設定標準驗證類型 - Amazon 瀏 WorkSpaces 覽器
步驟 1:開始在 WorkSpaces 安全瀏覽器上配置您的身份提供者步驟 2:在您自己的 IdP 上設定您的身分識別提供者步驟 3:在 WorkSpaces 安全瀏覽器上完成身分提供者的設定具體的指導 IdPs

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定標準驗證類型

對於標準 (預設),請直接將您的第三方 SAML 2.0 身分識別提供者 (例如 Okta 或 Ping) 與入口網站聯盟。

身分識別類型可以透過符合 SAML 2.0 標準的 IdP 支援 service-provider-initiated identity-provider-initiated (SP 起始) 和 (IdP 起始) 登入流程。

步驟 1:開始在 WorkSpaces 安全瀏覽器上配置您的身份提供者

完成下列步驟來設定您的身分識別提供者:

  1. 在建立精靈的設定身分提供者頁面上,選擇標準

  2. 選擇「繼續標準 IdP」。

  3. 下載 SP 中繼資料檔案,並保持開啟個別中繼資料值的索引標籤。

    • 如果 SP 中繼資料檔案可用,請選擇「下載中繼資料檔案」以下載服務提供者 (SP) 中繼資料文件,然後在下一個步驟中將服務提供者中繼資料檔案上傳至您的 IdP。如果沒有此功能,使用者將無法登入。

    • 如果您的供應商未上傳 SP 中繼資料檔案,請手動輸入中繼資料值。

  4. 在「選擇 SAML 登入類型」下,選擇 SP 起始和 IDP 起始的 SAML 宣告,或者僅限 SP 起始的 SAML 判斷提示

    • SP 起始和 IDP 起始的 SAML 判斷提示可讓您的入口網站支援這兩種類型的登入流程。支援 IdP 起始流程的入口網站可讓您將 SAML 宣告呈現給服務身分識別聯合端點,而不需要使用者透過造訪入口網站 URL 啟動工作階段。

      • 選擇此選項以允許入口網站接受來路不明的 IDP 起始 SAML 宣告。

      • 此選項需要在 SAML 2.0 身分識別提供者中設定預設的轉送狀態。入口網站的轉送狀態參數位於 IdP 起始 SAML 登入下的主控台中,或者您可以從下的 SP 中繼資料檔案複製它。<md:IdPInitRelayState>

      • 注意

        • 以下是轉送狀態的格式:redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider

        • 如果您複製並貼上 SP 中繼資料檔案中的值,請確定您將變更&amp; &&amp;是 XML 逸出字元。

    • 只針對入口網站選擇 SP 起始的 SAML 宣告,以僅支援 SP 起始的登入流程。此選項將拒絕來自 IDP 起始登入流程的來路不明的 SAML 宣告。

    注意

    某些協力廠商 IdPs 允許您建立自訂 SAML 應用程式,該應用程式可利用 SP 啟動的流程提供 IdP 起始的驗證體驗。例如,請參閱新增 Okta 書籤應用程式

  5. 選擇是否要對此提供者啟用「簽署 SAML 要求」。SP 啟動的驗證可讓您的 IdP 驗證驗證要求來自入口網站,以防止接受其他第三方要求。

    1. 下載簽署憑證並上傳至您的 IdP。相同的簽署憑證可用於單一登出。

    2. 在 IdP 中啟用已簽署的要求。名稱可能會有所不同,具體取決於 IdP。

      注意

      RSA-SHA256 是唯一支援的要求和預設要求簽章演算法。

  6. 選擇是否要啟用需要加密的 SAML 宣告。這可讓您加密來自 IdP 的 SAML 判斷提示。它可以防止在 IdP 和安全瀏覽器之間的 SAML 判斷提示中攔截資料。 WorkSpaces

    注意

    此步驟無法使用加密憑證。它將在您的門戶網站啟動後創建。啟動入口網站之後,請下載加密憑證並將其上傳到您的 IdP。然後,在 IdP 中啟用斷言加密(名稱可能會有所不同,具體取決於 IdP。

  7. 選擇是否要啟用「單一登出」。單一登出可讓您的使用者透過單一動作登出其 IdP 和 WorkSpaces 安全瀏覽器工作階段。

    1. 從 WorkSpaces 安全瀏覽器下載簽名證書,並將其上傳到您的 IdP。這與上一個步驟中用於「要求簽署」的簽署憑證相同。

    2. 使用單一登出時,您必須在 SAML 2.0 身分識別提供者中設定單一登出 URL。您可以在服務提供者 (SP) 詳細資料下的主控台中找到入口網站的單一登出 URL-顯示個別中繼資料值,或從下<md:SingleLogoutService>的 SP 中繼資料檔案。

    3. 在 IdP 中啟用單一登出。名稱可能會有所不同,具體取決於 IdP。

步驟 2:在您自己的 IdP 上設定您的身分識別提供者

在瀏覽器中開啟新的分頁。然後使用您的 IdP 完成下列步驟:

  1. 將入口網站中繼資料新增至您的 SAML IdP。

    將您在上一個步驟中下載的 SP 中繼資料文件上傳至 IdP,或將中繼資料值複製並貼到 IdP 中的正確欄位中。某些供應商不允許檔案上傳。

    此過程的詳細信息可能因提供商而異。如具體的指導 IdPs需如何將入口網站詳細資料新增至 IdP 組態的說明,請參閱中的提供者說明文件。

  2. 確認您的 SAML 宣告的 NameID

    請確定您的 SAML IdP 使用使用者電子郵件欄位填入 SAML 宣告中的 NameIDNameID 和使用者電子郵件用於透過入口網站唯一識別您的 SAML 聯合身分使用者。使用永久性 SAML 名稱識別碼格式。

  3. 可選:為 IDP 起始的驗證設定轉送狀態

    如果您在上一個步驟中選擇了接受 SP 起始和 IdP 起始的 SAML 宣告,請依照步驟 2 中的步驟設定 IdP 應用程式的預設步驟 1:開始在 WorkSpaces 安全瀏覽器上配置您的身份提供者狀態。

  4. 選用性:設定要求簽署。如果您在上一個步驟中選擇「將 SAML 要求簽署給此提供者」,請遵循步驟 3 中的步驟,將簽署憑證上傳步驟 1:開始在 WorkSpaces 安全瀏覽器上配置您的身份提供者到您的 IdP 並啟用要求簽署。某些 IdPs 例如 Okta 可能要求您的 NameID 屬於「永久」類型才能使用請求簽名。請依照上述步驟確認您的 SAML 判斷提示的 NameID

  5. 選用性:設定宣告加密。如果您選擇需要來自此提供者的加密 SAML 宣告,請等到入口網站建立完成,然後遵循下面「上傳中繼資料」中的步驟 4,將加密憑證上傳至您的 IdP 並啟用宣告加密。

  6. 選用性:設定單一登出如果您選擇「單一登出」,請按照步驟 5 中的步驟將簽署憑證上傳步驟 1:開始在 WorkSpaces 安全瀏覽器上配置您的身份提供者到 IdP,填寫「單一登出 URL」,然後啟用「單一登出」。

  7. 授予 IdP 中的使用者使用 WorkSpaces 安全瀏覽器的存取權。

  8. 從您的 IdP 下載中繼資料交換檔案。您將在下一個步驟中將此元數據上傳到 WorkSpaces 安全瀏覽器。

步驟 3:在 WorkSpaces 安全瀏覽器上完成身分提供者的設定

返回 WorkSpaces 安全瀏覽器主控台。在建立精靈的 [設定身分識別提供者] 頁面上,在 IdP 中繼資料下,上傳中繼資料檔案,或從您的 IdP 輸入中繼資料 URL。入口網站會使用 IdP 中繼資料來建立信任。

  1. 若要上載中繼資料檔案,請在 IdP 中繼資料文件下,選擇「選擇檔案」。上傳您在上一個步驟中從 IdP 下載的 XML 格式中繼資料檔案。

  2. 若要使用中繼資料 URL,請前往您在上一個步驟中設定的 IdP,並取得其中繼資料 URL。返回 WorkSpaces 安全瀏覽器主控台,然後在 IdP 中繼資料 URL 下,輸入您從 IdP 取得的中繼資料 URL。

  3. 完成時請選擇 Next (下一步)。

  4. 如果入口網站已啟用「需要來自此提供者的加密 SAML 宣告」選項,您必須從入口網站 IdP 詳細資料區段下載加密憑證,並將其上傳至您的 IdP。然後,您可以在此處啟用該選項。

    注意

    WorkSpaces 安全瀏覽器需要在 IdP 的設定中,在 SAML 宣告中對應並設定主旨或 NameID。您的 IdP 可以自動建立這些對映。如果未正確設定這些對映,您的使用者將無法登入 Web 入口網站和啟動工作階段。

    WorkSpaces 安全瀏覽器需要在 SAML 回應中提供下列宣告。<Your SP Entity ID><Your SP ACS URL>您可以透過主控台或 CLI 尋找入口網站的服務提供者詳細資料或中繼資料文件,從中找到。

    • 具有將您的 SP 實體 ID 設定為回應目標的Audience值的AudienceRestriction宣告。範例:

      <saml:AudienceRestriction>
    <saml:Audience><Your SP Entity ID></saml:Audience>
</saml:AudienceRestriction>

    • InResponseTo 值為原始 SAML 請求 ID 的 Response 宣告。範例:

      <samlp:Response ... InResponseTo="<originalSAMLrequestId>">

    • 具有您的 SP ACS 網址Recipient值的SubjectConfirmationData宣告,以及與原始 SAML 要求識別碼相符的InResponseTo值。範例:

      <saml:SubjectConfirmation>
    <saml:SubjectConfirmationData ... 
        Recipient="<Your SP ACS URL>"
        InResponseTo="<originalSAMLrequestId>"
        />
</saml:SubjectConfirmation>

    WorkSpaces 安全瀏覽器會驗證您的請求參數和 SAML 判斷提示。對於 IdP 起始的 SAML 宣告,請求的詳細資訊必須格式化為 HTTP POST 要求主體中的RelayState參數。要求主體也必須包含您的 SAML 判斷提示做為SAMLResponse參數。如果您遵循上一個步驟,這兩者都應該存在。

    以下是 IdP 起始之 SAML 提供者的範例POST主體。

    SAMLResponse=<Base64-encoded SAML assertion>&RelayState=<RelayState>

具體的指導 IdPs

若要確保您正確設定入口網站的 SAML 聯盟,請參閱下列連結以取得常用 IdPs的說明文件。

IdP SAML 應用程式設定 使用者管理 IDP 啟動的身份驗證 請求簽署 斷言加密 單一登出
Okta 建立 SAML 應用程式整合 使用者管理 應用程式整合精靈 SAML 欄位參考 應用程式整合精靈 SAML 欄位參考 應用程式整合精靈 SAML 欄位參考 應用程式整合精靈 SAML 欄位參考
恩特拉 創建自己的應用程序 快速入門:建立並指派使用者帳戶 啟用企業應用程式的單一登入 SAML 要求簽名驗證 設定 Microsoft 中央 SAML 權杖加密 單一登出 SAML 通訊協定
Ping 新增 SAML 應用程式 使用者 啟用 IDP 起始的單一登入 PingOne 為企業配置身份驗證請求登錄 企業版是否 PingOne 支援加密? 單一登出
一次登入 SAML 客製化連接器 (進階) (4266907) OneLogin 手動新增使用者 SAML 客製化連接器 (進階) (4266907) SAML 客製化連接器 (進階) (4266907) SAML 客製化連接器 (進階) (4266907) SAML 客製化連接器 (進階) (4266907)
IAM Identity Center 設定您自己的 SAML 2.0 應用程式 設定您自己的 SAML 2.0 應用程式 設定您自己的 SAML 2.0 應用程式 N/A N/A N/A