

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 正在設定 SAML
<a name="external-identity-providers-setting-up-saml"></a>

若要讓使用者使用現有的登入資料登入 WorkSpaces 應用程式，並開始串流應用程式，您可以使用 SAML 2.0 設定聯合身分。若要這樣做，請使用 IAM 角色和轉送狀態 URL 來設定 SAML 2.0 相容身分提供者 (IdP)，並啟用 AWS 以允許您的聯合身分使用者存取 WorkSpaces 應用程式堆疊。IAM 角色可將存取堆疊的許可授予使用者。轉送狀態是一種堆疊入口網站，當 AWS成功驗證之後，即會將使用者轉送到該處。

**Topics**
+ [先決條件](#external-identity-providers-setting-up-prerequisites)
+ [步驟 1：在 IAM 中建立 SAML AWS 身分提供者](#external-identity-providers-create-saml-provider)
+ [步驟 2：建立 SAML 2.0 聯合 IAM 角色](#external-identity-providers-grantperms)
+ [步驟 3：為 IAM 角色嵌入內嵌政策](#external-identity-providers-embed-inline-policy-for-IAM-role)
+ [步驟 4：設定以 SAML 為基礎的 IdP](#external-identity-providers-config-idp)
+ [步驟 5：建立 SAML 身分驗證回應聲明](#external-identity-providers-create-assertions)
+ [步驟 6：設定聯合的轉送狀態](#external-identity-providers-relay-state)

## 先決條件
<a name="external-identity-providers-setting-up-prerequisites"></a>

設定 SAML 2.0 連線之前，請先完成下列先決條件。

1. 設定 SAML 型 IdP 並與 AWS建立信任關係。
   + 在您的組織網路內部，設定要用於以 SAML 為基礎之 IdP 的身分存放區。如需組態資源，請參閱[WorkSpaces 應用程式與 SAML 2.0 整合](external-identity-providers-further-info.md)。
   + 使用以 SAML 為基礎的 IdP 來產生並下載聯合中繼資料文件，以將您的組織描述為 IdP。這份簽章的 XML 文件是用來建立轉送方信任關係。請將這個檔案儲存到日後可從 IAM 主控台存取更新版本的位置。

1. 使用 WorkSpaces 應用程式管理主控台來建立 WorkSpaces 應用程式堆疊。您需要堆疊名稱來建立 IAM 政策，以及設定 IdP 與 WorkSpaces 應用程式整合，如本主題稍後所述。

   您可以使用 WorkSpaces 應用程式管理主控台、 AWS CLI或 WorkSpaces 應用程式 API 來建立 WorkSpaces 應用程式堆疊。如需詳細資訊，請參閱[建立 Amazon WorkSpaces 應用程式機群和堆疊](set-up-stacks-fleets.md)。

## 步驟 1：在 IAM 中建立 SAML AWS 身分提供者
<a name="external-identity-providers-create-saml-provider"></a>

首先，在 IAM AWS 中建立 SAML IdP。此 IdP 使用組織中 IdP 軟體產生的中繼資料文件來定義組織的 IdP 對AWS 信任關係。如需詳細資訊，請參閱《IAM 使用者指南》**中的[建立和管理 SAML 身分提供者 (Amazon Web Services 管理主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console)。如需有關在 AWS GovCloud (US) 區域中使用 SAML IdPs 的資訊，請參閱*AWS GovCloud (US) 《 使用者指南*》中的 [AWS Identity and Access Management](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html)。

## 步驟 2：建立 SAML 2.0 聯合 IAM 角色
<a name="external-identity-providers-grantperms"></a>

接下來，建立 SAML 2.0 聯合 IAM 角色。此步驟會建立 IAM 與組織 IdP 之間的信任關係，以便將您的 IdP 識別為聯合信任的實體。

**為 SAML IdP 建立 IAM 角色**

1. 前往網址 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇 **Roles** (角色)、**Create role** (建立新角色)。

1. 針對 **Role type (角色類型)**，選擇 **SAML 2.0 federation (SAML 2.0 聯合)**。

1. 針對 **SAML Provider (SAML 提供者)**，選取您建立的 SAML IdP。
**重要**  
請勿選擇下列兩種 SAML 2.0 存取方法：**僅允許以程式設計的方式存取**或**允許以程式設計方式存取和 Amazon Web Services 管理主控台存取**。

1. 針對 **Attribute (屬性)**，選擇 **SAML:sub\$1type**。

1. 針對**數值**，輸入 **https://signin.aws.amazon.com/saml**。此值會將角色存取限制為 SAML 使用者串流請求，其中包括 SAML 主旨類型聲明與持久值。如果 SAML:sub\$1type 為持久性，您的 IdP 就會針對來自特定使用者之所有 SAML 請求中的 NameID 元素，傳送相同的唯一值。如需 SAML：sub\$1type 聲明的詳細資訊，請參閱[使用 SAML AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring) *型聯合進行 API 存取中的在 SAML 型聯合中唯一識別使用者*一節。
**注意**  
即使**https://signin.aws.amazon.com/saml**端點高度可用，它仍僅託管在 的 us-east-1 區域 AWS。為了防止服務中斷，以免其中一個區域端點的可用性受到影響，請使用區域端點並設定額外的 SAML 登入端點進行容錯移轉。如需詳細資訊，請參閱[如何使用區域 SAML 端點進行容錯移轉](https://aws.amazon.com/blogs/security/how-to-use-regional-saml-endpoints-for-failover/)。

1. 檢閱您的 SAML 2.0 信任資訊，確認信任實體和條件無誤，然後選擇 **Next: Permissions (下一步：許可)**。

1. 在 **Attach permissions policies (連接許可政策)** 頁面上，選擇 **Next: Tags (下一步：標籤)**。

1. (選用) 為您要新增的每個標籤輸入索引鍵和值。如需詳細資訊，請參閱[標記 IAM 使用者和角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。

1. 完成後，請選擇 **Next: Review (下一步：檢閱)**。您稍後將為此角色建立並嵌入內嵌政策。

1. 針對**角色名稱**，輸入可識別此角色用途的名稱。因為有多個實體可能會參考此角色，所以建立角色後，您就無法編輯其名稱。

1. (選用) 在 **Role description (角色說明)** 中，輸入新角色的說明。

1. 檢閱角色詳細資訊，並選擇 **Create role (建立角色)**。

1. （選用） 如果您計劃使用工作階段內容或屬性型應用程式權利，使用第三方 SAML 2.0 身分提供者或憑證型身分驗證，您必須將 sts：TagSession 許可新增至新 IAM 角色的信任政策。如需詳細資訊，請參閱 [使用第三方 SAML 2.0 身分提供者的屬性型應用程式權利](application-entitlements-saml.md) 和[在 AWS STS中傳入工作階段標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

   在新 IAM 角色的詳細資訊中，選擇**信任關係**索引標籤，然後選擇**編輯信任關係**。「編輯信任關係」政策編輯器隨即啟動。新增 **sts:TagSession** 許可，如下所示：

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Federated": "arn:aws:iam::111122223333:saml-provider/IDENTITY-PROVIDER"
               },
               "Action": [
                   "sts:AssumeRoleWithSAML",
                   "sts:TagSession"
               ],
               "Condition": {
                   "StringEquals": {
                       "SAML:sub_type": "persistent"
                   }
               }
           }
       ]
   }
   ```

------

   以您在步驟 1 中建立的 SAML IdP 名稱取代 *IDENTITY-PROVIDER*****。然後選擇**更新信任政策**。

## 步驟 3：為 IAM 角色嵌入內嵌政策
<a name="external-identity-providers-embed-inline-policy-for-IAM-role"></a>

接下來，為您建立的角色嵌入內嵌 IAM 政策。嵌入內嵌政策時，該政策中的許可不得意外附加至錯誤的主體實體。內嵌政策可讓聯合身分使用者存取您建立的 WorkSpaces 應用程式堆疊。

1. 在您所建立 IAM 角色的詳細資料中，選擇**許可**索引標籤，然後選擇**新增內嵌政策**。建立政策精靈隨即啟動。

1. 在**建立政策**中，選擇 **JSON** 索引標籤。

1. 將下列 JSON 政策複製並貼入 JSON 視窗。然後，輸入 AWS 區域 程式碼、帳戶 ID 和堆疊名稱來修改資源。在下列政策中， `"Action": "appstream:Stream"` 動作會為您的 WorkSpaces 應用程式使用者提供許可，以連接至您建立之堆疊上的串流工作階段。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "appstream:Stream",
               "Resource": "arn:aws:appstream:us-east-1:111122223333:stack/STACK-NAME",
               "Condition": {
                   "StringEquals": {
                       "appstream:userId": "${saml:sub}"
                   }
               }
           }
       ]
   }
   ```

------

   將 *REGION-CODE* 取代為 WorkSpaces 應用程式堆疊所在的 AWS 區域。將 *STACK-NAME* 取代為堆疊的名稱。*STACK-NAME* 區分大小寫，且必須與 WorkSpaces 應用程式管理主控台的 **Stacks** 儀表板中顯示的堆疊名稱完全相符。

   對於 AWS GovCloud (US) 區域中的資源，請使用 ARN 的下列格式：

   `arn:aws-us-gov:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME`

1. (選用) 如果您打算使用採用第三方 SAML 2.0 身分提供者搭配 **SAML 2.0 多堆疊應用程式目錄**的屬性型應用程式權利，則 IAM 角色內嵌政策中的資源必須是 **"Resource": "arn:aws:appstream:*REGION-CODE*:*ACCOUNT-ID-WITHOUT-HYPHENS*:stack/\$1"**，應用程式權利才能控制堆疊的串流存取。若要對堆疊資源強制執行額外的保護，您可以在政策中新增明確拒絕。如需詳細資訊，請參閱 [使用第三方 SAML 2.0 身分提供者的屬性型應用程式權利](application-entitlements-saml.md) 和[政策評估邏輯](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。

1. 完成時，請選擇 **Review policy (檢閱政策)**。[Policy Validator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) (政策檢查工具) 會回報任何語法錯誤。

## 步驟 4：設定以 SAML 為基礎的 IdP
<a name="external-identity-providers-config-idp"></a>

接下來，根據您的 SAML 型 IdP，您可能需要手動更新 IdP 以信任 AWS 作為服務提供者，方法是將`saml-metadata.xml`檔案上傳至 [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml)：//IdP 。此步驟會更新您的 IdP 中繼資料。某些 IdP 可能已經設定更新。如果是這種情況，請繼續下一個步驟。

如果您的 IdP 尚未設定這項更新，請檢閱 IdP 提供的文件以取得中繼資料更新方式的資訊。有些供應商會提供輸入 URL 的選項，由 IdP 為您取得並安裝檔案。另一些提供者則要求您從該 URL 處下載檔案，然後將其做為本機檔案提供。

## 步驟 5：建立 SAML 身分驗證回應聲明
<a name="external-identity-providers-create-assertions"></a>

接下來，您可能需要在身分驗證回應中，將 IdP 傳送至 的資訊設定為 AWS SAML 屬性。視您的 IdP 而定，此資訊可能已預先設定。如果是這種情況，請跳過此步驟並繼續執行步驟 6，

如果您的 IdP 尚未設定這項資訊，請提供下列項目：
+ **SAML 主旨 NameID**：進行登入之使用者的唯一識別碼。
**注意**  
如果堆疊包含已加入網域的機群，就必須以 "`domain\username`" (若使用 sAMAccountName) 或 "`username@domain.com`" (若使用 userPrincipalName) 格式提供使用者的 NameID 值。若您使用 sAMAccountName 格式，您可以透過使用 NetBIOS 名稱或完整網域名稱 (FQDN) 來指定 `domain`。Active Directory 單向信任案例需要 sAMAccountName 格式。如需詳細資訊，請參閱[搭配 WorkSpaces 應用程式使用 Active Directory](active-directory.md)。
+ **SAML 主旨類型** (值設定為 `persistent`)：將值設定為 `persistent`，可確保您的 IdP 會針對來自特定使用者之所有 SAML 請求中的 `NameID` 元素，傳送相同的唯一值。確保 IAM 政策包含一個條件，僅允許 SAML sub\$1type 設為 `persistent` 的 SAML 請求，如 [步驟 2：建立 SAML 2.0 聯合 IAM 角色](#external-identity-providers-grantperms) 中所述。
+ **`Name` 屬性設為 https://aws.amazon.com/SAML/Attributes/Role 的 `Attribute` 元素**：此元素包含一或多個 `AttributeValue` 元素，其列出您 IdP 對應的使用者 IAM 角色和 SAML IdP。角色和 IdP 會指定為以逗號分隔的 ARN 對。
+ **`Attribute` `Name` 屬性設為 https://aws.amazon.com/SAML/Attributes/RoleSessionName 的 元素** – 此元素包含一個`AttributeValue`元素，可為為 SSO 發行的 AWS 臨時登入資料提供識別符。`AttributeValue` 元素中的值長度必須介於 2 到 64 個字元之間，只能包含英數字元、底線和下列字元：\$1 (加號)、= (等號)、, (逗號)、. (句號)、@ (at 符號) 和 - (連字號)。其中不可含有空格。該值通常是使用者 ID (bobsmith) 或電子郵件地址 (bobsmith@example.com)。該值不應包含空格，如使用者的顯示名稱 (Bob Smith)。
+ **`Name` 屬性設為 https://aws.amazon.com/SAML/Attributes/PrincipalTag:SessionContext 的 `Attribute` 元素 (選用)**：此元素包含一個 `AttributeValue` 元素，其提供的參數可用於將工作階段內容參數傳遞至串流應用程式。如需詳細資訊，請參閱[Amazon WorkSpaces 應用程式中的工作階段內容](managing-stacks-fleets-session-context.md)。
+ **`Name` 屬性設為 https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid 的 `Attribute` 元素 (選用)**：此元素包含一個 `AttributeValue` 元素，該元素為登入的使用者提供 Active Directory 安全識別碼 (SID)。此參數與憑證型驗證搭配使用，能夠強式對應至 Active Directory 使用者。
+ **`Name` 屬性設為 https://aws.amazon.com/SAML/Attributes/PrincipalTag:Domain 的 `Attribute` 元素 (選用)**：此元素包含一個 `AttributeValue` 元素，該元素可為登入的使用者提供 Active Directory DNS 完整網域名稱 (FQDN)。當使用者的 Active Directory `userPrincipalName` 包含替代尾碼時，此參數會與憑證型驗證搭配使用。此值必須以 **domain.com** 格式提供，包括任何子網域。
+ **`SessionDuration` 屬性設為 https://aws.amazon.com/SAML/Attributes/SessionDuration 的 `Attribute` 元素 (選用)**：此元素包含一個 `AttributeValue` 元素，其指定使用者可在聯合串流工作階段中保持作用中的時間上限，之後即必須重新驗證身分。預設值為 60 分鐘 (即 3,600 秒)。如需詳細資訊，請參閱[針對身分驗證回應設定 SAML 聲明](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)中的 *SessionDuration 屬性設為 https://aws.amazon.com/SAML/Attributes/SessionDuration 的選用 Attribute 元素*一節。
**注意**  
雖然 `SessionDuration` 是選用屬性，但我們建議您將它包含在 SAML 回應中。如果您未指定此屬性，工作階段持續時間會設定為預設值 60 分鐘。  
如果您的使用者使用 WorkSpaces 應用程式原生用戶端或在新體驗中使用 Web 瀏覽器來存取 WorkSpaces 應用程式中的串流應用程式，其工作階段會在工作階段持續時間過期後中斷連線。如果您的使用者在舊/傳統體驗中使用 Web 瀏覽器存取 WorkSpaces 應用程式中的串流應用程式，則在使用者的工作階段持續時間到期且重新整理瀏覽器頁面之後，他們的工作階段就會中斷連線。

如需有關如何設定這些元素的詳細資訊，請參閱《IAM 使用者指南》**中的[針對身分驗證回應設定 SAML 聲明](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)。如需 IdP 的特定組態要求資訊，請參閱您的 IdP 文件。

## 步驟 6：設定聯合的轉送狀態
<a name="external-identity-providers-relay-state"></a>

最後，使用您的 IdP 來設定聯合的轉送狀態，以指向 WorkSpaces 應用程式堆疊轉送狀態 URL。身分驗證成功後 AWS，會將使用者導向 WorkSpaces 應用程式堆疊入口網站，定義為 SAML 身分驗證回應中的轉送狀態。

轉送狀態 URL 的格式如下：

```
https://relay-state-region-endpoint?stack=stackname&accountId=aws-account-id-without-hyphens
```

從您的 Amazon Web Services 帳戶 ID、堆疊名稱以及與您堆疊所在區域相關聯的轉送狀態端點來建構轉送狀態 URL。

或者，您也可以指定您想要自動啟動的應用程式名稱。若要尋找應用程式名稱，請在 WorkSpaces 應用程式主控台中選取映像，選擇**應用程式**索引標籤，然後記下應用程式名稱欄中顯示**的名稱**。或者，如果您尚未建立映像，請連接到您安裝應用程式的映像建置器，並開啟映像助理。應用程式的名稱會顯示在 **Add Apps (新增應用程式)** 索引標籤中。

如果您的機群已啟用**桌面**串流檢視，您也可以選擇直接啟動進入作業系統桌面。若要這樣做，請在轉送狀態 URL 的結尾處於 **&app=** 後方指定 **Desktop**。

透過身分提供者 (IdP) 起始的流程，在系統預設瀏覽器中，使用者登入 IdP 並從 IdP 使用者入口網站選取 WorkSpaces 應用程式後，系統會使用下列選項，將他們重新導向至系統預設瀏覽器中的 WorkSpaces 應用程式登入頁面：
+ **繼續使用瀏覽器**
+ **開啟 WorkSpaces 應用程式用戶端**

在 頁面上，使用者可以選擇在瀏覽器中或使用 WorkSpaces 應用程式用戶端應用程式啟動工作階段。您也可以選擇性地指定要用於 SAML 2.0 聯合的用戶端。若要這樣做，請在 `web` 之後指定轉送狀態 URL 結尾的 `native`或 `&client=`。當 參數存在於轉送狀態 URL 時，對應的工作階段會自動在指定的用戶端中啟動，而使用者不會做出選擇。

**注意**  
只有在您使用新的轉送狀態區域端點 （下表 1) 來建構轉送狀態 URL，並使用 WorkSpaces 應用程式用戶端 1.1.1300 版和更新版本時，才能使用此功能。此外，使用者應一律使用其系統預設瀏覽器登入 IdP。如果使用非預設瀏覽器，此功能將無法運作。

透過使用第三方 SAML 2.0 身分提供者的屬性型應用程式權利，就可以從單一轉送狀態 URL 存取多個堆疊。從轉送狀態 URL 移除堆疊和應用程式 (如有的話) 參數，如下所示：

```
https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens
```

當使用者聯合到 WorkSpaces 應用程式目錄時，他們將看到所有堆疊，其中應用程式權利已將一或多個應用程式與使用者比對，以取得與堆疊所在區域相關聯的帳戶 ID 和轉送狀態端點。當使用者選取目錄時，應用程式權利只會顯示使用者有權使用的應用程式。

**注意**  
使用者無法同時從多個堆疊串流。

如需詳細資訊，請參閱[使用第三方 SAML 2.0 身分提供者的屬性型應用程式權利](application-entitlements-saml.md)。

下表 1 列出可使用 WorkSpaces 應用程式之區域的轉送狀態端點。表 1 中的轉送狀態端點與 [WorkSpaces 應用程式 Web 瀏覽器存取 （第 2 版）](web-browser-access-v2.md)和 Windows 用戶端應用程式 1.1.1300 版及更新版本相容。如果您使用的是較舊版本的 Windows 用戶端，您應該使用表 2 中列出的舊轉送狀態端點來設定 SAML 2.0 聯合。如果您希望使用者使用符合 FIPS 規定的連線串流，則必須使用符合 FIPS 規定的端點。如需 FIPS 端點的詳細資訊，請參閱 [使用 FIPS 端點保護傳輸中資料](protecting-data-in-transit-FIPS-endpoints.md)。


**表 1：WorkSpaces 應用程式轉送狀態區域端點 （建議）**  

| 區域 | 轉送狀態端點 | 
| --- | --- | 
| 美國東部 (維吉尼亞北部) |  `https://appstream2.euc-sso.us-east-1.aws.amazon.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-east-1.aws.amazon.com/saml`  | 
| 美國東部 (俄亥俄) | https://appstream2.euc-sso.us-east-2.aws.amazon.com/saml | 
| 美國西部 (奧勒岡) |  `https://appstream2.euc-sso.us-west-2.aws.amazon.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-west-2.aws.amazon.com/saml`  | 
| 亞太區域 (馬來西亞) | https://appstream2.euc-sso.ap-southeast-5.aws.amazon.com/saml | 
| 亞太地區 (孟買) | https://appstream2.euc-sso.ap-south-1.aws.amazon.com/saml | 
| 亞太區域 (首爾) | https://appstream2.euc-sso.ap-northeast-2.aws.amazon.com/saml | 
| 亞太區域 (新加坡) | https://appstream2.euc-sso.ap-southeast-1.aws.amazon.com/saml | 
| 亞太地區 (雪梨) | https://appstream2.euc-sso.ap-southeast-2.aws.amazon.com/saml | 
| 亞太區域 (東京) | https://appstream2.euc-sso.ap-northeast-1.aws.amazon.com/saml | 
|  加拿大 (中部)  | https://appstream2.euc-sso.ca-central-1.aws.amazon.com/saml | 
| 歐洲 (法蘭克福) | https://appstream2.euc-sso.eu-central-1.aws.amazon.com/saml | 
| 歐洲 (愛爾蘭) | https://appstream2.euc-sso.eu-west-1.aws.amazon.com/saml | 
| 歐洲 (倫敦) | https://appstream2.euc-sso.eu-west-2.aws.amazon.com/saml | 
| 歐洲 (米蘭) | https://appstream2.euc-sso.eu-south-1.aws.amazon.com/saml | 
| Europe (Paris) | https://appstream2.euc-sso.eu-west-3.aws.amazon.com/saml | 
| 歐洲 (西班牙) | https://appstream2.euc-sso.eu-south-2.aws.amazon.com/saml | 
| AWS GovCloud （美國東部） |  `https://appstream2.euc-sso.us-gov-east-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com/saml`  如需在 AWS GovCloud (US) 區域中使用 WorkSpaces 應用程式的詳細資訊，請參閱*AWS GovCloud (US) 《 使用者指南*》中的 [Amazon WorkSpaces 應用程式](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html)。   | 
| AWS GovCloud （美國西部） |  `https://appstream2.euc-sso.us-gov-west-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com/saml`  如需在 AWS GovCloud (US) 區域中使用 WorkSpaces 應用程式的詳細資訊，請參閱*AWS GovCloud (US) 《 使用者指南*》中的 [Amazon WorkSpaces 應用程式](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html)。   | 
| 南美洲 (聖保羅) | https://appstream2.euc-sso.sa-east-1.aws.amazon.com/saml | 
| 以色列 (特拉維夫) | https://appstream2.euc-sso.il-central-1.aws.amazon.com/saml | 

下表 2 列出仍然可用的舊轉送狀態端點。不過，建議您使用表 1 中列出的新轉送狀態端點來設定 SAML 2.0 聯合。特別是，使用新的轉送狀態端點，您可以讓使用者從 IdP 啟動的串流工作階段啟動 WorkSpaces 應用程式用戶端應用程式 (1.1.1300 版及更新版本）。表 1 中的新轉送狀態端點也允許使用者在相同 Web 瀏覽器的不同索引標籤中登入其他 AWS 應用程式，而不會影響正在進行的 WorkSpaces 應用程式串流工作階段。表 2 中的舊轉送狀態端點不支援此功能。如需詳細資訊，請參閱[我的 WorkSpaces 應用程式用戶端使用者每 60 分鐘就會與其 WorkSpaces 應用程式工作階段中斷連線。](troubleshooting-user-issues.md#troubleshooting-client-users-disconnected-every-60-minutes)


**表 2：舊的 WorkSpaces 應用程式轉送狀態區域端點 （不建議）**  

| 區域 | 轉送狀態端點 | 
| --- | --- | 
| 美國東部 (維吉尼亞北部) |  `https://appstream2.us-east-1.aws.amazon.com/saml` (FIPS) `https://appstream2-fips.us-east-1.aws.amazon.com/saml`  | 
| 美國東部 (俄亥俄) | https://appstream2.us-east-2.aws.amazon.com/saml | 
| 美國西部 (奧勒岡) |  `https://appstream2.us-west-2.aws.amazon.com/saml` (FIPS) `https://appstream2-fips.us-west-2.aws.amazon.com/saml`  | 
| 亞太地區 (孟買) | https://appstream2.ap-south-1.aws.amazon.com/saml | 
| 亞太區域 (首爾) | https://appstream2.ap-northeast-2.aws.amazon.com/saml | 
| 亞太區域 (新加坡) | https://appstream2.ap-southeast-1.aws.amazon.com/saml | 
| 亞太地區 (雪梨) | https://appstream2.ap-southeast-2.aws.amazon.com/saml | 
| 亞太區域 (東京) | https://appstream2.ap-northeast-1.aws.amazon.com/saml | 
|  加拿大 (中部)  | https://appstream2.ca-central-1.aws.amazon.com/saml | 
| 歐洲 (法蘭克福) | https://appstream2.eu-central-1.aws.amazon.com/saml | 
| 歐洲 (愛爾蘭) | https://appstream2.eu-west-1.aws.amazon.com/saml | 
| 歐洲 (倫敦) | https://appstream2.eu-west-2.aws.amazon.com/saml | 
| AWS GovCloud （美國東部） |  `https://appstream2.us-gov-east-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2-fips.us-gov-east-1.amazonaws-us-gov.com/saml`  如需在 AWS GovCloud (US) 區域中使用 WorkSpaces 應用程式的詳細資訊，請參閱*AWS GovCloud (US) 《 使用者指南*》中的 [Amazon WorkSpaces 應用程式](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html)。   | 
| AWS GovCloud （美國西部） |  `https://appstream2.us-gov-west-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2-fips.us-gov-west-1.amazonaws-us-gov.com/saml`  如需在 AWS GovCloud (US) 區域中使用 WorkSpaces 應用程式的詳細資訊，請參閱*AWS GovCloud (US) 《 使用者指南*》中的 [Amazon WorkSpaces 應用程式](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html)。   | 
| 南美洲 (聖保羅) | https://appstream2.sa-east-1.aws.amazon.com/saml | 

下表 3 列出可用於建構轉送狀態 URL 的所有可用參數。


**表 3：轉送狀態 URL 參數**  

| 參數 | 必要 | 格式 | 支援 | 
| --- | --- | --- | --- | 
| accountId | 必要 | 12 個字元 AWS 帳戶 ID | 表 1 和 2 中的新舊端點 | 
| 堆疊 | 選用 | Stack name (堆疊名稱) | 表 1 和 2 中的新舊端點 | 
| 應用程式 | 選用 | 應用程式名稱或「桌面」 | 表 1 和 2 中的新舊端點 | 
| 用戶端 | 選用 | 「原生」或「網路」 | 僅限資料表 1 中的新端點 |