本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon WorkSpaces 安全瀏覽器入門
請依照下列步驟建立 WorkSpaces 安全瀏覽器 Web 入口網站,並提供使用者從其現有瀏覽器存取內部和 SaaS 網站的權限。您可以在每個帳戶的任何支援區域建立一個 Web 入口網站。
**注意**
若要請求提高多個入口網站的限制,請使用您的 AWS 帳戶 ID、要請求的入口網站數量和 聯絡支援 AWS 區域。
這個作業使用 Web 入口網站建立精靈,通常要 5 分鐘的時間,而入口網站最多還要 15 分鐘的時間才能成為**作用中**狀態。
設定 Web 入口網站不會產生任何相關費用。WorkSpaces 安全瀏覽器提供pay-as-you-go的定價,包括主動使用服務的使用者低廉的每月價格。您將無需先預付成本、授權或簽訂長期合約。
**重要**
您必須在開始前先完成 Web 入口網站的先決條件。如需 Web 入口網站先決條件的詳細資訊,請參閱 [設定 Amazon WorkSpaces 安全瀏覽器](setting-up.md)。
**Topics**
+ [為 Amazon WorkSpaces 安全瀏覽器建立 Web 入口網站](getting-started-step1.md)
+ [在 Amazon WorkSpaces 安全瀏覽器中測試您的 Web 入口網站](getting-started-step2.md)
+ [在 Amazon WorkSpaces 安全瀏覽器中分發 Web 入口網站](getting-started-step3.md)
# 為 Amazon WorkSpaces 安全瀏覽器建立 Web 入口網站
請執行下列步驟以建立 Web 入口網站:
**Topics**
+ [設定 Amazon WorkSpaces 安全瀏覽器的網路設定](network-settings.md)
+ [設定 Amazon WorkSpaces 安全瀏覽器的入口網站設定](portal-settings.md)
+ [設定 Amazon WorkSpaces 安全瀏覽器的使用者設定](user-settings.md)
+ [為 Amazon WorkSpaces 安全瀏覽器設定您的身分提供者](identity-settings.md)
+ [使用 Amazon WorkSpaces 安全瀏覽器啟動 Web 入口網站](review-settings.md)
# 設定 Amazon WorkSpaces 安全瀏覽器的網路設定
若要設定 WorkSpaces 安全瀏覽器的網路設定,請遵循下列步驟。
1. 在 https://[https://console.aws.amazon.com/workspaces-web/home](https://console.aws.amazon.com/workspaces-web/home) 開啟 WorkSpaces 安全瀏覽器主控台。
1. 選擇 **WorkSpaces 安全瀏覽器**,然後選擇 **Web 入口網站**,然後選擇**建立 Web 入口網站**。
1. 在**步驟 1:指定網路連線**頁面上,完成下列步驟,將您的 VPC 連線到 Web 入口網站,並且設定您的 VPC 和子網路。
1. 如需**聯網詳細資訊**,請選擇連線至您希望使用者使用 WorkSpaces 安全瀏覽器存取之內容的 VPC。
1. 選擇最多三個符合下列需求的私有子網路。如需詳細資訊,請參閱[Amazon WorkSpaces 安全瀏覽器的網路](setup-vpc.md)。
+ 您必須選擇最少兩個私有子網路,才能建立入口網站。
+ 建議您為 VPC 提供唯一可用區域中最大數量的私有子網路,以確保入口網站的高可用性。
1. 選擇安全群組。
# 設定 Amazon WorkSpaces 安全瀏覽器的入口網站設定
在**步驟 2:進行 Web 入口網站設定**頁面上,完成下列步驟,以自訂使用者啟動工作階段時的瀏覽體驗。
1. 在 **Web 入口網站詳細資訊**底下,針對**顯示名稱**輸入可識別您入口網站的名稱。
1. 在**執行個體類型**下,從下拉式功能表中選取 Web 入口網站的執行個體類型。然後,輸入 Web 入口網站的最大**並行使用者限制**。如需詳細資訊,請參閱[在 Amazon WorkSpaces 安全瀏覽器中管理入口網站的服務配額](request-service-quota.md)。
**注意**
選取新的執行個體類型會變更每個每月作用中使用者的成本。如需詳細資訊,請參閱 [Amazon WorkSpaces 安全瀏覽器定價](https://aws.amazon.com/workspaces/web/pricing/)。
1. 在**自訂網域**下,您可以設定入口網站的自訂網域,以透過您自己的網域名稱啟用存取,而不是預設入口網站端點。如需詳細資訊,請參閱[為您的入口網站設定自訂網域](custom-domains.md)。**這是選用的。**
1. 在**工作階段記錄器**下,您可以指定用於儲存工作階段日誌檔案的 S3 儲存貯體。如需詳細資訊,請參閱[設定 Amazon WorkSpaces 安全瀏覽器的工作階段記錄器](session-logger.md)。**這是選用的。**
1. 在**使用者存取記錄**下,針對 **Kinesis 串流 ID**,選取您要傳送日誌檔案的 Amazon Kinesis 資料串流。如需詳細資訊,請參閱[在 Amazon WorkSpaces 安全瀏覽器中設定使用者活動記錄](user-logging.md)。**這是選用的。**
1. 在 **IP 存取控制**下,選擇是否限制對受信任網路的存取。如需詳細資訊,請參閱[在 Amazon WorkSpaces 安全瀏覽器中管理 IP 存取控制](ip-access-controls.md)。**這是選用的。**
1. 在**資料保護設定**下,您可以為 WorkSpaces 安全瀏覽器建立政策,以修訂敏感資訊。如需詳細資訊,請參閱[在 Amazon WorkSpaces 安全瀏覽器中管理資料保護設定](data-protection-settings.md)。**這是選用的**。
1. 在 **URL 篩選**下,您可以指定 URLs 最終使用者可以存取或封鎖特定 URL 或網域類別以限制存取的 URLs。如需詳細資訊,請參閱[Amazon WorkSpaces 安全瀏覽器中的 Web 內容篩選](web-content-filtering.md)。**這是選用的。**
1. 若要限制工作階段瀏覽到幾個選取的網域,請啟用切換**封鎖所有 URLs**然後按一下**新增 URL**,以提供最終使用者可存取的 URLs清單。
1. 若要為最終使用者建立要封鎖的 URLs 清單,請按一下**新增 URL** 以列出要封鎖URLs,或按一下**新增類別**以選取封鎖的網域類別 (例如社交網路)。
1. 在**政策設定**下,您可以使用適用於 Web 入口網站最新穩定版本的 Chrome 政策來設定任何瀏覽器政策。如需詳細資訊,請參閱[在 Amazon WorkSpaces 安全瀏覽器中管理瀏覽器政策](browser-policies.md)。**這是選用的。**
1. 您可以在**視覺化編輯器**中快速選取一些最常見的政策
+ 對於**啟動 URL - 選用**,輸入當使用者啟動瀏覽器時要用作首頁的網域。您的 VPC 必須與此 URL 保持穩定連線。
+ 選取或清除**隱私瀏覽**和**刪除歷程記錄**,以在使用者工作階段期間開啟或關閉這些功能
**注意**
在使用者存取日誌記錄中無法記錄使用隱私瀏覽功能,或在使用者刪除瀏覽器歷程記錄之前造訪的 URL。如需詳細資訊,請參閱[在 Amazon WorkSpaces 安全瀏覽器中設定使用者活動記錄](user-logging.md)。
+ 對於**瀏覽器書籤 - 選用**,輸入您希望使用者在其瀏覽器中看到的任何書籤的**顯示名稱**、**網域**和**資料夾**。然後,選擇**新增書籤**。
**注意**
**網域**是瀏覽器書籤的必填欄位。
Chrome 的使用者可以在書籤工具列的**受管理的書籤**資料夾中找到受管理的書籤。
1. 您也可以使用 JSON 編輯器而非視覺化編輯器,直接新增或編輯政策。如需政策的特定格式,請參閱 [Chrome Enterprise 政策清單](https://chromeenterprise.google/policies/)。
1. 您也可以將 JSON 檔案上傳至 Web 入口網站,匯入組織中使用的 Chrome 政策。如需詳細資訊,請參閱 [教學課程:在 Amazon WorkSpaces 安全瀏覽器中設定自訂瀏覽器政策](browser-policies-custom.md)
上傳政策檔案時,您可以在主控台中看到可用的政策檔案。但是,您無法在視覺化編輯器中編輯所有政策。主控台會列出您無法在**其他 JSON 政策**下使用視覺化編輯器編輯的 JSON 檔案政策。您必須用手動編輯的方式,才能更動這些政策。
1. 將**標籤**新增至您的入口網站。您可以使用標籤來搜尋或篩選 AWS 資源。標籤由金鑰和選用值組成,且與您的入口網站資源相關聯。**這是選用的。**
1. 選擇 **Next** (下一步) 繼續。
# 設定 Amazon WorkSpaces 安全瀏覽器的使用者設定
在**步驟 3:選取使用者設定**頁面上完成下列步驟,選擇使用者在工作階段期間可從頂端導覽列存取的功能,然後選擇**下一步**:
1. 在**品牌自訂**下,您可以透過修改視覺元素、文字內容和服務條款,自訂顯示給最終使用者的登入和載入畫面。如需詳細資訊,請參閱[Amazon WorkSpaces 安全瀏覽器中的品牌自訂](branding-customization.md)。**這是選用的。**
1. 在**許可**下,選擇是否啟用單一登入的延伸。如需詳細資訊,請參閱[在 Amazon WorkSpaces 安全瀏覽器中管理單一登入擴充功能](allow-extension.md)。
1. 對於**允許使用者從其 Web 入口網站列印到本機裝置**,請選擇**允許**或**不允許**。
1. 針對**允許使用者深層連結至其 Web 入口網站**,選擇**允許**或不**允許**。如需深度連結的詳細資訊,請參閱 [Amazon WorkSpaces 安全瀏覽器中的深層連結](deep-links.md)。
1. 針對**允許使用者在其入口網站工作階段中使用本機身分驗證**,選擇**允許**或**不允許**。如需 Web 身分驗證的詳細資訊,請參閱 [在 Amazon WorkSpaces 安全瀏覽器中啟用 WebAuthn 重新導向支援](web-authentication.md)。
1. 在**工具列控制項**下,選擇您要在**功能**下進行的設定。
1. 在**設定**下,管理工作階段開始時的工具列呈現檢視,包括工具列狀態 (停駐或分離)、佈景主題 (深色或淺色模式)、圖示可見性和工作階段的最大顯示解析度。未設定這些設定,以授予最終使用者對這些選項的完全控制權。如需詳細資訊,請參閱[在 Amazon WorkSpaces 安全瀏覽器中管理工具列控制項](toolbar-controls.md)。
1. 對於**工作階段逾時**,請指定下列項目:
+ 針對 **Disconnect timeout in minutes (中斷連線逾時 (以分鐘為單位))**,選擇在使用者中斷連線之後,串流工作階段會保持作用中的時間長度。如果在這個時間間隔內,使用者於中斷連線或網路中斷後仍嘗試重新連線到此串流工作階段,則會連線到上一個工作階段。否則,它們會連接到具有新串流執行個體的新工作階段。
如果使用者結束工作階段,則不會套用中斷連線逾時。反之,系統會提示使用者儲存任何開啟的文件,然後立即從串流執行個體中斷連線。接著會終止使用者正在使用的執行個體。
+ 針對 **Idle disconnect timeout in minutes (閒置中斷連線逾時 (以分鐘為單位))**,選擇要等使用者閒置 (非作用中) 多久後,才讓使用者與其串流工作階段中斷連線,並開始計算 **Disconnect timeout in minutes (中斷連線逾時 (以分鐘為單位))** 時間間隔。使用者會在因閒置而中斷連線之前收到通知。如果使用者在 **Disconnect timeout in minutes (中斷連線逾時 (以分鐘為單位))** 中指定的時間間隔過去之前就嘗試重新連線至串流工作階段,系統會將使用者連線至其先前的工作階段。否則,它們會連接到具有新串流執行個體的新工作階段。將此值設定為 0 便可加以停用。當此值停用時,使用者就不會由於未活動而導致中斷連線。
**注意**
使用者在串流工作階段期間停止提供鍵盤或滑鼠輸入時,會被視為閒置。檔案上傳和下載、音訊輸入、音訊輸出和像素變更無法作為使用者活動。如果使用者在 **Idle disconnect timeout in minutes (閒置中斷連線逾時 (以分鐘為單位))** 中的時間間隔過後仍保持閒置狀態,系統便會將其中斷連線。
# 為 Amazon WorkSpaces 安全瀏覽器設定您的身分提供者
使用下列步驟來設定您的身分提供者 (IdP)。
**Topics**
+ [選擇 Amazon WorkSpaces 安全瀏覽器的身分提供者類型](choose-type.md)
+ [變更 Amazon WorkSpaces 安全瀏覽器的身分提供者類型](change-type.md)
# 選擇 Amazon WorkSpaces 安全瀏覽器的身分提供者類型
WorkSpaces 安全瀏覽器提供兩種身分驗證類型:**標準** 和 **AWS IAM Identity Center**。您可以在**設定身分提供者頁面上**選擇要與入口網站搭配使用的身分驗證類型。
+ 對於**標準** (預設選項),請直接將第三方 SAML 2.0 身分提供者 (例如 Okta 或 Ping) 與您的入口網站聯合。如需詳細資訊,請參閱[設定 Amazon WorkSpaces 安全瀏覽器的標準身分驗證類型](configure-standard.md)。標準類型支援 SP 起始和 IdP 起始的身分驗證流程。
+ 對於 **IAM Identity Center** (進階選項),請將 IAM Identity Center 與您的入口網站聯合。若要使用此身分驗證類型,您的 IAM Identity Center 和 WorkSpaces 安全瀏覽器入口網站必須位於相同的 中 AWS 區域。如需詳細資訊,請參閱[設定 Amazon WorkSpaces 安全瀏覽器的 IAM Identity Center 身分驗證類型](configure-iam.md)。
**Topics**
+ [設定 Amazon WorkSpaces 安全瀏覽器的標準身分驗證類型](configure-standard.md)
+ [設定 Amazon WorkSpaces 安全瀏覽器的 IAM Identity Center 身分驗證類型](configure-iam.md)
# 設定 Amazon WorkSpaces 安全瀏覽器的標準身分驗證類型
*標準*身分驗證類型是預設身分驗證類型。它可以支援服務提供者啟動 (SP 啟動) 和身分提供者啟動 (IdP 啟動) 的登入流程,搭配您的 SAML 2.0 相容 IdP。若要設定標準身分驗證類型,請依照下列步驟直接與入口網站聯合第三方 SAML 2.0 IdP (例如 Okta 或 Ping)。
**Topics**
+ [在 Amazon WorkSpaces 安全瀏覽器上設定您的身分提供者](configure-idp-step1.md)
+ [在您自己的 IdP 上設定 IdP](configure-idp-step2.md)
+ [在 Amazon WorkSpaces 安全瀏覽器上完成 IdP 組態](upload-metadata.md)
+ [搭配 Amazon WorkSpaces 安全瀏覽器使用特定 IdPs 的指引](idp-guidance.md)
# 在 Amazon WorkSpaces 安全瀏覽器上設定您的身分提供者
完成下列步驟以設定您的身分提供者:
1. 在建立精靈的**設定身分提供者**頁面上,選擇**標準**。
1. 選擇**使用標準 IdP** 繼續。
1. 下載 SP 中繼資料檔案,並保持個別中繼資料值的索引標籤開啟。
+ 如果 SP 中繼資料檔案可用,請選擇**下載中繼資料檔案**以下載服務提供者 (SP) 中繼資料文件,然後在下一個步驟中將服務提供者中繼資料檔案上傳到您的 IdP。如果沒有此項目,使用者將無法登入。
+ 如果您的提供者未上傳 SP 中繼資料檔案,請手動輸入中繼資料值。
1. 在**選擇 SAML 登入類型**下,選擇 **SP 起始和 IdP 起始的 SAML 聲明**,或**僅 SP 起始的 SAML 聲明**。
+ **SP 起始和 IdP 起始的 SAML 聲明**可讓您的入口網站支援這兩種類型的登入流程。支援 IdP 起始流程的入口網站可讓您向服務聯合身分端點呈現 SAML 聲明,而不需要使用者透過造訪入口網站 URL 來啟動工作階段。
+ 選擇此選項,以允許入口網站接受未經請求的 IdP 起始的 SAML 聲明。
+ 此選項需要在 SAML 2.0 Identity Provider 中設定**預設轉送狀態**。入口網站的轉送狀態參數位於 **IdP 起始的 SAML 登入**下的主控台中,或者您可以從 下的 SP 中繼資料檔案複製``。
+ 注意
+ 以下是轉送狀態的格式:`redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider`。
+ 如果您從 SP 中繼資料檔案複製並貼上值,請務必`& `變更為 `&`。 `&` 是 XML 逸出字元。
+ 僅為入口網站選擇 **SP 起始的 SAML 聲明**,僅支援 SP 起始的登入流程。此選項將從 IdP 起始的登入流程拒絕未經請求的 SAML 聲明。
**注意**
某些第三方 IdPs 可讓您建立自訂 SAML 應用程式,以利用 SP 起始的流程提供 IdP 起始的身分驗證體驗。例如,請參閱[新增 Okta 書籤應用程式](https://help.okta.com/oag/en-us/content/topics/access-gateway/add-app-saml-pass-thru-add-bookmark.htm)。
1. 選擇是否要啟用**對此提供者的 Sign SAML 請求**。SP 啟動的身分驗證可讓您的 IdP 驗證身分驗證請求是否來自入口網站,以防止接受其他第三方請求。
1. 下載簽署憑證並上傳至您的 IdP。相同的簽署憑證可用於單一登出。
1. 在 IdP 中啟用已簽署的請求。根據 IdP,名稱可能不同。
**注意**
RSA-SHA256 是唯一支援請求和預設請求簽署演算法。
1. 選擇是否要啟用**需要加密的 SAML 聲明**。這可讓您加密來自 IdP 的 SAML 聲明。它可以防止 IdP 和 WorkSpaces 安全瀏覽器之間的 SAML 聲明攔截資料。
**注意**
此步驟不提供加密憑證。它會在您的入口網站啟動後建立。啟動入口網站後,請下載加密憑證並將其上傳至您的 IdP。然後,在您的 IdP 中啟用聲明加密 (名稱可能不同,取決於 IdP。
1. 選擇是否要啟用**單一登出**。單一登出可讓您的最終使用者透過單一動作登出其 IdP 和 WorkSpaces 安全瀏覽器工作階段。
1. 從 WorkSpaces 安全瀏覽器下載簽署憑證,並將其上傳至您的 IdP。這是上一個步驟中用於**請求簽署**的相同簽署憑證。
1. 使用**單一登出**需要在 SAML 2.0 身分提供者中設定**單一登出 URL**。您可以在 主控台的**服務供應商 (SP) 詳細資訊 - 顯示個別中繼資料值**,或從 下的 SP `` 中繼資料檔案找到入口網站的**單一登出 URL**。
1. 在 IdP 中啟用**單一登出**。根據 IdP,名稱可能不同。
# 在您自己的 IdP 上設定 IdP
若要在您自己的 IdP 上設定 IdP,請遵循下列步驟。
1. 在瀏覽器中開啟新的分頁。
1. 將入口網站中繼資料新增至 SAML IdP。
您可以將您在上一個步驟中下載的 SP 中繼資料文件上傳至 IdP,或將中繼資料值複製並貼到 IdP 中的正確欄位中。有些供應商不允許檔案上傳。
此程序的詳細資訊可能因供應商而異。在 中尋找供應商的文件[搭配 Amazon WorkSpaces 安全瀏覽器使用特定 IdPs 的指引](idp-guidance.md),以取得如何將入口網站詳細資訊新增至 IdP 組態的說明。
1. 確認您的 SAML 聲明的 **NameID**。
請確定您的 SAML IdP 將使用者電子郵件欄位填入 SAML 聲明中的 **NameID**。**NameID** 和使用者電子郵件用於透過 入口網站唯一識別您的 SAML 聯合身分使用者。使用持久性 SAML 名稱 ID 格式。
1. 選用:設定 IdP 起始身分驗證的**轉送狀態**。
如果您在上一個步驟中選擇**接受 SP 起始和 IdP 起始的 SAML 聲明**,請遵循 的步驟 2[在 Amazon WorkSpaces 安全瀏覽器上設定您的身分提供者](configure-idp-step1.md),為您的 IdP 應用程式設定預設**轉送狀態**。
1. 選用:設定**請求簽署**。如果您在上一個步驟中選擇**簽署 SAML 請求給此提供者**,請遵循 的步驟 3,將簽署憑證[在 Amazon WorkSpaces 安全瀏覽器上設定您的身分提供者](configure-idp-step1.md)上傳到您的 IdP 並啟用請求簽署。某些 IdPs,例如 Okta,可能需要您的 **NameID** 屬於「持久性」類型才能使用**請求簽署**。請務必遵循上述步驟,確認 SAML 聲明的 **NameID**。
1. 選用:設定**宣告加密**。如果您選擇**需要此提供者的加密 SAML 聲明**,請等待入口網站建立完成,然後遵循以下「上傳中繼資料」中的步驟 4,將加密憑證上傳到您的 IdP 並啟用聲明加密。
1. 選用:設定**單一登出**。如果您選擇**單一登出**,請遵循 的步驟 5,將簽署憑證[在 Amazon WorkSpaces 安全瀏覽器上設定您的身分提供者](configure-idp-step1.md)上傳到您的 IdP、填寫**單一登出 URL**,並啟用**單一登出**。
1. 將存取權授予 IdP 中的使用者,以使用 WorkSpaces 安全瀏覽器。
1. 從您的 IdP 下載中繼資料交換檔案。您將在下一個步驟中將此中繼資料上傳至 WorkSpaces 安全瀏覽器。
# 在 Amazon WorkSpaces 安全瀏覽器上完成 IdP 組態
若要在 WorkSpaces 安全瀏覽器上完成 IdP 組態,請遵循下列步驟。
1. 返回 WorkSpaces 安全瀏覽器。在建立精靈的設定**身分提供者頁面**的 **IdP 中繼資料**下,上傳中繼資料檔案,或從 IdP 輸入中繼資料 URL。入口網站會從您的 IdP 使用此中繼資料來建立信任。
1. 若要上傳中繼資料檔案,請在 **IdP 中繼資料文件**下,選擇**選擇檔案**。上傳您在上一個步驟中從 IdP 下載的 XML 格式中繼資料檔案。
1. 若要使用中繼資料 URL,請前往您在上一個步驟中設定的 IdP,並取得其**中繼資料 URL**。返回 WorkSpaces 安全瀏覽器主控台,然後在 **IdP 中繼資料 URL** 下,輸入您從 IdP 取得的中繼資料 URL。
1. 完成時請選擇 **Next** (下一步)。
1. 對於您已啟用**此提供者要求加密 SAML 聲明**選項的入口網站,您需要從入口網站 IdP 詳細資訊區段下載加密憑證,並將其上傳至您的 IdP。然後,您可以在該處啟用 選項。
**注意**
WorkSpaces 安全瀏覽器要求在 IdP 設定中的 SAML 聲明中映射和設定主體或 NameID。您的 IdP 可以自動建立這些對映。如果未正確設定這些對映,您的使用者將無法登入 Web 入口網站和啟動工作階段。
WorkSpaces 安全瀏覽器要求 SAML 回應中存在下列宣告。您可以透過主控台或 CLI,從入口網站的服務提供者詳細資訊或中繼資料文件找到 *<您的 SP 實體 ID*> 和 *<您的 SP ACS URL>*。
具有 `Audience`值的`AudienceRestriction`宣告,可將 SP 實體 ID 設定為回應的目標。範例:
```
```
`InResponseTo` 值為原始 SAML 請求 ID 的 `Response` 宣告。範例:
```
```
具有 SP ACS URL `Recipient`值的`SubjectConfirmationData`宣告,以及符合原始 SAML 請求 ID `InResponseTo`的值。範例:
```
```
WorkSpaces 安全瀏覽器會驗證您的請求參數和 SAML 聲明。對於 IdP 起始的 SAML 聲明,請求的詳細資訊必須格式化為 HTTP POST 請求內文中的`RelayState`參數。請求內文也必須包含您的 SAML 聲明做為`SAMLResponse`參數。如果您已遵循上一個步驟,這兩者都應該存在。
以下是 IdP 起始 SAML 提供者的範例`POST`內文。
```
SAMLResponse=&RelayState=
```
# 搭配 Amazon WorkSpaces 安全瀏覽器使用特定 IdPs 的指引
為了確保您正確設定入口網站的 SAML 聯合,請參閱以下連結以取得常用 IdPs 的文件。
| IdP | SAML 應用程式設定 | 使用者管理 | IdP 起始的身分驗證 | 請求簽署 | 宣告加密 | 單一登出 |
| --- | --- | --- | --- | --- | --- | --- |
| Okta | [建立 SAML 應用程式整合](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [使用者管理](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [應用程式整合精靈 SAML 欄位參考](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [應用程式整合精靈 SAML 欄位參考](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [應用程式整合精靈 SAML 欄位參考](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [應用程式整合精靈 SAML 欄位參考](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) |
| Entra | [建立您自己的應用程式](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [快速入門:建立和指派使用者帳戶](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-assign-users) | [啟用企業應用程式的單一登入](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-setup-sso) | [SAML 請求簽章驗證](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-enforce-signed-saml-authentication) | [設定 Microsoft Entra SAML 字符加密](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-saml-token-encryption?tabs=azure-portal) | [單一登出 SAML 通訊協定](https://learn.microsoft.com/en-us/entra/identity-platform/single-sign-out-saml-protocol) |
| Ping | [新增 SAML 應用程式](https://docs.pingidentity.com/r/en-us/pingone/pingone_p1tutorial_add_a_saml_app) | [使用者](https://docs.pingidentity.com/r/en-us/pingone/p1_c_aboutusers) | [啟用 IdP 起始的 SSO](https://docs.pingidentity.com/r/en-us/pingone/pingone_configuring_the_oidc_application) | [在 PingOne for Enterprise 中設定身分驗證請求簽署](https://docs.pingidentity.com/r/en-us/solution-guides/htg_config_authn_req_sign_p14e) | [PingOne for Enterprise 是否支援加密?](https://support.pingidentity.com/s/article/Does-PingOne-support-encryption) | [SAML 2.0 單一登出](https://docs.pingidentity.com/r/en-us/pingone/pingone_c_saml_2-0_slo?tocId=aKUl0dlpyVDVw3PJmLIGGg) |
| 一次登入 | [SAML Custom Connector (進階) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [手動將使用者新增至 OneLogin ](https://www.onelogin.com/getting-started/free-trial-plan/add-users-manually) | [SAML Custom Connector (進階) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [SAML Custom Connector (進階) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [SAML Custom Connector (進階) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [SAML Custom Connector (進階) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) |
| IAM Identity Center | [設定您自己的 SAML 2.0 應用程式](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [設定您自己的 SAML 2.0 應用程式](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [設定您自己的 SAML 2.0 應用程式](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | N/A | N/A | N/A |
# 設定 Amazon WorkSpaces 安全瀏覽器的 IAM Identity Center 身分驗證類型
對於 **IAM Identity Center** 類型 (進階),您可以將 IAM Identity Center 與入口網站聯合。只有在下列條件適用於您時,才選取此選項:
+ 您的 IAM Identity Center 是在與 Web 入口網站相同的 AWS 帳戶 和 AWS 區域 中設定。
+ 如果您使用的是 AWS Organizations,則會使用 管理帳戶。
使用 IAM Identity Center 身分驗證類型建立 Web 入口網站之前,您必須將 IAM Identity Center 設定為獨立提供者。如需詳細資訊,請參閱 [IAM Identity Center 中的常見任務入門](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)。或者,您可以將 SAML 2.0 IdP 連接到 IAM Identity Center。如需詳細資訊,請參閱[連線至外部身分提供者](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)。否則,您將不會有任何使用者或群組可指派給您的 Web 入口網站。
如果您已經在使用 IAM Identity Center,您可以選擇 IAM Identity Center 做為提供者類型,並依照下列步驟從 Web 入口網站新增、檢視或移除使用者或群組。
**注意**
若要使用此身分驗證類型,IAM Identity Center 必須與 WorkSpaces 安全瀏覽器入口網站位於相同 AWS 帳戶 和 AWS 區域 。如果您的 IAM Identity Center 位於不同的 AWS 帳戶 或 中 AWS 區域,請遵循**標準**身分驗證類型的指示。如需詳細資訊,請參閱[設定 Amazon WorkSpaces 安全瀏覽器的標準身分驗證類型](configure-standard.md)。
如果您使用的是 AWS Organizations,您只能使用管理帳戶建立與 IAM Identity Center 整合的 WorkSpaces 安全瀏覽器入口網站。
**Topics**
+ [使用 IAM Identity Center 建立 Web 入口網站](web-portal-IAM.md)
+ [使用 IAM Identity Center 管理您的 Web 入口網站](manage-IAM.md)
+ [將其他使用者和群組新增至 Web 入口網站](add-users-groups.md)
+ [檢視或移除 Web 入口網站的使用者和群組](remove-users-groups.md)
# 使用 IAM Identity Center 建立 Web 入口網站
若要使用 IAM Identity Center 建立 Web 入口網站,請遵循下列步驟。
**使用 IAM Identity Center 來建立 Web 入口網站**
1. 在**步驟 4:設定身分提供者**的入口網站建立期間,選擇 **AWS IAM Identity Center**。
1. 選擇**使用 IAM Identity Center 繼續**。
1. 在**指派使用者和群組**頁面上,選擇**使用者**和/或**群組**索引標籤。
1. 勾選您要新增至入口網站的 user(s) 或 group(s) 旁的方塊。
1. 建立入口網站之後,您相關聯的使用者可以使用其 IAM Identity Center 使用者名稱和密碼登入 WorkSpaces 安全瀏覽器。
# 使用 IAM Identity Center 管理您的 Web 入口網站
若要使用 IAM Identity Center 管理您的 Web 入口網站,請遵循下列步驟。
**使用 IAM Identity Center 來管理 Web 入口網站**
1. 建立入口網站之後,它會在 IAM Identity Center 主控台中列為已設定的應用程式。
1. 若要存取此應用程式的組態設定,請在側邊欄中選擇**應用程式**,然後尋找名稱與 Web 入口網站顯示名稱相符的已設定應用程式。
**注意**
如果您尚未輸入顯示名稱,則會改為顯示入口網站的 GUID。GUID 是您入口網站端點 URL 前置詞的 ID。
# 將其他使用者和群組新增至 Web 入口網站
若要將其他使用者和群組新增至現有的 Web 入口網站,請遵循下列步驟。
**將其他使用者和群組新增至現有的 Web 入口網站**
1. 在 開啟 WorkSpaces 安全瀏覽器主控台[https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/](https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/)。
1. 選擇 **WorkSpaces 安全瀏覽器**、**Web 入口網站**、選擇您的 Web 入口網站,然後選擇**編輯**。
1. 選擇**身分提供者設定**和**指派其他使用者和群組**。從這裡,您可以將使用者和群組新增至您的 Web 入口網站。
**注意**
您無法從 IAM Identity Center 主控台新增使用者或群組。您必須從 WorkSpaces 安全瀏覽器入口網站的編輯頁面執行此操作。
# 檢視或移除 Web 入口網站的使用者和群組
若要檢視或移除 Web 入口網站的使用者和群組,請使用**指派的使用者**資料表中可用的動作。如需詳細資訊,請參閱[管理對應用程式的存取](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-applications.html)
**注意**
您無法從 WorkSpaces 安全瀏覽器的編輯頁面檢視或移除使用者和群組。您必須從 IAM Identity Center 主控台的編輯頁面執行這個操作。
# 變更 Amazon WorkSpaces 安全瀏覽器的身分提供者類型
您可以隨時變更入口網站的身分驗證類型。若要執行此操作,請遵循下列步驟。
+ 若要從 **IAM Identity Center** 變更為**標準**,請遵循 中的步驟[設定 Amazon WorkSpaces 安全瀏覽器的標準身分驗證類型](configure-standard.md)。
+ 若要從**標準**變更為 **IAM Identity Center**,請遵循 中的步驟[設定 Amazon WorkSpaces 安全瀏覽器的 IAM Identity Center 身分驗證類型](configure-iam.md)。
身分提供者類型的變更最多可能需要 15 分鐘才能部署,而且不會自動終止進行中工作階段。
您可以檢查`UpdatePortal`事件 AWS CloudTrail ,透過 檢視入口網站的身分提供者類型變更。類型會顯示在事件的請求和回應承載中。
# 使用 Amazon WorkSpaces 安全瀏覽器啟動 Web 入口網站
完成 Web 入口網站的設定後,您可以依照下列步驟啟動入口網站。
1. 在**步驟 5:檢閱和啟動**頁面上,檢閱您為 Web 入口網站選取的設定。您可以選擇 **編輯**,以變更指定部分中的設定。您也可以稍後從主控台的 **Web 入口網站**標籤變更這些設定。
1. 完成時,請選擇**啟動 Web 入口網站**。
1. 若要檢視 Web 入口網站的狀態,請選擇 **Web 入口網站**,選擇您的入口網站,然後選擇**檢視詳細資訊**。
Web 入口網站有下列其中一個狀態:
+ **未完成** – Web 入口網站的組態缺少必要的身分提供者設定。
+ **擱置中** – Web 入口網站正在將變更套用至其設定。
+ **作用中** – Web 入口網站已準備就緒且可供使用。
1. 請等待最多 15 分鐘,讓您的入口網站變為**作用中**狀態。
# 在 Amazon WorkSpaces 安全瀏覽器中測試您的 Web 入口網站
建立 Web 入口網站後,您可以登入 WorkSpaces 安全瀏覽器端點,像最終使用者一樣瀏覽連線的網站。
如果您已在 [為 Amazon WorkSpaces 安全瀏覽器設定您的身分提供者](identity-settings.md) 中完成這些步驟,可跳過本部分並且前往 [在 Amazon WorkSpaces 安全瀏覽器中分發 Web 入口網站](getting-started-step3.md)。
1. 在 https://[https://console.aws.amazon.com/workspaces-web/home?region=us-east-1\$1/ ](https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/)開啟 WorkSpaces 安全瀏覽器主控台。
1. 選擇 **WorkSpaces 安全瀏覽器**、**Web 入口網站**、選擇您的 Web 入口網站,然後選擇**檢視詳細資訊**
1. 在 **Web 入口網站端點**下,前往入口網站的指定 URL。Web 入口網站端點是您的使用者在使用針對入口網站設定的身分提供者登入後,啟動 Web 入口網站的存取點。它在網際網路上公開提供,且能夠嵌入到您的網路中。
1. 在 WorkSpaces 安全瀏覽器登入頁面上,選擇**登入**、**SAML**,然後輸入您的 SAML 憑證。
1. 當您看到**您的工作階段正在準備**頁面時,WorkSpaces 安全瀏覽器工作階段正在啟動。請勿關閉或離開此頁面。
1. 此時會啟動網頁瀏覽器,並顯示您的啟動 URL,以及透過瀏覽器政策設定所設定的任何其他行為。
1. 您現在可以選擇連結或在網址欄中輸入 URL,以瀏覽已連接的網站。
# 在 Amazon WorkSpaces 安全瀏覽器中分發 Web 入口網站
當您準備好讓使用者開始使用 WorkSpaces 安全瀏覽器時,您可以從下列選項中選擇分發入口網站:
+ 將您的入口網站新增至 SAML 應用程式閘道,讓使用者能夠直接從其 IdP 啟動工作階段。您可以使用符合 SAML 2.0 標準的 IdP,透過 IdP 起始的登入流程執行此操作。如需詳細資訊,請參閱 中的 **SP 起始和 IdP 起始的 SAML 聲明**[設定 Amazon WorkSpaces 安全瀏覽器的標準身分驗證類型](configure-standard.md)。或者,您可以建立自訂 SAML 應用程式,透過使用 SP 起始的流程來提供 IdP 起始的身分驗證體驗。如需詳細資訊,請參閱[建立書籤應用程式整合](https://help.okta.com/en-us/Content/Topics/Apps/apps-create-bookmark.htm)。
+ 將入口網站 URL 新增至您擁有的網站,然後使用瀏覽器重新導向,將使用者導向 Web 入口網站。
+ 透過電子郵件傳送入口網站 URL 給您的使用者,或向下推送至您管理的裝置,當成瀏覽器首頁或書籤。
+ 如果您已為入口網站設定自訂網域,而非入口網站 URL,即可為使用者提供更整合的品牌體驗。如需詳細資訊,請參閱[為您的入口網站設定自訂網域](custom-domains.md)。