本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Amazon WorkSpaces 安全瀏覽器上完成 IdP 組態
<a name="upload-metadata"></a>

若要在 WorkSpaces 安全瀏覽器上完成 IdP 組態，請遵循下列步驟。

1. 返回 WorkSpaces 安全瀏覽器。在建立精靈的設定**身分提供者頁面**的 **IdP 中繼資料**下，上傳中繼資料檔案，或從 IdP 輸入中繼資料 URL。入口網站會從您的 IdP 使用此中繼資料來建立信任。

1. 若要上傳中繼資料檔案，請在 **IdP 中繼資料文件**下，選擇**選擇檔案**。上傳您在上一個步驟中從 IdP 下載的 XML 格式中繼資料檔案。

1. 若要使用中繼資料 URL，請前往您在上一個步驟中設定的 IdP，並取得其**中繼資料 URL**。返回 WorkSpaces 安全瀏覽器主控台，然後在 **IdP 中繼資料 URL** 下，輸入您從 IdP 取得的中繼資料 URL。

1. 完成時請選擇 **Next** (下一步)。

1. 對於您已啟用**此提供者要求加密 SAML 聲明**選項的入口網站，您需要從入口網站 IdP 詳細資訊區段下載加密憑證，並將其上傳至您的 IdP。然後，您可以在該處啟用 選項。
**注意**  
WorkSpaces 安全瀏覽器要求在 IdP 設定中的 SAML 聲明中映射和設定主體或 NameID。您的 IdP 可以自動建立這些對映。如果未正確設定這些對映，您的使用者將無法登入 Web 入口網站和啟動工作階段。  
WorkSpaces 安全瀏覽器要求 SAML 回應中存在下列宣告。您可以透過主控台或 CLI，從入口網站的服務提供者詳細資訊或中繼資料文件找到 {{<您的 SP 實體 ID}}> 和 {{<您的 SP ACS URL>}}。  
具有 `Audience`值的`AudienceRestriction`宣告，可將 SP 實體 ID 設定為回應的目標。範例：  

     ```
     <saml:AudienceRestriction>
         <saml:Audience><Your SP Entity ID></saml:Audience>
     </saml:AudienceRestriction>
     ```
`InResponseTo` 值為原始 SAML 請求 ID 的 `Response` 宣告。範例：  

     ```
     <samlp:Response ... InResponseTo="<originalSAMLrequestId>">
     ```
具有 SP ACS URL `Recipient`值的`SubjectConfirmationData`宣告，以及符合原始 SAML 請求 ID `InResponseTo`的值。範例：  

     ```
     <saml:SubjectConfirmation>
         <saml:SubjectConfirmationData ... 
             Recipient="<Your SP ACS URL>"
             InResponseTo="<originalSAMLrequestId>"
             />
     </saml:SubjectConfirmation>
     ```
WorkSpaces 安全瀏覽器會驗證您的請求參數和 SAML 聲明。對於 IdP 起始的 SAML 聲明，請求的詳細資訊必須格式化為 HTTP POST 請求內文中的`RelayState`參數。請求內文也必須包含您的 SAML 聲明做為`SAMLResponse`參數。如果您已遵循上一個步驟，這兩者都應該存在。  
以下是 IdP 起始 SAML 提供者的範例`POST`內文。  

   ```
   SAMLResponse=<Base64-encoded SAML assertion>&RelayState=<RelayState> 
   ```