

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Integration von WorkSpaces Amazon-Anwendungen mit SAML 2.0
<a name="external-identity-providers"></a>

Amazon WorkSpaces Applications unterstützt den Identitätsverbund mit WorkSpaces Anwendungsstapeln über Security Assertion Markup Language 2.0 (SAML 2.0). Sie können einen Identitätsanbieter (IdP) verwenden, der SAML 2.0 unterstützt — wie Active Directory Federation Services (AD FS) in Windows Server, Ping One Federation Server oder Okta —, um einen Onboarding-Flow für Ihre Anwendungsbenutzer bereitzustellen. WorkSpaces 

Diese Funktion bietet Ihren Benutzern den bequemen Zugriff auf ihre Anwendungsanwendungen mit nur einem Klick mit ihren vorhandenen Identitätsdaten. WorkSpaces Zudem erhalten Sie den Sicherheitsvorteil, den die Identitätsauthentifizierung durch Ihren Identitätsanbieter beinhaltet. Mithilfe Ihres IdP können Sie steuern, welche Benutzer Zugriff auf einen bestimmten WorkSpaces Anwendungsstapel haben.

**Topics**
+ [Beispiel-Workflow zur Authentifizierung](external-identity-providers-example.md)
+ [Einrichten von SAML](external-identity-providers-setting-up-saml.md)
+ [WorkSpaces Anwendungsintegration mit SAML 2.0](external-identity-providers-further-info.md)

# Beispiel-Workflow zur Authentifizierung
<a name="external-identity-providers-example"></a>

Das folgende Diagramm zeigt den Authentifizierungsfluss zwischen WorkSpaces Applications und einem externen Identitätsanbieter (IdP). In diesem Beispiel hat der Administrator eine Anmeldeseite für den Zugriff auf WorkSpaces Anwendungen eingerichtet, die heißt. `applications.exampleco.com` Die Webseite verwendet einen mit SAML 2.0 kompatiblen Verbundservice, um eine Anmeldeanforderung auszulösen. Der Administrator hat außerdem einen Benutzer eingerichtet, der den Zugriff auf WorkSpaces Anwendungen ermöglicht.

![\[WorkSpaces SAML-Diagramm für Amazon-Anwendungen\]](http://docs.aws.amazon.com/de_de/appstream2/latest/developerguide/images/aas2-saml.png)


1. Der Benutzer ruft `https://applications.exampleco.com` auf. Die Anmeldeseite fordert die Authentifizierung für den Benutzer an.

1. Der Verbundservice fordert die Authentifizierung vom Identitätsspeicher der Organisation an.

1. Der Identitätsspeicher authentifiziert den Benutzer und gibt die Authentifizierungsantwort an den Verbundservice zurück.

1. Bei einer erfolgreichen Authentifizierung sendet der Verbundservice die SAML-Zusicherung an den Browser des Benutzers.

1. Der Browser des Benutzers sendet die SAML-Assertion an den SAML-Endpunkt für die AWS Anmeldung (). `https://signin.aws.amazon.com/saml` AWS Sign-In empfängt die SAML-Anfrage, verarbeitet die Anfrage, authentifiziert den Benutzer und leitet das Authentifizierungstoken an Applications weiter. WorkSpaces 

   Informationen zur Arbeit mit SAML in den AWS GovCloud (US) Regionen finden Sie unter [AWS Identity and Access Management](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html) im *AWS GovCloud (US) Benutzerhandbuch*.

1. Mithilfe des Authentifizierungstokens von AWS WorkSpaces Applications autorisiert Applications den Benutzer und präsentiert Anwendungen dem Browser.

Für den Benutzer ist dieser Vorgang transparent. Der Benutzer beginnt im internen Portal Ihrer Organisation und wird automatisch zu einem Anwendungsportal für WorkSpaces Anwendungen weitergeleitet, ohne dass er AWS Anmeldeinformationen eingeben muss.

# Einrichten von SAML
<a name="external-identity-providers-setting-up-saml"></a>

Damit sich Benutzer mit ihren vorhandenen Anmeldeinformationen bei WorkSpaces Anwendungen anmelden und Streaming-Anwendungen starten können, können Sie einen Identitätsverbund mit SAML 2.0 einrichten. Verwenden Sie dazu eine IAM-Rolle und eine Relay-State-URL, um Ihren SAML 2.0-kompatiblen Identitätsanbieter (IdP) zu konfigurieren und Ihren Verbundbenutzern den Zugriff auf einen Anwendungsstapel AWS zu ermöglichen. WorkSpaces Die IAM-Rolle erteilt den Benutzern Berechtigungen für den Zugriff auf den Stack. Der RelayState ist das Stack-Portal, an das Benutzer nach einer erfolgreichen Authentifizierung durch AWS weitergeleitet werden.

**Topics**
+ [Voraussetzungen](#external-identity-providers-setting-up-prerequisites)
+ [Schritt 1: Erstellen Sie einen SAML-Identitätsanbieter in IAM AWS](#external-identity-providers-create-saml-provider)
+ [Schritt 2: Erstellen einer IAM-Rolle für den SAML-2.0-Verbund](#external-identity-providers-grantperms)
+ [Schritt 3: Einbetten einer Inline-Richtlinie für die IAM-Rolle](#external-identity-providers-embed-inline-policy-for-IAM-role)
+ [Schritt 4: Konfigurieren Ihres SAML-basierten IdP](#external-identity-providers-config-idp)
+ [Schritt 5: Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort](#external-identity-providers-create-assertions)
+ [Schritt 6: Konfigurieren des RelayState für den Verbund](#external-identity-providers-relay-state)

## Voraussetzungen
<a name="external-identity-providers-setting-up-prerequisites"></a>

Erfüllen Sie die folgenden Voraussetzungen, bevor Sie Ihre SAML 2.0-Verbindung konfigurieren.

1. Konfigurieren Sie den auf SAML basierenden Identitätsanbieter, um eine Vertrauensbeziehung mit AWS einzurichten. 
   + Konfigurieren Sie im Netzwerk Ihrer Organisation Ihren Identitätsspeicher für die Arbeit mit einem SAML-basierten Identitätsanbieter. Weitere Informationen über die Konfiguration von Ressourcen finden Sie unter [WorkSpaces Anwendungsintegration mit SAML 2.0](external-identity-providers-further-info.md).
   + Verwenden Sie Ihren auf SAML basierenden Identitätsanbieter, um ein verbundenes Metadatendokument herunterzuladen, in dem Ihre Organisation als Identitätsanbieter beschrieben wird. Dieses signierte XML-Dokument wird verwendet, um die Vertrauensstellung für die vertrauenden Seiten einzurichten. Speichern Sie diese Datei an einem Standort, auf den Sie später von der IAM-Konsole aus zugreifen können.

1. Verwenden Sie die WorkSpaces Applications Management Console, um einen Anwendungsstapel zu erstellen. WorkSpaces Sie benötigen den Stacknamen, um die IAM-Richtlinie zu erstellen und Ihre IdP-Integration mit WorkSpaces Anwendungen zu konfigurieren, wie weiter unten in diesem Thema beschrieben.

   Sie können einen WorkSpaces Anwendungsstapel mithilfe der WorkSpaces Anwendungsverwaltungskonsole oder der AWS CLI WorkSpaces Anwendungs-API erstellen. Weitere Informationen finden Sie unter [Erstellen Sie eine WorkSpaces Amazon-Anwendungsflotte und einen Stack](set-up-stacks-fleets.md).

## Schritt 1: Erstellen Sie einen SAML-Identitätsanbieter in IAM AWS
<a name="external-identity-providers-create-saml-provider"></a>

Erstellen Sie zunächst einen SAML-IdP in AWS IAM. Dieser IdP definiert die Beziehung zwischen IdP und AWS Trust Ihrer Organisation anhand des Metadatendokuments, das von der IdP-Software in Ihrer Organisation generiert wurde. Weitere Informationen finden Sie unter [Erstellen und Verwalten eines SAML-Identitätsanbieters (Amazon-Web-Services-Managementkonsole) ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) im *IAM-Benutzerhandbuch*. Informationen zur Arbeit mit SAML IdPs in den AWS GovCloud (US) Regionen finden Sie unter [AWS Identity and Access Management](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html) im *AWS GovCloud (US) Benutzerhandbuch*.

## Schritt 2: Erstellen einer IAM-Rolle für den SAML-2.0-Verbund
<a name="external-identity-providers-grantperms"></a>

Anschließend erstellen Sie eine IAM-Rolle für den SAML-2.0-Verbund. Dieser Schritt stellt eine Vertrauensstellung zwischen IAM und dem IdP Ihrer Organisation her, die Ihren IdP als vertrauenswürdige Entität für den Verbund identifiziert. 

**So erstellen Sie eine IAM;-Rolle für den SAML-IdP**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Roles (Rollen)** und **Create Role (Rolle erstellen)** aus. 

1. Wählen Sie für **Role type** (Rollentyp) die Option **SAML 2.0 federation** (SAML 2.0 Verbund). 

1. Wählen Sie für **SAML Provider** (SAML-Anbieter) den erstellten SAML-Identitätsanbieter aus. 
**Wichtig**  
Wählen Sie keine der beiden SAML-2.0-Zugriffsmethoden (**Nur programmgesteuerten Zugriff erlauben** oder **Programmatischen Zugriff und Zugriff auf die Amazon–Web-Services-Managementkonsole zulassen**) aus.

1. Für **Attribut** wählen Sie **SAML:sub\$1type**. 

1. Geben Sie für **Wert** **https://signin.aws.amazon.com/saml** ein. Dieser Schritt schränkt den Rollenzugriff auf Streaming-Anfragen von SAML-Benutzern ein, die eine SAML-Subjekttypangabe mit dem Wert „persistent“ enthalten. Wenn der SAML:sub\$1type „persistent“ ist, sendet Ihr IdP denselben eindeutigen Wert für das NameID-Element in allen SAML-Anfragen von einem bestimmten Benutzer. [Weitere Informationen zur Behauptung SAML:sub\$1type finden Sie im Abschnitt *Eindeutige Identifizierung von Benutzern in einem SAML-basierten Verbund unter Verwenden eines SAML-basierten Verbunds* für den API-Zugriff auf. AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring)
**Anmerkung**  
Obwohl der **https://signin.aws.amazon.com/saml** Endpunkt hochverfügbar ist, wird er nur in der Region us-east-1 von gehostet. AWS Verwenden Sie regionale Endpunkte und richten Sie zusätzliche SAML-Anmeldeendpunkte für den Failover ein, um Serviceunterbrechungen in dem unwahrscheinlichen Fall zu vermeiden, dass die Verfügbarkeit eines regionalen Endpunkts beeinträchtigt wird. Weitere Informationen finden Sie unter [So verwenden Sie regionale SAML-Endpunkte für Failover](https://aws.amazon.com/blogs/security/how-to-use-regional-saml-endpoints-for-failover/).

1. Überprüfen Sie Ihre SAML 2.0-Vertrauensinformationen, um die richtige vertrauenswürdige Entität und Bedingung sicherzustellen, und wählen Sie dann **Next: Permissions** (Weiter: Berechtigungen). 

1. Wählen Sie auf der Seite **Attach permissions policies (Berechtigungsrichtlinien hinzufügen)** **Next: Tags (Weiter: Tags)** aus.

1. (Optional) Geben Sie einen Schlüssel und einen Wert für jedes Tag ein, das Sie hinzufügen möchten. Weitere Informationen finden Sie unter [Markieren von IAM-Benutzern und -Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html). 

1. Klicken Sie abschließend auf **Weiter: Überprüfen**. Sie erstellen später eine Inline-Richtlinie für diese Rolle und betten diese ein.

1. Geben Sie unter **Rollenname** einen Rollennamen ein, der Ihnen hilft, den Zweck dieser Rolle zu identifizieren. Da verschiedene Entitäten möglicherweise auf die Rolle verweisen, können Sie den Namen der Rolle nach der Erstellung nicht mehr bearbeiten.

1. (Optional) Geben Sie im Feld **Role description (Rollenbeschreibung)** eine Beschreibung für die neue Rolle ein.

1. Prüfen Sie die Rollendetails und wählen Sie **Create Role** (Rolle erstellen).

1. (Optional) Wenn Sie Sitzungskontext- oder attributbasierte Anwendungsberechtigungen mithilfe eines SAML 2.0-Identitätsanbieters eines Drittanbieters oder zertifikatsbasierter Authentifizierung verwenden möchten, müssen Sie die STS: TagSession -Berechtigung zur Vertrauensrichtlinie Ihrer neuen IAM-Rolle hinzufügen. Weitere Informationen finden Sie unter [Attributbasierte Anwendungsberechtigungen mithilfe eines Drittanbieter-SAML-2.0-Identitätsanbieters](application-entitlements-saml.md) und [Übergeben von Sitzungs-Tags in AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).

   Wählen Sie auf der Detailseite für Ihre neue IAM-Rolle die Registerkarte **Vertrauensstellung** und anschließend **Vertrauensstellung bearbeiten** aus. Der Richtlinieneditor zum Bearbeiten der Vertrauensstellung wird gestartet. **Fügen Sie die STS: -Berechtigung wie folgt hinzu: TagSession**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Federated": "arn:aws:iam::111122223333:saml-provider/IDENTITY-PROVIDER"
               },
               "Action": [
                   "sts:AssumeRoleWithSAML",
                   "sts:TagSession"
               ],
               "Condition": {
                   "StringEquals": {
                       "SAML:sub_type": "persistent"
                   }
               }
           }
       ]
   }
   ```

------

   Ersetzen Sie *IDENTITY-PROVIDER***** durch den Namen des SAML-IdP, den Sie in Schritt 1 erstellt haben. Wählen Sie **Vertrauensrichtlinie aktualisieren** aus.

## Schritt 3: Einbetten einer Inline-Richtlinie für die IAM-Rolle
<a name="external-identity-providers-embed-inline-policy-for-IAM-role"></a>

Anschließend betten Sie eine IAM-Richtlinie für die erstellte Rolle ein. Bei der Einbettung einer eingebundenen Richtlinie können die Berechtigungen der Richtlinie nicht versehentlich an die falsche Prinzipal-Entität angefügt werden. Die Inline-Richtlinie gewährt Verbundbenutzern Zugriff auf den WorkSpaces Anwendungsstapel, den Sie erstellt haben.

1. Wählen Sie in den Details für die von Ihnen erstellte IAM-Rolle die Registerkarte **Berechtigungen** und dann die Option **Inline-Richtlinie hinzufügen** aus. Der Assistent zum Erstellen von Richtlinien wird gestartet.

1. Wählen Sie unter **Create policy (Richtlinie erstellen)** die Registerkarte **JSON**.

1. Kopieren Sie die folgende JSON-Richtlinie und fügen Sie sie in das JSON-Fenster ein. Ändern Sie dann die Ressource, indem Sie Ihren AWS-Region Code, Ihre Konto-ID und Ihren Stacknamen eingeben. In der folgenden Richtlinie erhalten die Benutzer Ihrer WorkSpaces Anwendungen die Berechtigung, `"Action": "appstream:Stream"` eine Verbindung zu Streaming-Sitzungen auf dem von Ihnen erstellten Stack herzustellen. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "appstream:Stream",
               "Resource": "arn:aws:appstream:us-east-1:111122223333:stack/STACK-NAME",
               "Condition": {
                   "StringEquals": {
                       "appstream:userId": "${saml:sub}"
                   }
               }
           }
       ]
   }
   ```

------

   *REGION-CODE*Ersetzen Sie es durch die AWS Region, in der Ihr WorkSpaces Anwendungsstapel existiert. *STACK-NAME*Ersetzen Sie durch den Namen des Stacks. *STACK-NAME*unterscheidet Groß- und Kleinschreibung und muss exakt der Groß- und Kleinschreibung des Stack-Namens entsprechen, der im **Stacks-Dashboard** der WorkSpaces Applications Management Console angezeigt wird. 

   Verwenden Sie für Ressourcen in den AWS GovCloud (US) Regionen das folgende Format für den ARN: 

   `arn:aws-us-gov:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME`

1. (Optional) Wenn Sie planen, attributbasierte Anwendungsberechtigungen unter Verwendung eines Drittanbieter-SAML-2.0-Identitätsanbieters mit **SAML 2.0 Multi-Stack-Anwendungskatalogen** zu verwenden, muss die Ressource in Ihrer Inline-Richtlinie für die IAM-Rolle **"Resource": "arn:aws:appstream:*REGION-CODE*:*ACCOUNT-ID-WITHOUT-HYPHENS*:stack/\$1"** so lauten, dass Anwendungsberechtigungen den Streaming-Zugriff auf Stacks steuern können. Sie können der Richtlinie eine explizite Zugriffsverweigerung hinzufügen, um zusätzlichen Schutz für eine Stack-Ressource durchzusetzen. Weitere Informationen finden Sie unter [Attributbasierte Anwendungsberechtigungen mithilfe eines Drittanbieter-SAML-2.0-Identitätsanbieters](application-entitlements-saml.md) und [Auswertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html).

1. Klicken Sie abschließend auf **Review policy (Richtlinie überprüfen)**. Die [Richtlinienvalidierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) meldet mögliche Syntaxfehler. 

## Schritt 4: Konfigurieren Ihres SAML-basierten IdP
<a name="external-identity-providers-config-idp"></a>

[Als Nächstes müssen Sie, abhängig von Ihrem SAML-basierten IdP, Ihren IdP möglicherweise manuell aktualisieren, damit er AWS als Dienstanbieter vertrauenswürdig ist, indem Sie die `saml-metadata.xml` Datei unter https://signin.aws.amazon.com/static/ saml-metadata.xml auf Ihren IdP hochladen.](https://signin.aws.amazon.com/static/saml-metadata.xml) Dieser Schritt aktualisiert die Metadaten Ihres IdP. Für einige ist das Update IdPs möglicherweise bereits konfiguriert. In diesem Fall fahren Sie mit dem nächsten Schritt fort.

Wenn diese Aktualisierung in Ihrem IdP noch nicht konfiguriert ist, lesen Sie in der Dokumentation Ihres IdP nach, wie die Metadaten zu aktualisieren sind. Bei einigen Anbietern können Sie die URL eingeben, woraufhin der Identitätsanbieter die Datei für Sie abruft und installiert. Bei anderen Anbietern müssen Sie die Datei über eine URL herunterladen und dann als lokale Datei bereitstellen.

## Schritt 5: Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort
<a name="external-identity-providers-create-assertions"></a>

Als Nächstes müssen Sie möglicherweise die Informationen, an die Ihr IdP sendet, AWS als SAML-Attribute in seiner Authentifizierungsantwort konfigurieren. Je nach Ihrem IdP sind diese Informationen möglicherweise bereits vorkonfiguriert. Wenn dies der Fall ist, überspringen Sie diesen Schritt und fahren Sie mit Schritt 6 fort.

Wenn diese Informationen in Ihrem Identitätsanbieter noch nicht konfiguriert sind, führen Sie die folgenden Schritte aus:
+ **SAML Subject NameID** – Die eindeutige ID für den Benutzer, der sich anmeldet. 
**Anmerkung**  
Für Stacks mit in Domänen eingebundenen Flotten muss der NameID-Wert für den Benutzer im Format "" unter Verwendung des AMAccount Namens s oder `domain\username` "" mit angegeben werden. `username@domain.com` userPrincipalName Wenn Sie das AMAccount S-Name-Format verwenden, können Sie das entweder `domain` mithilfe des NetBIOS-Namens oder des vollqualifizierten Domänennamens (FQDN) angeben. Das Format s AMAccount Name ist für unidirektionale Active Directory-Vertrauensszenarien erforderlich. Weitere Informationen finden Sie unter [Active Directory mit WorkSpaces Anwendungen verwenden](active-directory.md).
+ **SAML-Subjekttyp** (mit dem Wert `persistent`) – Durch Verwendung des Werts `persistent` stellen Sie sicher, dass Ihr IdP in allen SAML-Anfragen von einem bestimmten Benutzer dasselbe `NameID`-Element sendet. Stellen Sie sicher, dass Ihre IAM-Richtlinie eine Bedingung enthält, um ausschließlichen SAML-Anfragen mit dem SAML sub\$1type `persistent` zulässt, wie in [Schritt 2: Erstellen einer IAM-Rolle für den SAML-2.0-Verbund](#external-identity-providers-grantperms) beschrieben.
+ **`Attribute`Element mit dem auf https://aws.amazon.com/SAML/ Attribute/Rolle gesetzten `Name` Attribut** — Dieses Element enthält ein oder mehrere `AttributeValue` Elemente, die die IAM-Rolle und den SAML-IdP auflisten, denen der Benutzer von Ihrem IdP zugeordnet ist. Die Rolle und der IdP werden als kommagetrenntes Paar von angegeben. ARNs
+ **`Attribute`Element, dessen `Name` Attribut auf https://aws.amazon.com/SAML/ Attributes/ gesetzt** ist RoleSessionName — Dieses Element enthält ein Element, das eine `AttributeValue` Kennung für die AWS temporären Anmeldeinformationen bereitstellt, die für SSO ausgestellt werden. Der Wert des `AttributeValue`-Elements muss zwischen 2 und 64 Zeichen lang sein und darf nur alphanumerische Zeichen, Unterstriche und die folgenden Zeichen enthalten: \$1 (Pluszeichen), = (Gleichheitszeichen), , (Komma), . (Punkt), @ (At-Symbol) und - (Bindestrich). Er darf keine Leerzeichen enthalten. Der Wert ist in der Regel eine Benutzer-ID (bobsmith) oder eine E-Mail-Adresse (bobsmith@beispiel.com). Er sollte kein , der ein enthält, z. B. der Anzeigename eines Benutzers (Bob Smith).
+ **`Attribute`Element, bei dem das `Name` Attribut auf https://aws.amazon.com/SAML/ Attributes/PrincipalTag: gesetzt ist SessionContext (optional)** — Dieses Element enthält ein `AttributeValue` Element, das Parameter bereitstellt, mit denen Sitzungskontextparameter an Ihre Streaming-Anwendungen übergeben werden können. Weitere Informationen finden Sie unter [Sitzungskontext in WorkSpaces Amazon-Anwendungen](managing-stacks-fleets-session-context.md).
+ **`Attribute`Element, bei dem das `Name` Attribut auf https://aws.amazon.com/SAML/ Attributes/PrincipalTag: gesetzt ist ObjectSid (optional)** — Dieses Element enthält ein `AttributeValue` Element, das die Active Directory-Sicherheitskennung (SID) für den Benutzer bereitstellt, der sich anmeldet. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung verwendet, um eine sichere Zuordnung zu Active-Directory-Benutzern zu ermöglichen.
+ **`Attribute`Element, bei dem das `Name` Attribut auf https://aws.amazon.com/SAML/ Attributes/:Domain gesetzt ist PrincipalTag (optional) —** Dieses Element enthält ein Element`AttributeValue`, das den vollqualifizierten Active Directory-DNS-Domänennamen (FQDN) für den Benutzer bereitstellt, der sich anmeldet. Dieser Parameter wird bei der zertifikatsbasierten Authentifizierung verwendet, wenn der Active Directory `userPrincipalName` für den Benutzer ein alternatives Suffix enthält. Der Wert muss im Format **domain.com** angegeben werden, einschließlich aller Subdomains.
+ **`Attribute`Element, bei dem das `SessionDuration` Attribut auf https://aws.amazon.com/SAML/ Attributes/ gesetzt ist SessionDuration (optional)** — Dieses Element enthält ein `AttributeValue` Element, das angibt, wie lange eine föderierte Streaming-Sitzung für einen Benutzer maximal aktiv bleiben kann, bevor eine erneute Authentifizierung erforderlich ist. Der Standardwert liegt bei 60 Minuten (3600 Sekunden). Weitere Informationen finden Sie im SessionDuration Abschnitt *Ein optionales Attributelement, bei dem das Attribut https://aws.amazon.com/SAML/ auf Attributes/ gesetzt ist,* [unter SAML-Assertionen für die Authentifizierungsantwort konfigurieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html). SessionDuration 
**Anmerkung**  
Auch wenn es sich bei `SessionDuration` um ein optionales Attribut handelt, wird empfohlen, es in die SAML-Antwort aufzunehmen. Wenn Sie dieses Attribut nicht angeben, wird für die Sitzungsdauer ein Standardwert von 60 Minuten festgelegt.  
Wenn Ihre Benutzer auf ihre WorkSpaces Streaming-Anwendungen in Applications zugreifen, indem sie den nativen WorkSpaces Applications Client oder den Webbrowser auf der neuen Oberfläche verwenden, werden ihre Sitzungen nach Ablauf der Sitzungsdauer getrennt. Wenn Ihre Benutzer in Apps mithilfe eines Webbrowsers auf ihre WorkSpaces Streaming-Anwendungen zugreifen, old/classic werden ihre Sitzungen nach Ablauf der Sitzungsdauer der Benutzer getrennt und sie aktualisieren ihre Browserseite.

Weitere Informationen über die Konfiguration dieser Elemente finden Sie unter [Konfigurieren von SAML-Zusicherungen für die Authentifizierungsantwort](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) im *IAM-Benutzerhandbuch*. Weitere Informationen zu spezifischen Konfigurationsanforderungen für Ihren IdP finden Sie in der Dokumentation zu Ihrem IdP.

## Schritt 6: Konfigurieren des RelayState für den Verbund
<a name="external-identity-providers-relay-state"></a>

Verwenden Sie abschließend Ihren IdP, um den Relay-Status Ihres Verbunds so zu konfigurieren, dass er auf die Relay-Status-URL des WorkSpaces Anwendungsstapels verweist. Nach erfolgreicher Authentifizierung von AWS wird der Benutzer zum WorkSpaces Applications Stack Portal weitergeleitet, das in der SAML-Authentifizierungsantwort als Relay-Status definiert ist.

Die RelayState-URL hat folgendes Format:

```
https://relay-state-region-endpoint?stack=stackname&accountId=aws-account-id-without-hyphens
```

Erstellen Sie die RelayState-URL anhand Ihrer Amazon-Web-Services-Konto-ID, dem Stack-Namen und dem RelayState-Endpunkt der Region, in der sich der Stack befindet.

Optional können Sie den Namen der Anwendung angeben, die Sie automatisch starten möchten. Um den Namen der Anwendung zu finden, wählen Sie das Bild in der WorkSpaces Anwendungskonsole aus, wählen Sie die Registerkarte **Anwendungen** und notieren Sie sich den Namen, der in der Spalte **Anwendungsname** angezeigt wird. Wenn Sie das Abbild noch nicht erstellt haben, stellen Sie eine Verbindung mit dem Image Builder her, in dem Sie die Anwendung installiert haben, und öffnen Sie den Image Assistant. Die Namen der Anwendungen werden auf der Registerkarte **Add Apps (Apps hinzufügen)** angezeigt.

Wenn Ihre Flotte für die **Desktop**-Stream-Ansicht aktiviert ist, können Sie auch direkt auf dem Betriebssystem-Desktop starten. Geben Sie dazu **Desktop** am Ende der Relay-Status-URL an, gefolgt von **&app=**.

Bei einem vom Identity Provider (IdP) initiierten Flow werden Benutzer, nachdem sie sich im Standardbrowser des Systems beim IdP angemeldet und die Anwendung WorkSpaces Anwendungen aus dem IdP-Benutzerportal ausgewählt haben, zu einer Anmeldeseite für WorkSpaces Anwendungen im Standardbrowser des Systems mit den folgenden Optionen umgeleitet:
+ **Fahren Sie mit Browser fort**
+ **Öffnen Sie den WorkSpaces Anwendungsclient**

Auf der Seite können Benutzer wählen, ob sie die Sitzung entweder im Browser oder mit der WorkSpaces Applications Client-Anwendung starten möchten. Optional können Sie auch angeben, welcher Client für einen SAML 2.0-Verbund verwendet werden soll. Geben Sie dazu entweder `native` oder `web` am Ende der Relay-Status-URL danach `&client=` an. Wenn der Parameter in einer Relay-State-URL vorhanden ist, werden die entsprechenden Sitzungen auf dem angegebenen Client automatisch gestartet, ohne dass Benutzer eine Wahl treffen müssen.

**Anmerkung**  
Diese Funktion ist nur verfügbar, wenn Sie die neuen Relay-State-Region-Endpunkte (in Tabelle 1 unten) verwenden, um die Relay-State-URL zu erstellen, und den WorkSpaces Applications Client Version 1.1.1300 und höher verwenden. Außerdem sollten Benutzer immer ihren Standardbrowser des Systems verwenden, um sich beim IdP anzumelden. Die Funktion funktioniert nicht, wenn sie einen nicht standardmäßigen Browser verwenden.

Mit attributbasierten Anwendungsberechtigungen, die einen Drittanbieter-SAML-2.0-Identitätsanbieter verwenden, können Sie den Zugriff auf mehrere Stacks von einer einzigen Relay-State-URL aus ermöglichen. Entfernen Sie die Stack- und App-Parameter (falls vorhanden) wie folgt aus der Relay-State-URL:

```
https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens
```

Wenn Benutzer einen Verbund mit dem Anwendungskatalog für WorkSpaces Anwendungen herstellen, werden ihnen alle Stacks angezeigt, in denen Anwendungsberechtigungen eine oder mehrere Anwendungen dem Benutzer für die Konto-ID und den Relay-State-Endpunkt zugeordnet haben, die mit der Region verknüpft sind, in der sich Ihre Stacks befinden. Wenn ein Benutzer einen Katalog auswählt, werden in den Anwendungsberechtigungen nur die Anwendungen angezeigt, für die der Benutzer berechtigt ist.

**Anmerkung**  
Benutzer können nicht von mehreren Stacks gleichzeitig streamen.

Weitere Informationen finden Sie unter [Attributbasierte Anwendungsberechtigungen mithilfe eines Drittanbieter-SAML-2.0-Identitätsanbieters](application-entitlements-saml.md).

In der folgenden Tabelle 1 sind die Relay-State-Endpunkte für die Regionen aufgeführt, in denen WorkSpaces Applications verfügbar ist. Die Relay-State-Endpunkte in Tabelle 1 sind mit der Windows-Client-Anwendung Version 1.1.1300 [WorkSpaces Webbrowser-Zugriff für Anwendungen (Version 2)](web-browser-access-v2.md) und höher kompatibel. Wenn Sie ältere Versionen des Windows-Clients verwenden, sollten Sie die in Tabelle 2 aufgeführten alten Relay-State-Endpunkte verwenden, um Ihren SAML 2.0-Verbund zu konfigurieren. Wenn Sie möchten, dass Ihre Benutzer über eine FIPS-konforme Verbindung streamen, müssen Sie einen FIPS-konformen Endpunkt verwenden. Weitere Informationen zu den FIPS-Endpunkten finden Sie unter [Schützen von Daten bei der Übertragung mit FIPS-Endpunkten](protecting-data-in-transit-FIPS-endpoints.md).


**Tabelle 1: Endpunkte der Relay-State-Region für WorkSpaces Anwendungen (empfohlen)**  

| Region | RelayState-Endpunkt | 
| --- | --- | 
| USA Ost (Nord-Virginia) |  `https://appstream2.euc-sso.us-east-1.aws.amazon.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-east-1.aws.amazon.com/saml`  | 
| USA Ost (Ohio) | https://appstream2.euc-sso.us-east-2.aws.amazon.com/saml | 
| USA West (Oregon) |  `https://appstream2.euc-sso.us-west-2.aws.amazon.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-west-2.aws.amazon.com/saml`  | 
| Asien-Pazifik (Malaysia) | https://appstream2.euc-sso.ap-southeast-5.aws.amazon.com/saml | 
| Asien-Pazifik (Mumbai) | https://appstream2.euc-sso.ap-south-1.aws.amazon.com/saml | 
| Asia Pacific (Seoul) | https://appstream2.euc-sso.ap-northeast-2.aws.amazon.com/saml | 
| Asien-Pazifik (Singapur) | https://appstream2.euc-sso.ap-southeast-1.aws.amazon.com/saml | 
| Asien-Pazifik (Sydney) | https://appstream2.euc-sso.ap-southeast-2.aws.amazon.com/saml | 
| Asien-Pazifik (Tokio) | https://appstream2.euc-sso.ap-northeast-1.aws.amazon.com/saml | 
|  Canada (Central)  | https://appstream2.euc-sso.ca-central-1.aws.amazon.com/saml | 
| Europe (Frankfurt) | https://appstream2.euc-sso.eu-central-1.aws.amazon.com/saml | 
| Europa (Irland) | https://appstream2.euc-sso.eu-west-1.aws.amazon.com/saml | 
| Europa (London) | https://appstream2.euc-sso.eu-west-2.aws.amazon.com/saml | 
| Europa (Milan) | https://appstream2.euc-sso.eu-south-1.aws.amazon.com/saml | 
| Europa (Paris) | https://appstream2.euc-sso.eu-west-3.aws.amazon.com/saml | 
| Europa (Spain) | https://appstream2.euc-sso.eu-south-2.aws.amazon.com/saml | 
| AWS GovCloud (USA Ost) |  `https://appstream2.euc-sso.us-gov-east-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com/saml`  Weitere Informationen zur Verwendung von WorkSpaces Anwendungen in AWS GovCloud (US) Regionen finden Sie unter [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) im *AWS GovCloud (US) Benutzerhandbuch*.   | 
| AWS GovCloud (USA West) |  `https://appstream2.euc-sso.us-gov-west-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com/saml`  Weitere Informationen zur Verwendung von WorkSpaces Anwendungen in AWS GovCloud (US) Regionen finden Sie unter [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) im *AWS GovCloud (US) Benutzerhandbuch*.   | 
| Südamerika (São Paulo) | https://appstream2.euc-sso.sa-east-1.aws.amazon.com/saml | 
| Israel (Tel Aviv) | https://appstream2.euc-sso.il-central-1.aws.amazon.com/saml | 

In der folgenden Tabelle 2 sind die alten Relay-State-Endpunkte aufgeführt, die noch verfügbar sind. Es wird jedoch empfohlen, die in Tabelle 1 aufgeführten neuen Relay-State-Endpunkte zu verwenden, um Ihre SAML 2.0-Verbände zu konfigurieren. Insbesondere mit den neuen Relay-State-Endpunkten können Sie es Ihren Benutzern ermöglichen, die WorkSpaces Applications-Client-Anwendung (Version 1.1.1300 und höher) von IDP-initiierten Streaming-Sitzungen aus zu starten. Die neuen Relay-State-Endpunkte in Tabelle 1 ermöglichen es Benutzern außerdem, sich auf verschiedenen Registerkarten desselben Webbrowsers bei anderen AWS Anwendungen anzumelden, ohne die laufende Anwendungs-Streaming-Sitzung zu beeinträchtigen. WorkSpaces Die alten Relay-State-Endpunkte in Tabelle 2 unterstützen dies nicht. Weitere Informationen finden Sie unter [Benutzer des My WorkSpaces Applications-Clients werden alle 60 Minuten von ihrer WorkSpaces Applications-Sitzung getrennt.](troubleshooting-user-issues.md#troubleshooting-client-users-disconnected-every-60-minutes).


**Tabelle 2: Endpunkte der Relay-State-Region für alte WorkSpaces Anwendungen (nicht empfohlen)**  

| Region | RelayState-Endpunkt | 
| --- | --- | 
| USA Ost (Nord-Virginia) |  `https://appstream2.us-east-1.aws.amazon.com/saml` (FIPS) `https://appstream2-fips.us-east-1.aws.amazon.com/saml`  | 
| USA Ost (Ohio) | https://appstream2.us-east-2.aws.amazon.com/saml | 
| USA West (Oregon) |  `https://appstream2.us-west-2.aws.amazon.com/saml` (FIPS) `https://appstream2-fips.us-west-2.aws.amazon.com/saml`  | 
| Asien-Pazifik (Mumbai) | https://appstream2.ap-south-1.aws.amazon.com/saml | 
| Asia Pacific (Seoul) | https://appstream2.ap-northeast-2.aws.amazon.com/saml | 
| Asien-Pazifik (Singapur) | https://appstream2.ap-southeast-1.aws.amazon.com/saml | 
| Asien-Pazifik (Sydney) | https://appstream2.ap-southeast-2.aws.amazon.com/saml | 
| Asien-Pazifik (Tokio) | https://appstream2.ap-northeast-1.aws.amazon.com/saml | 
|  Canada (Central)  | https://appstream2.ca-central-1.aws.amazon.com/saml | 
| Europe (Frankfurt) | https://appstream2.eu-central-1.aws.amazon.com/saml | 
| Europa (Irland) | https://appstream2.eu-west-1.aws.amazon.com/saml | 
| Europa (London) | https://appstream2.eu-west-2.aws.amazon.com/saml | 
| AWS GovCloud (USA Ost) |  `https://appstream2.us-gov-east-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2-fips.us-gov-east-1.amazonaws-us-gov.com/saml`  Weitere Informationen zur Verwendung von WorkSpaces Anwendungen in AWS GovCloud (US) Regionen finden Sie unter [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) im *AWS GovCloud (US) Benutzerhandbuch*.   | 
| AWS GovCloud (USA West) |  `https://appstream2.us-gov-west-1.amazonaws-us-gov.com/saml` (FIPS) `https://appstream2-fips.us-gov-west-1.amazonaws-us-gov.com/saml`  Weitere Informationen zur Verwendung von WorkSpaces Anwendungen in AWS GovCloud (US) Regionen finden Sie unter [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) im *AWS GovCloud (US) Benutzerhandbuch*.   | 
| Südamerika (São Paulo) | https://appstream2.sa-east-1.aws.amazon.com/saml | 

In der folgenden Tabelle 3 sind alle verfügbaren Parameter aufgeführt, die Sie verwenden können, um eine Relay-State-URL zu erstellen.


**Tabelle 3: URL-Parameter für den Relay-Status**  

| Parameter | Erforderlich | Format | Unterstützt von | 
| --- | --- | --- | --- | 
| accountId | Erforderlich | 12-stellige ID AWS-Konto  | Neue und alte Endpunkte in Tabelle 1 und 2 | 
| Stack | Optional | Stack name | Neue und alte Endpunkte in Tabelle 1 und 2 | 
| App | Optional | App-Name oder „Desktop“ | Neue und alte Endpunkte in Tabelle 1 und 2 | 
| Client | Optional | „nativ“ oder „Web“ | Nur neue Endpunkte in Tabelle 1 | 

# WorkSpaces Anwendungsintegration mit SAML 2.0
<a name="external-identity-providers-further-info"></a>

Die folgenden Links helfen Ihnen bei der Konfiguration von SAML 2.0-Identitätsanbieterlösungen von Drittanbietern für die Verwendung mit WorkSpaces Anwendungen.


| IdP-Lösung | Weitere Informationen | 
| --- | --- | 
| AWS IAM Identity Center |  [Verbund mit IAM Identity Center und Amazon WorkSpaces Applications aktivieren](https://aws.amazon.com/blogs/desktop-and-application-streaming/enable-federation-with-aws-single-sign-on-and-amazon-appstream-2-0/) — Beschreibt, wie Sie IAM Identity Center verwenden, um den Benutzerzugriff auf Ihre WorkSpaces Anwendungsanwendungen mit ihren vorhandenen Unternehmensanmeldedaten zu bündeln. | 
| Active Directory Federation Services (AD FS) für Windows Server | [AppStream](https://gg4l.com/product/appstream/)auf der GG4 L-Website — Beschreibt, wie Sie Benutzern mithilfe ihrer vorhandenen Unternehmensanmeldedaten SSO-Zugriff auf WorkSpaces Anwendungen gewähren. Mithilfe von AD FS 3.0 können Sie föderierte Identitäten für WorkSpaces Anwendungen konfigurieren.  | 
| Azure Active Directory (Azure AD) |  [Aktivierung des Verbunds mit Azure AD Single Sign-On und WorkSpaces Amazon-Anwendungen](https://aws.amazon.com/blogs/desktop-and-application-streaming/enabling-federation-with-azure-ad-single-sign-on-and-amazon-appstream-2-0/) — Beschreibt, wie der Verbundbenutzerzugriff für WorkSpaces Amazon-Anwendungen mithilfe von Azure AD SSO für Unternehmensanwendungen konfiguriert wird. | 
| GG4L Schulpass™ |  [Aktivierung von Identity Federation mit GG4 L's School Passport™ und Amazon WorkSpaces Applications](https://sso.gg4l.com/docs/#/appstream) — Beschreibt, wie GG4 L's School Passport™ konfiguriert wird, um die Anmeldung an WorkSpaces Applications zu bündeln.  | 
| Google |  [G Suite SAML 2.0-Verbund mit Amazon WorkSpaces Applications einrichten](https://aws.amazon.com/blogs/desktop-and-application-streaming/setting-up-g-suite-saml-2-0-federation-with-amazon-appstream-2-0/) — Beschreibt, wie Sie mit der G Suite Admin-Konsole den SAML-Verbund zu WorkSpaces Anwendungen für Nutzer in G Suite-Domains einrichten.  | 
| Okta |  [So konfigurieren Sie SAML 2.0 für WorkSpaces Amazon-Anwendungen](http://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Amazon-AppStream-2-0.html) — Beschreibt, wie Sie Okta verwenden, um einen SAML-Verbund mit Anwendungen einzurichten. WorkSpaces Für Stacks, die einer Domäne angehören, muss das „Anwendungsbenutzername-Format" auf „AD-Benutzer-Prinzipalname“ gesetzt werden. | 
| Ping Identity |  [Konfiguration einer SSO-Verbindung zu Amazon WorkSpaces Applications](https://support.pingidentity.com/s/article/Configuring-an-SSO-connection-to-Amazon-AppStream-2-0) — Beschreibt, wie Single Sign-On (SSO) für WorkSpaces Anwendungen eingerichtet wird. | 
| Shibboleth |  [Single Sign-On: Integrating AWS, OpenLDAP und Shibboleth — Beschreibt,](https://aws.amazon.com/blogs/security/new-whitepaper-single-sign-on-integrating-aws-openldap-and-shibboleth/) wie der anfängliche Verbund zwischen dem Shibboleth-IdP und dem eingerichtet wird. AWS-Managementkonsole Sie müssen die folgenden zusätzlichen Schritte ausführen, um den Verbund mit Anwendungen zu aktivieren. WorkSpaces Schritt 4 des AWS -Sicherheits-Whitepapers beschreibt, wie Sie IAM-Rollen erstellen, die Berechtigungen definieren, die Verbundbenutzer für die AWS-Managementkonsole haben. Nachdem Sie diese Rollen erstellt und die Inline-Richtlinie wie im Whitepaper beschrieben eingebettet haben, ändern Sie diese Richtlinie so, dass sie Verbundbenutzern nur Zugriff auf einen WorkSpaces Anwendungsstapel gewährt. Ersetzen Sie dazu die vorhandene Richtlinie durch die Richtlinie aus *Schritt 3: Einbetten einer eingebundenen Richtlinie für die IAM-Rolle* unter [Einrichten von SAML](external-identity-providers-setting-up-saml.md).Wenn Sie die Stack-RelayState-URL hinzufügen, wie in *Schritt 6: Konfigurieren des RelayState für den Verbund*in [Einrichten von SAML](external-identity-providers-setting-up-saml.md) beschrieben, fügen Sie den RelayState-Parameter der Verbund-URL als Ziel-Anfrageattribut hinzu. Die URL muss kodiert sein. Weitere Informationen zum Konfigurieren von RelayState-Parametern finden Sie im Abschnitt [SAML 2.0](https://wiki.shibboleth.net/confluence/display/IDP30/UnsolicitedSSOConfiguration#UnsolicitedSSOConfiguration-SAML2.0) in der Shibboleth-Dokumentation.Weitere Informationen finden Sie unter [Enabling Identity Federation with Shibboleth and](https://aws.amazon.com/blogs/desktop-and-application-streaming/enabling-identity-federation-with-shibboleth-and-amazon-appstream-2-0/) Amazon Applications. WorkSpaces  | 
| VMware WorkSpace EINS |  [Verbundzugriff auf WorkSpaces Amazon-Anwendungen von VMware Workspace ONE aus](https://aws.amazon.com/blogs/desktop-and-application-streaming/federating-access-to-amazon-appstream-2-0-from-vmware-workspace-one/) — Beschreibt, wie Sie die VMware Workspace ONE-Plattform verwenden, um den Benutzerzugriff auf Ihre WorkSpaces Applications-Anwendungen zu bündeln.  | 
| Einfach SAMLphp | [Federation with Simple SAMLphp und Amazon WorkSpaces Applications aktivieren](https://aws.amazon.com/blogs/desktop-and-application-streaming/enabling-federation-with-simplesamlphp-and-amazon-appstream-2-0/) — Beschreibt, wie der SAML 2.0-Verbund für WorkSpaces Anwendungen konfiguriert wird, die Simple SAMLphp verwenden. | 
| OneLogin Einmaliges Anmelden (SSO) | [OneLogin SSO mit Amazon WorkSpaces Applications](https://aws.amazon.com/blogs/desktop-and-application-streaming/onelogin-sso-with-amazon-appstream-2-0/) — Beschreibt, wie der föderierte Benutzerzugriff für WorkSpaces Anwendungen mithilfe von OneLogin SSO konfiguriert wird. | 
| JumpCloud Einmaliges Anmelden (SSO) | [Verbund mit JumpCloud SSO und WorkSpaces Amazon-Anwendungen aktivieren](https://aws.amazon.com/blogs/desktop-and-application-streaming/enable-federation-with-jumpcloud-sso-and-appstream-2-0/) — Beschreibt, wie der föderierte Benutzerzugriff für WorkSpaces Anwendungen mithilfe von JumpCloud SSO konfiguriert wird. | 
| Bio-Key PortalGuard | [Verbund mit BIO-Key PortalGuard und Amazon AppStream 2.0 aktivieren](https://aws.amazon.com/blogs/desktop-and-application-streaming/enable-federation-with-bio-key-portalguard-and-amazon-appstream-2-0/) — Beschreibt, wie der BIO-Key PortalGuard für Verbundanmeldungen bei Anwendungen konfiguriert wird. WorkSpaces  | 

Weitere Informationen über Lösungen für allgemeine Probleme, die auftreten können, finden Sie unter [Fehlerbehebung](troubleshooting.md).

Weitere Informationen zu anderen unterstützten SAML-Anbietern finden Sie unter [Integrieren von externen SAML-Lösungsanbietern mit AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html) im *IAM-Benutzerhandbuch*.