SAML2.0 konfigurieren und ein WorkSpaces Pools-Verzeichnis erstellen - Amazon WorkSpaces
Schritt 1: Berücksichtigen Sie die AnforderungenSchritt 2: Erfüllen der VoraussetzungenSchritt 3: Erstellen Sie einen SAML Identitätsanbieter in IAMSchritt 4: WorkSpace Pool-Verzeichnis erstellenSchritt 5: Erstellen Sie eine SAML 2.0-Verbundrolle IAMSchritt 6: Konfigurieren Sie Ihren SAML 2.0-IdentitätsanbieterSchritt 7: Erstellen Sie Assertionen für die Authentifizierungsantwort SAMLSchritt 8: Konfigurieren Sie den Relay-Status Ihres VerbundsSchritt 9: Aktivieren Sie die Integration mit SAML 2.0 in Ihrem WorkSpace Pool-VerzeichnisFehlerbehebung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SAML2.0 konfigurieren und ein WorkSpaces Pools-Verzeichnis erstellen

Sie können die Registrierung und Anmeldung von WorkSpaces Client-Anwendungen WorkSpaces in einem WorkSpaces Pool aktivieren, indem Sie einen Identitätsverbund mit SAML 2.0 einrichten. Dazu verwenden Sie eine AWS Identity and Access Management (IAM) -Rolle und einen Relay-Status, URL um Ihren SAML 2.0-Identitätsanbieter (IdP) zu konfigurieren und ihn für AWS zu aktivieren. Dadurch erhalten Ihre Verbundbenutzer Zugriff auf ein WorkSpace Pool-Verzeichnis. Der Relay-Status ist der WorkSpaces Verzeichnisendpunkt, an den Benutzer nach erfolgreicher Anmeldung weitergeleitet werden. AWS

Wichtig

WorkSpaces Pools unterstützt keine IP-basierten SAML 2.0-Konfigurationen.

Themen

Schritt 1: Berücksichtigen Sie die Anforderungen

Die folgenden Anforderungen gelten SAML für die Einrichtung eines WorkSpaces Pools-Verzeichnisses.

  • Die DefaultRole IAM Rolle workspaces_ muss in Ihrem Konto vorhanden sein. AWS Diese Rolle wird automatisch erstellt, wenn Sie das WorkSpaces Quick Setup verwenden oder wenn Sie zuvor eine WorkSpace mit dem gestartet haben. AWS Management Console Es gewährt Amazon die WorkSpaces Erlaubnis, in Ihrem Namen auf bestimmte AWS Ressourcen zuzugreifen. Wenn die Rolle bereits existiert, müssen Sie ihr möglicherweise die AmazonWorkSpacesPoolServiceAccess verwaltete Richtlinie anhängen, mit der Amazon auf die erforderlichen Ressourcen im AWS Konto für WorkSpaces Pools WorkSpaces zugreift. Weitere Informationen erhalten Sie unter Erstellen Sie die Rolle workspaces_ DefaultRole und AWS verwaltete Richtlinie: AmazonWorkSpacesPoolServiceAccess.

  • Sie können die SAML 2.0-Authentifizierung für WorkSpaces Pools in den Pools konfigurieren AWS-Regionen , die diese Funktion unterstützen. Weitere Informationen finden Sie unter AWS-Regionen und Verfügbarkeitszonen für WorkSpaces Pools.

  • Um die SAML 2.0-Authentifizierung mit verwenden zu können WorkSpaces, muss der IdP unaufgeforderte IdP-Nachrichten unterstützen, die SSO mit einer Deep-Link-Zielressource oder einem Relay-State-Endpunkt initiiert wurden. URL Beispiele dafür IdPs , die dies unterstützenADFS, sind Azure AD, Duo Single Sign-On, Okta und. PingFederate PingOne Weitere Informationen finden Sie in der IdP-Dokumentation.

  • SAMLDie 2.0-Authentifizierung wird nur auf den folgenden WorkSpaces Clients unterstützt. Die neuesten WorkSpaces Clients finden Sie auf der Amazon WorkSpaces Client-Download-Seite.

    • Windows-Client-Anwendung Version 5.20.0 oder höher

    • macOS-Client-Version 5.20.0 oder höher

    • Web Access

Schritt 2: Erfüllen der Voraussetzungen

Erfüllen Sie die folgenden Voraussetzungen, bevor Sie Ihre SAML 2.0-IdP-Verbindung zu einem WorkSpaces Pool-Verzeichnis konfigurieren.

  • Konfigurieren Sie den Identitätsanbieter, um eine Vertrauensbeziehung mit einzurichte AWS.

  • Weitere Informationen AWS zur Konfiguration SAMLdes AWS Verbunds finden Sie unter Integration von Drittanbietern mit. Zu den relevanten Beispielen gehört die IdP-Integration mit IAM für den AWS Management Console Zugriff auf.

  • Nutzen Sie Ihren IdP, um ein Verbundmetadatendokument, in dem Ihre Organisation als IdP beschrieben wird, zu generieren und laden Sie es herunter. Dieses signierte XML Dokument wird verwendet, um das Vertrauen der vertrauenden Partei herzustellen. Speichern Sie diese Datei an einem Speicherort, auf den Sie später von der IAM Konsole aus zugreifen können.

  • Erstellen Sie mithilfe der WorkSpaces Konsole ein WorkSpaces Pool-Verzeichnis. Weitere Informationen finden Sie unter Verwenden von Active Directory mit WorkSpaces Pools.

  • Erstellen Sie einen WorkSpaces Pool für Benutzer, die sich mit einem unterstützten Verzeichnistyp beim IdP anmelden können. Weitere Informationen finden Sie unter Einen WorkSpaces Pool erstellen.

Schritt 3: Erstellen Sie einen SAML Identitätsanbieter in IAM

Um zu beginnen, müssen Sie einen SAML IdP in IAM erstellen. Dieser IdP definiert die Beziehung zwischen IdP und AWS Trust Ihrer Organisation anhand des Metadatendokuments, das von der IdP-Software in Ihrer Organisation generiert wurde. Weitere Informationen finden Sie im Benutzerhandbuch unter Erstellen und Verwalten eines SAML Identitätsanbieters.AWS Identity and Access Management Informationen zur Arbeit mit SAML IdPs in AWS GovCloud (US) Regions finden Sie AWS Identity and Access Managementim AWS GovCloud (US) Benutzerhandbuch.

Schritt 4: WorkSpace Pool-Verzeichnis erstellen

Gehen Sie wie folgt vor, um ein WorkSpaces Pool-Verzeichnis zu erstellen.

  1. Öffnen Sie die WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie im Navigationsbereich Verzeichnisse aus.

  3. Wählen Sie Verzeichnis erstellen aus.

  4. Wählen Sie als WorkSpace Typ die Option Pool aus.

  5. Gehen Sie im Abschnitt Benutzeridentitätsquelle der Seite wie folgt vor:

    1. Geben Sie einen Platzhalterwert in das URL Textfeld Benutzerzugriff ein. Geben Sie beispielsweise placeholder in das Textfeld ein. Sie werden dies später bearbeiten, nachdem Sie die Anwendungsberechtigung in Ihrem IdP eingerichtet haben.

    2. Lassen Sie das Textfeld Name des Relay-State-Parameters leer. Sie werden dies später bearbeiten, nachdem Sie die Anwendungsberechtigung in Ihrem IdP eingerichtet haben.

  6. Geben Sie im Bereich Verzeichnisinformationen auf der Seite einen Namen und eine Beschreibung für das Verzeichnis ein. Der Verzeichnisname und die Beschreibung müssen weniger als 128 Zeichen lang sein und können alphanumerische Zeichen und die folgenden Sonderzeichen enthalten:_ @ # % * + = : ? . / ! \ -. Der Verzeichnisname und die Beschreibung dürfen nicht mit einem Sonderzeichen beginnen.

  7. Gehen Sie im Bereich Netzwerk und Sicherheit der Seite wie folgt vor:

    1. Wählen Sie ein VPC und zwei Subnetze aus, die Zugriff auf die Netzwerkressourcen haben, die Ihre Anwendung benötigt. Um die Fehlertoleranz zu erhöhen, sollten Sie zwei Subnetze in unterschiedlichen Availability Zones auswählen.

    2. Wählen Sie eine Sicherheitsgruppe, die WorkSpaces das Erstellen von Netzwerklinks in Ihrem VPC ermöglicht. Sicherheitsgruppen steuern, von welchem Netzwerkverkehr WorkSpaces zu Ihrem Netzwerk fließen darfVPC. Wenn Ihre Sicherheitsgruppe beispielsweise alle eingehenden HTTPS Verbindungen einschränkt, können Benutzer, die auf Ihr Webportal zugreifen, keine HTTPS Websites von laden. WorkSpaces

  8. Der Abschnitt Active Directory-Konfiguration ist optional. Sie sollten jedoch Ihre Active Directory-Details (AD) bei der Erstellung Ihres WorkSpaces Pools-Verzeichnisses angeben, wenn Sie beabsichtigen, ein AD mit Ihren WorkSpaces Pools zu verwenden. Sie können die Active Directory-Konfiguration für Ihr WorkSpaces Pools-Verzeichnis nicht bearbeiten, nachdem Sie es erstellt haben. Weitere Informationen zur Angabe Ihrer AD-Details für Ihr WorkSpaces Pool-Verzeichnis finden Sie unterGeben Sie Active Directory-Details für Ihr WorkSpaces Pools-Verzeichnis an. Nachdem Sie den in diesem Thema beschriebenen Vorgang abgeschlossen haben, sollten Sie zu diesem Thema zurückkehren, um die Erstellung Ihres WorkSpaces Pools-Verzeichnisses abzuschließen.

    Sie können den Abschnitt Active Directory-Konfiguration überspringen, wenn Sie nicht vorhaben, ein AD mit Ihren WorkSpaces Pools zu verwenden.

  9. Gehen Sie im Abschnitt Streaming-Eigenschaften der Seite wie folgt vor:

    • Wählen Sie das Verhalten bei den Zugriffsrechten für die Zwischenablage aus und geben Sie einen Wert für das Kopieren bis zur lokalen Zeichenbeschränkung (optional) und für das Einfügen in das Zeichenlimit für Remotesitzungen ein (optional).

    • Wählen Sie aus, ob Sie das Drucken auf einem lokalen Gerät zulassen oder nicht zulassen möchten.

    • Wählen Sie aus, ob Sie die Diagnoseprotokollierung zulassen oder nicht zulassen möchten.

    • Wählen Sie aus, ob Sie die Smartcard-Anmeldung zulassen oder nicht zulassen möchten. Diese Funktion ist nur verfügbar, wenn Sie die AD-Konfiguration zu einem früheren Zeitpunkt in diesem Verfahren aktiviert haben.

  10. Im Bereich Speicher der Seite können Sie wählen, ob Sie Basisordner aktivieren möchten.

  11. Wählen Sie im IAMRollenbereich der Seite eine IAM Rolle aus, die für alle Desktop-Streaming-Instances verfügbar sein soll. Um eine neue Rolle zu erstellen, wählen Sie Neue IAM Rolle erstellen.

    Wenn Sie eine IAM Rolle von Ihrem Konto auf ein WorkSpace Pool-Verzeichnis anwenden, können Sie AWS API Anfragen von einem WorkSpace im WorkSpace Pool aus stellen, ohne die AWS Anmeldeinformationen manuell verwalten zu müssen. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM Benutzer im AWS Identity and Access Management Benutzerhandbuch.

  12. Wählen Sie Verzeichnis erstellen aus.

Schritt 5: Erstellen Sie eine SAML 2.0-Verbundrolle IAM

Gehen Sie wie folgt vor, um eine SAML IAM 2.0-Verbundrolle in der IAM Konsole zu erstellen.

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Roles (Rollen) aus.

  3. Wählen Sie Rolle erstellen.

  4. Wählen Sie SAML2.0 Federation als vertrauenswürdigen Entitätstyp.

  5. Wählen Sie für einen SAML 2.0-basierten Anbieter den Identitätsanbieter aus, in IAM dem Sie ihn erstellt haben. Weitere Informationen finden Sie unter Erstellen eines SAML Identitätsanbieters in IAM.

  6. Wählen Sie Nur programmgesteuerten Zugriff zulassen, um den Zugriff zuzulassen.

  7. Wählen SAML Sie:sub_type für das Attribut.

  8. Geben Sie für Wert https://signin.aws.amazon.com/saml ein. Dieser Wert schränkt den Rollenzugriff auf SAML Benutzer-Streaming-Anfragen ein, die eine SAML Betreff-Typ-Assertion mit dem Wert von enthalten. persistent Wenn der:sub_type persistent SAML ist, sendet Ihr IdP NameID in allen Anfragen SAML eines bestimmten Benutzers denselben eindeutigen Wert für das Element. Weitere Informationen finden Sie unter Eindeutige Identifizierung von Benutzern in einem SAML basierten Verbund im Benutzerhandbuch.AWS Identity and Access Management

  9. Wählen Sie Next (Weiter), um fortzufahren.

  10. Nehmen Sie auf der Seite „Berechtigungen hinzufügen“ keine Änderungen oder Auswahlen vor. Wählen Sie Next (Weiter), um fortzufahren.

  11. Geben Sie einen Namen und eine Beschreibung für die Rolle ein.

  12. Wählen Sie Rolle erstellen.

  13. Wählen Sie auf der Seite Rollen die Rolle aus, die Sie erstellen müssen.

  14. Wählen Sie die Registerkarte Trust relationships (Vertrauensstellungen).

  15. Wählen Sie Vertrauensrichtlinie bearbeiten aus.

  16. Fügen Sie im JSON Textfeld Vertrauensrichtlinie bearbeiten die TagSession Aktion sts: zur Vertrauensrichtlinie hinzu. Weitere Informationen finden Sie AWS STS im AWS Identity and Access Management Benutzerhandbuch unter Übergeben von Sitzungs-Tags.

    Das Ergebnis sollte wie folgt aussehen:

    Ein Beispiel für eine Vertrauensrichtlinie.

  17. Wählen Sie Richtlinie aktualisieren.

  18. Wählen Sie die Registerkarte Berechtigungen.

  19. Wählen Sie auf der Seite im Abschnitt „Berechtigungsrichtlinien“ die Option „Berechtigungen hinzufügen“ und anschließend „Inline-Richtlinie erstellen“ aus.

  20. Wählen Sie im Bereich Richtlinien-Editor der Seite aus JSON.

  21. Geben Sie im JSON Textfeld Policy-Editor die folgende Richtlinie ein. Achten Sie darauf, Folgendes zu ersetzen:

    • <region-code>mit dem Code der AWS Region, in der Sie Ihr WorkSpace Pool-Verzeichnis erstellt haben.

    • <account-id>mit der AWS Konto-ID.

    • <directory-id>mit der ID des Verzeichnisses, das Sie zuvor erstellt haben. Sie können das in der WorkSpaces Konsole abrufen.

    Verwenden Sie für Ressourcen in AWS GovCloud (US) Regions das folgende Format fürARN:arn:aws-us-gov:workspaces:<region-code>:<account-id>:directory/<directory-id>.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "workspaces:Stream",
            "Resource": "arn:aws:workspaces:<region-code>:<account-id>:directory/<directory-id>",
            "Condition": {
                "StringEquals": {"workspaces:userId": "${saml:sub}"}
            }
        }
    ]
}

  22. Wählen Sie Weiter.

  23. Geben Sie einen Namen für die Richtlinie ein und wählen Sie dann Create policy (Richtlinie erstellen) aus.

Schritt 6: Konfigurieren Sie Ihren SAML 2.0-Identitätsanbieter

Abhängig von Ihrem SAML 2.0-IdP müssen Sie Ihren IdP möglicherweise manuell aktualisieren, um ihn AWS als Dienstanbieter zu vertrauen. Dazu laden Sie die saml-metadata.xml Datei unter https://signin.aws.amazon.com/static/saml-metadata.xml herunter und laden sie dann auf Ihren IdP hoch. Dadurch werden die Metadaten Ihres IdP aktualisiert.

Für einige IdPs ist das Update möglicherweise bereits konfiguriert. Sie können diesen Schritt überspringen, wenn er bereits konfiguriert ist. Wenn das Update nicht bereits in Ihrem IdP konfiguriert ist, lesen Sie in der von Ihrem IdP bereitgestellten Dokumentation nach, wie Sie die Metadaten aktualisieren können. Einige Anbieter bieten Ihnen die Möglichkeit, die URL XML Datei in ihr Dashboard einzugeben, und der IdP ruft die Datei für Sie ab und installiert sie. Bei anderen müssen Sie die Datei von herunterladen URL und dann in ihr Dashboard hochladen.

Wichtig

Zu diesem Zeitpunkt können Sie auch Benutzer in Ihrem IdP autorisieren, auf die WorkSpaces Anwendung zuzugreifen, die Sie in Ihrem IdP konfiguriert haben. Für Benutzer, die berechtigt sind, auf die WorkSpaces Anwendung für Ihr Verzeichnis zuzugreifen, wird nicht automatisch eine für sie WorkSpace erstellt. Ebenso sind Benutzer, die eine für sie WorkSpace erstellt haben, nicht automatisch autorisiert, auf die WorkSpaces Anwendung zuzugreifen. Um erfolgreich eine Verbindung WorkSpace mit einer Authentifizierung unter Verwendung von SAML 2.0 herzustellen, muss ein Benutzer vom IdP autorisiert sein und eine WorkSpace erstellte haben.

Schritt 7: Erstellen Sie Assertionen für die Authentifizierungsantwort SAML

Konfigurieren Sie die Informationen, an die Ihr IdP sendet, AWS als SAML Attribute in seiner Authentifizierungsantwort. Abhängig von Ihrem IdP ist dies möglicherweise bereits konfiguriert. Sie können diesen Schritt überspringen, wenn er bereits konfiguriert ist. Falls es noch nicht konfiguriert ist, geben Sie Folgendes an:

  • SAMLSubject NameID — Die eindeutige Kennung für den Benutzer, der sich anmeldet. Ändern Sie das Format/den Wert dieses Felds nicht. Andernfalls funktioniert die Home-Folder-Funktion nicht wie erwartet, da der Benutzer als anderer Benutzer behandelt wird.

    Anmerkung

    Bei WorkSpaces Pools, die in eine Domäne eingebunden sind, muss der NameID Wert für den Benutzer in dem domain\username Format angegeben werdensAMAccountName, das den username@domain.com oder verwendetuserPrincipalName, oder nur. userName Wenn Sie das sAMAccountName Format verwenden, können Sie die Domäne angeben, indem Sie entweder den BIOS Netznamen oder den vollqualifizierten Domänennamen () FQDN verwenden. Das sAMAccountName Format ist für unidirektionale Vertrauensszenarien in Active Directory erforderlich. Weitere Informationen finden Sie unterVerwenden von Active Directory mit WorkSpaces Pools. Wenn nur angegeben userName wird, wird der Benutzer bei der primären Domäne angemeldet

  • SAMLBetrefftyp (mit einem Wert aufpersistent) — Wenn Sie den Wert auf festlegen, persistent wird sichergestellt, dass Ihr IdP in allen SAML Anfragen eines bestimmten Benutzers denselben eindeutigen Wert für das NameID Element sendet. Stellen Sie sicher, dass Ihre IAM Richtlinie eine Bedingung enthält, dass nur SAML Anfragen zugelassen werden, deren SAML sub_type Wert auf gesetzt istpersistent, wie im Schritt 5: Erstellen Sie eine SAML 2.0-Verbundrolle IAM Abschnitt beschrieben.

  • AttributeElement mit dem auf https://aws.amazon.com/SAML/ Attribute/Rolle gesetzten Name Attribut — Dieses Element enthält ein oder mehrere AttributeValue Elemente, die die IAM Rolle und den SAML IdP auflisten, denen der Benutzer von Ihrem IdP zugeordnet wurde. Die Rolle und der IdP werden als kommagetrenntes Paar von angegeben. ARNs Ein Beispiel für den erwarteten Wert ist arn:aws:iam::<account-id>:role/<role-name>,arn:aws:iam::<account-id>:saml-provider/<provider-name>.

  • AttributeElement, dessen Name Attribut auf https://aws.amazon.com/SAML/ Attributes/ gesetzt ist RoleSessionName — Dieses Element enthält ein AttributeValue Element, das einen Bezeichner für die temporären Anmeldeinformationen bereitstellt, für die AWS ausgestellt wurden. SSO Der Wert im AttributeValue Element muss zwischen 2 und 64 Zeichen lang sein und kann alphanumerische Zeichen und die folgenden Sonderzeichen enthalten:. _ . : / = + - @ Leerzeichen dürfen nicht enthalten sein. Der Wert ist normalerweise eine E-Mail-Adresse oder ein Benutzerprinzipalname (UPN). Er sollte kein Wert mit einem Leerzeichen (z. B. der Anzeigename eines Benutzers) sein.

  • AttributeElement, dessen Name Attribut auf https://aws.amazon.com/SAML/ Attributes/:Email gesetzt ist PrincipalTag — Dieses Element enthält ein ElementAttributeValue, das die E-Mail-Adresse des Benutzers bereitstellt. Der Wert muss mit der WorkSpaces Benutzer-E-Mail-Adresse übereinstimmen, wie sie im Verzeichnis definiert ist. WorkSpaces Tagwerte können Kombinationen aus Buchstaben, Zahlen, Leerzeichen und _ . : / = + - @ Zeichen enthalten. Weitere Informationen finden Sie unter Regeln für das Tagging im IAM und AWS STS im AWS Identity and Access Management Benutzerhandbuch.

  • (Optionales) AttributeElement mit dem Name Attribut https://aws.amazon.com/SAML/ Attributes/PrincipalTag: UserPrincipalName — Dieses Element enthält ein AttributeValue Element, das das Active Directory userPrincipalName für den Benutzer bereitstellt, der sich anmeldet. Der Wert muss im Format angegeben werden. username@domain.com Dieser Parameter wird bei der zertifikatbasierten Authentifizierung als alternativer Name des Subjekts im Endbenutzerzertifikat verwendet. Weitere Informationen finden Sie unter Zertifikatsbasierte Authentifizierung und Personal WorkSpaces .

  • (Optional) AttributeElement, dessen Attribut auf Name https://aws.amazon.com/SAML/ Attributes/PrincipalTag: ObjectSid (optional) gesetzt ist — Dieses Element enthält ein AttributeValue Element, das die Active Directory-Sicherheits-ID (SID) für den Benutzer bereitstellt, der sich anmeldet. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung verwendet, um eine sichere Zuordnung zu Active-Directory-Benutzern zu ermöglichen. Weitere Informationen finden Sie unter Zertifikatsbasierte Authentifizierung und Personal WorkSpaces .

  • (Optional) AttributeElement, bei dem das Name Attribut auf https://aws.amazon.com/SAML/ Attributes/:Domain gesetzt ist PrincipalTag — Dieses Element enthält ein ElementAttributeValue, das den DNS vollqualifizierten Active Directory-Domänennamen () FQDN für Benutzer bereitstellt, die sich anmelden. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung verwendet, wenn die Active-Directory-userPrincipalName für die Benutzer ein alternatives Suffix enthält. Der Wert muss im domain.com Format angegeben werden und alle Unterdomänen enthalten.

  • (Optional) AttributeElement mit dem Name Attribut https://aws.amazon.com/SAML/ Attributes/ SessionDuration — Dieses Element enthält ein AttributeValue Element, das angibt, wie lange eine föderierte Streaming-Sitzung für einen Benutzer maximal aktiv bleiben kann, bevor eine erneute Authentifizierung erforderlich ist. Der Standardwert ist 3600 Sekunden (60 Minuten). Weitere Informationen finden Sie SAML SessionDurationAttributeim AWS Identity and Access Management Benutzerhandbuch.

    Anmerkung

    Obwohl SessionDuration es sich um ein optionales Attribut handelt, empfehlen wir, es in die SAML Antwort aufzunehmen. Wenn Sie dieses Attribut nicht angeben, wird die Sitzungsdauer auf einen Standardwert von 3600 Sekunden (60 Minuten) festgelegt. WorkSpaces Desktop-Sitzungen werden nach Ablauf ihrer Sitzungsdauer getrennt.

Weitere Informationen zur Konfiguration dieser Elemente finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Configuring SAML Assertions for the Authentication Response. Weitere Informationen zu spezifischen Konfigurationsanforderungen für Ihren IdP finden Sie in der Dokumentation zu Ihrem IdP.

Schritt 8: Konfigurieren Sie den Relay-Status Ihres Verbunds

Verwenden Sie Ihren IdP, um den Relay-Status Ihres Verbunds so zu konfigurieren, dass er auf den Relay-Status URL des WorkSpaces Pool-Verzeichnisses verweist. Nach erfolgreicher Authentifizierung von AWS wird der Benutzer zum Endpunkt des WorkSpaces Pool-Verzeichnisses weitergeleitet, der in der SAML Authentifizierungsantwort als Relay-Status definiert ist.

Das folgende Format ist das URL Relay-State-Format:


https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code

In der folgenden Tabelle sind die Relay-State-Endpunkte für die AWS Regionen aufgeführt, in denen die WorkSpaces SAML 2.0-Authentifizierung verfügbar ist. AWS Regionen, in denen die WorkSpaces Pools-Funktion nicht verfügbar ist, wurden entfernt.

Region RelayState-Endpunkt
Region USA Ost (Nord-Virginia) workspaces.euc-sso.us-east-1.aws.amazon.com
Region USA West (Oregon) workspaces.euc-sso.us-west-2.aws.amazon.com
Region Asien-Pazifik (Mumbai) workspaces.euc-sso.ap-south-1.aws.amazon.com
Region Asien-Pazifik (Seoul) workspaces.euc-sso.ap-northeast-2.aws.amazon.com
Region Asien-Pazifik (Singapur) workspaces.euc-sso.ap-southeast-1.aws.amazon.com
Region Asien-Pazifik (Sydney) workspaces.euc-sso.ap-southeast-2.aws.amazon.com
Region Asien-Pazifik (Tokio) workspaces.euc-sso.ap-northeast-1.aws.amazon.com
Region Kanada (Zentral) workspaces.euc-sso.ca-central-1.aws.amazon.com
Region Europa (Frankfurt) workspaces.euc-sso.eu-central-1.aws.amazon.com
Region Europa (Irland) workspaces.euc-sso.eu-west-1.aws.amazon.com
Region Europa (London) workspaces.euc-sso.eu-west-2.aws.amazon.com
Region Südamerika (São Paulo) workspaces.euc-sso.sa-east-1.aws.amazon.com
AWS GovCloud (US-West) workspaces.euc-sso. us-gov-west-1. amazonaws-us-gov.com
Anmerkung

Informationen zur Arbeit mit SAML IdPs in AWS GovCloud (US) Regions finden Sie unter Amazon WorkSpaces im Benutzerhandbuch AWS GovCloud (USA).
AWS GovCloud (USA-Ost) workspaces.euc-sso. us-gov-east-1. amazonaws-us-gov.com
Anmerkung

Informationen zur Arbeit mit SAML IdPs in AWS GovCloud (US) Regions finden Sie unter Amazon WorkSpaces im Benutzerhandbuch AWS GovCloud (USA).

Schritt 9: Aktivieren Sie die Integration mit SAML 2.0 in Ihrem WorkSpace Pool-Verzeichnis

Gehen Sie wie folgt vor, um die SAML 2.0-Authentifizierung für das WorkSpaces Pool-Verzeichnis zu aktivieren.

  1. Öffnen Sie die WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie im Navigationsbereich Verzeichnisse aus.

  3. Wählen Sie die Registerkarte Pools-Verzeichnisse.

  4. Wählen Sie die ID des Verzeichnisses, das Sie bearbeiten möchten.

  5. Wählen Sie im Abschnitt Authentifizierung der Seite die Option Bearbeiten aus.

  6. Wählen Sie Edit SAML 2.0 Identity Provider aus.

  7. Ersetzen Sie für den Benutzerzugriff URL, der manchmal als "SSOURL„bezeichnet wird, den Platzhalterwert durch den Wert, den Sie von Ihrem IdP SSO URL erhalten haben.

  8. Geben Sie für den Namen des IdP-Deep-Link-Parameters den Parameter ein, der für Ihren IdP und die von Ihnen konfigurierte Anwendung gilt. Der Standardwert ist, RelayState wenn Sie den Parameternamen weglassen.

    In der folgenden Tabelle sind die Namen der Benutzerzugriffs URLs - und Deep-Link-Parameter aufgeführt, die für verschiedene Identitätsanbieter für Anwendungen eindeutig sind.

    Identitätsanbieter Parameter Benutzerzugriff URL
    ADFS RelayState https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>
    Azure AD RelayState https://myapps.microsoft.com/signin/<app-id>?tenantId=<tenant-id>
    Duo Single-Sign-On RelayState https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app-id>/sso
    Okta RelayState https://<sub-domain>.okta.com/app/<app-name>/<app-id>/sso/saml
    OneLogin RelayState https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>
    JumpCloud RelayState https://sso.jumpcloud.com/saml2/<app-id>
    Auth0 RelayState https://<default-tenant-name>.us.auth0.com/samlp/<client-id>
    PingFederate TargetResource https://<host>/idp/startSSO.ping?PartnerSpId=<sp-id>
    PingOne für Unternehmen TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app-id>&idpid=<idp-id>

  9. Wählen Sie Save (Speichern) aus.

Wichtig

Wenn Sie einem Benutzer SAML 2.0 entziehen, wird dessen Sitzung nicht direkt unterbrochen. Sie werden erst nach Ablauf des Timeouts entfernt. Sie können es auch mit dem beenden. TerminateWorkspacesPoolSessionAPI

Fehlerbehebung

Die folgenden Informationen können Ihnen bei der Behebung bestimmter Probleme mit Ihren WorkSpaces Pools helfen.

Nach Abschluss der SAML Authentifizierung erhalte ich im WorkSpaces Pools-Client die Meldung „Anmeldung nicht möglich“

Die nameID Werte und PrincipalTag:Email in den SAML Ansprüchen müssen mit dem in Active Directory konfigurierten Benutzernamen und der E-Mail-Adresse übereinstimmen. Einige IdPs benötigen nach der Anpassung bestimmter Attribute möglicherweise ein Update, eine Aktualisierung oder eine erneute Bereitstellung. Wenn Sie eine Anpassung vornehmen und diese nicht in Ihrer SAML Erfassung berücksichtigt wird, finden Sie in der Dokumentation oder im Supportprogramm Ihres IdP nach, welche spezifischen Schritte erforderlich sind, damit die Änderung wirksam wird.