SAML 2.0 konfigurieren und ein WorkSpaces Pools-Verzeichnis erstellen - Amazon WorkSpaces
Schritt 1: Berücksichtigen Sie die AnforderungenSchritt 2: Erfüllen der VoraussetzungenSchritt 3: Erstellen Sie einen SAML-Identitätsanbieter in IAMSchritt 4: WorkSpace Pool-Verzeichnis erstellenSchritt 5: Erstellen Sie eine SAML 2.0-Verbund-IAM-RolleSchritt 6: Konfigurieren Sie Ihren SAML 2.0-IdentitätsanbieterSchritt 7: Erstellen Sie Assertionen für die SAML-AuthentifizierungsantwortSchritt 8: Konfigurieren Sie den Relay-Status Ihres VerbundsSchritt 9: Aktivieren Sie die Integration mit SAML 2.0 in Ihrem WorkSpace Pool-VerzeichnisFehlerbehebung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SAML 2.0 konfigurieren und ein WorkSpaces Pools-Verzeichnis erstellen

Sie können die Registrierung und Anmeldung von WorkSpaces Client-Anwendungen WorkSpaces in einem WorkSpaces Pool aktivieren, indem Sie einen Identitätsverbund mit SAML 2.0 einrichten. Dazu verwenden Sie eine AWS Identity and Access Management (IAM) -Rolle und eine Relay-State-URL, um Ihren SAML 2.0-Identitätsanbieter (IdP) zu konfigurieren und ihn für zu aktivieren. AWS Dadurch erhalten Ihre Verbundbenutzer Zugriff auf ein Pool-Verzeichnis. WorkSpace Der Relay-Status ist der WorkSpaces Verzeichnisendpunkt, an den Benutzer nach erfolgreicher Anmeldung weitergeleitet werden. AWS

Wichtig

WorkSpaces Pools unterstützt keine IP-basierten SAML 2.0-Konfigurationen.

Themen

Schritt 1: Berücksichtigen Sie die Anforderungen

Die folgenden Anforderungen gelten für die Einrichtung von SAML für ein WorkSpaces Pools-Verzeichnis.

  • Die DefaultRole IAM-Rolle workspaces_ muss in Ihrem Konto vorhanden sein. AWS Diese Rolle wird automatisch erstellt, wenn Sie das WorkSpaces Quick Setup verwenden oder wenn Sie zuvor eine mit dem gestartet haben. WorkSpace AWS Management Console Es gewährt Amazon die WorkSpaces Erlaubnis, in Ihrem Namen auf bestimmte AWS Ressourcen zuzugreifen. Wenn die Rolle bereits existiert, müssen Sie ihr möglicherweise die AmazonWorkSpacesPoolServiceAccess verwaltete Richtlinie anhängen, mit der Amazon auf die erforderlichen Ressourcen im AWS Konto für WorkSpaces Pools WorkSpaces zugreift. Weitere Informationen erhalten Sie unter Erstellen Sie die Rolle workspaces_ DefaultRole und AWS verwaltete Richtlinie: AmazonWorkSpacesPoolServiceAccess.

  • Sie können die SAML 2.0-Authentifizierung für WorkSpaces Pools in den Pools konfigurieren AWS-Regionen , die diese Funktion unterstützen. Weitere Informationen finden Sie unter AWS-Regionen und Verfügbarkeitszonen für WorkSpaces Pools.

  • Um die SAML 2.0-Authentifizierung mit verwenden zu können WorkSpaces, muss der IdP unaufgefordertes, vom IdP initiiertes SSO mit einer Deep-Link-Zielressource oder einer Relay-State-Endpunkt-URL unterstützen. Beispiele dafür IdPs , dass dies unterstützt wird, sind ADFS, Azure AD, Duo Single Sign-On, Okta und. PingFederate PingOne Weitere Informationen finden Sie in der IdP-Dokumentation.

  • Die SAML 2.0-Authentifizierung wird nur auf den folgenden Clients unterstützt. WorkSpaces Die neuesten WorkSpaces Clients finden Sie auf der Amazon WorkSpaces Client-Download-Seite.

    • Windows-Client-Anwendung Version 5.20.0 oder höher

    • macOS-Client-Version 5.20.0 oder höher

    • Web Access

Schritt 2: Erfüllen der Voraussetzungen

Erfüllen Sie die folgenden Voraussetzungen, bevor Sie Ihre SAML 2.0-IdP-Verbindung zu einem WorkSpaces Pool-Verzeichnis konfigurieren.

  • Konfigurieren Sie den Identitätsanbieter, um eine Vertrauensbeziehung mit einzurichte AWS.

  • Weitere Informationen zur Konfiguration des Verbunds finden Sie unter Integration von SAML-Lösungsanbietern von Drittanbietern mit AWS. AWS Zu den relevanten Beispielen gehört die IdP-Integration mit IAM für den Zugriff auf. AWS Management Console

  • Nutzen Sie Ihren IdP, um ein Verbundmetadatendokument, in dem Ihre Organisation als IdP beschrieben wird, zu generieren und laden Sie es herunter. Dieses signierte XML-Dokument wird verwendet, um die Vertrauensstellung für die vertrauenden Seiten einzurichten. Speichern Sie diese Datei an einem Standort, auf den Sie später von der IAM-Konsole aus zugreifen können.

  • Erstellen Sie mithilfe der Konsole ein WorkSpaces Pool-Verzeichnis. WorkSpaces Weitere Informationen finden Sie unter Verwenden von Active Directory mit WorkSpaces Pools.

  • Erstellen Sie einen WorkSpaces Pool für Benutzer, die sich mit einem unterstützten Verzeichnistyp beim IdP anmelden können. Weitere Informationen finden Sie unter Einen WorkSpaces Pool erstellen.

Schritt 3: Erstellen Sie einen SAML-Identitätsanbieter in IAM

Um zu beginnen, müssen Sie einen SAML-IdP in IAM erstellen. Dieser IdP definiert die Beziehung zwischen IdP und AWS Trust Ihrer Organisation anhand des Metadatendokuments, das von der IdP-Software in Ihrer Organisation generiert wurde. Weitere Informationen finden Sie im Benutzerhandbuch unter Erstellen und Verwalten eines SAML-Identitätsanbieters.AWS Identity and Access Management Informationen zur Arbeit mit SAML IdPs in AWS GovCloud (US) Regions finden Sie AWS Identity and Access Managementim AWS GovCloud (US) Benutzerhandbuch.

Schritt 4: WorkSpace Pool-Verzeichnis erstellen

Gehen Sie wie folgt vor, um ein WorkSpaces Pool-Verzeichnis zu erstellen.

  1. Öffnen Sie die WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie im Navigationsbereich Verzeichnisse aus.

  3. Wählen Sie Verzeichnis erstellen aus.

  4. Wählen Sie als WorkSpace Typ die Option Pool aus.

  5. Gehen Sie im Abschnitt Benutzeridentitätsquelle der Seite wie folgt vor:

    1. Geben Sie einen Platzhalterwert in das Textfeld Benutzerzugriffs-URL ein. Geben Sie beispielsweise placeholder in das Textfeld ein. Sie werden dies später bearbeiten, nachdem Sie die Anwendungsberechtigung in Ihrem IdP eingerichtet haben.

    2. Lassen Sie das Textfeld Name des Relay-State-Parameters leer. Sie werden dies später bearbeiten, nachdem Sie die Anwendungsberechtigung in Ihrem IdP eingerichtet haben.

  6. Geben Sie im Bereich Verzeichnisinformationen der Seite einen Namen und eine Beschreibung für das Verzeichnis ein. Der Verzeichnisname und die Beschreibung müssen weniger als 128 Zeichen lang sein und können alphanumerische Zeichen und die folgenden Sonderzeichen enthalten:_ @ # % * + = : ? . / ! \ -. Der Verzeichnisname und die Beschreibung dürfen nicht mit einem Sonderzeichen beginnen.

  7. Gehen Sie im Bereich Netzwerk und Sicherheit der Seite wie folgt vor:

    1. Wählen Sie eine VPC und zwei Subnetze aus, die Zugriff auf die Netzwerkressourcen haben, die Ihre Anwendung benötigt. Um die Fehlertoleranz zu erhöhen, sollten Sie zwei Subnetze in unterschiedlichen Availability Zones wählen.

    2. Wählen Sie eine Sicherheitsgruppe, mit der WorkSpaces Sie Netzwerklinks in Ihrer VPC erstellen können. Sicherheitsgruppen steuern, von welchem Netzwerkverkehr WorkSpaces zu Ihrer VPC fließen darf. Wenn Ihre Sicherheitsgruppe beispielsweise alle eingehenden HTTPS-Verbindungen einschränkt, können Benutzer, die auf Ihr Webportal zugreifen, keine HTTPS-Websites von der laden. WorkSpaces

  8. Der Abschnitt Active Directory-Konfiguration ist optional. Sie sollten jedoch Ihre Active Directory-Details (AD) bei der Erstellung Ihres WorkSpaces Pools-Verzeichnisses angeben, wenn Sie beabsichtigen, ein AD mit Ihren WorkSpaces Pools zu verwenden. Sie können die Active Directory-Konfiguration für Ihr WorkSpaces Pools-Verzeichnis nicht bearbeiten, nachdem Sie es erstellt haben. Weitere Informationen zum Angeben Ihrer AD-Details für Ihr WorkSpaces Pool-Verzeichnis finden Sie unterGeben Sie Active Directory-Details für Ihr WorkSpaces Pools-Verzeichnis an. Nachdem Sie den in diesem Thema beschriebenen Vorgang abgeschlossen haben, sollten Sie zu diesem Thema zurückkehren, um die Erstellung Ihres WorkSpaces Pools-Verzeichnisses abzuschließen.

    Sie können den Abschnitt Active Directory-Konfiguration überspringen, wenn Sie nicht vorhaben, ein AD mit Ihren WorkSpaces Pools zu verwenden.

  9. Gehen Sie im Abschnitt Streaming-Eigenschaften der Seite wie folgt vor:

    • Wählen Sie das Verhalten bei den Zugriffsrechten für die Zwischenablage aus und geben Sie eine Option zum Kopieren bis zur lokalen Zeichenbeschränkung (optional) und zum Einfügen in die Zeichenbeschränkung der Remotesitzung ein (optional).

    • Wählen Sie aus, ob Sie das Drucken auf einem lokalen Gerät zulassen oder nicht zulassen möchten.

    • Wählen Sie aus, ob Sie die Diagnoseprotokollierung zulassen oder nicht zulassen möchten.

    • Wählen Sie aus, ob Sie die Smartcard-Anmeldung zulassen oder nicht zulassen möchten. Diese Funktion ist nur verfügbar, wenn Sie die AD-Konfiguration zu einem früheren Zeitpunkt in diesem Verfahren aktiviert haben.

  10. Im Bereich Speicher der Seite können Sie wählen, ob Sie Basisordner aktivieren möchten.

  11. Wählen Sie im Abschnitt „IAM-Rolle“ der Seite eine IAM-Rolle aus, die für alle Desktop-Streaming-Instances verfügbar sein soll. Um eine neue zu erstellen, wählen Sie Neue IAM-Rolle erstellen.

    Wenn Sie eine IAM-Rolle von Ihrem Konto auf ein WorkSpace Pool-Verzeichnis anwenden, können Sie AWS API-Anfragen von einem WorkSpace im WorkSpace Pool aus stellen, ohne die Anmeldeinformationen manuell verwalten AWS zu müssen. Weitere Informationen finden Sie im Benutzerhandbuch unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer.AWS Identity and Access Management

  12. Wählen Sie Verzeichnis erstellen aus.

Schritt 5: Erstellen Sie eine SAML 2.0-Verbund-IAM-Rolle

Gehen Sie wie folgt vor, um eine SAML 2.0-Verbund-IAM-Rolle in der IAM-Konsole zu erstellen.

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich Roles (Rollen) aus.

  3. Wählen Sie Rolle erstellen.

  4. Wählen Sie den SAML 2.0-Verbund als vertrauenswürdigen Entitätstyp aus.

  5. Wählen Sie für einen SAML 2.0-basierten Anbieter den Identitätsanbieter aus, den Sie in IAM erstellt haben. Weitere Informationen finden Sie unter Erstellen eines SAML-Identitätsanbieters in IAM.

  6. Wählen Sie Nur programmgesteuerten Zugriff zulassen, um den Zugriff zuzulassen.

  7. Wählen Sie SAML:sub_type für das Attribut.

  8. Geben Sie für Wert https://signin.aws.amazon.com/saml ein. Dieser Wert schränkt den Rollenzugriff auf SAML-Benutzer-Streaming-Anfragen ein, die eine SAML-Betreff-Typ-Assertion mit dem Wert von enthalten. persistent Wenn SAML:sub_type persistent ist, sendet Ihr IdP in allen SAML-Anfragen eines bestimmten Benutzers denselben eindeutigen Wert für das NameID Element. Weitere Informationen finden Sie unter Eindeutige Identifizierung von Benutzern in einem SAML-basierten Verbund im Benutzerhandbuch.AWS Identity and Access Management

  9. Wählen Sie Next (Weiter), um fortzufahren.

  10. Nehmen Sie auf der Seite „Berechtigungen hinzufügen“ keine Änderungen oder Auswahlen vor. Wählen Sie Next (Weiter), um fortzufahren.

  11. Geben Sie einen Namen und eine Beschreibung für die Rolle ein.

  12. Wählen Sie Rolle erstellen.

  13. Wählen Sie auf der Seite Rollen die Rolle aus, die Sie erstellen müssen.

  14. Wählen Sie die Registerkarte Trust relationships (Vertrauensstellungen).

  15. Wählen Sie Vertrauensrichtlinie bearbeiten aus.

  16. Fügen Sie im JSON-Textfeld Vertrauensrichtlinie bearbeiten die TagSession Aktion sts: zur Vertrauensrichtlinie hinzu. Weitere Informationen finden Sie AWS STS im AWS Identity and Access Management Benutzerhandbuch unter Übergeben von Sitzungs-Tags.

    Das Ergebnis sollte wie folgt aussehen:

    Ein Beispiel für eine Vertrauensrichtlinie.

  17. Wählen Sie Richtlinie aktualisieren.

  18. Wählen Sie die Registerkarte Berechtigungen.

  19. Wählen Sie auf der Seite im Abschnitt „Berechtigungsrichtlinien“ die Option „Berechtigungen hinzufügen“ und anschließend „Inline-Richtlinie erstellen“ aus.

  20. Wählen Sie auf der Seite im Bereich Richtlinien-Editor die Option JSON aus.

  21. Geben Sie im JSON-Textfeld des Policy-Editors die folgende Richtlinie ein. Achten Sie darauf, Folgendes zu ersetzen:

    • <region-code>mit dem Code der AWS Region, in der Sie Ihr WorkSpace Pool-Verzeichnis erstellt haben.

    • <account-id>mit der AWS Konto-ID.

    • <directory-id>mit der ID des Verzeichnisses, das Sie zuvor erstellt haben. Sie können das in der WorkSpaces Konsole abrufen.

    Verwenden Sie für Ressourcen in AWS GovCloud (US) Regions das folgende Format für den ARN:arn:aws-us-gov:workspaces:<region-code>:<account-id>:directory/<directory-id>.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "workspaces:Stream",
            "Resource": "arn:aws:workspaces:<region-code>:<account-id>:directory/<directory-id>",
            "Condition": {
                "StringEquals": {"workspaces:userId": "${saml:sub}"}
            }
        }
    ]
}

  22. Wählen Sie Weiter.

  23. Geben Sie einen Namen für die Richtlinie ein und wählen Sie dann Create policy (Richtlinie erstellen) aus.

Schritt 6: Konfigurieren Sie Ihren SAML 2.0-Identitätsanbieter

Abhängig von Ihrem SAML 2.0-IdP müssen Sie Ihren IdP möglicherweise manuell aktualisieren, um ihn AWS als Dienstanbieter zu vertrauen. Dazu laden Sie die saml-metadata.xml Datei unter https://signin.aws.amazon.com/static/saml-metadata.xml herunter und laden sie dann auf Ihren IdP hoch. Dadurch werden die Metadaten Ihres IdP aktualisiert.

Für einige IdPs ist das Update möglicherweise bereits konfiguriert. Sie können diesen Schritt überspringen, wenn er bereits konfiguriert ist. Wenn das Update nicht bereits in Ihrem IdP konfiguriert ist, lesen Sie in der von Ihrem IdP bereitgestellten Dokumentation nach, wie Sie die Metadaten aktualisieren können. Einige Anbieter bieten Ihnen die Möglichkeit, die URL der XML-Datei in ihr Dashboard einzugeben, und der IdP ruft die Datei für Sie ab und installiert sie. Bei anderen müssen Sie die Datei von der URL herunterladen und dann in ihr Dashboard hochladen.

Wichtig

Zu diesem Zeitpunkt können Sie auch Benutzer in Ihrem IdP autorisieren, auf die WorkSpaces Anwendung zuzugreifen, die Sie in Ihrem IdP konfiguriert haben. Für Benutzer, die berechtigt sind, auf die WorkSpaces Anwendung für Ihr Verzeichnis zuzugreifen, wird nicht automatisch eine für sie WorkSpace erstellt. Ebenso sind Benutzer, die eine für sie WorkSpace erstellt haben, nicht automatisch autorisiert, auf die WorkSpaces Anwendung zuzugreifen. Um erfolgreich eine Verbindung WorkSpace mit einer SAML 2.0-Authentifizierung herzustellen, muss ein Benutzer vom IdP autorisiert sein und eine WorkSpace erstellte haben.

Schritt 7: Erstellen Sie Assertionen für die SAML-Authentifizierungsantwort

Konfigurieren Sie die Informationen, an die Ihr IdP sendet, AWS als SAML-Attribute in seiner Authentifizierungsantwort. Abhängig von Ihrem IdP ist dies möglicherweise bereits konfiguriert. Sie können diesen Schritt überspringen, wenn er bereits konfiguriert ist. Falls es noch nicht konfiguriert ist, geben Sie Folgendes an:

  • SAML Subject NameID — Die eindeutige Kennung für den Benutzer, der sich anmeldet. Ändern Sie das Format/den Wert dieses Felds nicht. Andernfalls funktioniert die Home-Folder-Funktion nicht wie erwartet, da der Benutzer als anderer Benutzer behandelt wird.

    Anmerkung

    Bei WorkSpaces Pools, die in eine Domäne eingebunden sind, muss der NameID Wert für den Benutzer in dem domain\username Format angegeben werdensAMAccountName, das den username@domain.com oder verwendetuserPrincipalName, oder nur. userName Wenn Sie das sAMAccountName Format verwenden, können Sie die Domäne entweder mit dem NetBIOS-Namen oder dem vollqualifizierten Domänennamen (FQDN) angeben. Das sAMAccountName Format ist für unidirektionale Active Directory-Vertrauensszenarien erforderlich. Weitere Informationen finden Sie unterVerwenden von Active Directory mit WorkSpaces Pools. Wenn nur angegeben userName wird, wird der Benutzer bei der primären Domäne angemeldet

  • SAML-Betrefftyp (mit einem Wert aufpersistent) — Wenn Sie den Wert auf festlegen, persistent wird sichergestellt, dass Ihr IdP in allen SAML-Anfragen eines bestimmten Benutzers denselben eindeutigen Wert für das NameID Element sendet. Stellen Sie sicher, dass Ihre IAM-Richtlinie eine Bedingung enthält, dass nur SAML-Anfragen zugelassen werden, deren SAML auf sub_type gesetzt istpersistent, wie im Abschnitt beschrieben. Schritt 5: Erstellen Sie eine SAML 2.0-Verbund-IAM-Rolle

  • AttributeElement mit dem auf https://aws.amazon.com/SAML/ Attribute/Rolle gesetzten Name Attribut — Dieses Element enthält ein oder mehrere AttributeValue Elemente, die die IAM-Rolle und den SAML-IdP auflisten, denen der Benutzer von Ihrem IdP zugeordnet ist. Die Rolle und der IdP werden als kommagetrenntes Paar von angegeben. ARNs Ein Beispiel für den erwarteten Wert ist arn:aws:iam::<account-id>:role/<role-name>,arn:aws:iam::<account-id>:saml-provider/<provider-name>.

  • AttributeElement, bei dem das Name Attribut auf https://aws.amazon.com/SAML/ Attributes/ gesetzt ist RoleSessionName — Dieses Element enthält ein Element, das eine AttributeValue Kennung für die AWS temporären Anmeldeinformationen bereitstellt, die für SSO ausgestellt werden. Der Wert im AttributeValue Element muss zwischen 2 und 64 Zeichen lang sein und kann alphanumerische Zeichen und die folgenden Sonderzeichen enthalten:. _ . : / = + - @ Leerzeichen dürfen nicht enthalten sein. Der Wert ist in der Regel eine E-Mail-Adresse oder ein User Principle Name (UPN). Er sollte kein Wert mit einem Leerzeichen (z. B. der Anzeigename eines Benutzers) sein.

  • AttributeElement, dessen Name Attribut auf https://aws.amazon.com/SAML/ Attributes/:Email gesetzt ist PrincipalTag — Dieses Element enthält ein ElementAttributeValue, das die E-Mail-Adresse des Benutzers bereitstellt. Der Wert muss mit der WorkSpaces Benutzer-E-Mail-Adresse übereinstimmen, wie sie im Verzeichnis definiert ist. WorkSpaces Tagwerte können Kombinationen aus Buchstaben, Zahlen, Leerzeichen und _ . : / = + - @ Zeichen enthalten. Weitere Informationen finden Sie unter Regeln für das Tagging in IAM und AWS STS im AWS Identity and Access Management Benutzerhandbuch.

  • (Optional) AttributeElement mit dem Name Attribut https://aws.amazon.com/SAML/ Attributes/PrincipalTag: UserPrincipalName — Dieses Element enthält ein AttributeValue Element, das das Active Directory userPrincipalName für den Benutzer bereitstellt, der sich anmeldet. Der Wert muss im Format angegeben werden. username@domain.com Dieser Parameter wird bei der zertifikatbasierten Authentifizierung als alternativer Name des Subjekts im Endbenutzerzertifikat verwendet. Weitere Informationen finden Sie unter Zertifikatsbasierte Authentifizierung und Personal WorkSpaces .

  • (Optional) AttributeElement, dessen Attribut auf Name https://aws.amazon.com/SAML/ Attributes/PrincipalTag: ObjectSid (optional) gesetzt ist — Dieses Element enthält ein AttributeValue Element, das die Active Directory-Sicherheitskennung (SID) für den Benutzer bereitstellt, der sich anmeldet. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung verwendet, um eine sichere Zuordnung zu Active-Directory-Benutzern zu ermöglichen. Weitere Informationen finden Sie unter Zertifikatsbasierte Authentifizierung und Personal WorkSpaces .

  • (Optional) AttributeElement, bei dem das Name Attribut auf https://aws.amazon.com/SAML/ Attributes/:Domain gesetzt ist PrincipalTag — Dieses Element enthält ein ElementAttributeValue, das den vollqualifizierten DNS-Domänennamen (FQDN) für Benutzer bereitstellt, die sich anmelden. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung verwendet, wenn die Active-Directory-userPrincipalName für die Benutzer ein alternatives Suffix enthält. Der Wert muss im domain.com Format angegeben werden und alle Unterdomänen enthalten.

  • (Optional) AttributeElement mit dem Name Attribut https://aws.amazon.com/SAML/ Attributes/ SessionDuration — Dieses Element enthält ein AttributeValue Element, das angibt, wie lange eine föderierte Streaming-Sitzung für einen Benutzer maximal aktiv bleiben kann, bevor eine erneute Authentifizierung erforderlich ist. Der Standardwert ist 3600 Sekunden (60 Minuten). Weitere Informationen finden Sie unter SAML SessionDurationAttribute im AWS Identity and Access Management Benutzerhandbuch.

    Anmerkung

    Auch wenn es sich bei SessionDuration um ein optionales Attribut handelt, wird empfohlen, es in die SAML-Antwort aufzunehmen. Wenn Sie dieses Attribut nicht angeben, wird die Sitzungsdauer auf einen Standardwert von 3600 Sekunden (60 Minuten) festgelegt. WorkSpaces Desktop-Sitzungen werden nach Ablauf ihrer Sitzungsdauer getrennt.

Weitere Informationen zur Konfiguration dieser Elemente finden Sie unter Konfiguration von SAML-Assertionen für die Authentifizierungsantwort im AWS Identity and Access Management Benutzerhandbuch. Weitere Informationen zu spezifischen Konfigurationsanforderungen für Ihren IdP finden Sie in der Dokumentation zu Ihrem IdP.

Schritt 8: Konfigurieren Sie den Relay-Status Ihres Verbunds

Verwenden Sie Ihren IdP, um den Relay-Status Ihres Verbunds so zu konfigurieren, dass er auf die Relay-Status-URL des WorkSpaces Pool-Verzeichnisses verweist. Nach erfolgreicher Authentifizierung von AWS wird der Benutzer zum Endpunkt des WorkSpaces Pool-Verzeichnisses weitergeleitet, der in der SAML-Authentifizierungsantwort als Relay-Status definiert ist.

Der Relay-Status-URL hat das folgende Format:


https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code

In der folgenden Tabelle sind die Relay-State-Endpunkte für die AWS Regionen aufgeführt, in denen die WorkSpaces SAML 2.0-Authentifizierung verfügbar ist. AWS Regionen, in denen die WorkSpaces Pools-Funktion nicht verfügbar ist, wurden entfernt.

Region RelayState-Endpunkt
Region USA Ost (Nord-Virginia) workspaces.euc-sso.us-east-1.aws.amazon.com
Region USA West (Oregon) workspaces.euc-sso.us-west-2.aws.amazon.com
Region Asien-Pazifik (Mumbai) workspaces.euc-sso.ap-south-1.aws.amazon.com
Region Asien-Pazifik (Seoul) workspaces.euc-sso.ap-northeast-2.aws.amazon.com
Region Asien-Pazifik (Singapur) workspaces.euc-sso.ap-southeast-1.aws.amazon.com
Region Asien-Pazifik (Sydney) workspaces.euc-sso.ap-southeast-2.aws.amazon.com
Region Asien-Pazifik (Tokio) workspaces.euc-sso.ap-northeast-1.aws.amazon.com
Region Kanada (Zentral) workspaces.euc-sso.ca-central-1.aws.amazon.com
Region Europa (Frankfurt) workspaces.euc-sso.eu-central-1.aws.amazon.com
Region Europa (Irland) workspaces.euc-sso.eu-west-1.aws.amazon.com
Region Europa (London) workspaces.euc-sso.eu-west-2.aws.amazon.com
Region Südamerika (São Paulo) workspaces.euc-sso.sa-east-1.aws.amazon.com
AWS GovCloud (US-West) workspaces.euc-sso. us-gov-west-1. amazonaws-us-gov.com
Anmerkung

Informationen zur Arbeit mit SAML IdPs in AWS GovCloud (US) Regions finden Sie unter Amazon WorkSpaces im Benutzerhandbuch AWS GovCloud (USA).
AWS GovCloud (US-Ost) workspaces.euc-sso. us-gov-east-1. amazonaws-us-gov.com
Anmerkung

Informationen zur Arbeit mit SAML IdPs in AWS GovCloud (US) Regions finden Sie unter Amazon WorkSpaces im Benutzerhandbuch AWS GovCloud (USA).

Schritt 9: Aktivieren Sie die Integration mit SAML 2.0 in Ihrem WorkSpace Pool-Verzeichnis

Gehen Sie wie folgt vor, um die SAML 2.0-Authentifizierung für das WorkSpaces Pool-Verzeichnis zu aktivieren.

  1. Öffnen Sie die WorkSpaces Konsole unter. https://console.aws.amazon.com/workspaces/

  2. Wählen Sie im Navigationsbereich Verzeichnisse aus.

  3. Wählen Sie die Registerkarte Pools-Verzeichnisse.

  4. Wählen Sie die ID des Verzeichnisses, das Sie bearbeiten möchten.

  5. Wählen Sie im Abschnitt Authentifizierung der Seite die Option Bearbeiten aus.

  6. Wählen Sie SAML-2.0-Identitätsanbieter bearbeiten aus.

  7. Ersetzen Sie für die Benutzerzugriffs-URL, die manchmal auch als „SSO-URL“ bezeichnet wird, den Platzhalterwert durch die SSO-URL, die Sie von Ihrem IdP erhalten haben.

  8. Geben Sie für den Namen des IdP-Deep-Link-Parameters den Parameter ein, der für Ihren IdP und die von Ihnen konfigurierte Anwendung gilt. Der Standardwert ist, RelayState wenn Sie den Parameternamen weglassen.

    In der folgenden Tabelle sind die Namen der Benutzerzugriffs URLs - und Deep-Link-Parameter aufgeführt, die für verschiedene Identitätsanbieter für Anwendungen eindeutig sind.

    Identitätsanbieter Parameter URL für den Benutzerzugriff
    ADFS RelayState https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>
    Azure AD RelayState https://myapps.microsoft.com/signin/<app-id>?tenantId=<tenant-id>
    Duo Single-Sign-On RelayState https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app-id>/sso
    Okta RelayState https://<sub-domain>.okta.com/app/<app-name>/<app-id>/sso/saml
    OneLogin RelayState https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>
    JumpCloud RelayState https://sso.jumpcloud.com/saml2/<app-id>
    Auth0 RelayState https://<default-tenant-name>.us.auth0.com/samlp/<client-id>
    PingFederate TargetResource https://<host>/idp/startSSO.ping?PartnerSpId=<sp-id>
    PingOne für Unternehmen TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app-id>&idpid=<idp-id>

  9. Wählen Sie Save (Speichern) aus.

Wichtig

Wenn Sie einem Benutzer SAML 2.0 entziehen, wird dessen Sitzung nicht direkt unterbrochen. Sie werden erst nach Ablauf des Timeouts entfernt. Sie können es auch mithilfe der TerminateWorkspacesPoolSessionAPI beenden.

Fehlerbehebung

Die folgenden Informationen können Ihnen bei der Behebung bestimmter Probleme mit Ihren WorkSpaces Pools helfen.

Nach Abschluss der SAML-Authentifizierung erhalte ich im WorkSpaces Pools-Client die Meldung „Anmeldung nicht möglich“

Die nameID Werte und PrincipalTag:Email in den SAML-Ansprüchen müssen mit dem in Active Directory konfigurierten Benutzernamen und der E-Mail-Adresse übereinstimmen. Einige IdPs benötigen nach der Anpassung bestimmter Attribute möglicherweise ein Update, eine Aktualisierung oder eine erneute Bereitstellung. Wenn Sie eine Anpassung vornehmen und diese nicht in Ihrer SAML-Erfassung berücksichtigt wird, finden Sie in der Dokumentation oder im Supportprogramm Ihres IdP nach, welche spezifischen Schritte erforderlich sind, damit die Änderung wirksam wird.