Integrieren von SAML 2.0 in WorkSpaces - Amazon WorkSpaces

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Integrieren von SAML 2.0 in WorkSpaces

Durch die Integration von SAML 2.0 in Ihre WorkSpaces für die Desktop-Sitzungsauthentifizierung können Ihre Benutzer ihre vorhandenen Anmeldeinformationen und Authentifizierungsmethoden aus dem SAML-2.0-Identitätsanbieter (Identity Provider, IdP) über ihren Standard-Webbrowser verwenden. Sie können WorkSpaces über IdP-Funktionen schützen, indem Sie IdP-Funktionen wie Multi-Faktor-Authentifizierung und kontextbezogene Zugriffsrichtlinien zur Authentifizierung von Benutzern in WorkSpaces einsetzen.

Authentifizierungs-Workflow

In den folgenden Abschnitten wird der Authentifizierungsworkflow beschrieben, der von der WorkSpaces-Clientanwendung, WorkSpaces Web Access und einem SAML-2.0-Identitätsanbieter (IdP) initiiert wurde:

  • Wenn der Flow vom IdP initiiert wird. Zum Beispiel, wenn Benutzer eine Anwendung im IdP-Portal für Benutzer in einem Webbrowser auswählen.

  • Wenn der Flow vom WorkSpaces-Client initiiert wird. Zum Beispiel, wenn Benutzer die Clientanwendung öffnen und sich anmelden.

  • Wenn der Flow vom WorkSpaces-Client initiiert wird. Zum Beispiel, wenn Benutzer Web Access in einem Browser öffnen und sich anmelden.

In diesen Beispielen geben Benutzer user@example.com ein, um sich beim IdP anzumelden. Der IdP hat eine SAML-2.0-Dienstanbieteranwendung, die für ein WorkSpaces-Verzeichnis konfiguriert ist. Die Benutzer sind für die WorkSpaces-SAML-2.0-Anwendung autorisiert. Die Benutzer erstellen einen WorkSpace für ihre Namen (user) in einem Verzeichnis, das die SAML-2.0-Authentifizierung ermöglicht. Darüber hinaus installieren die Benutzer die WorkSpaces-Clientanwendung auf ihrem Gerät oder verwenden Web Access in einem Webbrowser.

Vom Identitätsanbieter (IdP) initiierter Workflow mit der Clientanwendung

Mit dem vom IdP initiierten Workflow können Benutzer die WorkSpaces-Clientanwendung automatisch auf ihren Geräten registrieren, ohne einen WorkSpaces-Registrierungscode eingeben zu müssen. Die Benutzer melden sich nicht mit dem vom IdP initiierten Workflow bei ihren WorkSpaces an. Die WorkSpaces-Authentifizierung muss von der Clientanwendung ausgehen.

  1. Die Benutzer melden sich mit ihrem Webbrowser beim IdP an.

  2. Nach der Anmeldung beim IdP wählen die Benutzer die WorkSpaces-Anwendung aus dem IdP-Portal für Benutzer aus.

  3. Die Benutzer werden im Browser auf diese Seite umgeleitet. Die WorkSpaces-Clientanwendung wird automatisch geöffnet.

    
               Öffnen der WorkSpaces-Anwendungsumleitungsseite
  4. Die WorkSpaces-Clientanwendung ist jetzt registriert und die Benutzer können mit der Anmeldung fortfahren, indem sie auf Mit der Anmeldung bei WorkSpaces fortfahren klicken.

Vom Identitätsanbieter (IdP) initiierter Workflow mit Web Access

Mit dem vom IdP initiierten Web-Access-Workflow können Benutzer die WorkSpaces-Clientanwendung automatisch auf ihren Geräten registrieren, ohne einen WorkSpaces-Registrierungscode eingeben zu müssen. Die Benutzer melden sich nicht mit dem vom IdP initiierten Workflow bei ihren WorkSpaces an. Die WorkSpaces-Authentifizierung muss von Web Access ausgehen.

  1. Die Benutzer melden sich mit ihrem Webbrowser beim IdP an.

  2. Nach der Anmeldung beim IdP wählen die Benutzer die WorkSpaces-Anwendung aus dem IdP-Portal für Benutzer aus.

  3. Die Benutzer werden im Browser auf diese Seite umgeleitet. Sie wählen Amazon WorkSpaces im Browser aus, um WorkSpaces zu öffnen.

    
               Öffnen der WorkSpaces-Anwendungsumleitungsseite
  4. Die WorkSpaces-Clientanwendung ist jetzt registriert und die Benutzer können mit der Anmeldung bei WorkSpaces über Web Access fortfahren.

Vom WorkSpaces-Client initiierter Workflow

Der vom Client initiierte Workflow ermöglicht es Benutzern, sich nach der Anmeldung bei einem IdP bei ihren WorkSpaces anzumelden.

  1. Die Benutzer starten die WorkSpaces-Clientanwendung (falls sie nicht bereits ausgeführt wird) und klicken auf Weiter zur Anmeldung bei WorkSpaces.

  2. Die Benutzer werden zu ihrem Standard-Webbrowser umgeleitet, um sich beim IdP anzumelden. Wenn die Benutzer in ihrem Browser bereits beim IdP angemeldet sind, müssen sie sich nicht erneut anmelden und überspringen diesen Schritt.

  3. Sobald sie beim IdP angemeldet sind, werden die Benutzer zu einem Popup weitergeleitet. Sie folgen den Anweisungen, damit der Webbrowser die Clientanwendung öffnen kann.

    
               Aufforderung zum Öffnen der Clientanwendung.
  4. Die Benutzer werden zur WorkSpaces-Clientanwendung umgeleitet, um die Anmeldung bei ihrem WorkSpace abzuschließen. Die Namen der Benutzer für die WorkSpaces werden automatisch aus der SAML-2.0-Zusicherung des IdP eingetragen. Wenn die Benutzer die zertifikatbasierte Authentifizierung (Certificate-Based Authentication, CBA) verwenden, werden sie automatisch angemeldet.

  5. Die Benutzer sind in ihrem WorkSpace angemeldet.

Von WorkSpaces Web Access initiierter Workflow

Der von Web Access initiierte Workflow ermöglicht es Benutzern, sich nach der Anmeldung bei einem IdP bei ihren WorkSpaces anzumelden.

  1. Die Benutzer starten den WorkSpaces Web Access und wählen Anmelden aus.

  2. Die Benutzer werden in derselben Browser-Registerkarte zum IdP-Portal weitergeleitet. Wenn die Benutzer in ihrem Browser bereits beim IdP angemeldet sind, müssen sie sich nicht erneut anmelden und können diesen Schritt überspringen.

  3. Nach der Anmeldung beim IdP werden die Benutzer im Browser zu dieser Seite weitergeleitet. Dann klicken sie auf Bei WorkSpaces anmelden.

  4. Die Benutzer werden zur WorkSpaces-Clientanwendung umgeleitet, um die Anmeldung bei ihrem WorkSpace abzuschließen. Die Namen der Benutzer für die WorkSpaces werden automatisch aus der SAML-2.0-Zusicherung des IdP eingetragen. Wenn die Benutzer die zertifikatbasierte Authentifizierung (Certificate-Based Authentication, CBA) verwenden, werden sie automatisch angemeldet.

  5. Die Benutzer sind in ihrem WorkSpace angemeldet.