为门户配置的身份提供者登录后启动您 Web 门户的接入点。其在 Internet 上公开提供,可以嵌入到您的网络中。
1. 在 WorkSpaces 安全浏览器登录页面上,选择登**录**、**SAML,然后输入您的 SAML** 凭据。
1. 当您看到 “**您的会话正在准备中**” 页面时,您的 WorkSpaces 安全浏览器会话即会启动。请勿关闭或退出此页面。
1. Web 浏览器启动,显示您的启动 URL 以及通过浏览器策略设置配置的任何其他行为。
1. 现在,您可以通过选择链接或 URLs 进入地址栏来浏览已连接的网站。
# 在 Amazon WorkSpaces 安全浏览器中分发您的门户网站
当您准备好让用户开始使用 WorkSpaces 安全浏览器时,您可以从以下选项中进行选择来分发门户:
+ 将您的门户添加到 SAML 应用程序网关,以便用户直接从其 IdP 启动会话。您可以借助符合 SAML 2.0 标准的 IdP 通过 IdP 发起的登录流来完成此操作。有关更多信息,请参阅[为 Amazon WorkSpaces 安全浏览器配置标准身份验证类型](configure-standard.md)中的 **SP 发起和 IdP 发起的 SAML 断言**。或者,您可以创建自定义 SAML 应用程序,该应用程序可以使用 SP 发起的流程提供 IdP 发起的身份验证体验。有关更多信息,请参阅[创建书签应用程序集成](https://help.okta.com/en-us/Content/Topics/Apps/apps-create-bookmark.htm)。
+ 将门户 URL 添加到您拥有的网站,然后使用浏览器重定向将用户引导到 Web 门户。
+ 通过电子邮件将门户 URL 发送给您的用户,或者向下推送到您作为浏览器主页或书签管理的设备。
+ 如果您为门户设置了自定义域名,请使用自定义域名而不是门户网址,以便为用户提供更加集成的品牌体验。有关更多信息,请参阅 [为您的门户配置自定义域](custom-domains.md)。