Einrichten von SAML 2.0 - Amazon WorkSpaces

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten von SAML 2.0

Aktivieren Sie die Registrierung und Anmeldung von WorkSpaces Clientanwendungen WorkSpaces für Ihre Benutzer mithilfe ihrer Anmeldeinformationen und Authentifizierungsmethoden des SAML-2.0-Identitätsanbieters (IdP), indem Sie den Identitätsverbund mit SAML 2.0 einrichten. Verwenden Sie eine IAM-Rolle und eine Relay-State-URL, um Ihren IdP zu konfigurieren und AWS zu aktivieren, um einen Identitätsverbund mit SAML 2.0 einzurichten. Dadurch erhalten Ihre Verbundbenutzer Zugriff auf ein WorkSpaces Verzeichnis. Der Relay-Status ist der WorkSpaces Verzeichnisendpunkt, an den Benutzer weitergeleitet werden, nachdem sie sich erfolgreich bei angemeldet habenAWS.

Voraussetzungen

  • Die SAML-2.0-Authentifizierung ist in folgenden Regionen verfügbar:

    • Region USA Ost (Nord-Virginia)

    • Region USA West (Oregon)

    • Region Afrika (Kapstadt)

    • Region Asien-Pazifik (Mumbai)

    • Region Asien-Pazifik (Seoul)

    • Region Asien-Pazifik (Singapur)

    • Region Asien-Pazifik (Sydney)

    • Region Asien-Pazifik (Tokio)

    • Region Kanada (Zentral)

    • Region Europa (Frankfurt)

    • Region Europa (Irland)

    • Region Europa (London)

    • Region Südamerika (São Paulo)

    • Region Israel (Tel Aviv)

    • AWS GovCloud (USA West)

    • AWS GovCloud (USA-Ost)

  • Um die SAML-2.0-Authentifizierung mit verwenden zu können WorkSpaces, muss der IdP unerwünschtes, vom IdP initiiertes SSO mit einer Deep-Link-Zielressource oder einer Relay-Status-Endpunkt-URL unterstützen. Beispiele für IdPs sind ADFS, Azure AD, Bol Single Sign-On, Okta PingFederateund PingOne. Weitere Informationen finden Sie in der IdP-Dokumentation.

  • Die SAML-2.0-Authentifizierung funktioniert mit , die mit Simple AD WorkSpaces gestartet wurden. Dies wird jedoch nicht empfohlen, da Simple AD nicht in SAML 2.0 integriert ist IdPs.

  • Die SAML-2.0-Authentifizierung wird auf den folgenden WorkSpaces Clients unterstützt. Andere Client-Versionen werden für die SAML-2.0-Authentifizierung nicht unterstützt. Öffnen Sie Amazon WorkSpaces Client Downloads, um die neuesten Versionen zu finden:

    • Windows-Client, Version 5.1.0.3029 oder höher

    • macOS-Client, Version 5.x oder höher

    • Web Access

    Andere Clientversionen können keine Verbindung zu herstellen, die für die SAML-2.0-Authentifizierung WorkSpaces aktiviert ist, es sei denn, Fallback ist aktiviert. Weitere Informationen finden Sie unter Aktivieren der SAML-2.0-Authentifizierung im - WorkSpaces Verzeichnis.

step-by-step Anweisungen zur Integration von SAML 2.0 mit WorkSpaces mithilfe von ADFS, Azure AD, Single Sign-On OneLogin, Okta PingFederate und PingOne für Enterprise finden Sie im Handbuch zur Implementierung der Amazon- WorkSpaces SAML-Authentifizierung.

Voraussetzungen

Führen Sie die folgenden Voraussetzungen aus, bevor Sie Ihre SAML-2.0-Identitätsanbieter-(IdP)-Verbindung zu einem WorkSpaces Verzeichnis konfigurieren.

  1. Konfigurieren Sie Ihren IdP für die Integration von Benutzeridentitäten aus dem Microsoft Active Directory, das mit dem WorkSpaces Verzeichnis verwendet wird. Für einen Benutzer mit einem müssen WorkSpacedie sAMAccountName- und E-Mail-Attribute für den Active-Directory-Benutzer und die SAML-Anspruchswerte übereinstimmen, damit sich der Benutzer WorkSpaces mit dem IdP bei anmelden kann. Weitere Informationen zur Integration von Active Directory mit Ihrem IdP finden Sie in Ihrer IdP-Dokumentation.

  2. Konfigurieren Sie den Identitätsanbieter, um eine Vertrauensbeziehung mit einzurichte AWS.

    • Weitere Informationen zur Konfiguration des AWS-Verbunds finden Sie unter Integrieren von Drittanbieter-SAML-Lösungsanbietern mit AWS. Zu den relevanten Beispielen gehört die IdP-Integration mit AWS-IAM für den Zugriff auf die AWS-Managementkonsole.

    • Nutzen Sie Ihren IdP, um ein Verbundmetadatendokument, in dem Ihre Organisation als IdP beschrieben wird, zu generieren und laden Sie es herunter. Dieses signierte XML-Dokument wird verwendet, um die Vertrauensstellung für die vertrauenden Seiten einzurichten. Speichern Sie diese Datei an einem Standort, auf den Sie später von der IAM-Konsole aus zugreifen können.

  3. Erstellen oder registrieren Sie ein Verzeichnis für WorkSpaces mithilfe der - WorkSpaces Managementkonsole. Weitere Informationen finden Sie unter Verwalten von Verzeichnissen für WorkSpaces. Die SAML-2.0-Authentifizierung für WorkSpaces wird für die folgenden Verzeichnistypen unterstützt:

    • AD Connector

    • AWS Managed Microsoft AD

  4. Erstellen Sie einen WorkSpace für einen Benutzer, der sich mit einem unterstützten Verzeichnistyp beim IdP anmelden kann. Sie können einen WorkSpace mithilfe der WorkSpaces - WorkSpaces ManagementkonsoleAWS CLI, der oder der API erstellen. Weitere Informationen finden Sie unter Starten eines virtuellen Desktops mit WorkSpaces.

Schritt 1: Erstellen eines SAML-Identitätsanbieters in AWS IAM

Erstellen Sie zunächst einen SAML-IdP in AWS IAM. Dieser Identitätsanbieter definiert die IdP-zu-AWS-Vertrauensstellung Ihrer Organisation unter Verwendung des von der IdP-Software in Ihrer Organisation erstellten Metadaten-Dokuments. Weitere Informationen finden Sie unter Erstellen und Verwalten eines SAML-Identitätsanbieters (Amazon-Web-Services-Managementkonsole). Informationen zum Arbeiten mit SAML IdPs in AWS GovCloud (USA-West) und AWS GovCloud (USA-Ost) finden Sie unter AWS Identity and Access Management.

Schritt 2: Erstellen einer IAM-Rolle für den SAML-2.0-Verbund

Anschließend erstellen Sie eine IAM-Rolle für den SAML-2.0-Verbund. Dieser Schritt stellt eine Vertrauensstellung zwischen IAM und dem IdP Ihrer Organisation her, die Ihren IdP als vertrauenswürdige Entität für den Verbund identifiziert.

So erstellen Sie eine IAM-Rolle für den SAML-IdP

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Rollen und Rolle erstellen aus.

  3. Wählen Sie für Role type (Rollentyp) die Option SAML 2.0 federation (SAML 2.0 Verbund).

  4. Wählen Sie für SAML-Anbieter den erstellten SAML-Identitätsanbieter aus.

    Wichtig

    Wählen Sie keine der beiden SAML-2.0-Zugriffsmethoden (Nur programmgesteuerten Zugriff erlauben oder Programmgesteuerten Zugriff und Zugriff über Amazon Web Services Management Console erlauben).

  5. Für Attribut wählen Sie SAML:sub_type.

  6. Geben Sie für Wert persistent ein. Dieser Wert schränkt den Rollenzugriff auf Streaming-Anfragen von SAML-Benutzern ein, die eine SAML-Subjekttypangabe mit dem Wert „persistent“ enthalten. Wenn der SAML:sub_type „persistent“ ist, sendet Ihr IdP denselben eindeutigen Wert für das NameID-Element in allen SAML-Anfragen von einem bestimmten Benutzer. Weitere Informationen über die SAML:sub_type-Angabe finden Sie im Abschnitt Eindeutige Identifizierung von Benutzern im SAML-basierten Verbund unter Verwenden des SAML-basierten Verbunds für API-Zugriff auf AWS.

  7. Überprüfen Sie Ihre SAML 2.0-Vertrauensinformationen, um die richtige vertrauenswürdige Entität und Bedingung sicherzustellen, und wählen Sie dann Next: Permissions (Weiter: Berechtigungen).

  8. Wählen Sie auf der Seite Attach permissions policies (Berechtigungsrichtlinien hinzufügen) Next: Tags (Weiter: Tags) aus.

  9. (Optional) Geben Sie einen Schlüssel und einen Wert für jedes Tag ein, das Sie hinzufügen möchten. Weitere Informationen finden Sie unter Markieren von IAM-Benutzern und -Rollen.

  10. Klicken Sie abschließend auf Weiter: Überprüfen. Sie erstellen später eine eingebundene Richtlinie für diese Rolle und betten diese ein.

  11. Geben Sie unter Rollenname einen Rollennamen ein, der Ihnen hilft, den Zweck dieser Rolle zu identifizieren. Da verschiedene Entitäten möglicherweise auf die Rolle verweisen, können Sie den Namen der Rolle nach der Erstellung nicht mehr bearbeiten.

  12. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung für die neue Rolle ein.

  13. Prüfen Sie die Rollendetails und wählen Sie Create Role (Rolle erstellen).

  14. Fügen Sie die sts:TagSession permission zur Vertrauensrichtlinie Ihrer neuen IAM-Rolle hinzu. Weitere Informationen finden Sie unter Übergeben von Sitzungs-Tags in AWS STS. Wählen Sie auf der Detailseite für Ihre neue IAM-Rolle die Registerkarte Vertrauensbeziehungen und anschließend Vertrauensbeziehung bearbeiten. Wenn der Richtlinieneditor für Vertrauensstellungen bearbeiten geöffnet wird, fügen Sie die Berechtigung sts:TagSession* wie folgt hinzu:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/IDENTITY-PROVIDER" }, "Action": [ "sts:AssumeRoleWithSAML", "sts:TagSession" ], "Condition": { "StringEquals": { "SAML:sub_type": "persistent" } } } ] }

Ersetzen Sie IDENTITY-PROVIDER durch den Namen des SAML-IdP, den Sie in Schritt 1 erstellt haben. Wählen Sie Vertrauensrichtlinie aktualisieren aus.

Schritt 3: Einbetten einer eingebundenen Richtlinie für die IAM-Rolle

Anschließend betten Sie eine eingebundene IAM-Richtlinie für die erstellte Rolle ein. Bei der Einbettung einer eingebundenen Richtlinie können die Berechtigungen der Richtlinie nicht versehentlich an die falsche Prinzipal-Entität angefügt werden. Die Inline-Richtlinie bietet Verbundbenutzern Zugriff auf das WorkSpaces Verzeichnis .

Wichtig

IAM-Richtlinien zur Verwaltung des Zugriffs auf AWS basierend auf der Quell-IP werden für die workspaces:Stream Aktion nicht unterstützt. Um IP-Zugriffskontrollen für zu verwalten WorkSpaces, verwenden Sie IP-Zugriffskontrollgruppen . Darüber hinaus können Sie bei Verwendung der SAML-2.0-Authentifizierung IP-Zugriffskontrollrichtlinien verwenden, wenn diese über Ihren SAML-2.0-IdP verfügbar sind.

  1. Wählen Sie in den Details für die IAM-Rolle, die Sie erstellt haben, die Registerkarte Berechtigungen aus und fügen Sie dann die erforderlichen Berechtigungen zur Berechtigungsrichtlinie der Rolle hinzu. Der Assistent zum Erstellen von Richtlinien wird gestartet.

  2. Wählen Sie unter Create policy (Richtlinie erstellen) die Registerkarte JSON.

  3. Kopieren Sie die folgende JSON-Richtlinie und fügen Sie sie in das JSON-Fenster ein. Ändern Sie dann die Ressource, indem Sie Ihren AWS-Regionscode, Ihre Konto-ID und Ihre Verzeichnis-ID eingeben. In der folgenden Richtlinie "Action": "workspaces:Stream" ist die -Aktion, die Ihren WorkSpaces Benutzern Berechtigungen zum Herstellen einer Verbindung mit ihren Desktop-Sitzungen im - WorkSpaces Verzeichnis erteilt.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "workspaces:Stream", "Resource": "arn:aws:workspaces:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:directory/DIRECTORY-ID", "Condition": { "StringEquals": { "workspaces:userId": "${saml:sub}" } } } ] }

    Ersetzen Sie durch REGION-CODE die AWS Region, in der sich Ihr WorkSpaces Verzeichnis befindet. Ersetzen Sie durch DIRECTORY-ID die WorkSpaces Verzeichnis-ID, die Sie in der - WorkSpaces Managementkonsole finden. Verwenden Sie für Ressourcen in AWS GovCloud (USA-West) oder AWS GovCloud (USA-Ost) das folgende Format für den ARN: arn:aws-us-gov:workspaces:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:directory/DIRECTORY-ID.

  4. Klicken Sie abschließend auf Review policy (Richtlinie überprüfen). Die Richtlinienvalidierung meldet mögliche Syntaxfehler.

Schritt 4: Konfigurieren des SAML-2.0-Identitätsanbieters

Abhängig vom SAML-2.0-basierten IdP müssen Sie den IdP gegebenenfalls so aktualisieren, dass er AWS als Serviceanbieter vertraut, indem Sie die Datei saml-metadata.xml aus https://signin.aws.amazon.com/static/saml-metadata.xml in den IdP hochladen. Dieser Schritt aktualisiert die Metadaten Ihres IdP. Bei einigen ist IdPsdas Update möglicherweise bereits konfiguriert. In diesem Fall fahren Sie mit dem nächsten Schritt fort.

Wenn diese Aktualisierung in Ihrem IdP noch nicht konfiguriert ist, lesen Sie in der Dokumentation Ihres IdP nach, wie die Metadaten zu aktualisieren sind. Bei einigen Anbietern können Sie die URL eingeben, woraufhin der Identitätsanbieter die Datei für Sie abruft und installiert. Bei anderen Anbietern müssen Sie die Datei über eine URL herunterladen und dann als lokale Datei bereitstellen.

Wichtig

Derzeit können Sie auch Benutzer in Ihrem IdP autorisieren, auf die WorkSpaces Anwendung zuzugreifen, die Sie in Ihrem IdP konfiguriert haben. Benutzer, die berechtigt sind, auf die WorkSpaces Anwendung für Ihr Verzeichnis zuzugreifen, haben nicht automatisch ein für sie WorkSpace erstellt. Ebenso werden Benutzer, die ein für sie WorkSpace erstellt haben, nicht automatisch für den Zugriff auf die WorkSpaces Anwendung autorisiert. Um mithilfe der SAML-2.0-Authentifizierung erfolgreich eine Verbindung zu einem WorkSpace herzustellen, muss ein Benutzer vom IdP autorisiert sein und muss einen WorkSpace erstellt haben.

Schritt 5: Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort

Konfigurieren Sie als Nächstes die Informationen, die der Identitätsanbieter als SAML-Attribute an AWS als Teil der Authentifizierungsantwort sendet. Abhängig von Ihrem IdP ist dies bereits konfiguriert. Überspringen Sie diesen Schritt und fahren Sie mit Schritt 6: Konfigurieren des Relay-Status Ihres Verbunds fort.

Wenn diese Informationen in Ihrem Identitätsanbieter noch nicht konfiguriert sind, führen Sie die folgenden Schritte aus:

  • SAML Subject NameID – Die eindeutige ID für den Benutzer, der sich anmeldet. Der Wert muss mit dem WorkSpaces Benutzernamen übereinstimmen und ist normalerweise das sAMAccountName-Attribut für den Active-Directory-Benutzer.

  • SAML-Subjekttyp (mit dem Wert persistent) – Durch Verwendung des Werts persistent stellen Sie sicher, dass Ihr IdP in allen SAML-Anfragen von einem bestimmten Benutzer dasselbe NameID-Element sendet. Stellen Sie sicher, dass Ihre IAM-Richtlinie eine Bedingung enthält, um ausschließlichen SAML-Anfragen mit dem SAML sub_type persistent zuzulassen, wie in Erstellen einer IAM-Rolle für den SAML-2.0-Verbund beschrieben.

  • Attribute-Element mit dem Name-Attribut https://aws.amazon.com/SAML/Attributes/Role – Dieses Element enthält ein oder mehrere AttributeValue-Elemente, die die IAM-Rollen und den SAML IdP auflisten, denen der Benutzer durch Ihren IdP zugeordnet ist. Die Rolle und der IdP werden durch Kommas getrennte Liste von ARN-Paaren angegeben. Ein Beispiel für den erwarteten Wert ist arn:aws:iam::ACCOUNTNUMBER:role/ROLENAME,arn:aws:iam::ACCOUNTNUMBER:saml-provider/PROVIDERNAME.

  • Attribute-Element mit dem Name-Attribut https://aws.amazon.com/SAML/Attributes/RoleSessionName – Dieses Element enthält ein AttributeValue-Element, das einen Bezeichner für die temporären AWS-Anmeldeinformationen bereitstellt, die für SSO ausgestellt werden. Der Wert des AttributeValue-Elements muss zwischen 2 und 64 Zeichen lang sein und darf nur alphanumerische Zeichen, Unterstriche und die folgenden Zeichen enthalten: _ . : / = + - @. Leerzeichen dürfen nicht enthalten sein. Der Wert ist in der Regel eine E-Mail-Adresse oder ein User Principle Name (UPN). Er sollte kein Wert mit einem Leerzeichen (z. B. der Anzeigename eines Benutzers) sein.

  • Attribute-Element, bei dem das Name-Attribut https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email ist – Dieses Element enthält ein AttributeValue-Element, das die E-Mail-Adresse des/der Benutzer:in angibt. Der Wert muss mit der E-Mail-Adresse des WorkSpaces Benutzers übereinstimmen, wie im WorkSpaces Verzeichnis definiert. Tag-Werte können Kombinationen aus Buchstaben, Zahlen, Leerzeichen sein und die folgenden Zeichen enthalten: _ . : / = + - @ Weitere Informationen finden Sie unter Regeln zum Markieren in IAM und AWS STS im IAM-Benutzerhandbuch.

  • Attribute-Element, bei dem das Name-Attribut https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName ist (optional) – Dieses Element enthält ein AttributeValue-Element, das die Active-Directory-userPrincipalName für den Benutzer bereitstellt, der sich anmeldet. Das Format des von Ihnen angegebenen Wertes muss username@domain.com sein. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung als alternativer Name des Subjekts im Endbenutzerzertifikat verwendet. Weitere Informationen finden Sie unter „Zertifikatbasierte Authentifizierung“.

  • Attribute-Element, bei dem das Name-Attribut https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid ist (optional) – Dieses Element enthält ein AttributeValue-Element, das die Active-Directory-SID (Security Identifier) für den/die Benutzer:in bereitstellt, der/die sich anmeldet. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung verwendet, um eine sichere Zuordnung zu Active-Directory-Benutzern zu ermöglichen. Weitere Informationen finden Sie unter „Zertifikatbasierte Authentifizierung“.

  • Attribute-Element, bei dem das Name-Attribut https://aws.amazon.com/SAML/Attributes/PrincipalTag:ClientUserName ist (optional) – Dieses Element enthält ein AttributeValue-Element, das ein alternatives Benutzernamenformat bereitstellt. Verwenden Sie dieses Attribut, wenn Sie Anwendungsfälle haben, die Benutzernamenformate wie corp\username, oder erforderncorp.example.com\username, username@corp.example.com um sich mit dem WorkSpaces Client anzumelden. Tag-Schlüssel und -Werte können eine beliebige Kombination aus Buchstaben, Zahlen, Leerzeichen sein und die Zeichen _ : / . + = @ - enthalten. Weitere Informationen finden Sie unter Regeln zum Markieren in IAM und AWS STS im IAM-Benutzerhandbuch. Ersetzen Sie\ in der SAML-Assertion durch/, um corp\username- oder corp.example.com\username-Formate anzugeben.

  • -AttributeElement mit dem -NameAttribut https://aws.amazon.com/SAML/Attributes/PrincipalTag:Domain (optional) – Dieses Element enthält ein -AttributeValueElement, das den vollqualifizierten Active-Directory-DNS-Domainnamen (FQDN) für Benutzer bereitstellt, die sich anmelden. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung verwendet, wenn die Active-Directory-userPrincipalName für die Benutzer ein alternatives Suffix enthält. Der Wert muss in der domain.com angegeben werden, einschließlich aller Unterdomains.

  • -AttributeElement mit dem -NameAttribut https://aws.amazon.com/SAML/Attributes/SessionDuration (optional) – Dieses Element enthält ein -AttributeValueElement, das die maximale Zeit angibt, die eine Verbund-Streaming-Sitzung für einen Benutzer aktiv bleiben kann, bevor eine erneute Authentifizierung erforderlich ist. Der Standardwert liegt bei 3600 Sekunden (60 Minuten). Weitere Informationen finden Sie unter SAML SessionDurationAttribute.

    Anmerkung

    Auch wenn es sich bei SessionDuration um ein optionales Attribut handelt, wird empfohlen, es in die SAML-Antwort aufzunehmen. Wenn Sie dieses Attribut nicht angeben, wird die Sitzungsdauer auf einen Standardwert von 3600 Sekunden (60 Minuten) festgelegt. WorkSpaces Die Desktop-Sitzungen werden nach Ablauf ihrer Sitzungsdauer getrennt.

Weitere Informationen über die Konfiguration dieser Elemente finden Sie unter Konfigurieren von SAML-Zusicherungen für die Authentifizierungsantwort im IAM-Benutzerhandbuch. Weitere Informationen zu spezifischen Konfigurationsanforderungen für Ihren IdP finden Sie in der Dokumentation zu Ihrem IdP.

Schritt 6: Konfigurieren des Relay-Status für den Verbund

Verwenden Sie als Nächstes Ihren IdP, um den Relay-Status Ihres Verbunds so zu konfigurieren, dass er auf die WorkSpaces Verzeichnis-Relay-Status-URL verweist. Nach erfolgreicher Authentifizierung durch wird AWSder Benutzer an den WorkSpaces Verzeichnisendpunkt weitergeleitet, der als Relay-Status in der SAML-Authentifizierungsantwort definiert ist.

Der Relay-Status-URL hat das folgende Format:

https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code

Erstellen Sie Ihre Relay-Status-URL aus Ihrem WorkSpaces Verzeichnisregistrierungscode und dem Relay-Status-Endpunkt, der der Region zugeordnet ist, in der sich Ihr Verzeichnis befindet. Der Registrierungscode finden Sie in der - WorkSpaces Managementkonsole.

Wenn Sie die regionsübergreifende Umleitung für verwenden WorkSpaces, können Sie optional den Registrierungscode durch den vollqualifizierten Domainnamen (FQDN) ersetzen, der mit Verzeichnissen in Ihren primären und Failover-Regionen verknüpft ist. Weitere Informationen finden Sie unter Regionsübergreifende Umleitung für Amazon WorkSpaces. Wenn Sie die regionsübergreifende Umleitung und die SAML-2.0-Authentifizierung verwenden, müssen sowohl das Primär- als auch das Failover-Verzeichnis für die SAML-2.0-Authentifizierung aktiviert und unabhängig voneinander mit dem IdP konfiguriert werden, wobei der Relay-Status-Endpunkt verwendet wird, der jeder Region zugeordnet ist. Auf diese Weise kann der FQDN korrekt konfiguriert werden, wenn Benutzer ihre WorkSpaces Clientanwendungen vor der Anmeldung registrieren, und ermöglicht Benutzern die Authentifizierung während eines Failover-Ereignisses.

In der folgenden Tabelle sind die Relay-Status-Endpunkte für die Regionen aufgeführt, in denen die WorkSpaces SAML-2.0-Authentifizierung verfügbar ist.

Regionen, in denen die WorkSpaces SAML-2.0-Authentifizierung verfügbar ist
Region RelayState-Endpunkt
Region USA Ost (Nord-Virginia)
  • workspaces.euc-sso.us-east-1.aws.amazon.com

  • (FIPS) Workspaces.euc-sso-fips.us-east-1.aws.amazon.com

Region USA West (Oregon)
  • workspaces.euc-sso.us-west-2.aws.amazon.com

  • (FIPS) Workspaces.euc-sso-fips.us-west-2.aws.amazon.com

Region Afrika (Kapstadt) workspaces.euc-sso.af-south-1.aws.amazon.com
Region Asien-Pazifik (Mumbai) workspaces.euc-sso.ap-south-1.aws.amazon.com
Region Asien-Pazifik (Seoul) workspaces.euc-sso.ap-northeast-2.aws.amazon.com
Region Asien-Pazifik (Singapur) workspaces.euc-sso.ap-southeast-1.aws.amazon.com
Region Asien-Pazifik (Sydney) workspaces.euc-sso.ap-southeast-2.aws.amazon.com
Region Asien-Pazifik (Tokio) workspaces.euc-sso.ap-northeast-1.aws.amazon.com
Region Kanada (Zentral) workspaces.euc-sso.ca-central-1.aws.amazon.com
Region Europa (Frankfurt) workspaces.euc-sso.eu-central-1.aws.amazon.com
Region Europa (Irland) workspaces.euc-sso.eu-west-1.aws.amazon.com
Region Europa (London) workspaces.euc-sso.eu-west-2.aws.amazon.com
Region Südamerika (São Paulo) workspaces.euc-sso.sa-east-1.aws.amazon.com
Region Israel (Tel Aviv) workspaces.euc-sso.il-central-1.aws.amazon.com
AWS GovCloud (USA West)
  • Workspaces.euc-sso.us-gov-west-1.amazonaws-us-govcom

  • (FIPS) Workspaces.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com

Anmerkung

Weitere Informationen zu finden Sie unter Amazon WorkSpaces im AWS GovCloud (US)-Benutzerhandbuch.

AWS GovCloud (USA-Ost)
  • Workspaces.euc-sso.us-gov-east-1.amazonaws-us-govcom

  • (FIPS) Workspaces.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com

Anmerkung

Weitere Informationen zu finden Sie unter Amazon WorkSpaces im AWS GovCloud (US)-Benutzerhandbuch.

Schritt 7: Aktivieren der Integration mit SAML 2.0 in Ihrem WorkSpaces Verzeichnis

Sie können die WorkSpaces Konsole verwenden, um die SAML-2.0-Authentifizierung für das WorkSpaces Verzeichnis zu aktivieren.

So aktivieren Sie die Integration mit SAML 2.0
  1. Öffnen Sie die - WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie im Navigationsbereich Verzeichnisse aus.

  3. Wählen Sie die Verzeichnis-ID für Ihr aus WorkSpaces.

  4. Wählen Sie unter Authentifizierung die Option Bearbeiten aus.

  5. Wählen Sie SAML-2.0-Identitätsanbieter bearbeiten aus.

  6. Aktivieren Sie das Kontrollkästchen SAML-2.0-Authentifizierung aktivieren.

  7. Geben Sie für die Benutzerzugriffs-URL und Name des IdP-Deep-Link-Parameters Werte ein, die für Ihren IdP und die Anwendung gelten, die Sie in Schritt 1 konfiguriert haben. Der Standardwert für den IdP-Deep-Link-Parameternamen ist „RelayState“, wenn Sie diesen Parameter weglassen. In der folgenden Tabelle sind URLs und Parameternamen für den Benutzerzugriff aufgeführt, die für verschiedene Identitätsanbieter für Anwendungen eindeutig sind.

    Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten
    Identitätsanbieter Parameter URL für den Benutzerzugriff
    ADFS RelayState https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>
    Azure AD RelayState https://myapps.microsoft.com/signin/<app_id>?tenantId=<tenant_id>
    Duo Single-Sign-On RelayState https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app_id>/sso
    Okta RelayState https://<sub_domain>.okta.com/app/<app_name>/<app_id>/sso/saml
    OneLogin RelayState https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>
    PingFederate TargetResource https://<host>/idp/startSSO.ping?PartnerSpId=<sp_id>
    PingOne für Enterprise TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app_id>&idpid=<idp_id>

    Die Benutzerzugriffs-URL wird normalerweise vom Anbieter für unaufgefordertes, vom IdP initiiertes SSO definiert. Ein Benutzer kann diese URL in einen Webbrowser eingeben, um sich direkt mit der SAML-Anwendung zu verbinden. Wählen Sie Testen aus, um die Benutzerzugriffs-URL und die Parameterwerte für Ihren IdP zu testen. Kopieren Sie die Test-URL und fügen Sie sie in ein privates Fenster Ihres aktuellen Browsers oder eines anderen Browsers ein, um die SAML-2.0-Anmeldung zu testen, ohne Ihre aktuelle AWS-Verwaltungskonsolensitzung zu unterbrechen. Wenn der IdP initiierte Flow geöffnet wird, können Sie Ihren WorkSpaces Client registrieren. Weitere Informationen finden Sie unter Vom Identitätsanbieter (IdP) initiierter Flow.

  8. Aktivieren oder deaktivieren Sie die Option Anmeldung für Clients zulassen, die SAML 2.0 nicht unterstützen, um die Fallback-Einstellungen zu verwalten. Aktivieren Sie diese Einstellung, um Ihren Benutzern weiterhin Zugriff auf zu gewähren, indem Sie Clienttypen oder Versionen WorkSpaces verwenden, die SAML 2.0 nicht unterstützen, oder wenn Benutzer Zeit benötigen, um auf die neueste Clientversion zu aktualisieren.

    Anmerkung

    Diese Einstellung ermöglicht es Benutzern, SAML 2.0 zu umgehen und sich mithilfe der Verzeichnisauthentifizierung mit älteren Client-Versionen anzumelden.

  9. Aktivieren Sie Web Access, um SAML mit dem Webclient zu verwenden. Weitere Informationen finden Sie unter Amazon WorkSpaces Web Access aktivieren und konfigurieren.

    Anmerkung

    PCoIP mit SAML wird bei Web Access nicht unterstützt.

  10. Wählen Sie Speichern. Ihr WorkSpaces Verzeichnis ist jetzt mit der SAML-2.0-Integration aktiviert. Sie können die IdP initiierten und von Clientanwendungen initiierten Flows verwenden, um WorkSpaces Clientanwendungen zu registrieren und sich bei anzumelden WorkSpaces.