配置标准身份验证类型 - Amazon WorkSpaces 安全浏览器
步骤 1:开始在 WorkSpaces 安全浏览器上配置您的身份提供商步骤 2:在您自己的 IdP 上配置您的身份提供商步骤 3:在 WorkSpaces 安全浏览器上完成身份提供商的配置具体指导 IdPs

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置标准身份验证类型

对于标准版(默认),请将您的第三方 SAML 2.0 身份提供商(例如 Okta 或 Ping)直接与您的门户联合。

标准身份类型可以支持 service-provider-initiated(由 SAM 发起的)和 identity-provider-initiated (IdP 发起的)登录流程,并支持与 SAML 2.0 兼容的 IdP 的登录流程。

步骤 1:开始在 WorkSpaces 安全浏览器上配置您的身份提供商

完成以下步骤来配置您的身份提供商:

  1. 在创建向导的配置身份提供者页面上,选择标准

  2. 选择 “使用标准 IdP 继续”。

  3. 下载 SP 元数据文件,并保持各个元数据值的选项卡处于打开状态。

    • 如果 SP 元数据文件可用,请选择下载元数据文件以下载服务提供商 (SP) 元数据文档,然后在下一步中将服务提供商元数据文件上传到您的 IdP。否则,用户将无法登录。

    • 如果您的提供商未上传 SP 元数据文件,请手动输入元数据值。

  4. “选择 SAML 登录类型” 下,在 SP 发起和 IDP 发起的 SAML 断言之间进行选择,或者仅在 SP 发起的 SAML 断言之间进行选择。

    • SP 发起和 IDP 发起的 SAML 断言允许您的门户支持这两种类型的登录流程。支持 IdP 启动的流程的门户允许您向服务身份联合终端节点呈现 SAML 断言,而无需用户通过访问门户 URL 启动会话。

      • 选择此选项可允许门户接受未经请求的 IDP 发起的 SAML 断言。

      • 此选项要求在 SAML 2.0 身份提供程序中配置默认中继状态。您的门户的中继状态参数位于控制台中 IdP 启动的 SAML 登录下,或者您可以将其从下的 SP 元数据文件中复制。<md:IdPInitRelayState>

      • 备注

        • 以下是中继状态的格式:redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider.

        • 如果您从 SP 元数据文件中复制并粘贴该值,请确保更改&amp; &&amp;是一个 XML 转义字符。

    • 仅选择 SP 启动的 SAML 断言,使门户仅支持 SP 启动的登录流程。此选项将拒绝 IDP 发起的登录流中未经请求的 SAML 断言。

    注意

    某些第三方 IdPs 允许您创建自定义 SAML 应用程序,该应用程序可以利用 SP 启动的流程提供 IDP 启动的身份验证体验。例如,请参阅添加 Okta 书签应用程序

  5. 选择是否要启用向该提供商签署 SAML 请求。SP 启动的身份验证允许您的 IdP 验证身份验证请求是否来自门户,从而阻止接受其他第三方请求。

    1. 下载签名证书并将其上传到您的 IdP。相同的签名证书可用于单次注销。

    2. 在您的 IdP 中启用签名请求。根据 IdP 的不同,名称可能会有所不同。

      注意

      RSA-SHA256 是唯一支持的请求和默认请求签名算法。

  6. 选择是否要启用 “需要加密的 SAML 断言”。这允许您对来自您的 IdP 的 SAML 断言进行加密。它可以防止数据在 IdP 和安全浏览器之间的 SAML 断言中被拦截。 WorkSpaces

    注意

    此步骤中没有加密证书。它将在您的门户启动后创建。启动门户后,下载加密证书并将其上传到您的 IdP。然后,在您的 IdP 中启用断言加密(名称可能有所不同,具体取决于 IdP。

  7. 选择是否要启用 “单点注销”。单点注销允许您的最终用户通过一个操作退出其 IdP WorkSpaces 和安全浏览器会话。

    1. 从 WorkSpaces 安全浏览器下载签名证书并将其上传到您的 IdP。这与上一步中用于请求签名的签名证书相同。

    2. 使用单点注销需要您在 SAML 2.0 身份提供商中配置单点注销 UR L。您可以在控制台的服务提供商 (SP) 详细信息-显示单个元数据值下找到门户的单点注销 URL,也可以从下<md:SingleLogoutService>方的 SP 元数据文件中找到。

    3. 在 IdP 中启用单点注销。根据 IdP 的不同,名称可能会有所不同。

步骤 2:在您自己的 IdP 上配置您的身份提供商

在您的浏览器中打开一个新的选项卡。然后,对您的 IdP 完成以下步骤:

  1. 将您的门户元数据添加到 SAML IdP。

    将您在上一步中下载的 SP 元数据文档上传到您的 IdP,或者将元数据值复制并粘贴到 IdP 的正确字段中。某些提供商不允许上传文件。

    此过程的细节可能因提供商而异。有关如何将门户详细信息添加到 IdP 配置的帮助,请查看您的提供商的文档。具体指导 IdPs

  2. 确认您的 S AML 断言的名称 ID

    确保你的 SAML IdP 使用用户电子邮件字段填充 SAML 断言中的 nameIDNameID 和用户电子邮件用于在门户中唯一标识您的 SAML 联合用户。使用永久性的 SAML 名称 ID 格式。

  3. 可选:为 IDP 启动的身份验证配置中继状态

    如果您在上一步中选择了接受 SP 发起和 IdP 发起的 SAML 断言,请按照的步骤 2 中的步骤为您的 IdP 应用程序设置默认中继状态步骤 1:开始在 WorkSpaces 安全浏览器上配置您的身份提供商

  4. 可选:配置请求签名。如果您在上一步中选择向该提供商签署 SAML 请求,请按照的步骤 3 中的步骤将签名证书上传步骤 1:开始在 WorkSpaces 安全浏览器上配置您的身份提供商到您的 IdP 并启用请求签名。有些人 IdPs (例如 Okta)可能需要您的 Name ID 属于 “永久” 类型才能使用请求签名。请务必按照上述步骤确认您的 SAML 断言的 Nam eID

  5. 可选:配置断言加密。如果您选择要求此提供商提供加密 SAML 断言,请等到门户创建完成,然后按照下面 “上传元数据” 中的步骤 4 将加密证书上传到您的 IdP 并启用断言加密。

  6. 可选:配置单点注销。如果您选择单点注销,请按照的步骤 5 中的步骤将签名证书上传步骤 1:开始在 WorkSpaces 安全浏览器上配置您的身份提供商到您的 IdP,填写单点注销 URL,然后启用单点注销

  7. 向 IdP 中的用户授予使用 WorkSpaces 安全浏览器的访问权限。

  8. 从 IdP 下载元数据交换文件。您将在下一步中将此元数据上传到 WorkSpaces 安全浏览器。

步骤 3:在 WorkSpaces 安全浏览器上完成身份提供商的配置

返回 WorkSpaces 安全浏览器控制台。在创建向导的配置身份提供者页面上,在 IdP 元数据下,上传元数据文件或输入来自您的 IdP 的元数据 URL。该门户使用您的 IdP 中的这些元数据来建立信任。

  1. 要上传元数据文件,请在 IdP 元数据文档下,选择选择文件。上传您在上一步中下载的 XML 格式的 IdP 元数据文件。

  2. 要使用元数据 URL,请前往您在上一步中设置的 IdP 并获取其元数据 URL。返回 WorkSpaces 安全浏览器控制台,在 IdP 元数据 URL 下,输入您从 IdP 获得的元数据 URL。

  3. 完成后,选择 Next

  4. 对于启用了 “要求此提供商提供加密 SAML 断言” 选项的门户,您需要从门户 IdP 详细信息部分下载加密证书并将其上传到您的 IdP。然后,你可以在那里启用该选项。

    注意

    WorkSpaces 安全浏览器要求在 IdP 设置的 SAML 断言中映射和设置主题或名称 ID。您的 IdP 可以自动创建这些映射。如果这些映射配置不正确,您的用户将无法登录 Web 门户并启动会话。

    WorkSpaces 安全浏览器要求在 SAML 响应中包含以下声明。您可以<Your SP Entity ID><Your SP ACS URL>通过控制台或 CLI 从门户的服务提供商详细信息或元数据文档中查找和查找。

    • 一项AudienceRestriction声明,其Audience值将您的 SP 实体 ID 设置为响应的目标。例如:

      <saml:AudienceRestriction>
    <saml:Audience><Your SP Entity ID></saml:Audience>
</saml:AudienceRestriction>

    • 一项 Response 声明,具有原始 SAML 请求 ID 的 InResponseTo 值。例如:

      <samlp:Response ... InResponseTo="<originalSAMLrequestId>">

    • 一项SubjectConfirmationData索赔,其Recipient值为你的 SP ACS 网址,其InResponseTo值与原始 SAML 请求编号相匹配。例如:

      <saml:SubjectConfirmation>
    <saml:SubjectConfirmationData ... 
        Recipient="<Your SP ACS URL>"
        InResponseTo="<originalSAMLrequestId>"
        />
</saml:SubjectConfirmation>

    WorkSpaces 安全浏览器会验证您的请求参数和 SAML 断言。对于 IDP 发起的 SAML 断言,您的请求的详细信息必须格式化为 HTTP POST 请求正文中的RelayState参数。请求正文还必须包含您的 SAML 断言作为参数。SAMLResponse如果您已经执行了上一步操作,则两者都应该存在。

    以下是 IDP 发起的 SAML 提供商的示例POST正文。

    SAMLResponse=<Base64-encoded SAML assertion>&RelayState=<RelayState>

具体指导 IdPs

为确保正确配置门户的 SAML 联合,请参阅以下链接以获取常用 IdPs文档。

IdP SAML 应用程序设置 用户管理 IDP 发起的身份验证 请求签名 断言加密 单次注销
Okta 创建 SAML 应用程序集成 用户管理 应用程序集成向导 SAML 字段参考 应用程序集成向导 SAML 字段参考 应用程序集成向导 SAML 字段参考 应用程序集成向导 SAML 字段参考
Entra 创建自己的应用程序 快速入门:创建和分配用户帐户 为企业应用程序启用单点登录 SAML 请求签名验证 配置微软 Entra SAML 令牌加密 单点注销 SAML 协议
Ping 添加 SAML 应用程序 用户 启用 IDP 发起的 SSO 为企业配置身份验证 PingOne 请求登录 企业版是否 PingOne 支持加密? SAML 2.0 单点注销
一次登录 SAML 自定义连接器(高级)(4266907) 将用户添加到 “ OneLogin 手动” SAML 自定义连接器(高级)(4266907) SAML 自定义连接器(高级)(4266907) SAML 自定义连接器(高级)(4266907) SAML 自定义连接器(高级)(4266907)
IAM Identity Center 设置你自己的 SAML 2.0 应用程序 设置你自己的 SAML 2.0 应用程序 设置你自己的 SAML 2.0 应用程序 不适用 不适用 不适用