本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 Amazon WorkSpaces 安全瀏覽器的標準身分驗證類型
*標準*身分驗證類型是預設身分驗證類型。它可以支援服務提供者啟動 (SP 啟動) 和身分提供者啟動 (IdP 啟動) 的登入流程,搭配您的 SAML 2.0 相容 IdP。若要設定標準身分驗證類型,請依照下列步驟直接與入口網站聯合第三方 SAML 2.0 IdP (例如 Okta 或 Ping)。
**Topics**
+ [
# 在 Amazon WorkSpaces 安全瀏覽器上設定您的身分提供者
](configure-idp-step1.md)
+ [
# 在您自己的 IdP 上設定 IdP
](configure-idp-step2.md)
+ [
# 在 Amazon WorkSpaces 安全瀏覽器上完成 IdP 組態
](upload-metadata.md)
+ [
# 搭配 Amazon WorkSpaces 安全瀏覽器使用特定 IdPs 的指引
](idp-guidance.md)
# 在 Amazon WorkSpaces 安全瀏覽器上設定您的身分提供者
完成下列步驟以設定您的身分提供者:
1. 在建立精靈的**設定身分提供者**頁面上,選擇**標準**。
1. 選擇**使用標準 IdP** 繼續。
1. 下載 SP 中繼資料檔案,並保持個別中繼資料值的索引標籤開啟。
+ 如果 SP 中繼資料檔案可用,請選擇**下載中繼資料檔案**以下載服務提供者 (SP) 中繼資料文件,然後在下一個步驟中將服務提供者中繼資料檔案上傳到您的 IdP。如果沒有此項目,使用者將無法登入。
+ 如果您的提供者未上傳 SP 中繼資料檔案,請手動輸入中繼資料值。
1. 在**選擇 SAML 登入類型**下,選擇 **SP 起始和 IdP 起始的 SAML 聲明**,或**僅 SP 起始的 SAML 聲明**。
+ **SP 起始和 IdP 起始的 SAML 聲明**可讓您的入口網站支援這兩種類型的登入流程。支援 IdP 起始流程的入口網站可讓您向服務聯合身分端點呈現 SAML 聲明,而不需要使用者透過造訪入口網站 URL 來啟動工作階段。
+ 選擇此選項,以允許入口網站接受未經請求的 IdP 起始的 SAML 聲明。
+ 此選項需要在 SAML 2.0 Identity Provider 中設定**預設轉送狀態**。入口網站的轉送狀態參數位於 **IdP 起始的 SAML 登入**下的主控台中,或者您可以從 下的 SP 中繼資料檔案複製``。
+ 注意
+ 以下是轉送狀態的格式:`redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider`。
+ 如果您從 SP 中繼資料檔案複製並貼上值,請務必`& `變更為 `&`。 `&` 是 XML 逸出字元。
+ 僅為入口網站選擇 **SP 起始的 SAML 聲明**,僅支援 SP 起始的登入流程。此選項將從 IdP 起始的登入流程拒絕未經請求的 SAML 聲明。
**注意**
某些第三方 IdPs 可讓您建立自訂 SAML 應用程式,以利用 SP 起始的流程提供 IdP 起始的身分驗證體驗。例如,請參閱[新增 Okta 書籤應用程式](https://help.okta.com/oag/en-us/content/topics/access-gateway/add-app-saml-pass-thru-add-bookmark.htm)。
1. 選擇是否要啟用**對此提供者的 Sign SAML 請求**。SP 啟動的身分驗證可讓您的 IdP 驗證身分驗證請求是否來自入口網站,以防止接受其他第三方請求。
1. 下載簽署憑證並上傳至您的 IdP。相同的簽署憑證可用於單一登出。
1. 在 IdP 中啟用已簽署的請求。根據 IdP,名稱可能不同。
**注意**
RSA-SHA256 是唯一支援請求和預設請求簽署演算法。
1. 選擇是否要啟用**需要加密的 SAML 聲明**。這可讓您加密來自 IdP 的 SAML 聲明。它可以防止 IdP 和 WorkSpaces 安全瀏覽器之間的 SAML 聲明攔截資料。
**注意**
此步驟不提供加密憑證。它會在您的入口網站啟動後建立。啟動入口網站後,請下載加密憑證並將其上傳至您的 IdP。然後,在您的 IdP 中啟用聲明加密 (名稱可能不同,取決於 IdP。
1. 選擇是否要啟用**單一登出**。單一登出可讓您的最終使用者透過單一動作登出其 IdP 和 WorkSpaces 安全瀏覽器工作階段。
1. 從 WorkSpaces 安全瀏覽器下載簽署憑證,並將其上傳至您的 IdP。這是上一個步驟中用於**請求簽署**的相同簽署憑證。
1. 使用**單一登出**需要在 SAML 2.0 身分提供者中設定**單一登出 URL**。您可以在 主控台的**服務供應商 (SP) 詳細資訊 - 顯示個別中繼資料值**,或從 下的 SP `` 中繼資料檔案找到入口網站的**單一登出 URL**。
1. 在 IdP 中啟用**單一登出**。根據 IdP,名稱可能不同。
# 在您自己的 IdP 上設定 IdP
若要在您自己的 IdP 上設定 IdP,請遵循下列步驟。
1. 在瀏覽器中開啟新的分頁。
1. 將入口網站中繼資料新增至 SAML IdP。
您可以將您在上一個步驟中下載的 SP 中繼資料文件上傳至 IdP,或將中繼資料值複製並貼到 IdP 中的正確欄位中。有些供應商不允許檔案上傳。
此程序的詳細資訊可能因供應商而異。在 中尋找供應商的文件[搭配 Amazon WorkSpaces 安全瀏覽器使用特定 IdPs 的指引](idp-guidance.md),以取得如何將入口網站詳細資訊新增至 IdP 組態的說明。
1. 確認您的 SAML 聲明的 **NameID**。
請確定您的 SAML IdP 將使用者電子郵件欄位填入 SAML 聲明中的 **NameID**。**NameID** 和使用者電子郵件用於透過 入口網站唯一識別您的 SAML 聯合身分使用者。使用持久性 SAML 名稱 ID 格式。
1. 選用:設定 IdP 起始身分驗證的**轉送狀態**。
如果您在上一個步驟中選擇**接受 SP 起始和 IdP 起始的 SAML 聲明**,請遵循 的步驟 2[在 Amazon WorkSpaces 安全瀏覽器上設定您的身分提供者](configure-idp-step1.md),為您的 IdP 應用程式設定預設**轉送狀態**。
1. 選用:設定**請求簽署**。如果您在上一個步驟中選擇**簽署 SAML 請求給此提供者**,請遵循 的步驟 3,將簽署憑證[在 Amazon WorkSpaces 安全瀏覽器上設定您的身分提供者](configure-idp-step1.md)上傳到您的 IdP 並啟用請求簽署。某些 IdPs,例如 Okta,可能需要您的 **NameID** 屬於「持久性」類型才能使用**請求簽署**。請務必遵循上述步驟,確認 SAML 聲明的 **NameID**。
1. 選用:設定**宣告加密**。如果您選擇**需要此提供者的加密 SAML 聲明**,請等待入口網站建立完成,然後遵循以下「上傳中繼資料」中的步驟 4,將加密憑證上傳到您的 IdP 並啟用聲明加密。
1. 選用:設定**單一登出**。如果您選擇**單一登出**,請遵循 的步驟 5,將簽署憑證[在 Amazon WorkSpaces 安全瀏覽器上設定您的身分提供者](configure-idp-step1.md)上傳到您的 IdP、填寫**單一登出 URL**,並啟用**單一登出**。
1. 將存取權授予 IdP 中的使用者,以使用 WorkSpaces 安全瀏覽器。
1. 從您的 IdP 下載中繼資料交換檔案。您將在下一個步驟中將此中繼資料上傳至 WorkSpaces 安全瀏覽器。
# 在 Amazon WorkSpaces 安全瀏覽器上完成 IdP 組態
若要在 WorkSpaces 安全瀏覽器上完成 IdP 組態,請遵循下列步驟。
1. 返回 WorkSpaces 安全瀏覽器。在建立精靈的設定**身分提供者頁面**的 **IdP 中繼資料**下,上傳中繼資料檔案,或從 IdP 輸入中繼資料 URL。入口網站會從您的 IdP 使用此中繼資料來建立信任。
1. 若要上傳中繼資料檔案,請在 **IdP 中繼資料文件**下,選擇**選擇檔案**。上傳您在上一個步驟中從 IdP 下載的 XML 格式中繼資料檔案。
1. 若要使用中繼資料 URL,請前往您在上一個步驟中設定的 IdP,並取得其**中繼資料 URL**。返回 WorkSpaces 安全瀏覽器主控台,然後在 **IdP 中繼資料 URL** 下,輸入您從 IdP 取得的中繼資料 URL。
1. 完成時請選擇 **Next** (下一步)。
1. 對於您已啟用**此提供者要求加密 SAML 聲明**選項的入口網站,您需要從入口網站 IdP 詳細資訊區段下載加密憑證,並將其上傳至您的 IdP。然後,您可以在該處啟用 選項。
**注意**
WorkSpaces 安全瀏覽器要求在 IdP 設定中的 SAML 聲明中映射和設定主體或 NameID。您的 IdP 可以自動建立這些對映。如果未正確設定這些對映,您的使用者將無法登入 Web 入口網站和啟動工作階段。
WorkSpaces 安全瀏覽器要求 SAML 回應中存在下列宣告。您可以透過主控台或 CLI,從入口網站的服務提供者詳細資訊或中繼資料文件找到 *<您的 SP 實體 ID*> 和 *<您的 SP ACS URL>*。
具有 `Audience`值的`AudienceRestriction`宣告,可將 SP 實體 ID 設定為回應的目標。範例:
```
```
`InResponseTo` 值為原始 SAML 請求 ID 的 `Response` 宣告。範例:
```
```
具有 SP ACS URL `Recipient`值的`SubjectConfirmationData`宣告,以及符合原始 SAML 請求 ID `InResponseTo`的值。範例:
```
```
WorkSpaces 安全瀏覽器會驗證您的請求參數和 SAML 聲明。對於 IdP 起始的 SAML 聲明,請求的詳細資訊必須格式化為 HTTP POST 請求內文中的`RelayState`參數。請求內文也必須包含您的 SAML 聲明做為`SAMLResponse`參數。如果您已遵循上一個步驟,這兩者都應該存在。
以下是 IdP 起始 SAML 提供者的範例`POST`內文。
```
SAMLResponse=&RelayState=
```
# 搭配 Amazon WorkSpaces 安全瀏覽器使用特定 IdPs 的指引
為了確保您正確設定入口網站的 SAML 聯合,請參閱以下連結以取得常用 IdPs 的文件。
| IdP | SAML 應用程式設定 | 使用者管理 | IdP 起始的身分驗證 | 請求簽署 | 宣告加密 | 單一登出 |
| --- | --- | --- | --- | --- | --- | --- |
| Okta | [建立 SAML 應用程式整合](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [使用者管理](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [應用程式整合精靈 SAML 欄位參考](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [應用程式整合精靈 SAML 欄位參考](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [應用程式整合精靈 SAML 欄位參考](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [應用程式整合精靈 SAML 欄位參考](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) |
| Entra | [建立您自己的應用程式](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [快速入門:建立和指派使用者帳戶](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-assign-users) | [啟用企業應用程式的單一登入](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-setup-sso) | [SAML 請求簽章驗證](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-enforce-signed-saml-authentication) | [設定 Microsoft Entra SAML 字符加密](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-saml-token-encryption?tabs=azure-portal) | [單一登出 SAML 通訊協定](https://learn.microsoft.com/en-us/entra/identity-platform/single-sign-out-saml-protocol) |
| Ping | [新增 SAML 應用程式](https://docs.pingidentity.com/r/en-us/pingone/pingone_p1tutorial_add_a_saml_app) | [使用者](https://docs.pingidentity.com/r/en-us/pingone/p1_c_aboutusers) | [啟用 IdP 起始的 SSO](https://docs.pingidentity.com/r/en-us/pingone/pingone_configuring_the_oidc_application) | [在 PingOne for Enterprise 中設定身分驗證請求簽署](https://docs.pingidentity.com/r/en-us/solution-guides/htg_config_authn_req_sign_p14e) | [PingOne for Enterprise 是否支援加密?](https://support.pingidentity.com/s/article/Does-PingOne-support-encryption) | [SAML 2.0 單一登出](https://docs.pingidentity.com/r/en-us/pingone/pingone_c_saml_2-0_slo?tocId=aKUl0dlpyVDVw3PJmLIGGg) |
| 一次登入 | [SAML Custom Connector (進階) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [手動將使用者新增至 OneLogin ](https://www.onelogin.com/getting-started/free-trial-plan/add-users-manually) | [SAML Custom Connector (進階) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [SAML Custom Connector (進階) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [SAML Custom Connector (進階) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [SAML Custom Connector (進階) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) |
| IAM Identity Center | [設定您自己的 SAML 2.0 應用程式](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [設定您自己的 SAML 2.0 應用程式](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [設定您自己的 SAML 2.0 應用程式](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | N/A | N/A | N/A |