Configurar SAML 2.0 y crear un directorio de WorkSpaces grupos - Amazon WorkSpaces
Paso 1: tener en cuenta los requisitosPaso 2: Completar los requisitos previosPaso 3: Cree un proveedor de SAML identidad en IAMPaso 4: Crear un directorio WorkSpace de gruposPaso 5: Crear un IAM rol de federación SAML 2.0Paso 6: Configure su proveedor de identidad SAML 2.0Paso 7: Crear aserciones para la respuesta de autenticación SAMLPaso 8: configurar el estado de retransmisión de la federaciónPaso 9: Habilita la integración con la SAML versión 2.0 en el directorio de tu WorkSpace grupoResolución de problemas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar SAML 2.0 y crear un directorio de WorkSpaces grupos

Puede habilitar el registro de las aplicaciones WorkSpaces cliente y el inicio de sesión WorkSpaces en un WorkSpaces grupo configurando la federación de identidades mediante la SAML versión 2.0. Para ello, utiliza un rol AWS Identity and Access Management (IAM) y un estado de retransmisión URL para configurar su proveedor de identidades (IdP) SAML 2.0 y habilitarlo para él. AWS Esto otorga a los usuarios federados acceso a un directorio de grupos WorkSpace . El estado de retransmisión es el punto final del WorkSpaces directorio al que se redirige a los usuarios después de iniciar AWS sesión correctamente.

importante

WorkSpaces Pools no admite configuraciones SAML 2.0 basadas en IP.

Temas

Paso 1: tener en cuenta los requisitos

Al configurar un directorio de WorkSpaces grupos, se aplican SAML los siguientes requisitos.

  • El DefaultRole IAM rol workspaces_ debe existir en su cuenta. AWS Este rol se crea automáticamente cuando se utiliza la Configuración WorkSpaces rápida o si anteriormente se ha iniciado uno con la. WorkSpace AWS Management Console Concede WorkSpaces permiso a Amazon para acceder a AWS recursos específicos en tu nombre. Si el rol ya existe, es posible que tengas que adjuntarle la política AmazonWorkSpacesPoolServiceAccess gestionada, que Amazon WorkSpaces utiliza para acceder a los recursos necesarios en la AWS cuenta de WorkSpaces Pools. Para obtener más información, consulte Cree el rol workspaces_ DefaultRole y AWS política gestionada: AmazonWorkSpacesPoolServiceAccess.

  • Puede configurar la autenticación SAML 2.0 para los WorkSpaces grupos Regiones de AWS que admitan esta función. Para obtener más información, consulte Regiones de AWS y zonas de disponibilidad para WorkSpaces piscinas.

  • Para utilizar la autenticación SAML 2.0 WorkSpaces, el IdP debe admitir un IdP no solicitado iniciado SSO con un recurso de destino de enlace profundo o un punto final de estado de retransmisión. URL Algunos ejemplos IdPs que lo respaldan son Azure ADADFS, Duo Single Sign-On, Okta y. PingFederate PingOne Para obtener más información, consulte la documentación de su IdP.

  • SAMLLa autenticación 2.0 solo se admite en los siguientes clientes. WorkSpaces Para ver los WorkSpaces clientes más recientes, consulta la página de descargas de Amazon WorkSpaces Client.

    • Aplicación cliente de Windows (versión 5.20.0 o posterior)

    • Cliente de macOS (versión 5.20.0 o posterior)

    • Acceso web

Paso 2: Completar los requisitos previos

Complete los siguientes requisitos previos antes de configurar su conexión de IdP SAML 2.0 a WorkSpaces un directorio de grupos.

  • Configure el IdP para establecer una relación de confianza con AWS.

  • Consulte Integrar proveedores de SAML soluciones de terceros con AWS para obtener más información sobre la configuración AWS de la federación. Los ejemplos relevantes incluyen la integración del IdP con IAM para acceder al. AWS Management Console

  • Use su IdP para generar y descargar un documento de metadatos de federación que describa su organización como proveedor de identidades. Este XML documento firmado se utiliza para establecer la confianza de la parte que confía. Guarde este archivo en una ubicación a la que pueda acceder desde la IAM consola más adelante.

  • Cree un WorkSpaces directorio de grupos mediante la WorkSpaces consola. Para obtener más información, consulte Uso de Active Directory con WorkSpaces grupos.

  • Cree un WorkSpaces grupo para los usuarios que puedan iniciar sesión en el IdP mediante un tipo de directorio compatible. Para obtener más información, consulte Crear una WorkSpaces piscina.

Paso 3: Cree un proveedor de SAML identidad en IAM

Para empezar, debe crear un SAML IdP en. IAM Este IdP define la relación entre el IDP y la AWS confianza de su organización mediante el documento de metadatos generado por el software de IdP de su organización. Para obtener más información, consulte Creación y administración de un proveedor de SAML identidades en la Guía del usuario.AWS Identity and Access Management Para obtener información sobre cómo trabajar con SAML IdPs AWS GovCloud (US) Regionsél, consulte AWS Identity and Access Managementla Guía del AWS GovCloud (US) usuario.

Paso 4: Crear un directorio WorkSpace de grupos

Complete el siguiente procedimiento para crear un directorio WorkSpaces de grupos.

  1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. Elija Directorios en el panel de navegación.

  3. Elija Create directory.

  4. Como WorkSpace tipo, elija Pool.

  5. En la sección Origen de identidad de usuario de la página:

    1. Introduzca un valor de marcador de posición en el cuadro de URL texto de acceso de usuario. Por ejemplo, introduzca placeholder en el cuadro de texto. Lo editará más adelante, después de configurar los derechos de la aplicación en el IdP.

    2. Deje en blanco el cuadro de texto Nombre del parámetro del estado de retransmisión. Lo editará más adelante, después de configurar los derechos de la aplicación en el IdP.

  6. En la sección Información del directorio de la página, introduzca un nombre y una descripción para el directorio. El nombre y la descripción del directorio deben tener menos de 128 caracteres y pueden incluir caracteres alfanuméricos y los siguientes caracteres especiales: _ @ # % * + = : ? . / ! \ -. El nombre y la descripción del directorio no pueden empezar por un carácter especial.

  7. En la sección Redes y seguridad de la página:

    1. Elija una VPC y dos subredes que tengan acceso a los recursos de red que necesita su aplicación. Para lograr una mayor tolerancia a errores, debe elegir dos subredes en diferentes zonas de disponibilidad.

    2. Elija un grupo de seguridad que permita WorkSpaces crear enlaces de red en suVPC. Los grupos de seguridad controlan el tráfico de red desde el que se permite que fluya WorkSpaces hacia ustedVPC. Por ejemplo, si su grupo de seguridad restringe todas las HTTPS conexiones entrantes, los usuarios que accedan a su portal web no podrán cargar HTTPS sitios web desde él. WorkSpaces

  8. La sección Configuración de Active Directory es opcional. Sin embargo, si planea usar un AD con sus WorkSpaces grupos, debe especificar los detalles de Active Directory (AD) al crear el directorio WorkSpaces de grupos. No puede editar la configuración de Active Directory para el directorio de WorkSpaces grupos después de crearla. Para obtener más información sobre cómo especificar los detalles de AD para el WorkSpaces directorio de grupos, consulteEspecifique los detalles de Active Directory para el directorio de WorkSpaces grupos. Tras completar el proceso descrito en ese tema, debería volver a él para terminar de crear el directorio de WorkSpaces grupos.

    Puede omitir la sección Config de Active Directory si no planea usar un AD con sus WorkSpaces grupos.

  9. En la sección Propiedades de transmisión de la página:

    • Elija el comportamiento de los permisos del portapapeles e introduzca una copia en el límite de caracteres local (opcional) y péguela en el límite de caracteres de la sesión remota (opcional).

    • Elija si desea permitir o no la impresión en el dispositivo local.

    • Elija si desea permitir o no el registro de diagnósticos.

    • Elija si desea permitir o no el inicio de sesión con tarjeta inteligente. Esta característica solo se aplica si ha habilitado la configuración de AD anteriormente en este procedimiento.

  10. En la sección Almacenamiento de la página, puede optar por habilitar las carpetas de inicio.

  11. En la sección de IAM roles de la página, elige un IAM rol para que esté disponible para todas las instancias de streaming de escritorio. Para crear uno nuevo, selecciona Crear un nuevo IAM rol.

    Al aplicar un IAM rol de su cuenta a un directorio del WorkSpace grupo, puede realizar AWS API solicitudes desde un WorkSpace directorio del WorkSpace grupo sin tener que administrar AWS las credenciales manualmente. Para obtener más información, consulte Crear un rol para delegar permisos a un IAM usuario en la Guía AWS Identity and Access Management del usuario.

  12. Elija Create directory.

Paso 5: Crear un IAM rol de federación SAML 2.0

Complete el siguiente procedimiento para crear un IAM rol de federación SAML 2.0 en la IAM consola.

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles en el panel de navegación.

  3. Elija Crear rol.

  4. Elija la federación SAML 2.0 como tipo de entidad de confianza.

  5. Para el proveedor SAML basado en 2.0, elige el proveedor de identidades en IAM el que lo creaste. Para obtener más información, consulte Crear un proveedor de SAML identidad en IAM.

  6. Seleccione Permitir solo acceso mediante programación para permitir el acceso.

  7. Elija: SAML SUB_TYPE para el atributo.

  8. En Valor, introduzca https://signin.aws.amazon.com/saml. Este valor restringe el acceso de los roles a las solicitudes de streaming SAML de los usuarios que incluyen una afirmación de tipo SAML asunto con un valor de. persistent Si el:sub_type SAML es persistente, su IdP envía el mismo valor único para el elemento NameID en todas las solicitudes de un usuario en particular. SAML Para obtener más información, consulte Identificación exclusiva de los usuarios en una federación SAML basada en la Guía del usuario.AWS Identity and Access Management

  9. Elija Siguiente para continuar.

  10. No realice cambios ni selecciones en la página Añadir permisos. Elija Siguiente para continuar.

  11. Introduzca un nombre y la descripción para el rol.

  12. Elija Crear rol.

  13. En la página Roles, seleccione el rol que acaba de crear.

  14. Seleccione la pestaña Relaciones de confianza.

  15. Elija Editar la política de confianza.

  16. En el cuadro de JSON texto Editar política de confianza, añada la TagSession acción sts: a la política de confianza. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS en la Guía del usuario de AWS Identity and Access Management .

    El resultado debe ser similar al siguiente ejemplo:

    Un ejemplo de política de confianza.

  17. Elija Actualizar política.

  18. Elija la pestaña Permisos.

  19. En la sección Políticas de permisos de la página, elija Añadir permisos y luego Crear política insertada.

  20. En la sección del editor de políticas de la página, elija JSON.

  21. En el cuadro de JSON texto del editor de políticas, introduzca la siguiente política. Asegúrese de reemplazar:

    • <region-code>con el código de la AWS región en la que creó el directorio de su WorkSpace grupo.

    • <account-id>con el ID AWS de la cuenta.

    • <directory-id>con el ID del directorio que creó anteriormente. Puede obtenerlo en la WorkSpaces consola.

    Para los recursos en AWS GovCloud (US) Regions, utilice el siguiente formato paraARN:arn:aws-us-gov:workspaces:<region-code>:<account-id>:directory/<directory-id>.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "workspaces:Stream",
            "Resource": "arn:aws:workspaces:<region-code>:<account-id>:directory/<directory-id>",
            "Condition": {
                "StringEquals": {"workspaces:userId": "${saml:sub}"}
            }
        }
    ]
}

  22. Elija Next (Siguiente).

  23. Escriba un nombre para la política y elija Create policy (Crear política).

Paso 6: Configure su proveedor de identidad SAML 2.0

Según tu IdP SAML 2.0, es posible que tengas que actualizar manualmente tu IdP para que AWS sea confiable como proveedor de servicios. Para ello, descargue el saml-metadata.xml archivo que se encuentra en https://signin.aws.amazon.com/static/saml-metadata.xml y, a continuación, cárguelo en su IdP. Esto actualiza los metadatos del IdP.

Para algunos IdPs, es posible que la actualización ya esté configurada. Puede omitir este paso si ya se ha configurado. Si la actualización aún no está configurada en el IdP, revise la documentación facilitada por este para obtener más información sobre cómo actualizar los metadatos. Algunos proveedores le dan la opción de escribir el XML archivo en su panel URL de control, y el IdP obtiene e instala el archivo por usted. Otros requieren que descargues el archivo desde el panel de control URL y, a continuación, lo subas a su panel de control.

importante

En este momento, también puede autorizar a los usuarios de su IdP a acceder a la WorkSpaces aplicación que ha configurado en su IdP. A los usuarios que están autorizados a acceder a la WorkSpaces aplicación de su directorio no se les WorkSpace crea automáticamente una. Del mismo modo, los usuarios que hayan WorkSpace creado una para ellos no están autorizados automáticamente a acceder a la WorkSpaces aplicación. Para conectarse correctamente a una autenticación WorkSpace mediante la autenticación SAML 2.0, un usuario debe estar autorizado por el IdP y debe haber creado un WorkSpace .

Paso 7: Crear aserciones para la respuesta de autenticación SAML

Configure la información que su IdP envía AWS como SAML atributos en su respuesta de autenticación. En función del IdP, es posible que ya se haya configurado. Puede omitir este paso si ya se ha configurado. Si no se ha configurado, indique lo siguiente:

  • SAMLSubject NameID: el identificador único del usuario que inicia sesión. No cambie el formato ni el valor de este campo. De lo contrario, la característica de carpeta de inicio no funcionará según lo previsto porque se tratará al usuario como un usuario diferente.

    nota

    En el caso de los WorkSpaces grupos unidos a un dominio, el NameID valor del usuario debe proporcionarse en el domain\username formato que utilice elsAMAccountName, o en el username@domain.com formato que utiliceuserPrincipalName, o simplemente. userName Si utiliza este sAMAccountName formato, puede especificar el dominio mediante el nombre de red o el BIOS nombre de dominio completo ()FQDN. El formato sAMAccountName es obligatorio para situaciones de confianza unidireccional de Active Directory. Para obtener más información, consulte Uso de Active Directory con WorkSpaces grupos. Si solo se ha proporcionado userName, el usuario iniciará sesión en el dominio principal.

  • SAMLTipo de asunto (con un valor establecido enpersistent): establecer el valor para persistent garantizar que su IdP envíe el mismo valor único para el NameID elemento en todas las SAML solicitudes de un usuario en particular. Asegúrese de que su IAM política incluya una condición para permitir solo SAML las solicitudes con un valor SAML sub_type establecido en 1persistent, tal y como se describe en la Paso 5: Crear un IAM rol de federación SAML 2.0 sección.

  • Attributeelemento con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/Role: este elemento contiene uno o más AttributeValue elementos que enumeran el rol IAM y el IdP a los que el SAML IdP asigna al usuario. El rol y el IdP se especifican como un par delimitado por comas de. ARNs Un ejemplo del valor esperado es arn:aws:iam::<account-id>:role/<role-name>,arn:aws:iam::<account-id>:saml-provider/<provider-name>.

  • Attributeelemento con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/ RoleSessionName: este elemento contiene un AttributeValue elemento que proporciona un identificador para las credenciales AWS temporales para las que se emiten. SSO El valor del elemento AttributeValue debe tener entre 2 y 64 caracteres, solo puede incluir caracteres alfanuméricos y los siguientes caracteres especiales: _ . : / = + - @. No puede contener espacios. El valor suele ser una dirección de correo electrónico o un nombre principal de usuario ()UPN. No debe ser un valor que contenga un espacio, como el nombre visible de un usuario.

  • Attributeelemento con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/:EmailPrincipalTag: este elemento contiene un elemento AttributeValue que proporciona la dirección de correo electrónico del usuario. El valor debe coincidir con la dirección de correo electrónico WorkSpaces del usuario definida en el directorio. WorkSpaces Los valores de las etiquetas pueden incluir combinaciones de letras, números, espacios y caracteres _ . : / = + - @. Para obtener más información, consulte Reglas de etiquetado en IAM y AWS STS en la Guía del AWS Identity and Access Management usuario.

  • AttributeElemento (opcional) con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/PrincipalTag: UserPrincipalName — Este elemento contiene un AttributeValue elemento que proporciona Active Directory al userPrincipalName usuario que inicia sesión. El valor debe proporcionarse en el formato username@domain.com. Este parámetro se usa con la autenticación basada en certificados como nombre alternativo del sujeto en el certificado del usuario final. Para obtener más información, consulte Autenticación basada en certificados y personal WorkSpaces .

  • AttributeElemento (opcional) con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/PrincipalTag: ObjectSid (opcional): este elemento contiene un AttributeValue elemento que proporciona el identificador de seguridad de Active Directory (SID) para el usuario que inicia sesión. Este parámetro se usa con la autenticación basada en certificados para permitir una asignación firme con el usuario de Active Directory. Para obtener más información, consulte Autenticación basada en certificados y personal WorkSpaces .

  • AttributeElemento (opcional) con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/:DomainPrincipalTag: este elemento contiene un elemento AttributeValue que proporciona el nombre de DNS dominio completo de Active Directory () para que los usuarios inicien sesión. FQDN Este parámetro se usa con la autenticación basada en certificados cuando el userPrincipalName de Active Directory del usuario contiene un sufijo alternativo. El valor debe proporcionarse en el formato domain.com y debe incluir los subdominios.

  • AttributeElemento (opcional) con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/ SessionDuration: este elemento contiene un AttributeValue elemento que especifica el tiempo máximo que una sesión de streaming federada de un usuario puede permanecer activa antes de que sea necesario volver a autenticarse. El valor predeterminado es de 3600 segundos (60 minutos). Para obtener más información, consulte la Guía del usuario SAML SessionDurationAttribute.AWS Identity and Access Management

    nota

    Aunque SessionDuration es un atributo opcional, le recomendamos que lo incluya en la SAML respuesta. Si no especifica este atributo, la duración de la sesión se establece en un valor predeterminado de 3600 segundos (60 minutos). WorkSpaces las sesiones de escritorio se desconectan una vez expirada la duración de la sesión.

Para obtener más información sobre cómo configurar estos elementos, consulte Configuración de SAML aserciones para la respuesta de autenticación en la Guía del AWS Identity and Access Management usuario. Para obtener información sobre los requisitos de configuración específicos de su IdP, consulte la documentación de su IdP.

Paso 8: configurar el estado de retransmisión de la federación

Utilice su IdP para configurar el estado de retransmisión de su federación para que apunte al estado de retransmisión del directorio del WorkSpaces grupo. URL Tras la correcta autenticación AWS, se dirige al usuario al punto final del directorio WorkSpaces Pool, definido como el estado de retransmisión en la respuesta de SAML autenticación.

El siguiente es el URL formato del estado de retransmisión:


https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code

En la siguiente tabla se enumeran los puntos finales del estado de retransmisión para las AWS regiones en las que está disponible la autenticación WorkSpaces SAML 2.0. AWS Se han eliminado las regiones en las que la función de WorkSpaces grupos no está disponible.

Región Punto de conexión del estado de retransmisión
Región del este de EE. UU. (Norte de Virginia) workspaces.euc-sso.us-east-1.aws.amazon.com
Región del Oeste de EE. UU (Oregón) workspaces.euc-sso.us-west-2.aws.amazon.com
Región de Asia-Pacífico (Bombay) workspaces.euc-sso.ap-south-1.aws.amazon.com
Región de Asia-Pacífico (Seúl) workspaces.euc-sso.ap-northeast-2.aws.amazon.com
Región de Asia-Pacífico (Singapur) workspaces.euc-sso.ap-southeast-1.aws.amazon.com
Región de Asia-Pacífico (Sídney) workspaces.euc-sso.ap-southeast-1.aws.amazon.com
Asia Pacífico (Tokio) workspaces.euc-sso.ap-northeast-2.aws.amazon.com
Región de Canadá (centro) workspaces.euc-sso.us-east-1.aws.amazon.com
Región de Europa (Fráncfort) workspaces.euc-sso.eu-central-1.aws.amazon.com
Región de Europa (Irlanda) workspaces.euc-sso.eu-west-1.aws.amazon.com
Región de Europa (Londres) workspaces.euc-sso.eu-west-1.aws.amazon.com
Región de América del Sur (São Paulo) workspaces.euc-sso.sa-east-1.aws.amazon.com
AWS GovCloud (EE. UU.-Oeste) workspaces.euc-sso. us-gov-west-1. amazonaws-us-gov.com
nota

Para obtener información sobre cómo trabajar con SAML IdPs él AWS GovCloud (US) Regions, consulta la Guía del usuario de Amazon WorkSpacesAWS GovCloud (EE. UU.).
AWS GovCloud (Este de EE. UU.) workspaces.euc-sso. us-gov-east-1. amazonaws-us-gov.com
nota

Para obtener información sobre cómo trabajar con SAML IdPs él AWS GovCloud (US) Regions, consulta la Guía del usuario de Amazon WorkSpacesAWS GovCloud (EE. UU.).

Paso 9: Habilita la integración con la SAML versión 2.0 en el directorio de tu WorkSpace grupo

Complete el siguiente procedimiento para habilitar la autenticación SAML 2.0 en el directorio del WorkSpaces grupo.

  1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. Elija Directorios en el panel de navegación.

  3. Seleccione la pestaña Directorios de grupos.

  4. Elija el ID del directorio que desea editar.

  5. Elija Editar en la sección Autenticación de la página.

  6. Elija Edit SAML 2.0 Identity Provider.

  7. Para el acceso de usuario URL, que a veces se conoce como SSO URL «», sustituya el valor del marcador de posición por el que le SSO URL proporciona su IdP.

  8. En la opción Nombre del parámetro de enlace profundo del IdP, introduzca el parámetro aplicable al IdP y a la aplicación que ha configurado. El valor predeterminado es RelayState si omite el nombre del parámetro.

    En la siguiente tabla se enumeran los nombres de los parámetros de acceso de usuario URLs y de enlace directo que son exclusivos de los distintos proveedores de identidad para las aplicaciones.

    Proveedor de identidades Parámetro Acceso de usuario URL
    ADFS RelayState https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>
    Azure AD RelayState https://myapps.microsoft.com/signin/<app-id>?tenantId=<tenant-id>
    Duo Single Sign-On RelayState https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app-id>/sso
    Okta RelayState https://<sub-domain>.okta.com/app/<app-name>/<app-id>/sso/saml
    OneLogin RelayState https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>
    JumpCloud RelayState https://sso.jumpcloud.com/saml2/<app-id>
    Auth0 RelayState https://<default-tenant-name>.us.auth0.com/samlp/<client-id>
    PingFederate TargetResource https://<host>/idp/startSSO.ping?PartnerSpId=<sp-id>
    PingOne para Enterprise TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app-id>&idpid=<idp-id>

  9. Seleccione Guardar.

importante

Revocar la SAML versión 2.0 de un usuario no desconectará directamente su sesión. Solo se eliminarán cuando se agote el tiempo de espera. También pueden finalizarla mediante. TerminateWorkspacesPoolSessionAPI

Resolución de problemas

La siguiente información puede ayudarle a solucionar problemas específicos con sus WorkSpaces grupos.

Recibo el mensaje «No puedo iniciar sesión» en el cliente de WorkSpaces Pools después de completar SAML la autenticación

La nameID y de PrincipalTag:Email las SAML notificaciones deben coincidir con el nombre de usuario y el correo electrónico configurados en Active Directory. Es posible que algunos IdP necesiten actualizarse, refrescarse o volver a desplegarse después de ajustar determinados atributos. Si realiza un ajuste y no se refleja en la SAML captura, consulte la documentación o el programa de soporte de su IdP para conocer los pasos específicos necesarios para que el cambio surta efecto.