本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將 SAML 2.0 與 WorkSpaces Personal 整合
<a name="amazon-workspaces-saml"></a>

**注意**  
只有在透過 Directory Service 包含 Simple AD、AD Connector 和 AWS Managed Microsoft AD 目錄管理 WorkSpaces Personal 目錄時，才能使用 SAML 2.0。此功能不適用於由 Amazon WorkSpaces 管理的目錄，這些目錄通常使用 IAM Identity Center 進行使用者身分驗證，而非 SAML 2.0 聯合身分。

將 SAML 2.0 與您的 WorkSpaces 進行桌面工作階段驗證整合，可讓使用者透過其預設網頁瀏覽器使用其現有的 SAML 2.0 身分提供者 (IdP) 認證和驗證方法。藉由使用 IdP 來驗證 WorkSpaces 的使用者，您可運用 IdP 功能 (例如多因素驗證和關聯式存取政策) 來保護 WorkSpaces。

## 身分驗證工作流程
<a name="authentication-workflow"></a>

下列各節說明 WorkSpaces 用戶端應用程式、WorkSWorkSpaces Web Access 及 SAML 2.0 身分提供者 (IdP) 所起始的驗證工作流程：
+ 由 IdP 初始化流程時。例如，當使用者在網頁瀏覽器的 IdP 使用者入口網站中選擇應用程式時。
+ 由 WorkSpaces 用戶端起始流程時。例如，當使用者開啟用戶端應用程式並登入時。
+ 流程由 WorkSpaces Web Access 啟動時。例如，當使用者在瀏覽器中開啟 Web 存取並登入時。

在這些範例中，使用者輸入 `user@example.com` 以登入 IdP。IdP 具有針對 WorkSpaces 目錄設定的 SAML 2.0 服務提供者應用程式，而且使用者已獲得 WorkSpaces SAML 2.0 應用程式的授權。使用者會在啟用 SAML 2.0 驗證的目錄中，針對其使用者名稱建立 WorkSpace (`user`)。此外，使用者在其裝置上安裝 [WorkSpaces 用戶端應用程式](https://clients.amazonworkspaces.com/)，或使用者在網頁瀏覽器中使用 Web Access。

**身分提供者 (IdP) 起始的流程搭配用戶端應用程式**

IdP 起始的流程可讓使用者在其裝置上自動註冊 WorkSpaces 用戶端應用程式，而不必輸入 WorkSpaces 註冊碼。使用者不會使用 IDP 起始的流程登入其 WorkSpaces。WorkSpaces 驗證必須源自用戶端應用程式。

1. 使用者可使用其網頁瀏覽器來登入 IdP。

1. 登入 IdP 後，使用者會從 IdP 使用者入口網站選擇 WorkSpaces 應用程式。

1. 使用者會在瀏覽器中重新導向至此頁面，且 WorkSpaces 用戶端應用程式會自動開啟。  
![開啟 WorkSpaces 應用程式重新導向頁面](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/saml-redir.png)

1. WorkSpaces 用戶端應用程式現已註冊，使用者可按一下**繼續登入 WorkSpaces** 來繼續登入。

**身分提供者 (IdP) 起始的流程搭配 Web Access**

IdP 起始的 Web Access 流程可讓使用者透過網頁瀏覽器自動註冊其 WorkSpaces，而不必輸入 WorkSpaces 註冊碼。使用者不會使用 IDP 起始的流程登入其 WorkSpaces。WorkSpaces 驗證必須源自 Web Access。

1. 使用者可使用其網頁瀏覽器來登入 IdP。

1. 登入 IdP 後，使用者會從 IdP 使用者入口網站按一下 WorkSpaces 應用程式。

1. 使用者會在瀏覽器中重新導向至此頁面。若要開啟 WorkSpaces，請**在瀏覽器中選擇 Amazon WorkSpaces**。  
![開啟 WorkSpaces 應用程式重新導向頁面](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/saml-redir.png)

1. WorkSpaces 用戶端應用程式現已註冊，使用者可透過 WorkSpaces Web Access 繼續登入。

**WorkSpaces 用戶端起始的流程**

用戶端起始的流程可讓使用者在登入 IdP 後登入其 WorkSpaces。

1. 使用者啟動 WorkSpaces 用戶端應用程式 (如果尚未執行)，然後按一下**繼續登入 WorkSpaces**。

1. 系統會將使用者重新導向至其預設網頁瀏覽器，以登入 IdP。如果使用者已在其瀏覽器中登入 IdP，則不需要再次登入，而且會略過此步驟。

1. 登入 IdP 後，使用者會被重新導向至快顯視窗。遵循提示，允許您的網頁瀏覽器開啟用戶端應用程式。  
![開啟用戶端應用程式提示。](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/saml-open-client-app.png)

1. 使用者已被重新導向至 WorkSpaces 用戶端應用程式，以完成其 WorkSpace 登入。WorkSpaces 使用者名稱會自動從 IdP SAML 2.0 聲明填入。當您使用[憑證型驗證 (CBA)](certificate-based-authentication.md) 時，使用者會自動登入。

1. 使用者已登入其 WorkSpace。

**WorkSpaces Web 存取起始的流程**

Web Access 起始的流程可讓使用者在登入 IdP 後登入其 WorkSpaces。

1. 使用者會啟動 WorkSpaces Web Access，然後選擇**登入**。

1. 在相同的瀏覽器索引標籤中，使用者會重新導向至 IdP 入口網站。如果使用者已在其瀏覽器中登入 IdP，則不需要再次登入，而且可略過此步驟。

1. 登入 IdP 後，使用者會在瀏覽器中重新導向至此頁面，然後按一下**登入 WorkSpaces**。

1. 使用者已被重新導向至 WorkSpaces 用戶端應用程式，以完成其 WorkSpace 登入。WorkSpaces 使用者名稱會自動從 IdP SAML 2.0 聲明填入。當您使用[憑證型驗證 (CBA)](certificate-based-authentication.md) 時，使用者會自動登入。

1. 使用者已登入其 WorkSpace。