SAML2.0 konfigurieren und ein WorkSpaces Pools-Verzeichnis erstellen - Amazon WorkSpaces
Schritt 1: Berücksichtigen Sie die AnforderungenSchritt 2: Erfüllen der VoraussetzungenSchritt 3: Erstellen Sie einen SAML Identitätsanbieter in IAMSchritt 4: WorkSpace Pool-Verzeichnis erstellenSchritt 5: Erstellen Sie eine SAML IAM 2.0-VerbundrolleSchritt 6: Konfigurieren Sie Ihren SAML 2.0-IdentitätsanbieterSchritt 7: Erstellen Sie Assertionen für die Authentifizierungsantwort SAMLSchritt 8: Konfigurieren Sie den Relay-Status Ihres VerbundsSchritt 9: Aktivieren Sie die Integration mit SAML 2.0 in Ihrem WorkSpace Pool-Verzeichnis

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SAML2.0 konfigurieren und ein WorkSpaces Pools-Verzeichnis erstellen

Sie können die Registrierung und Anmeldung von WorkSpaces Client-Anwendungen WorkSpaces in einem WorkSpaces Pool aktivieren, indem Sie einen Identitätsverbund mit SAML 2.0 einrichten. Um dies zu tun, verwenden Sie ein AWS Identity and Access Management (IAM) Rolle und ein Relay-StatusURL, um Ihren SAML 2.0-Identitätsanbieter (IdP) zu konfigurieren und zu aktivieren für AWS. Dadurch erhalten Ihre Verbundbenutzer Zugriff auf ein WorkSpace Pool-Verzeichnis. Der Relay-Status ist der WorkSpaces Verzeichnisendpunkt, an den Benutzer nach erfolgreicher Anmeldung weitergeleitet werden AWS.

Themen

Schritt 1: Berücksichtigen Sie die Anforderungen

Die folgenden Anforderungen gelten SAML für die Einrichtung eines WorkSpaces Pools-Verzeichnisses.

  • Die DefaultRole IAM Rolle workspaces_ muss in Ihrem vorhanden sein AWS Konto. Diese Rolle wird automatisch erstellt, wenn Sie das WorkSpaces Quick Setup verwenden oder wenn Sie zuvor eine mit dem gestartet haben WorkSpace AWS Management Console. Es gewährt Amazon die WorkSpaces Erlaubnis, auf bestimmte AWS Ressourcen in Ihrem Namen. Wenn die Rolle bereits existiert, müssen Sie ihr möglicherweise die AmazonWorkSpacesPoolServiceAccess verwaltete Richtlinie anhängen, mit der WorkSpaces Amazon auf die erforderlichen Ressourcen in der AWS Konto für WorkSpaces Pools. Weitere Informationen erhalten Sie unter Erstellen Sie die Rolle workspaces_ DefaultRole und AWS verwaltete Richtlinie: AmazonWorkSpacesPoolServiceAccess.

  • Sie können die SAML 2.0-Authentifizierung für WorkSpaces Pools im konfigurieren AWS-Regionen die die Funktion unterstützen. Weitere Informationen finden Sie unter AWS-Regionen und Verfügbarkeitszonen für WorkSpaces Pools.

  • Um die SAML 2.0-Authentifizierung mit verwenden zu können WorkSpaces, muss der IdP unaufgeforderte IdP-Nachrichten unterstützen, die SSO mit einer Deep-Link-Zielressource oder einem Relay-State-Endpunkt initiiert wurden. URL Beispiele dafür IdPs , die dies unterstützenADFS, sind Azure AD, Duo Single Sign-On, Okta und. PingFederate PingOne Weitere Informationen finden Sie in der IdP-Dokumentation.

  • SAMLDie 2.0-Authentifizierung wird nur auf den folgenden WorkSpaces Clients unterstützt. Die neuesten WorkSpaces Clients finden Sie auf der Amazon WorkSpaces Client-Download-Seite.

    • Windows-Client-Anwendung Version 5.20.0 oder höher

    • macOS-Client-Version 5.20.0 oder höher

    • Web Access

Schritt 2: Erfüllen der Voraussetzungen

Erfüllen Sie die folgenden Voraussetzungen, bevor Sie Ihre SAML 2.0-IdP-Verbindung zu einem WorkSpaces Pool-Verzeichnis konfigurieren.

  • Konfigurieren Sie Ihren IdP, um eine Vertrauensbeziehung aufzubauen mit AWS.

  • Weitere Informationen finden Sie unter Integration von Drittanbietern SAML für Lösungen mit AWSfür weitere Informationen zur Konfiguration AWS Föderation. Zu den relevanten Beispielen gehört die IdP-Integration mit IAM für den Zugriff auf AWS Management Console.

  • Nutzen Sie Ihren IdP, um ein Verbundmetadatendokument, in dem Ihre Organisation als IdP beschrieben wird, zu generieren und laden Sie es herunter. Dieses unterschriebene XML Dokument wird verwendet, um das Vertrauen der vertrauenden Partei herzustellen. Speichern Sie diese Datei an einem Speicherort, auf den Sie später von der IAM Konsole aus zugreifen können.

  • Erstellen Sie mithilfe der WorkSpaces Konsole ein WorkSpaces Pool-Verzeichnis. Weitere Informationen finden Sie unter Verwenden von Active Directory mit WorkSpaces Pools.

  • Erstellen Sie einen WorkSpaces Pool für Benutzer, die sich mit einem unterstützten Verzeichnistyp beim IdP anmelden können. Weitere Informationen finden Sie unter Einen WorkSpaces Pool erstellen.

Schritt 3: Erstellen Sie einen SAML Identitätsanbieter in IAM

Um zu beginnen, müssen Sie einen SAML IdP in IAM erstellen. Dieser IdP definiert den IdP-to-AWS Vertrauensverhältnis unter Verwendung des Metadatendokuments, das von der IdP-Software in Ihrer Organisation generiert wurde. Weitere Informationen finden Sie unter Erstellen und Verwalten eines SAML Identitätsanbieters in AWS Identity and Access Management Benutzerleitfaden. Für Informationen zur Arbeit SAML IdPs mit AWS GovCloud (US) Regions, siehe AWS Identity and Access Management in der AWS GovCloud (US) Benutzerleitfaden.

Schritt 4: WorkSpace Pool-Verzeichnis erstellen

Gehen Sie wie folgt vor, um ein WorkSpaces Pool-Verzeichnis zu erstellen.

  1. Öffnen Sie die WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie im Navigationsbereich Verzeichnisse aus.

  3. Wählen Sie Verzeichnis erstellen aus.

  4. Wählen Sie als WorkSpace Typ die Option Pool aus.

  5. Gehen Sie im Abschnitt Benutzeridentitätsquelle der Seite wie folgt vor:

    1. Geben Sie einen Platzhalterwert in das URL Textfeld Benutzerzugriff ein. Geben Sie beispielsweise placeholder in das Textfeld ein. Sie werden dies später bearbeiten, nachdem Sie die Anwendungsberechtigung in Ihrem IdP eingerichtet haben.

    2. Lassen Sie das Textfeld Name des Relay-State-Parameters leer. Sie werden dies später bearbeiten, nachdem Sie die Anwendungsberechtigung in Ihrem IdP eingerichtet haben.

  6. Geben Sie im Bereich Verzeichnisinformationen auf der Seite einen Namen und eine Beschreibung für das Verzeichnis ein. Der Verzeichnisname und die Beschreibung müssen weniger als 128 Zeichen lang sein und können alphanumerische Zeichen und die folgenden Sonderzeichen enthalten:_ @ # % * + = : ? . / ! \ -. Der Verzeichnisname und die Beschreibung dürfen nicht mit einem Sonderzeichen beginnen.

  7. Gehen Sie im Bereich Netzwerk und Sicherheit der Seite wie folgt vor:

    1. Wählen Sie ein VPC und zwei Subnetze aus, die Zugriff auf die Netzwerkressourcen haben, die Ihre Anwendung benötigt. Um die Fehlertoleranz zu erhöhen, sollten Sie zwei Subnetze in unterschiedlichen Availability Zones auswählen.

    2. Wählen Sie eine Sicherheitsgruppe, die WorkSpaces das Erstellen von Netzwerklinks in Ihrem VPC ermöglicht. Sicherheitsgruppen steuern, von welchem Netzwerkverkehr WorkSpaces zu Ihrem Netzwerk fließen darfVPC. Wenn Ihre Sicherheitsgruppe beispielsweise alle eingehenden HTTPS Verbindungen einschränkt, können Benutzer, die auf Ihr Webportal zugreifen, keine HTTPS Websites von laden. WorkSpaces

  8. Der Abschnitt Active Directory-Konfiguration ist optional. Sie sollten jedoch Ihre Active Directory-Details (AD) bei der Erstellung Ihres WorkSpaces Pools-Verzeichnisses angeben, wenn Sie beabsichtigen, ein AD mit Ihren WorkSpaces Pools zu verwenden. Sie können die Active Directory-Konfiguration für Ihr WorkSpaces Pools-Verzeichnis nicht bearbeiten, nachdem Sie es erstellt haben. Weitere Informationen zum Angeben Ihrer AD-Details für Ihr WorkSpaces Pool-Verzeichnis finden Sie unterGeben Sie Active Directory-Details für Ihr WorkSpaces Pools-Verzeichnis an. Nachdem Sie den in diesem Thema beschriebenen Vorgang abgeschlossen haben, sollten Sie zu diesem Thema zurückkehren, um die Erstellung Ihres WorkSpaces Pools-Verzeichnisses abzuschließen.

    Sie können den Abschnitt Active Directory-Konfiguration überspringen, wenn Sie nicht vorhaben, ein AD mit Ihren WorkSpaces Pools zu verwenden.

  9. Gehen Sie im Abschnitt Streaming-Eigenschaften der Seite wie folgt vor:

    • Wählen Sie das Verhalten bei den Zugriffsrechten für die Zwischenablage aus und geben Sie eine Option zum Kopieren bis zur lokalen Zeichenbeschränkung (optional) und zum Einfügen in die Zeichenbeschränkung der Remotesitzung ein (optional).

    • Wählen Sie aus, ob Sie das Drucken auf einem lokalen Gerät zulassen oder nicht zulassen möchten.

    • Wählen Sie aus, ob Sie die Diagnoseprotokollierung zulassen oder nicht zulassen möchten.

    • Wählen Sie aus, ob Sie die Smartcard-Anmeldung zulassen oder nicht zulassen möchten. Diese Funktion ist nur verfügbar, wenn Sie die AD-Konfiguration zu einem früheren Zeitpunkt in diesem Verfahren aktiviert haben.

  10. Im Bereich Speicher der Seite können Sie wählen, ob Sie Basisordner aktivieren möchten.

  11. Wählen Sie im IAMRollenbereich der Seite eine IAM Rolle aus, die für alle Desktop-Streaming-Instances verfügbar sein soll. Um eine neue Rolle zu erstellen, wählen Sie Neue IAM Rolle erstellen.

    Wenn Sie eine IAM Rolle aus Ihrem Konto auf ein WorkSpace Pool-Verzeichnis anwenden, können Sie AWS APIAnfragen von einem WorkSpace im WorkSpace Pool, ohne sie manuell zu verwalten AWS Anmeldeinformationen. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM Benutzer in AWS Identity and Access Management Benutzerleitfaden.

  12. Wählen Sie Verzeichnis erstellen aus.

Schritt 5: Erstellen Sie eine SAML IAM 2.0-Verbundrolle

Gehen Sie wie folgt vor, um eine SAML IAM 2.0-Verbundrolle in der IAM Konsole zu erstellen.

  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Roles (Rollen) aus.

  3. Wählen Sie Rolle erstellen.

  4. Wählen Sie SAML2.0 Federation als vertrauenswürdigen Entitätstyp.

  5. Wählen Sie für einen SAML 2.0-basierten Anbieter den Identitätsanbieter aus, in IAM dem Sie ihn erstellt haben. Weitere Informationen finden Sie unter Erstellen eines SAML Identitätsanbieters in IAM.

  6. Wählen Sie Nur programmgesteuerten Zugriff zulassen, um den Zugriff zuzulassen.

  7. Wählen Sie für das Attribut AUD SAML aus.

  8. Geben Sie für Wert https://signin.aws.amazon.com/saml ein. Dieser Wert schränkt den Rollenzugriff auf SAML Benutzer-Streaming-Anfragen ein, die eine SAML Betreff-Assertion mit dem Wert von enthalten. persistent Wenn der:sub_type persistent SAML ist, sendet Ihr IdP NameID in allen Anfragen SAML eines bestimmten Benutzers denselben eindeutigen Wert für das Element. Weitere Informationen finden Sie unter Eindeutige Identifizierung von Benutzern im basierten Verbund in SAML AWS Identity and Access Management Benutzerleitfaden.

  9. Wählen Sie Next (Weiter), um fortzufahren.

  10. Nehmen Sie auf der Seite „Berechtigungen hinzufügen“ keine Änderungen oder Auswahlen vor. Wählen Sie Next (Weiter), um fortzufahren.

  11. Geben Sie einen Namen und eine Beschreibung für die Rolle ein.

  12. Wählen Sie Rolle erstellen.

  13. Wählen Sie auf der Seite Rollen die Rolle aus, die Sie erstellen müssen.

  14. Wählen Sie die Registerkarte Trust relationships (Vertrauensstellungen).

  15. Wählen Sie Vertrauensrichtlinie bearbeiten aus.

  16. Fügen Sie im JSON Textfeld Vertrauensrichtlinie bearbeiten die TagSession Aktion sts: zur Vertrauensrichtlinie hinzu. Weitere Informationen finden Sie unter Übergeben von Sitzungs-Tags in AWS STS in AWS Identity and Access Management Benutzerleitfaden.

    Das Ergebnis sollte wie folgt aussehen:

    Ein Beispiel für eine Vertrauensrichtlinie.

  17. Wählen Sie Richtlinie aktualisieren.

  18. Wählen Sie die Registerkarte Berechtigungen.

  19. Wählen Sie auf der Seite im Abschnitt „Berechtigungsrichtlinien“ die Option „Berechtigungen hinzufügen“ und anschließend „Inline-Richtlinie erstellen“ aus.

  20. Wählen Sie im Bereich Richtlinien-Editor der Seite die Option JSON.

  21. Geben Sie im JSON Textfeld Policy-Editor die folgende Richtlinie ein. Achten Sie darauf, Folgendes zu ersetzen:

    • <region-code> mit dem Code des AWS Region, in der Sie Ihr WorkSpace Pool-Verzeichnis erstellt haben.

    • <account-id> mit dem AWS Konto-ID.

    • <directory-id> mit der ID des Verzeichnisses, das Sie zuvor erstellt haben. Sie können das in der WorkSpaces Konsole abrufen.

    Für Ressourcen in AWS GovCloud (US) Regions, verwenden Sie das folgende Format fürARN:arn:aws-us-gov:workspaces:<region-code>:<account-id>:directory/<directory-id>.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "workspaces:Stream",
            "Resource": "arn:aws:workspaces:<region-code>:<account-id>:directory/<directory-id>",
            "Condition": {
                "StringEquals": {"workspaces:userId": "${saml:sub}"}
            }
        }
    ]
}

  22. Wählen Sie Weiter.

  23. Geben Sie einen Namen für die Richtlinie ein und wählen Sie dann Create policy (Richtlinie erstellen) aus.

Schritt 6: Konfigurieren Sie Ihren SAML 2.0-Identitätsanbieter

Abhängig von Ihrem SAML 2.0-IdP müssen Sie Ihren IdP möglicherweise manuell aktualisieren, damit er vertrauenswürdig ist AWS als Dienstanbieter. Dazu laden Sie die saml-metadata.xml Datei unter https://signin.aws.amazon.com/static/saml-metadata.xml herunter und laden sie dann auf Ihren IdP hoch. Dadurch werden die Metadaten Ihres IdP aktualisiert.

Für einige IdPs ist das Update möglicherweise bereits konfiguriert. Sie können diesen Schritt überspringen, wenn er bereits konfiguriert ist. Wenn das Update nicht bereits in Ihrem IdP konfiguriert ist, lesen Sie in der von Ihrem IdP bereitgestellten Dokumentation nach, wie Sie die Metadaten aktualisieren können. Einige Anbieter bieten Ihnen die Möglichkeit, die URL XML Datei in ihr Dashboard einzugeben, und der IdP ruft die Datei für Sie ab und installiert sie. Bei anderen müssen Sie die Datei von herunterladen URL und dann in ihr Dashboard hochladen.

Wichtig

Zu diesem Zeitpunkt können Sie auch Benutzer in Ihrem IdP autorisieren, auf die WorkSpaces Anwendung zuzugreifen, die Sie in Ihrem IdP konfiguriert haben. Für Benutzer, die berechtigt sind, auf die WorkSpaces Anwendung für Ihr Verzeichnis zuzugreifen, wird nicht automatisch eine für sie WorkSpace erstellt. Ebenso sind Benutzer, die eine für sie WorkSpace erstellt haben, nicht automatisch autorisiert, auf die WorkSpaces Anwendung zuzugreifen. Um erfolgreich eine Verbindung WorkSpace mit einer Authentifizierung unter Verwendung von SAML 2.0 herzustellen, muss ein Benutzer vom IdP autorisiert sein und eine WorkSpace erstellte haben.

Schritt 7: Erstellen Sie Assertionen für die Authentifizierungsantwort SAML

Konfigurieren Sie die Informationen, an die Ihr IdP sendet AWS als SAML Attribute in seiner Authentifizierungsantwort. Abhängig von Ihrem IdP ist dies möglicherweise bereits konfiguriert. Sie können diesen Schritt überspringen, wenn er bereits konfiguriert ist. Falls es noch nicht konfiguriert ist, geben Sie Folgendes an:

  • SAMLSubject NameID — Die eindeutige Kennung für den Benutzer, der sich anmeldet. Ändern Sie das Format/den Wert dieses Felds nicht. Andernfalls funktioniert die Home-Folder-Funktion nicht wie erwartet, da der Benutzer als anderer Benutzer behandelt wird.

    Anmerkung

    Bei WorkSpaces Pools, die in eine Domäne eingebunden sind, muss der NameID Wert für den Benutzer in dem domain\username Format angegeben werdensAMAccountName, das den username@domain.com oder verwendetuserPrincipalName, oder nur. userName Wenn Sie das sAMAccountName Format verwenden, können Sie die Domäne angeben, indem Sie entweder den BIOS Netznamen oder den vollqualifizierten Domänennamen () FQDN verwenden. Das sAMAccountName Format ist für unidirektionale Vertrauensszenarien in Active Directory erforderlich. Weitere Informationen finden Sie unterVerwenden von Active Directory mit WorkSpaces Pools. Wenn nur angegeben userName wird, wird der Benutzer bei der primären Domäne angemeldet

  • SAMLBetrefftyp (mit einem Wert aufpersistent) — Wenn Sie den Wert auf festlegen, persistent wird sichergestellt, dass Ihr IdP in allen SAML Anfragen eines bestimmten Benutzers denselben eindeutigen Wert für das NameID Element sendet. Stellen Sie sicher, dass Ihre IAM Richtlinie eine Bedingung enthält, dass nur SAML Anfragen zugelassen werden, deren SAML sub_type Wert auf gesetzt istpersistent, wie im Schritt 5: Erstellen Sie eine SAML IAM 2.0-Verbundrolle Abschnitt beschrieben.

  • AttributeElement mit dem auf https://aws.amazon.com/SAML/ Attribute/Rolle gesetzten Name Attribut — Dieses Element enthält ein oder mehrere AttributeValue Elemente, die die IAM Rolle und den SAML IdP auflisten, denen der Benutzer von Ihrem IdP zugeordnet wurde. Die Rolle und der IdP werden als kommagetrenntes Paar von angegeben. ARNs Ein Beispiel für den erwarteten Wert ist arn:aws:iam::<account-id>:role/<role-name>,arn:aws:iam::<account-id>:saml-provider/<provider-name>.

  • AttributeElement, dessen Name Attribut auf https://aws.amazon.com/SAML/ Attributes/ gesetzt ist RoleSessionName — Dieses Element enthält ein Element, das einen AttributeValue Bezeichner für AWS temporäre Anmeldeinformationen, die ausgestellt wurden für. SSO Der Wert im AttributeValue Element muss zwischen 2 und 64 Zeichen lang sein und kann alphanumerische Zeichen und die folgenden Sonderzeichen enthalten:_ . : / = + - @. Leerzeichen dürfen nicht enthalten sein. Der Wert ist normalerweise eine E-Mail-Adresse oder ein Benutzerprinzipalname (UPN). Er sollte kein Wert mit einem Leerzeichen (z. B. der Anzeigename eines Benutzers) sein.

  • AttributeElement, dessen Name Attribut auf https://aws.amazon.com/SAML/ Attributes/:Email gesetzt ist PrincipalTag — Dieses Element enthält ein ElementAttributeValue, das die E-Mail-Adresse des Benutzers bereitstellt. Der Wert muss mit der WorkSpaces Benutzer-E-Mail-Adresse übereinstimmen, wie sie im Verzeichnis definiert ist. WorkSpaces Tagwerte können Kombinationen aus Buchstaben, Zahlen, Leerzeichen und _ . : / = + - @ Zeichen enthalten. Weitere Informationen finden Sie unter Regeln für das Markieren in IAM und AWS STS in der AWS Identity and Access Management Benutzerleitfaden.

  • (Optional) AttributeElement mit dem Name Attribut https://aws.amazon.com/SAML/ Attributes/PrincipalTag: UserPrincipalName — Dieses Element enthält ein AttributeValue Element, das das Active Directory userPrincipalName für den Benutzer bereitstellt, der sich anmeldet. Der Wert muss im Format angegeben werden. username@domain.com Dieser Parameter wird bei der zertifikatbasierten Authentifizierung als alternativer Name des Subjekts im Endbenutzerzertifikat verwendet. Weitere Informationen finden Sie unter Zertifikatbasierte Authentifizierung.

  • (Optional) AttributeElement, dessen Attribut auf Name https://aws.amazon.com/SAML/ Attributes/PrincipalTag: ObjectSid (optional) gesetzt ist — Dieses Element enthält ein AttributeValue Element, das die Active Directory-Sicherheits-ID (SID) für den Benutzer bereitstellt, der sich anmeldet. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung verwendet, um eine sichere Zuordnung zu Active-Directory-Benutzern zu ermöglichen. Weitere Informationen finden Sie unter Zertifikatbasierte Authentifizierung.

  • (Optional) AttributeElement, bei dem das Name Attribut auf https://aws.amazon.com/SAML/ Attributes/:Domain gesetzt ist PrincipalTag — Dieses Element enthält ein ElementAttributeValue, das den DNS vollqualifizierten Active Directory-Domänennamen () FQDN für Benutzer bereitstellt, die sich anmelden. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung verwendet, wenn die Active-Directory-userPrincipalName für die Benutzer ein alternatives Suffix enthält. Der Wert muss im domain.com Format angegeben werden und alle Unterdomänen enthalten.

  • (Optional) AttributeElement mit dem Name Attribut https://aws.amazon.com/SAML/ Attributes/ SessionDuration — Dieses Element enthält ein AttributeValue Element, das angibt, wie lange eine föderierte Streaming-Sitzung für einen Benutzer maximal aktiv bleiben kann, bevor eine erneute Authentifizierung erforderlich ist. Der Standardwert ist 3600 Sekunden (60 Minuten). Weitere Informationen finden Sie SAML SessionDurationAttributein der AWS Identity and Access Management Benutzerleitfaden.

    Anmerkung

    Obwohl SessionDuration es sich um ein optionales Attribut handelt, empfehlen wir, es in die SAML Antwort aufzunehmen. Wenn Sie dieses Attribut nicht angeben, wird die Sitzungsdauer auf einen Standardwert von 3600 Sekunden (60 Minuten) festgelegt. WorkSpaces Desktop-Sitzungen werden nach Ablauf ihrer Sitzungsdauer getrennt.

Weitere Informationen zur Konfiguration dieser Elemente finden Sie unter Konfiguration von SAML Assertionen für die Authentifizierungsantwort im AWS Identity and Access Management Benutzerleitfaden. Weitere Informationen zu spezifischen Konfigurationsanforderungen für Ihren IdP finden Sie in der Dokumentation zu Ihrem IdP.

Schritt 8: Konfigurieren Sie den Relay-Status Ihres Verbunds

Verwenden Sie Ihren IdP, um den Relay-Status Ihres Verbunds so zu konfigurieren, dass er auf den Relay-Status URL des WorkSpaces Pool-Verzeichnisses verweist. Nach erfolgreicher Authentifizierung von AWS wird der Benutzer zum Endpunkt des WorkSpaces Pool-Verzeichnisses weitergeleitet, der in der SAML Authentifizierungsantwort als Relay-Status definiert ist.

Das folgende Format ist das URL Relay-State-Format:


https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code

In der folgenden Tabelle sind die Relay-State-Endpunkte für die aufgeführt AWS Regionen, in denen die WorkSpaces SAML 2.0-Authentifizierung verfügbar ist. AWS Regionen, in denen die WorkSpaces Pools-Funktion nicht verfügbar ist, wurden entfernt.

Region RelayState-Endpunkt
Region USA Ost (Nord-Virginia) workspaces.euc-sso.us-east-1.aws.amazon.com
Region USA West (Oregon) workspaces.euc-sso.us-west-2.aws.amazon.com
Region Asien-Pazifik (Mumbai) workspaces.euc-sso.ap-south-1.aws.amazon.com
Region Asien-Pazifik (Seoul) workspaces.euc-sso.ap-northeast-2.aws.amazon.com
Region Asien-Pazifik (Singapur) workspaces.euc-sso.ap-southeast-1.aws.amazon.com
Region Asien-Pazifik (Sydney) workspaces.euc-sso.ap-southeast-2.aws.amazon.com
Region Asien-Pazifik (Tokio) workspaces.euc-sso.ap-northeast-1.aws.amazon.com
Region Kanada (Zentral) workspaces.euc-sso.ca-central-1.aws.amazon.com
Region Europa (Frankfurt) workspaces.euc-sso.eu-central-1.aws.amazon.com
Region Europa (Irland) workspaces.euc-sso.eu-west-1.aws.amazon.com
Region Europa (London) workspaces.euc-sso.eu-west-2.aws.amazon.com
Region Südamerika (São Paulo) workspaces.euc-sso.sa-east-1.aws.amazon.com
AWS GovCloud (US-West) workspaces.euc-sso. us-gov-west-1. amazonaws-us-gov.com
Anmerkung

Für Informationen zur Arbeit mit SAML IdPs in AWS GovCloud (US) Regions, siehe Amazon WorkSpaces in der AWS GovCloud (US) Benutzerhandbuch.
AWS GovCloud (US-Ost) workspaces.euc-sso. us-gov-east-1. amazonaws-us-gov.com
Anmerkung

Für Informationen zur Arbeit mit SAML IdPs in AWS GovCloud (US) Regions, siehe Amazon WorkSpaces in der AWS GovCloud (US) Benutzerhandbuch.

Schritt 9: Aktivieren Sie die Integration mit SAML 2.0 in Ihrem WorkSpace Pool-Verzeichnis

Gehen Sie wie folgt vor, um die SAML 2.0-Authentifizierung für das WorkSpaces Pool-Verzeichnis zu aktivieren.

  1. Öffnen Sie die WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie im Navigationsbereich Verzeichnisse aus.

  3. Wählen Sie die Registerkarte Pools-Verzeichnisse.

  4. Wählen Sie die ID des Verzeichnisses, das Sie bearbeiten möchten.

  5. Wählen Sie im Abschnitt Authentifizierung der Seite die Option Bearbeiten aus.

  6. Wählen Sie Edit SAML 2.0 Identity Provider aus.

  7. Ersetzen Sie für den Benutzerzugriff URL, der manchmal als "SSOURL„bezeichnet wird, den Platzhalterwert durch den Wert, den Sie von Ihrem IdP SSO URL erhalten haben.

  8. Geben Sie für den Namen des IdP-Deep-Link-Parameters den Parameter ein, der für Ihren IdP und die von Ihnen konfigurierte Anwendung gilt. Der Standardwert ist, RelayState wenn Sie den Parameternamen weglassen.

    In der folgenden Tabelle sind die Namen der Benutzerzugriffs URLs - und Deep-Link-Parameter aufgeführt, die für verschiedene Identitätsanbieter für Anwendungen eindeutig sind.

    Identitätsanbieter Parameter Benutzerzugriff URL
    ADFS RelayState https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>
    Azure AD RelayState https://myapps.microsoft.com/signin/<app-id>?tenantId=<tenant-id>
    Duo Single-Sign-On RelayState https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app-id>/sso
    Okta RelayState https://<sub-domain>.okta.com/app/<app-name>/<app-id>/sso/saml
    OneLogin RelayState https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>
    JumpCloud RelayState https://sso.jumpcloud.com/saml2/<app-id>
    Auth0 RelayState https://<default-tenant-name>.us.auth0.com/samlp/<client-id>
    PingFederate TargetResource https://<host>/idp/startSSO.ping?PartnerSpId=<sp-id>
    PingOne für Unternehmen TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app-id>&idpid=<idp-id>

  9. Wählen Sie Save (Speichern) aus.