Konfigurasikan SAML 2.0 dan buat direktori WorkSpaces Pools - Amazon WorkSpaces
Langkah 1: Pertimbangkan persyaratanLangkah 2: Selesaikan prasyaratLangkah 3: Buat penyedia SAML identitas di IAMLangkah 4: Buat direktori WorkSpace PoolLangkah 5: Buat IAM peran federasi SAML 2.0Langkah 6: Konfigurasikan penyedia identitas SAML 2.0 AndaLangkah 7: Buat pernyataan untuk respons otentikasi SAMLLangkah 8: Konfigurasikan status relai federasi AndaLangkah 9: Aktifkan integrasi dengan SAML 2.0 di direktori WorkSpace Pool Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan SAML 2.0 dan buat direktori WorkSpaces Pools

Anda dapat mengaktifkan pendaftaran aplikasi WorkSpaces klien dan masuk ke WorkSpaces dalam WorkSpaces Pool dengan menyiapkan federasi identitas menggunakan SAML 2.0. Untuk melakukan ini, Anda menggunakan peran AWS Identity and Access Management (IAM) dan status relai URL untuk mengonfigurasi penyedia identitas SAML 2.0 (iDP) Anda dan mengaktifkannya. AWS Ini memberi pengguna federasi Anda akses ke direktori WorkSpace Pool. Status relai adalah titik akhir WorkSpaces direktori tempat pengguna diteruskan setelah berhasil masuk. AWS

Topik

Langkah 1: Pertimbangkan persyaratan

Persyaratan berikut berlaku saat SAML menyiapkan direktori WorkSpaces Pools.

  • Peran workspaces_ DefaultRole IAM harus ada di akun Anda. AWS Peran ini secara otomatis dibuat ketika Anda menggunakan Pengaturan WorkSpaces Cepat atau jika sebelumnya Anda meluncurkan WorkSpace menggunakan AWS Management Console. Ini memberikan WorkSpaces izin Amazon untuk mengakses AWS sumber daya tertentu atas nama Anda. Jika peran sudah ada, Anda mungkin perlu melampirkan kebijakan AmazonWorkSpacesPoolServiceAccess terkelola ke sana, yang WorkSpaces digunakan Amazon untuk mengakses sumber daya yang diperlukan di AWS akun untuk WorkSpaces Pools. Untuk informasi selengkapnya, silakan lihat Buat ruang kerja_ DefaultRole Peran dan AWS kebijakan terkelola: AmazonWorkSpacesPoolServiceAccess.

  • Anda dapat mengonfigurasi otentikasi SAML 2.0 untuk WorkSpaces Pools Wilayah AWS yang mendukung fitur tersebut. Untuk informasi selengkapnya, lihat Wilayah AWS dan Availability Zone untuk WorkSpaces Pools.

  • Untuk menggunakan otentikasi SAML 2.0 dengan WorkSpaces, IDP harus mendukung IDP yang tidak diminta yang SSO dimulai dengan sumber daya target deep link atau titik akhir status relai. URL Contoh IdPs yang mendukung ini termasukADFS, Azure AD, Duo Single Sign-On, Okta, dan. PingFederate PingOne Konsultasikan dokumentasi IDP Anda untuk informasi lebih lanjut.

  • SAMLOtentikasi 2.0 hanya didukung pada WorkSpaces klien berikut. Untuk WorkSpaces klien terbaru, lihat halaman Unduhan WorkSpaces Klien Amazon.

    • Aplikasi klien Windows versi 5.20.0 atau yang lebih baru

    • klien macOS versi 5.20.0 atau yang lebih baru

    • Akses Web

Langkah 2: Selesaikan prasyarat

Selesaikan prasyarat berikut sebelum mengonfigurasi koneksi IDP SAML 2.0 Anda ke direktori Pool. WorkSpaces

  • Konfigurasikan IdP Anda untuk membuat hubungan kepercayaan dengan AWS.

  • Lihat Mengintegrasikan penyedia SAML solusi pihak ketiga dengan AWS untuk informasi selengkapnya tentang mengonfigurasi federasi. AWS Contoh yang relevan termasuk integrasi IDP dengan IAM untuk mengakses file. AWS Management Console

  • Gunakan iDP Anda untuk membuat dan mengunduh dokumen metadata federasi yang menjelaskan organisasi Anda sebagai IDP. XMLDokumen yang ditandatangani ini digunakan untuk membangun kepercayaan pihak yang mengandalkan. Simpan file ini ke lokasi yang dapat Anda akses dari IAM konsol nanti.

  • Buat direktori WorkSpaces Pool dengan menggunakan WorkSpaces konsol. Untuk informasi selengkapnya, lihat Menggunakan Active Directory dengan WorkSpaces Pools.

  • Buat WorkSpaces Pool untuk pengguna yang dapat masuk ke iDP menggunakan jenis direktori yang didukung. Untuk informasi selengkapnya, lihat Buat WorkSpaces Pool.

Langkah 3: Buat penyedia SAML identitas di IAM

Untuk memulai, Anda harus membuat SAML iDP di. IAM IDP ini mendefinisikan hubungan AWS IDP-to-trust organisasi Anda menggunakan dokumen metadata yang dihasilkan oleh perangkat lunak iDP di organisasi Anda. Untuk informasi selengkapnya, lihat Membuat dan mengelola penyedia SAML identitas di Panduan AWS Identity and Access Management Pengguna. Untuk informasi tentang bekerja dengan SAML IdPs in AWS GovCloud (US) Regions, lihat AWS Identity and Access Managementdi Panduan AWS GovCloud (US) Pengguna.

Langkah 4: Buat direktori WorkSpace Pool

Selesaikan prosedur berikut untuk membuat direktori WorkSpaces Pool.

  1. Buka WorkSpaces konsol di https://console.aws.amazon.com/workspaces/.

  2. Pilih Direktori di panel navigasi.

  3. Pilih tab direktori Pools.

  4. Pilih direktori Create WorkSpaces Pool.

  5. Di bagian Sumber identitas pengguna halaman:

    1. Masukkan nilai placeholder ke dalam kotak URL teks Akses pengguna. Misalnya, masukkan placeholder ke dalam kotak teks. Anda akan mengedit ini nanti setelah menyiapkan hak aplikasi di IDP Anda.

    2. Biarkan kotak teks nama parameter status Relay kosong. Anda akan mengedit ini nanti setelah menyiapkan hak aplikasi di IDP Anda.

  6. Di bagian Informasi direktori halaman, masukkan nama dan deskripsi untuk direktori. Nama direktori dan deskripsi harus kurang dari 128 karakter, dapat berisi karakter alfanumerik dan karakter khusus berikut:. _ @ # % * + = : ? . / ! \ - Nama direktori dan deskripsi tidak dapat dimulai dengan karakter khusus.

  7. Di bagian Jaringan dan keamanan halaman:

    1. Pilih subnet VPC dan 2 yang memiliki akses ke sumber daya jaringan yang dibutuhkan aplikasi Anda. Untuk meningkatkan toleransi kesalahan, Anda harus memilih dua subnet di Availability Zone yang berbeda.

    2. Pilih grup keamanan yang memungkinkan WorkSpaces untuk membuat tautan jaringan di AndaVPC. Grup keamanan mengontrol lalu lintas jaringan apa yang diizinkan mengalir dari WorkSpaces AndaVPC. Misalnya, jika grup keamanan Anda membatasi semua HTTPS koneksi masuk, pengguna yang mengakses portal web Anda tidak akan dapat memuat HTTPS situs web dari. WorkSpaces

  8. Bagian Active Directory Config bersifat opsional. Namun, Anda harus menentukan detail Active Directory (AD) selama pembuatan direktori WorkSpaces Pools jika Anda berencana untuk menggunakan AD dengan WorkSpaces Pools Anda. Anda tidak dapat mengedit Active Directory Config untuk direktori WorkSpaces Pools setelah Anda membuatnya. Untuk informasi selengkapnya tentang menentukan detail iklan untuk direktori WorkSpaces Pool, lihatTentukan detail Active Directory untuk direktori WorkSpaces Pools. Setelah Anda menyelesaikan proses yang diuraikan dalam topik itu, Anda harus kembali ke topik ini untuk menyelesaikan pembuatan direktori WorkSpaces Pools Anda.

    Anda dapat melewati bagian Active Directory Config jika Anda tidak berencana menggunakan AD dengan Pools Anda WorkSpaces .

  9. Di bagian properti Streaming pada halaman:

    • Pilih perilaku izin clipboard, dan masukkan salinan ke batas karakter lokal (opsional), dan tempel ke batas karakter sesi jarak jauh (opsional).

    • Pilih untuk mengizinkan atau tidak mengizinkan pencetakan ke perangkat lokal.

    • Pilih untuk mengizinkan atau tidak mengizinkan pencatatan diagnostik.

    • Pilih untuk mengizinkan atau tidak mengizinkan kartu pintar masuk. Fitur ini hanya berlaku jika Anda mengaktifkan konfigurasi AD sebelumnya dalam prosedur ini.

  10. Di bagian Penyimpanan halaman, Anda dapat memilih untuk mengaktifkan folder rumah.

  11. Di bagian IAM peran halaman, pilih IAM peran yang akan tersedia untuk semua instance streaming desktop. Untuk membuat yang baru, pilih Buat IAM peran baru.

    Saat menerapkan IAM peran dari akun ke direktori WorkSpace Pool, Anda dapat membuat AWS API permintaan dari WorkSpace Pool tanpa mengelola AWS kredensialnya secara manual. WorkSpace Untuk informasi selengkapnya, lihat Membuat peran untuk mendelegasikan izin kepada IAM pengguna di Panduan AWS Identity and Access Management Pengguna.

  12. Pilih direktori Create WorkSpaces Pool.

Langkah 5: Buat IAM peran federasi SAML 2.0

Selesaikan prosedur berikut untuk membuat IAM peran federasi SAML 2.0 di IAM konsol.

  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Pilih Peran di panel navigasi.

  3. Pilih Buat peran.

  4. Pilih federasi SAML 2.0 untuk jenis entitas tepercaya.

  5. Untuk penyedia SAML berbasis 2.0, pilih penyedia identitas yang Anda buat. IAM Untuk informasi selengkapnya, lihat Membuat penyedia SAML identitas di IAM.

  6. Pilih Izinkan akses terprogram hanya untuk akses yang diizinkan.

  7. Pilih:AUD SAMLuntuk atribut.

  8. Untuk Nilai, masukkan https://signin.aws.amazon.com/saml. Nilai ini membatasi akses peran ke permintaan streaming SAML pengguna yang menyertakan pernyataan tipe SAML subjek dengan nilai. persistent Jika: sub_type persistenSAML, idP Anda mengirimkan nilai unik yang sama untuk elemen NameID di semua permintaan dari pengguna tertentu. SAML Untuk informasi selengkapnya, lihat Mengidentifikasi pengguna secara unik di federasi SAML berbasis di AWS Identity and Access Management Panduan Pengguna.

  9. Pilih Next untuk melanjutkan.

  10. Jangan membuat perubahan atau pilihan di halaman Tambahkan izin. Pilih Next untuk melanjutkan.

  11. Masukkan nama dan deskripsi untuk peran tersebut.

  12. Pilih Buat peran.

  13. Di halaman Peran, pilih peran yang harus Anda buat.

  14. Pilih tab Trust relationship.

  15. Pilih Edit kebijakan kepercayaan.

  16. Di kotak JSON teks Edit kebijakan kepercayaan, tambahkan TagSession tindakan sts: ke kebijakan kepercayaan. Untuk informasi selengkapnya, lihat Melewati tag sesi AWS STS di Panduan AWS Identity and Access Management Pengguna.

    Hasilnya akan terlihat seperti contoh berikut ini.

    Contoh kebijakan kepercayaan.

  17. Pilih Perbarui kebijakan.

  18. Pilih tab Izin.

  19. Di bagian Kebijakan izin pada halaman, pilih Tambahkan izin, lalu pilih Buat kebijakan sebaris.

  20. Di bagian Editor kebijakan halaman, pilih JSON.

  21. Di kotak JSON teks Editor kebijakan, masukkan kebijakan berikut. Pastikan untuk mengganti:

    • <region-code> dengan kode AWS Wilayah tempat Anda membuat direktori WorkSpace Pool Anda.

    • <account-id> dengan ID AWS akun.

    • <directory-id> dengan ID direktori yang Anda buat sebelumnya. Anda bisa mendapatkan ini di WorkSpaces konsol.

    Untuk sumber daya di AWS GovCloud (US) Regions, gunakan format berikut untukARN:arn:aws-us-gov:workspaces:<region-code>:<account-id>:directory/<directory-id>.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "workspaces:Stream",
            "Resource": "arn:aws:workspaces:<region-code>:<account-id>:directory/<directory-id>",
            "Condition": {
                "StringEquals": {"workspaces:userId": "${saml:sub}"}
            }
        }
    ]
}

  22. Pilih Berikutnya.

  23. Masukkan nama untuk kebijakan tersebut, lalu pilih Buat kebijakan.

Langkah 6: Konfigurasikan penyedia identitas SAML 2.0 Anda

Bergantung pada iDP SAML 2.0 Anda, Anda mungkin perlu memperbarui IDP secara manual agar dipercaya AWS sebagai penyedia layanan. Anda melakukan ini dengan mengunduh saml-metadata.xml file yang ditemukan di https://signin.aws.amazon.com/static/saml-metadata.xml, dan kemudian mengunggahnya ke IDP Anda. Ini memperbarui metadata IDP Anda.

Bagi sebagian orang IdPs, pembaruan mungkin sudah dikonfigurasi. Anda dapat melewati langkah ini jika sudah dikonfigurasi. Jika pembaruan belum dikonfigurasi di IDP Anda, tinjau dokumentasi yang disediakan oleh iDP Anda untuk informasi tentang cara memperbarui metadata. Beberapa penyedia memberi Anda opsi untuk mengetik XML file ke dasbor mereka, dan iDP memperoleh dan menginstal file untuk Anda. URL Yang lain mengharuskan Anda untuk mengunduh file dari URL dan kemudian mengunggahnya ke dasbor mereka.

penting

Pada saat ini, Anda juga dapat memberi wewenang kepada pengguna di IDP Anda untuk mengakses aplikasi yang telah Anda konfigurasikan WorkSpaces di iDP Anda. Pengguna yang berwenang untuk mengakses WorkSpaces aplikasi untuk direktori Anda tidak secara otomatis memiliki yang WorkSpace dibuat untuk mereka. Demikian juga, pengguna yang telah WorkSpace dibuat untuk mereka tidak secara otomatis diizinkan untuk mengakses WorkSpaces aplikasi. Agar berhasil terhubung ke otentikasi WorkSpace menggunakan SAML 2.0, pengguna harus diberi wewenang oleh iDP dan harus memiliki WorkSpace yang dibuat.

Langkah 7: Buat pernyataan untuk respons otentikasi SAML

Konfigurasikan informasi yang dikirim IDP Anda AWS sebagai SAML atribut dalam respons otentikasi. Tergantung pada IDP Anda, ini mungkin sudah dikonfigurasi. Anda dapat melewati langkah ini jika sudah dikonfigurasi. Jika belum dikonfigurasi, berikan yang berikut ini:

  • SAMLNameID Subjek — Pengidentifikasi unik untuk pengguna yang masuk. Jangan mengubah format/nilai bidang ini. Jika tidak, fitur folder rumah tidak akan berfungsi seperti yang diharapkan karena pengguna akan diperlakukan sebagai pengguna yang berbeda.

    catatan

    Untuk WorkSpaces Pool yang bergabung dengan domain, NameID nilai untuk pengguna harus disediakan dalam domain\username format menggunakansAMAccountName, atau dalam username@domain.com format yang menggunakanuserPrincipalName, atau hanya. userName Jika Anda menggunakan sAMAccountName format, Anda dapat menentukan domain dengan menggunakan BIOS nama Net atau nama domain yang sepenuhnya memenuhi syarat (FQDN). sAMAccountNameFormat ini diperlukan untuk skenario kepercayaan satu arah Direktori Aktif. Untuk informasi selengkapnya, lihatMenggunakan Active Directory dengan WorkSpaces Pools. Jika hanya userName disediakan, pengguna akan masuk ke domain utama

  • SAMLJenis Subjek (dengan nilai yang disetel kepersistent) - Mengatur nilai untuk persistent memastikan bahwa IDP Anda mengirimkan nilai unik yang sama untuk NameID elemen dalam semua SAML permintaan dari pengguna tertentu. Pastikan IAM kebijakan Anda menyertakan kondisi untuk hanya mengizinkan SAML permintaan dengan SAML sub_type set kepersistent, seperti yang dijelaskan di Langkah 5: Buat IAM peran federasi SAML 2.0 bagian.

  • Attributeelemen dengan Name atribut disetel ke https://aws.amazon.com/SAML/ Atribut/Peran - Elemen ini berisi satu atau lebih AttributeValue elemen yang mencantumkan peran IAM dan SAML idP yang pengguna dipetakan oleh idP Anda. Peran dan idP ditentukan sebagai pasangan yang dibatasi koma dari. ARNs Contoh dari nilai yang diharapkan adalaharn:aws:iam::<account-id>:role/<role-name>,arn:aws:iam::<account-id>:saml-provider/<provider-name>.

  • Attributeelemen dengan Name atribut disetel ke https://aws.amazon.com/SAML/ Attributes/ RoleSessionName - Elemen ini berisi satu AttributeValue elemen yang menyediakan pengenal untuk kredensi AWS sementara yang dikeluarkan untuk. SSO Nilai dalam AttributeValue elemen harus antara 2 dan 64 karakter, dapat berisi karakter alfanumerik dan karakter khusus berikut:. _ . : / = + - @ Nama tidak boleh berisi spasi. Nilai biasanya alamat email atau nama utama pengguna (UPN). Seharusnya bukan nilai yang menyertakan spasi, seperti nama tampilan pengguna.

  • Attributeelemen dengan Name atribut diatur ke https://aws.amazon.com/SAML/ Atributes/:Email PrincipalTag - Elemen ini berisi satu elemen AttributeValue yang menyediakan alamat email pengguna. Nilai harus sesuai dengan alamat email WorkSpaces pengguna seperti yang didefinisikan dalam WorkSpaces direktori. Nilai tag dapat mencakup kombinasi huruf, angka, spasi, dan _ . : / = + - @ karakter. Untuk informasi selengkapnya, lihat Aturan untuk menandai IAM dan AWS STS di Panduan AWS Identity and Access Management Pengguna.

  • (Opsional) Attributeelemen dengan Name atribut diatur ke https://aws.amazon.com/SAML/ Attributes/PrincipalTag: UserPrincipalName - Elemen ini berisi satu AttributeValue elemen yang menyediakan Active Directory userPrincipalName untuk pengguna yang masuk. Nilai harus disediakan dalam username@domain.com format. Parameter ini digunakan dengan otentikasi berbasis sertifikat sebagai Nama Alternatif Subjek di sertifikat pengguna akhir. Untuk informasi selengkapnya, lihat Otentikasi berbasis sertifikat.

  • (Opsional) Attributeelemen dengan Name atribut diatur ke https://aws.amazon.com/SAML/ Attributes/PrincipalTag: ObjectSid (opsional) - Elemen ini berisi satu AttributeValue elemen yang menyediakan pengenal keamanan Active Directory (SID) untuk pengguna yang masuk. Parameter ini digunakan dengan otentikasi berbasis sertifikat untuk mengaktifkan pemetaan yang kuat ke pengguna Active Directory. Untuk informasi selengkapnya, lihat Otentikasi berbasis sertifikat.

  • (Opsional) Attributeelemen dengan Name atribut disetel ke https://aws.amazon.com/SAML/ Atributes/:Domain PrincipalTag - Elemen ini berisi satu elemen AttributeValue yang menyediakan nama domain yang sepenuhnya DNS memenuhi syarat Active Directory () FQDN untuk pengguna yang masuk. Parameter ini digunakan dengan otentikasi berbasis sertifikat ketika Active Directory userPrincipalName untuk pengguna berisi akhiran alternatif. Nilai harus disediakan dalam domain.com format, dan harus menyertakan subdomain apa pun.

  • (Opsional) Attributeelemen dengan Name atribut diatur ke https://aws.amazon.com/SAML/ Attributes/ SessionDuration - Elemen ini berisi satu AttributeValue elemen yang menentukan jumlah maksimum waktu bahwa sesi streaming federasi untuk pengguna dapat tetap aktif sebelum otentikasi ulang diperlukan. Nilai defaultnya adalah 3600 detik (60 menit). Untuk informasi selengkapnya, lihat SAML SessionDurationAttributedi Panduan AWS Identity and Access Management Pengguna.

    catatan

    Meskipun SessionDuration merupakan atribut opsional, kami sarankan Anda memasukkannya ke dalam SAML respons. Jika Anda tidak menentukan atribut ini, durasi sesi diatur ke nilai default 3600 detik (60 menit). WorkSpaces sesi desktop terputus setelah durasi sesi berakhir.

Untuk informasi selengkapnya tentang cara mengonfigurasi elemen ini, lihat Mengonfigurasi SAML pernyataan untuk respons autentikasi di Panduan Pengguna.AWS Identity and Access Management Untuk informasi tentang persyaratan konfigurasi khusus untuk IDP Anda, lihat dokumentasi IDP Anda.

Langkah 8: Konfigurasikan status relai federasi Anda

Gunakan IDP Anda untuk mengonfigurasi status relai federasi Anda untuk menunjuk ke status relai direktori WorkSpaces Pool. URL Setelah otentikasi berhasil oleh AWS, pengguna diarahkan ke titik akhir direktori WorkSpaces Pool, yang didefinisikan sebagai status relai dalam respons SAML otentikasi.

Tabel berikut mencantumkan titik akhir status relai untuk AWS Wilayah tempat otentikasi WorkSpaces SAML 2.0 tersedia. AWS Wilayah di mana fitur WorkSpaces Pools tidak tersedia telah dihapus.

Wilayah Titik akhir status relai
Wilayah AS Timur (Virginia Utara) ruang kerja.euc-sso.us-east-1.aws.amazon.com
Wilayah AS Barat (Oregon) ruang kerja.euc-sso.us-west-2.aws.amazon.com
Wilayah Asia Pasifik (Mumbai) ruang kerja.euc-sso.ap-south-1.aws.amazon.com
Wilayah Asia Pasifik (Seoul) ruang kerja.euc-sso.ap-northeast-2.aws.amazon.com
Wilayah Asia Pasifik (Singapura) ruang kerja.euc-sso.ap-southeast-1.aws.amazon.com
Wilayah Asia Pasifik (Sydney) ruang kerja.euc-sso.ap-southeast-2.aws.amazon.com
Wilayah Asia Pasifik (Tokyo) ruang kerja.euc-sso.ap-northeast-1.aws.amazon.com
Wilayah Kanada (Pusat) ruang kerja.euc-sso.ca-central-1.aws.amazon.com
Wilayah Eropa (Frankfurt) ruang kerja.euc-sso.eu-central-1.aws.amazon.com
Wilayah Eropa (Irlandia) ruang kerja.euc-sso.eu-west-1.aws.amazon.com
Wilayah Eropa (London) ruang kerja.euc-sso.eu-west-2.aws.amazon.com
Wilayah Amerika Selatan (Sao Paulo) ruang kerja.euc-sso.sa-east-1.aws.amazon.com
AWS GovCloud (AS-Barat) ruang kerja.euc-sso. us-gov-west-1. amazonaws-us-gov.com
catatan

Untuk informasi tentang bekerja dengan SAML IdPs in AWS GovCloud (US) Regions, lihat Amazon WorkSpaces di Panduan Pengguna AWS GovCloud (AS).
AWS GovCloud (AS-Timur) ruang kerja.euc-sso. us-gov-east-1. amazonaws-us-gov.com
catatan

Untuk informasi tentang bekerja dengan SAML IdPs in AWS GovCloud (US) Regions, lihat Amazon WorkSpaces di Panduan Pengguna AWS GovCloud (AS).

Langkah 9: Aktifkan integrasi dengan SAML 2.0 di direktori WorkSpace Pool Anda

Selesaikan prosedur berikut untuk mengaktifkan otentikasi SAML 2.0 untuk direktori WorkSpaces Pool.

  1. Buka WorkSpaces konsol di https://console.aws.amazon.com/workspaces/.

  2. Pilih Direktori di panel navigasi.

  3. Pilih tab direktori Pools.

  4. Pilih ID direktori yang ingin Anda edit.

  5. Pilih Edit di bagian Otentikasi halaman.

  6. Pilih Edit SAML 2.0 Identity Provider.

  7. Untuk Akses Pengguna URL, yang kadang-kadang dikenal sebagai "SSOURL“, ganti nilai placeholder dengan yang SSO URL diberikan kepada Anda oleh IDP Anda.

  8. Untuk nama parameter deep link iDP, masukkan parameter yang berlaku untuk iDP Anda dan aplikasi yang telah Anda konfigurasikan. Nilai default adalah RelayState jika Anda menghilangkan nama parameter.

    Tabel berikut mencantumkan akses pengguna URLs dan nama parameter deep link yang unik untuk berbagai penyedia identitas untuk aplikasi.

    Penyedia identitas Parameter Akses pengguna URL
    ADFS RelayState https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>
    Azure AD RelayState https://myapps.microsoft.com/signin/<app-id>?tenantId=<tenant-id>
    Duo Single Sign-On RelayState https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app-id>/sso
    Okta RelayState https://<sub-domain>.okta.com/app/<app-name>/<app-id>/sso/saml
    OneLogin RelayState https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>
    JumpCloud RelayState https://sso.jumpcloud.com/saml2/<app-id>
    Auth0 RelayState https://<default-tenant-name>.us.auth0.com/samlp/<client-id>
    PingFederate TargetResource https://<host>/idp/startSSO.ping?PartnerSpId=<sp-id>
    PingOne untuk Enterprise TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app-id>&idpid=<idp-id>

  9. Pilih Simpan.