Configurar SAML 2.0 y crear un directorio de WorkSpaces grupos - Amazon WorkSpaces
Paso 1: Tenga en cuenta los requisitosPaso 2: Completar los requisitos previosPaso 3: Cree un proveedor de SAML identidad en IAMPaso 4: Crear un directorio WorkSpace de gruposPaso 5: Cree un IAM rol de federación SAML 2.0Paso 6: Configure su proveedor de identidad SAML 2.0Paso 7: Crear aserciones para la respuesta de autenticación SAMLPaso 8: Configure el estado de retransmisión de su federaciónPaso 9: Habilita la integración con la SAML versión 2.0 en el directorio de tu WorkSpace grupo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar SAML 2.0 y crear un directorio de WorkSpaces grupos

Puede habilitar el registro de las aplicaciones WorkSpaces cliente y el inicio de sesión WorkSpaces en un WorkSpaces grupo configurando la federación de identidades mediante la SAML versión 2.0. Para ello, utiliza un rol AWS Identity and Access Management (IAM) y un estado de retransmisión URL para configurar su proveedor de identidades (IdP) SAML 2.0 y habilitarlo para él. AWS De este modo, los usuarios federados tienen acceso a un directorio de grupos WorkSpace . El estado de retransmisión es el punto final del WorkSpaces directorio al que se redirige a los usuarios después de iniciar AWS sesión correctamente.

Temas

Paso 1: Tenga en cuenta los requisitos

Al configurar un directorio de WorkSpaces grupos, se aplican SAML los siguientes requisitos.

  • El DefaultRole IAM rol workspaces_ debe existir en su cuenta. AWS Este rol se crea automáticamente cuando se utiliza la Configuración WorkSpaces rápida o si anteriormente se ha iniciado uno con la. WorkSpace AWS Management Console Concede WorkSpaces permiso a Amazon para acceder a AWS recursos específicos en tu nombre. Si el rol ya existe, es posible que tengas que adjuntarle la política AmazonWorkSpacesPoolServiceAccess gestionada, que Amazon WorkSpaces utiliza para acceder a los recursos necesarios en la AWS cuenta de WorkSpaces Pools. Para obtener más información, consulte Cree el rol workspaces_ DefaultRole y AWS política gestionada: AmazonWorkSpacesPoolServiceAccess.

  • Puede configurar la autenticación SAML 2.0 para los WorkSpaces grupos Regiones de AWS que admitan esta función. Para obtener más información, consulte Regiones de AWS y zonas de disponibilidad para WorkSpaces piscinas.

  • Para utilizar la autenticación SAML 2.0 WorkSpaces, el IdP debe admitir un IdP no solicitado iniciado SSO con un recurso de destino de enlace profundo o un punto final de estado de retransmisión. URL Algunos ejemplos IdPs que lo respaldan son Azure ADADFS, Duo Single Sign-On, Okta y. PingFederate PingOne Para obtener más información, consulte la documentación de su IdP.

  • SAMLLa autenticación 2.0 solo se admite en los siguientes clientes. WorkSpaces Para ver los WorkSpaces clientes más recientes, consulta la página de descargas de Amazon WorkSpaces Client.

    • Aplicación cliente para Windows, versión 5.20.0 o posterior

    • Cliente macOS versión 5.20.0 o posterior

    • Acceso web

Paso 2: Completar los requisitos previos

Complete los siguientes requisitos previos antes de configurar su conexión de IdP SAML 2.0 a WorkSpaces un directorio de grupos.

  • Configure el IdP para establecer una relación de confianza con AWS.

  • Consulte Integrar proveedores de SAML soluciones de terceros con AWS para obtener más información sobre la configuración AWS de la federación. Los ejemplos relevantes incluyen la integración del IdP con IAM para acceder al. AWS Management Console

  • Use su IdP para generar y descargar un documento de metadatos de federación que describa su organización como proveedor de identidades. Este XML documento firmado se utiliza para establecer la confianza de la parte que confía. Guarde este archivo en una ubicación a la que pueda acceder desde la IAM consola más adelante.

  • Cree un WorkSpaces directorio de grupos mediante la WorkSpaces consola. Para obtener más información, consulte Uso de Active Directory con WorkSpaces grupos.

  • Cree un WorkSpaces grupo para los usuarios que puedan iniciar sesión en el IdP mediante un tipo de directorio compatible. Para obtener más información, consulte Crear una WorkSpaces piscina.

Paso 3: Cree un proveedor de SAML identidad en IAM

Para empezar, debe crear un SAML IdP en. IAM Este IdP define la relación entre el IDP y la AWS confianza de su organización mediante el documento de metadatos generado por el software de IdP de su organización. Para obtener más información, consulte Creación y administración de un proveedor de SAML identidades en la Guía del usuario.AWS Identity and Access Management Para obtener información sobre cómo trabajar con SAML IdPs AWS GovCloud (US) Regionsél, consulte AWS Identity and Access Managementla Guía del AWS GovCloud (US) usuario.

Paso 4: Crear un directorio WorkSpace de grupos

Complete el siguiente procedimiento para crear un directorio WorkSpaces de grupos.

  1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. Seleccione Directorios en el panel de navegación.

  3. Seleccione la pestaña de directorios de grupos.

  4. Elija Crear directorio WorkSpaces de grupos.

  5. En la sección Fuente de identidad de usuario de la página:

    1. Introduzca un valor de marcador de posición en el cuadro de URL texto de acceso de usuario. Por ejemplo, introdúzcalo placeholder en el cuadro de texto. Lo editará más adelante, después de configurar los derechos de solicitud en su IdP.

    2. Deje en blanco el cuadro de texto del nombre del parámetro del estado de retransmisión. Lo editará más adelante, después de configurar los derechos de solicitud en su IdP.

  6. En la sección de información del directorio de la página, introduzca un nombre y una descripción para el directorio. El nombre y la descripción del directorio deben tener menos de 128 caracteres, pueden contener caracteres alfanuméricos y los siguientes caracteres especiales:_ @ # % * + = : ? . / ! \ -. El nombre y la descripción del directorio no pueden empezar por un carácter especial.

  7. En la sección Redes y seguridad de la página:

    1. Elija una VPC y dos subredes que tengan acceso a los recursos de red que necesita su aplicación. Para aumentar la tolerancia a los errores, debe elegir dos subredes en distintas zonas de disponibilidad.

    2. Elija un grupo de seguridad que permita WorkSpaces crear enlaces de red en suVPC. Los grupos de seguridad controlan el tráfico de red desde el que se permite que fluya WorkSpaces hacia ustedVPC. Por ejemplo, si su grupo de seguridad restringe todas las HTTPS conexiones entrantes, los usuarios que accedan a su portal web no podrán cargar HTTPS sitios web desde él. WorkSpaces

  8. La sección Config de Active Directory es opcional. Sin embargo, si planea usar un AD con sus WorkSpaces grupos, debe especificar los detalles de Active Directory (AD) durante la creación del directorio de WorkSpaces grupos. No puede editar la configuración de Active Directory para el directorio de WorkSpaces grupos después de crearla. Para obtener más información sobre cómo especificar los detalles de AD para el WorkSpaces directorio de grupos, consulteEspecifique los detalles de Active Directory para el directorio de WorkSpaces grupos. Tras completar el proceso descrito en ese tema, debería volver a él para terminar de crear el directorio de WorkSpaces grupos.

    Puede omitir la sección Config de Active Directory si no planea usar un AD con sus WorkSpaces grupos.

  9. En la sección de propiedades de streaming de la página:

    • Elija el comportamiento de los permisos del portapapeles e introduzca una copia en el límite de caracteres local (opcional) y péguela en el límite de caracteres de la sesión remota (opcional).

    • Elija permitir o no permitir la impresión en el dispositivo local.

    • Elija permitir o no permitir el registro de diagnósticos.

    • Elija permitir o no permitir el inicio de sesión con tarjeta inteligente. Esta función solo se aplica si habilitó la configuración de AD anteriormente en este procedimiento.

  10. En la sección Almacenamiento de la página, puede optar por habilitar las carpetas principales.

  11. En la sección de IAM roles de la página, elige un IAM rol para que esté disponible para todas las instancias de streaming de escritorio. Para crear uno nuevo, selecciona Crear un nuevo IAM rol.

    Cuando aplicas un IAM rol de tu cuenta a un directorio del WorkSpace grupo, puedes realizar AWS API solicitudes desde un WorkSpace directorio del WorkSpace grupo sin tener que administrar AWS las credenciales manualmente. Para obtener más información, consulte Crear un rol para delegar permisos a un IAM usuario en la Guía AWS Identity and Access Management del usuario.

  12. Seleccione Crear directorio WorkSpaces de grupos.

Paso 5: Cree un IAM rol de federación SAML 2.0

Complete el siguiente procedimiento para crear un IAM rol de federación SAML 2.0 en la IAM consola.

  1. Abra la IAM consola en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles en el panel de navegación.

  3. Elija Crear rol.

  4. Elija la federación SAML 2.0 como tipo de entidad de confianza.

  5. Para el proveedor SAML basado en 2.0, elige el proveedor de identidades en IAM el que lo creaste. Para obtener más información, consulte Crear un proveedor de SAML identidad en IAM.

  6. Seleccione Permitir el acceso solo mediante programación para permitir el acceso.

  7. Elija: AUD SAML para el atributo.

  8. En Valor, introduzca https://signin.aws.amazon.com/saml. Este valor restringe el acceso de los roles a las solicitudes SAML de streaming de los usuarios que incluyen una afirmación de tipo de SAML asunto con un valor de. persistent Si el:sub_type SAML es persistente, su IdP envía el mismo valor único para el elemento NameID en todas las solicitudes de un usuario en particular. SAML Para obtener más información, consulte Identificación exclusiva de los usuarios en una federación SAML basada en la Guía del usuario.AWS Identity and Access Management

  9. Elija Siguiente para continuar.

  10. No realice cambios ni selecciones en la página Añadir permisos. Elija Siguiente para continuar.

  11. Introduzca un nombre y una descripción para el rol.

  12. Elija Crear rol.

  13. En la página Funciones, elija la función que debe crear.

  14. Seleccione la pestaña Relaciones de confianza.

  15. Elija Editar la política de confianza.

  16. En el cuadro de JSON texto Editar política de confianza, añada la TagSession acción sts: a la política de confianza. Para obtener más información, consulte Pasar etiquetas de sesión AWS STS en la Guía AWS Identity and Access Management del usuario.

    El resultado debe ser similar al siguiente ejemplo:

    Un ejemplo de política de confianza.

  17. Elija Actualizar política.

  18. Elija la pestaña Permisos.

  19. En la sección Políticas de permisos de la página, selecciona Añadir permisos y, a continuación, selecciona Crear política integrada.

  20. En la sección del editor de políticas de la página, selecciona JSON.

  21. En el cuadro de JSON texto del editor de políticas, introduzca la siguiente política. Asegúrese de reemplazar:

    • <region-code> con el código de la AWS región en la que creó el directorio de su WorkSpace grupo.

    • <account-id> con el ID AWS de la cuenta.

    • <directory-id> con el ID del directorio que creó anteriormente. Puede obtenerlo en la WorkSpaces consola.

    Para los recursos en AWS GovCloud (US) Regions, utilice el siguiente formato paraARN:arn:aws-us-gov:workspaces:<region-code>:<account-id>:directory/<directory-id>.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "workspaces:Stream",
            "Resource": "arn:aws:workspaces:<region-code>:<account-id>:directory/<directory-id>",
            "Condition": {
                "StringEquals": {"workspaces:userId": "${saml:sub}"}
            }
        }
    ]
}

  22. Elija Next (Siguiente).

  23. Escriba un nombre para la política y elija Create policy (Crear política).

Paso 6: Configure su proveedor de identidad SAML 2.0

Según tu IdP SAML 2.0, es posible que tengas que actualizar manualmente tu IdP para que AWS sea confiable como proveedor de servicios. Para ello, descarga el saml-metadata.xml archivo que se encuentra en https://signin.aws.amazon.com/static/saml-metadata.xml y, a continuación, lo carga en tu IdP. Esto actualiza los metadatos de tu IdP.

En algunos casos IdPs, es posible que la actualización ya esté configurada. Puedes saltarte este paso si ya está configurado. Si la actualización aún no está configurada en su IdP, consulte la documentación proporcionada por su IdP para obtener información sobre cómo actualizar los metadatos. Algunos proveedores le dan la opción de escribir el XML archivo en su panel URL de control, y el IdP obtiene e instala el archivo por usted. Otros requieren que descargues el archivo desde el panel de control URL y, a continuación, lo subas a su panel de control.

importante

En este momento, también puede autorizar a los usuarios de su IdP a acceder a la WorkSpaces aplicación que ha configurado en su IdP. A los usuarios que están autorizados a acceder a la WorkSpaces aplicación de su directorio no se les WorkSpace crea automáticamente una. Del mismo modo, los usuarios que hayan WorkSpace creado una para ellos no están autorizados automáticamente a acceder a la WorkSpaces aplicación. Para conectarse correctamente a una autenticación WorkSpace mediante la autenticación SAML 2.0, un usuario debe estar autorizado por el IdP y debe haber creado un WorkSpace .

Paso 7: Crear aserciones para la respuesta de autenticación SAML

Configure la información que su IdP envía AWS como SAML atributos en su respuesta de autenticación. Según su IdP, es posible que ya esté configurado. Puede omitir este paso si ya está configurado. Si aún no está configurado, proporciona lo siguiente:

  • SAMLSubject NameID: el identificador único del usuario que inicia sesión. No cambies el formato o el valor de este campo. De lo contrario, la función de carpeta principal no funcionará como se esperaba porque el usuario será tratado como un usuario diferente.

    nota

    En el caso de los WorkSpaces grupos unidos a un dominio, el NameID valor para el usuario debe proporcionarse en el domain\username formato que utilice elsAMAccountName, o en el username@domain.com formato que utiliceuserPrincipalName, o simplemente. userName Si utiliza este sAMAccountName formato, puede especificar el dominio mediante el nombre de red o el BIOS nombre de dominio completo ()FQDN. El sAMAccountName formato es obligatorio para los escenarios de confianza unidireccional de Active Directory. Para obtener más información, consulteUso de Active Directory con WorkSpaces grupos. Si solo userName se proporciona, el usuario iniciará sesión en el dominio principal

  • SAMLTipo de asunto (con un valor establecido enpersistent): establecer el valor para persistent garantizar que su IdP envíe el mismo valor único para el NameID elemento en todas las SAML solicitudes de un usuario en particular. Asegúrese de que su IAM política incluya una condición para permitir solo SAML las solicitudes con un valor SAML sub_type establecido en 1persistent, tal y como se describe en la Paso 5: Cree un IAM rol de federación SAML 2.0 sección.

  • Attributeelemento con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/Role: este elemento contiene uno o más AttributeValue elementos que enumeran el rol IAM y el IdP a los que el SAML IdP asigna al usuario. El rol y el IdP se especifican como un par delimitado por comas de. ARNs Un ejemplo del valor esperado es arn:aws:iam::<account-id>:role/<role-name>,arn:aws:iam::<account-id>:saml-provider/<provider-name>.

  • Attributeelemento con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/ RoleSessionName: este elemento contiene un AttributeValue elemento que proporciona un identificador para las credenciales AWS temporales para las que se emiten. SSO El valor del AttributeValue elemento debe tener entre 2 y 64 caracteres, puede contener caracteres alfanuméricos y los siguientes caracteres especiales:. _ . : / = + - @ No puede contener espacios. El valor suele ser una dirección de correo electrónico o un nombre principal de usuario (UPN). No debe ser un valor que contenga un espacio, como el nombre visible de un usuario.

  • Attributeelemento con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/:EmailPrincipalTag: este elemento contiene un elemento AttributeValue que proporciona la dirección de correo electrónico del usuario. El valor debe coincidir con la dirección de correo electrónico del WorkSpaces usuario tal como se define en el directorio. WorkSpaces Los valores de las etiquetas pueden incluir combinaciones de letras, números, espacios y _ . : / = + - @ caracteres. Para obtener más información, consulte las reglas de etiquetado en IAM y AWS STS en la Guía del AWS Identity and Access Management usuario.

  • AttributeElemento (opcional) con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/PrincipalTag: UserPrincipalName — Este elemento contiene un AttributeValue elemento que proporciona Active Directory al userPrincipalName usuario que inicia sesión. El valor debe proporcionarse en el username@domain.com formato. Este parámetro se usa con la autenticación basada en certificados como nombre alternativo del sujeto en el certificado del usuario final. Para obtener más información, consulte Autenticación basada en certificados.

  • AttributeElemento (opcional) con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/PrincipalTag: ObjectSid (opcional): este elemento contiene un AttributeValue elemento que proporciona el identificador de seguridad de Active Directory (SID) para el usuario que inicia sesión. Este parámetro se usa con la autenticación basada en certificados para permitir una asignación firme con el usuario de Active Directory. Para obtener más información, consulte Autenticación basada en certificados.

  • AttributeElemento (opcional) con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/:DomainPrincipalTag: este elemento contiene un elemento AttributeValue que proporciona el nombre de DNS dominio completo de Active Directory () para que los usuarios inicien sesión. FQDN Este parámetro se usa con la autenticación basada en certificados cuando el userPrincipalName de Active Directory del usuario contiene un sufijo alternativo. El valor debe proporcionarse en el domain.com formato y debe incluir todos los subdominios.

  • AttributeElemento (opcional) con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/ SessionDuration: este elemento contiene un AttributeValue elemento que especifica el tiempo máximo que una sesión de streaming federada de un usuario puede permanecer activa antes de que sea necesario volver a autenticarse. El valor predeterminado es 3600 segundos (60 minutos). Para obtener más información, consulte SAML SessionDurationAttributela Guía AWS Identity and Access Management del usuario.

    nota

    Aunque SessionDuration es un atributo opcional, le recomendamos que lo incluya en la SAML respuesta. Si no especifica este atributo, la duración de la sesión se establece en un valor predeterminado de 3600 segundos (60 minutos). WorkSpaces las sesiones de escritorio se desconectan una vez expirada la duración de la sesión.

Para obtener más información sobre cómo configurar estos elementos, consulte Configuración de SAML aserciones para la respuesta de autenticación en la Guía del AWS Identity and Access Management usuario. Para obtener información sobre los requisitos de configuración específicos de su IdP, consulte la documentación de su IdP.

Paso 8: Configure el estado de retransmisión de su federación

Utilice su IdP para configurar el estado de retransmisión de su federación para que apunte al estado de retransmisión del directorio del WorkSpaces grupo. URL Tras la correcta autenticación AWS, se dirige al usuario al punto final del directorio WorkSpaces Pool, definido como el estado de retransmisión en la respuesta de SAML autenticación.

En la siguiente tabla se enumeran los puntos finales del estado de retransmisión de las AWS regiones en las que está disponible la autenticación WorkSpaces SAML 2.0. AWS Se han eliminado las regiones en las que la función de WorkSpaces grupos no está disponible.

Región Punto de conexión del estado de retransmisión
Región del este de EE. UU. (Norte de Virginia) workspaces.euc-sso.us-east-1.aws.amazon.com
Región del oeste de EE. UU (Oregón) workspaces.euc-sso.us-west-2.aws.amazon.com
Región de Asia-Pacífico (Bombay) workspaces.euc-sso.ap-south-1.aws.amazon.com
Región de Asia-Pacífico (Seúl) workspaces.euc-sso.ap-northeast-2.aws.amazon.com
Región de Asia-Pacífico (Singapur) workspaces.euc-sso.ap-southeast-1.aws.amazon.com
Región de Asia-Pacífico (Sídney) workspaces.euc-sso.ap-southeast-1.aws.amazon.com
Asia Pacífico (Tokio) workspaces.euc-sso.ap-northeast-2.aws.amazon.com
Región de Canadá (centro) workspaces.euc-sso.us-east-1.aws.amazon.com
Región de Europa (Fráncfort) workspaces.euc-sso.eu-central-1.aws.amazon.com
Región de Europa (Irlanda) workspaces.euc-sso.eu-west-1.aws.amazon.com
Región de Europa (Londres) workspaces.euc-sso.eu-west-1.aws.amazon.com
Región de América del Sur (São Paulo) workspaces.euc-sso.sa-east-1.aws.amazon.com
AWS GovCloud (EE. UU.-Oeste) workspaces.euc-sso. us-gov-west-1. amazonaws-us-gov.com
nota

Para obtener información sobre cómo trabajar con SAML IdPs él AWS GovCloud (US) Regions, consulta la Guía del usuario de Amazon WorkSpacesAWS GovCloud (EE. UU.).
AWS GovCloud (Este de EE. UU.) workspaces.euc-sso. us-gov-east-1. amazonaws-us-gov.com
nota

Para obtener información sobre cómo trabajar con SAML IdPs él AWS GovCloud (US) Regions, consulta la Guía del usuario de Amazon WorkSpacesAWS GovCloud (EE. UU.).

Paso 9: Habilita la integración con la SAML versión 2.0 en el directorio de tu WorkSpace grupo

Complete el siguiente procedimiento para habilitar la autenticación SAML 2.0 en el directorio del WorkSpaces grupo.

  1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. Seleccione Directorios en el panel de navegación.

  3. Seleccione la pestaña de directorios de grupos.

  4. Elija el ID del directorio que desea editar.

  5. Elija Editar en la sección de autenticación de la página.

  6. Elija Editar proveedor de identidad SAML 2.0.

  7. Para el acceso de usuario URL, que a veces se conoce como SSO URL «», sustituya el valor del marcador de posición por el que le SSO URL proporciona su IdP.

  8. Para el nombre del parámetro de enlace profundo del IdP, introduzca el parámetro aplicable a su IdP y a la aplicación que ha configurado. El valor predeterminado es RelayState si omite el nombre del parámetro.

    En la siguiente tabla se enumeran los nombres de los parámetros de acceso de usuario URLs y de enlace directo que son exclusivos de los distintos proveedores de identidad de las aplicaciones.

    Proveedor de identidades Parámetro Acceso de usuario URL
    ADFS RelayState https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>
    Azure AD RelayState https://myapps.microsoft.com/signin/<app-id>?tenantId=<tenant-id>
    Duo Single Sign-On RelayState https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app-id>/sso
    Okta RelayState https://<sub-domain>.okta.com/app/<app-name>/<app-id>/sso/saml
    OneLogin RelayState https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>
    JumpCloud RelayState https://sso.jumpcloud.com/saml2/<app-id>
    Auth0 RelayState https://<default-tenant-name>.us.auth0.com/samlp/<client-id>
    PingFederate TargetResource https://<host>/idp/startSSO.ping?PartnerSpId=<sp-id>
    PingOne para Enterprise TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app-id>&idpid=<idp-id>

  9. Seleccione Guardar.