

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# SAML 2.0 konfigurieren und ein WorkSpaces Pools-Verzeichnis erstellen
<a name="create-directory-pools"></a>

Sie können die Registrierung und Anmeldung von WorkSpaces Client-Anwendungen WorkSpaces in einem WorkSpaces Pool aktivieren, indem Sie einen Identitätsverbund mit SAML 2.0 einrichten. Dazu verwenden Sie eine AWS Identity and Access Management (IAM) -Rolle und eine Relay-State-URL, um Ihren SAML 2.0-Identitätsanbieter (IdP) zu konfigurieren und ihn für zu aktivieren. AWS Dadurch erhalten Ihre Verbundbenutzer Zugriff auf ein Pool-Verzeichnis. WorkSpace Der Relay-Status ist der WorkSpaces Verzeichnisendpunkt, an den Benutzer nach erfolgreicher Anmeldung weitergeleitet werden. AWS

**Wichtig**  
WorkSpaces Pools unterstützt keine IP-basierten SAML 2.0-Konfigurationen.

**Topics**
+ [Schritt 1: Berücksichtigen Sie die Anforderungen](#saml-directory-consider-the-requirements)
+ [Schritt 2: Erfüllen der Voraussetzungen](#saml-directory-complete-the-prereqs)
+ [Schritt 3: Erstellen Sie einen SAML-Identitätsanbieter in IAM](#saml-directory-create-saml-idp)
+ [Schritt 4: WorkSpace Pool-Verzeichnis erstellen](#saml-directory-create-wsp-pools-directory)
+ [Schritt 5: Erstellen Sie eine SAML 2.0-Verbund-IAM-Rolle](#saml-directory-saml-federation-role-in-iam)
+ [Schritt 6: Konfigurieren Sie Ihren SAML 2.0-Identitätsanbieter](#saml-directory-configure-saml-idp)
+ [Schritt 7: Erstellen Sie Assertionen für die SAML-Authentifizierungsantwort](#saml-directory-create-assertions)
+ [Schritt 8: Konfigurieren Sie den Relay-Status Ihres Verbunds](#saml-directory-configure-relay-state)
+ [Schritt 9: Aktivieren Sie die Integration mit SAML 2.0 in Ihrem WorkSpace Pool-Verzeichnis](#saml-directory-enable-saml-integration)
+ [Fehlerbehebung](#saml-pools-troubleshooting)
+ [Geben Sie Active Directory-Details für Ihr WorkSpaces Pools-Verzeichnis an](pools-service-account-details.md)

## Schritt 1: Berücksichtigen Sie die Anforderungen
<a name="saml-directory-consider-the-requirements"></a>

Die folgenden Anforderungen gelten für die Einrichtung von SAML für ein WorkSpaces Pools-Verzeichnis.
+ Die DefaultRole IAM-Rolle workspaces\$1 muss in Ihrem Konto vorhanden sein. AWS Diese Rolle wird automatisch erstellt, wenn Sie das WorkSpaces Quick Setup verwenden oder wenn Sie zuvor eine mit dem gestartet haben. WorkSpace AWS-Managementkonsole Es gewährt Amazon die WorkSpaces Erlaubnis, in Ihrem Namen auf bestimmte AWS Ressourcen zuzugreifen. Wenn die Rolle bereits existiert, müssen Sie ihr möglicherweise die AmazonWorkSpacesPoolServiceAccess verwaltete Richtlinie anhängen, mit der Amazon auf die erforderlichen Ressourcen im AWS Konto für WorkSpaces Pools WorkSpaces zugreift. Weitere Informationen erhalten Sie unter [Erstellen Sie die Rolle workspaces\$1 DefaultRole](workspaces-access-control.md#create-default-role) und [AWS verwaltete Richtlinie: AmazonWorkSpacesPoolServiceAccess](managed-policies.md#workspaces-pools-service-access).
+ Sie können die SAML 2.0-Authentifizierung für WorkSpaces Pools in den Pools konfigurieren AWS-Regionen , die diese Funktion unterstützen. Weitere Informationen finden Sie unter [AWS-Regionen und Verfügbarkeitszonen für WorkSpaces Pools](wsp-pools-regions.md).
+ Um die SAML 2.0-Authentifizierung mit verwenden zu können WorkSpaces, muss der IdP unaufgefordertes, vom IdP initiiertes SSO mit einer Deep-Link-Zielressource oder einer Relay-State-Endpunkt-URL unterstützen. Beispiele dafür IdPs , dass dies unterstützt wird, sind ADFS, Azure AD, Duo Single Sign-On, Okta und. PingFederate PingOne Weitere Informationen finden Sie in der IdP-Dokumentation.
+ Die SAML 2.0-Authentifizierung wird nur auf den folgenden Clients unterstützt. WorkSpaces Die neuesten WorkSpaces Clients finden Sie auf der [Amazon WorkSpaces Client-Download-Seite](https://clients.amazonworkspaces.com/).
  + Windows-Client-Anwendung Version 5.20.0 oder höher
  + macOS-Client-Version 5.20.0 oder höher
  + Web Access

## Schritt 2: Erfüllen der Voraussetzungen
<a name="saml-directory-complete-the-prereqs"></a>

Erfüllen Sie die folgenden Voraussetzungen, bevor Sie Ihre SAML 2.0-IdP-Verbindung zu einem WorkSpaces Pool-Verzeichnis konfigurieren.
+ Konfigurieren Sie den Identitätsanbieter, um eine Vertrauensbeziehung mit einzurichte AWS.
+ Weitere Informationen [zur Konfiguration des Verbunds finden Sie unter Integration von SAML-Lösungsanbietern von Drittanbietern mit AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html). AWS Zu den relevanten Beispielen gehört die IdP-Integration mit IAM für den Zugriff auf. AWS-Managementkonsole
+ Nutzen Sie Ihren IdP, um ein Verbundmetadatendokument, in dem Ihre Organisation als IdP beschrieben wird, zu generieren und laden Sie es herunter. Dieses signierte XML-Dokument wird verwendet, um die Vertrauensstellung für die vertrauenden Seiten einzurichten. Speichern Sie diese Datei an einem Standort, auf den Sie später von der IAM-Konsole aus zugreifen können.
+ Erstellen Sie mithilfe der Konsole ein WorkSpaces Pool-Verzeichnis. WorkSpaces Weitere Informationen finden Sie unter [Verwenden von Active Directory mit WorkSpaces Pools](active-directory.md).
+ Erstellen Sie einen WorkSpaces Pool für Benutzer, die sich mit einem unterstützten Verzeichnistyp beim IdP anmelden können. Weitere Informationen finden Sie unter [Einen WorkSpaces Pool erstellen](set-up-pools-create.md).

## Schritt 3: Erstellen Sie einen SAML-Identitätsanbieter in IAM
<a name="saml-directory-create-saml-idp"></a>

Um zu beginnen, müssen Sie einen SAML-IdP in IAM erstellen. Dieser IdP definiert die Beziehung zwischen IdP und AWS Trust Ihrer Organisation anhand des Metadatendokuments, das von der IdP-Software in Ihrer Organisation generiert wurde. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Erstellen und Verwalten eines SAML-Identitätsanbieters](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console).AWS Identity and Access Management * Informationen zur Arbeit mit SAML IdPs in AWS GovCloud (US) Regions finden Sie [AWS Identity and Access Management](https://docs.aws.amazon.com//govcloud-us/latest/UserGuide/govcloud-iam.html)im *AWS GovCloud (US) Benutzerhandbuch*.

## Schritt 4: WorkSpace Pool-Verzeichnis erstellen
<a name="saml-directory-create-wsp-pools-directory"></a>

Gehen Sie wie folgt vor, um ein WorkSpaces Pool-Verzeichnis zu erstellen.

1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.

1. Wählen Sie **Verzeichnis erstellen** aus.

1. Wählen Sie als **WorkSpace Typ** die Option **Pool** aus.

1. Gehen Sie im Abschnitt **Benutzeridentitätsquelle** der Seite wie folgt vor:

   1. Geben Sie einen Platzhalterwert in das Textfeld **Benutzerzugriffs-URL** ein. Geben Sie beispielsweise `placeholder` in das Textfeld ein. Sie werden dies später bearbeiten, nachdem Sie die Anwendungsberechtigung in Ihrem IdP eingerichtet haben.

   1. Lassen Sie das Textfeld für den **Namen des Relay-State-Parameters** leer. Sie werden dies später bearbeiten, nachdem Sie die Anwendungsberechtigung in Ihrem IdP eingerichtet haben.

1. Geben Sie im Bereich **Verzeichnisinformationen** der Seite einen Namen und eine Beschreibung für das Verzeichnis ein. Der Verzeichnisname und die Beschreibung müssen weniger als 128 Zeichen lang sein und können alphanumerische Zeichen und die folgenden Sonderzeichen enthalten:`_ @ # % * + = : ? . / ! \ -`. Der Verzeichnisname und die Beschreibung dürfen nicht mit einem Sonderzeichen beginnen.

1. Gehen Sie im Bereich **Netzwerk und Sicherheit** der Seite wie folgt vor:

   1. Wählen Sie eine VPC und zwei Subnetze aus, die Zugriff auf die Netzwerkressourcen haben, die Ihre Anwendung benötigt. Um die Fehlertoleranz zu erhöhen, sollten Sie zwei Subnetze in unterschiedlichen Availability Zones wählen.

   1. Wählen Sie eine Sicherheitsgruppe, mit der WorkSpaces Sie Netzwerklinks in Ihrer VPC erstellen können. Sicherheitsgruppen steuern, von welchem Netzwerkverkehr WorkSpaces zu Ihrer VPC fließen darf. Wenn Ihre Sicherheitsgruppe beispielsweise alle eingehenden HTTPS-Verbindungen einschränkt, können Benutzer, die auf Ihr Webportal zugreifen, keine HTTPS-Websites von der laden. WorkSpaces

1. Der Abschnitt **Active Directory-Konfiguration** ist optional. Sie sollten jedoch Ihre Active Directory-Details (AD) bei der Erstellung Ihres WorkSpaces Pools-Verzeichnisses angeben, wenn Sie beabsichtigen, ein AD mit Ihren WorkSpaces Pools zu verwenden. Sie können die **Active Directory-Konfiguration** für Ihr WorkSpaces Pools-Verzeichnis nicht bearbeiten, nachdem Sie es erstellt haben. Weitere Informationen zur Angabe Ihrer AD-Details für Ihr WorkSpaces Pool-Verzeichnis finden Sie unter[Geben Sie Active Directory-Details für Ihr WorkSpaces Pools-Verzeichnis an](pools-service-account-details.md). Nachdem Sie den in diesem Thema beschriebenen Vorgang abgeschlossen haben, sollten Sie zu diesem Thema zurückkehren, um die Erstellung Ihres WorkSpaces Pools-Verzeichnisses abzuschließen.

   Sie können den Abschnitt **Active Directory-Konfiguration** überspringen, wenn Sie nicht vorhaben, ein AD mit Ihren WorkSpaces Pools zu verwenden.

1. Gehen Sie im Abschnitt **Streaming-Eigenschaften** der Seite wie folgt vor:
   + Wählen Sie das Verhalten bei den Zugriffsrechten für die Zwischenablage aus und geben Sie eine Option zum Kopieren bis zur lokalen Zeichenbeschränkung (optional) und zum Einfügen in die Zeichenbeschränkung der Remotesitzung ein (optional).
   + Wählen Sie aus, ob Sie das Drucken auf einem lokalen Gerät zulassen oder nicht zulassen möchten.
   + Wählen Sie aus, ob Sie die Diagnoseprotokollierung zulassen oder nicht zulassen möchten.
   + Wählen Sie aus, ob Sie die Smartcard-Anmeldung zulassen oder nicht zulassen möchten. Diese Funktion ist nur verfügbar, wenn Sie die AD-Konfiguration zu einem früheren Zeitpunkt in diesem Verfahren aktiviert haben.

1. Im Bereich **Speicher** der Seite können Sie wählen, ob Sie Basisordner aktivieren möchten.

1. Wählen Sie im **Abschnitt „IAM-Rolle“** der Seite eine IAM-Rolle aus, die für alle Desktop-Streaming-Instances verfügbar sein soll. Um eine neue zu erstellen, wählen Sie **Neue IAM-Rolle erstellen**.

   Wenn Sie eine IAM-Rolle von Ihrem Konto auf ein WorkSpace Pool-Verzeichnis anwenden, können Sie AWS API-Anfragen von einem WorkSpace im WorkSpace Pool aus stellen, ohne die Anmeldeinformationen manuell verwalten AWS zu müssen. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html).AWS Identity and Access Management *

1. Wählen Sie **Verzeichnis erstellen** aus.

## Schritt 5: Erstellen Sie eine SAML 2.0-Verbund-IAM-Rolle
<a name="saml-directory-saml-federation-role-in-iam"></a>

Gehen Sie wie folgt vor, um eine SAML 2.0-Verbund-IAM-Rolle in der IAM-Konsole zu erstellen.

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/secretsmanager/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Roles (Rollen)** aus.

1. Wählen Sie Rolle erstellen aus.

1. Wählen Sie den **SAML 2.0-Verbund** als vertrauenswürdigen Entitätstyp aus.

1. Wählen Sie für einen SAML 2.0-basierten Anbieter den Identitätsanbieter aus, den Sie in IAM erstellt haben. Weitere Informationen finden Sie unter [Erstellen eines SAML-Identitätsanbieters](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html?) in IAM.

1. Wählen Sie **Nur programmgesteuerten Zugriff zulassen**, um den Zugriff zuzulassen.

1. Wählen Sie **SAML:sub\$1type** für das Attribut.

1. Geben Sie für **Wert** `https://signin.aws.amazon.com/saml` ein. Dieser Wert schränkt den Rollenzugriff auf SAML-Benutzer-Streaming-Anfragen ein, die eine SAML-Betreff-Typ-Assertion mit dem Wert von enthalten. `persistent` Wenn SAML:sub\$1type persistent ist, sendet Ihr IdP in allen SAML-Anfragen eines bestimmten Benutzers denselben eindeutigen Wert für das `NameID` Element. *Weitere Informationen finden Sie unter [Eindeutige Identifizierung von Benutzern in einem SAML-basierten Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-userid) im Benutzerhandbuch.AWS Identity and Access Management *

1. Wählen Sie **Next** (Weiter), um fortzufahren.

1. Nehmen Sie auf der Seite „Berechtigungen **hinzufügen**“ keine Änderungen oder Auswahlen vor. Wählen Sie **Next** (Weiter), um fortzufahren.

1. Geben Sie einen Namen und eine Beschreibung für die Rolle ein. 

1. Wählen Sie **Rolle erstellen** aus.

1. Wählen Sie auf der Seite **Rollen** die Rolle aus, die Sie erstellen müssen.

1. Wählen Sie die Registerkarte **Trust relationships (Vertrauensstellungen)**.

1. Wählen Sie **Vertrauensrichtlinie bearbeiten** aus.

1. Fügen **Sie im JSON-Textfeld Vertrauensrichtlinie bearbeiten** die TagSession Aktion **sts:** zur Vertrauensrichtlinie hinzu. Weitere Informationen finden Sie [AWS STS im *AWS Identity and Access Management Benutzerhandbuch* unter Übergeben von Sitzungs-Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).

   Das Ergebnis sollte wie folgt aussehen:  
![\[Ein Beispiel für eine Vertrauensrichtlinie.\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/images/iam-saml-federation-policy-sts-tagsession.png)

1. Wählen Sie **Richtlinie aktualisieren**.

1. Wählen Sie die Registerkarte **Berechtigungen**.

1. Wählen Sie auf der Seite im Abschnitt „**Berechtigungsrichtlinien**“ die Option „**Berechtigungen hinzufügen**“ und anschließend „**Inline-Richtlinie erstellen**“ aus.

1. Wählen Sie im Bereich **Richtlinien-Editor** der Seite **JSON** aus.

1. Geben Sie im JSON-Textfeld des **Policy-Editors** die folgende Richtlinie ein. Achten Sie darauf, Folgendes zu ersetzen:
   + *<region-code>*mit dem Code der AWS Region, in der Sie Ihr WorkSpace Pool-Verzeichnis erstellt haben.
   + *<account-id>*mit der AWS Konto-ID.
   + *<directory-id>*mit der ID des Verzeichnisses, das Sie zuvor erstellt haben. Sie können das in der WorkSpaces Konsole abrufen.

   Verwenden Sie für Ressourcen in AWS GovCloud (US) Regions das folgende Format für den ARN:`arn:aws-us-gov:workspaces:<region-code>:<account-id>:directory/<directory-id>`.

1. Wählen Sie Weiter aus.

1. Geben Sie einen Namen für die Richtlinie ein und wählen Sie dann **Create policy (Richtlinie erstellen)** aus.

## Schritt 6: Konfigurieren Sie Ihren SAML 2.0-Identitätsanbieter
<a name="saml-directory-configure-saml-idp"></a>

Abhängig von Ihrem SAML 2.0-IdP müssen Sie Ihren IdP möglicherweise manuell aktualisieren, um ihn AWS als Dienstanbieter zu vertrauen. Dazu laden Sie die `saml-metadata.xml` Datei unter [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml) herunter und laden sie dann auf Ihren IdP hoch. Dadurch werden die Metadaten Ihres IdP aktualisiert.

Für einige IdPs ist das Update möglicherweise bereits konfiguriert. Sie können diesen Schritt überspringen, wenn er bereits konfiguriert ist. Wenn das Update nicht bereits in Ihrem IdP konfiguriert ist, lesen Sie in der von Ihrem IdP bereitgestellten Dokumentation nach, wie Sie die Metadaten aktualisieren können. Einige Anbieter bieten Ihnen die Möglichkeit, die URL der XML-Datei in ihr Dashboard einzugeben, und der IdP ruft die Datei für Sie ab und installiert sie. Bei anderen müssen Sie die Datei von der URL herunterladen und dann in ihr Dashboard hochladen.

**Wichtig**  
Zu diesem Zeitpunkt können Sie auch Benutzer in Ihrem IdP autorisieren, auf die WorkSpaces Anwendung zuzugreifen, die Sie in Ihrem IdP konfiguriert haben. Für Benutzer, die berechtigt sind, auf die WorkSpaces Anwendung für Ihr Verzeichnis zuzugreifen, wird nicht automatisch eine für sie WorkSpace erstellt. Ebenso sind Benutzer, die eine für sie WorkSpace erstellt haben, nicht automatisch autorisiert, auf die WorkSpaces Anwendung zuzugreifen. Um erfolgreich eine Verbindung zu einer WorkSpace Authentifizierung herzustellen, die SAML 2.0 verwendet, muss ein Benutzer vom IdP autorisiert sein und eine WorkSpace erstellte haben.

## Schritt 7: Erstellen Sie Assertionen für die SAML-Authentifizierungsantwort
<a name="saml-directory-create-assertions"></a>

Konfigurieren Sie die Informationen, an die Ihr IdP sendet, AWS als SAML-Attribute in seiner Authentifizierungsantwort. Abhängig von Ihrem IdP ist dies möglicherweise bereits konfiguriert. Sie können diesen Schritt überspringen, wenn er bereits konfiguriert ist. Falls es noch nicht konfiguriert ist, geben Sie Folgendes an:
+ **SAML Subject NameID** — Die eindeutige Kennung für den Benutzer, der sich anmeldet. Ändern Sie den Wert dieses format/value Felds nicht. Andernfalls funktioniert die Home-Folder-Funktion nicht wie erwartet, da der Benutzer als ein anderer Benutzer behandelt wird.
**Anmerkung**  
Bei WorkSpaces Pools, die in eine Domäne eingebunden sind, muss der `NameID` Wert für den Benutzer in dem `domain\username` Format angegeben werden`sAMAccountName`, das den `username@domain.com` oder verwendet`userPrincipalName`, oder nur. `userName` Wenn Sie das `sAMAccountName` Format verwenden, können Sie die Domäne entweder mithilfe des NetBIOS-Namens oder des vollqualifizierten Domänennamens (FQDN) angeben. Das `sAMAccountName` Format ist für unidirektionale Active Directory-Vertrauensszenarien erforderlich. Weitere Informationen finden Sie unter[Verwenden von Active Directory mit WorkSpaces Pools](active-directory.md). Wenn nur angegeben `userName` wird, wird der Benutzer bei der primären Domäne angemeldet
+ **SAML-Betrefftyp (mit einem Wert auf`persistent`) — Wenn Sie den Wert auf festlegen**, `persistent` wird sichergestellt, dass Ihr IdP in allen SAML-Anfragen eines bestimmten Benutzers denselben eindeutigen Wert für das `NameID` Element sendet. Stellen Sie sicher, dass Ihre IAM-Richtlinie eine Bedingung enthält, dass nur SAML-Anfragen zugelassen werden, deren SAML auf `sub_type` gesetzt ist`persistent`, wie im Abschnitt beschrieben. [Schritt 5: Erstellen Sie eine SAML 2.0-Verbund-IAM-Rolle](#saml-directory-saml-federation-role-in-iam)
+ **`Attribute`Element mit dem auf https://aws.amazon.com/SAML/ Attribute/Rolle gesetzten `Name` Attribut** — Dieses Element enthält ein oder mehrere `AttributeValue` Elemente, die die IAM-Rolle und den SAML-IdP auflisten, denen der Benutzer von Ihrem IdP zugeordnet ist. Die Rolle und der IdP werden als kommagetrenntes Paar von angegeben. ARNs Ein Beispiel für den erwarteten Wert ist `arn:aws:iam::<account-id>:role/<role-name>,arn:aws:iam::<account-id>:saml-provider/<provider-name>`.
+ **`Attribute`Element, dessen `Name` Attribut auf https://aws.amazon.com/SAML/ Attributes/ gesetzt** ist RoleSessionName — Dieses Element enthält ein Element, das eine `AttributeValue` Kennung für die AWS temporären Anmeldeinformationen bereitstellt, die für SSO ausgestellt werden. Der Wert im `AttributeValue` Element muss zwischen 2 und 64 Zeichen lang sein und kann alphanumerische Zeichen und die folgenden Sonderzeichen enthalten:. `_ . : / = + - @` Leerzeichen dürfen nicht enthalten sein. Der Wert ist in der Regel eine E-Mail-Adresse oder ein User Principle Name (UPN). Er sollte kein Wert mit einem Leerzeichen (z. B. der Anzeigename eines Benutzers) sein.
+ **`Attribute`Element, dessen `Name` Attribut auf https://aws.amazon.com/SAML/ Attributes/:Email gesetzt ist PrincipalTag —** Dieses Element enthält ein Element`AttributeValue`, das die E-Mail-Adresse des Benutzers bereitstellt. Der Wert muss mit der WorkSpaces Benutzer-E-Mail-Adresse übereinstimmen, wie sie im Verzeichnis definiert ist. WorkSpaces Tagwerte können Kombinationen aus Buchstaben, Zahlen, Leerzeichen und `_ . : / = + - @` Zeichen enthalten. Weitere Informationen finden Sie unter [Regeln für das Tagging in IAM und AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules) im *AWS Identity and Access Management Benutzerhandbuch*.
+ (Optional) **`Attribute`Element mit dem `Name` Attribut https://aws.amazon.com/SAML/ Attributes/PrincipalTag: UserPrincipalName** — Dieses Element enthält ein `AttributeValue` Element, das das Active Directory `userPrincipalName` für den Benutzer bereitstellt, der sich anmeldet. Der Wert muss im Format angegeben werden. `username@domain.com` Dieser Parameter wird bei der zertifikatbasierten Authentifizierung als alternativer Name des Subjekts im Endbenutzerzertifikat verwendet. Weitere Informationen finden Sie unter [Zertifikatsbasierte Authentifizierung und Personal WorkSpaces](certificate-based-authentication.md).
+ (Optional) **`Attribute`Element, dessen Attribut auf `Name` https://aws.amazon.com/SAML/ Attributes/PrincipalTag: ObjectSid (optional) gesetzt** ist — Dieses Element enthält ein `AttributeValue` Element, das die Active Directory-Sicherheitskennung (SID) für den Benutzer bereitstellt, der sich anmeldet. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung verwendet, um eine sichere Zuordnung zu Active-Directory-Benutzern zu ermöglichen. Weitere Informationen finden Sie unter [Zertifikatsbasierte Authentifizierung und Personal WorkSpaces](certificate-based-authentication.md).
+ (Optional) **`Attribute`Element, bei dem das `Name` Attribut auf https://aws.amazon.com/SAML/ Attributes/:Domain gesetzt ist PrincipalTag —** Dieses Element enthält ein Element`AttributeValue`, das den vollqualifizierten DNS-Domänennamen (FQDN) für Benutzer bereitstellt, die sich anmelden. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung verwendet, wenn die Active-Directory-`userPrincipalName` für die Benutzer ein alternatives Suffix enthält. Der Wert muss im `domain.com` Format angegeben werden und alle Unterdomänen enthalten.
+ (Optional) **`Attribute`Element mit dem `Name` Attribut https://aws.amazon.com/SAML/ Attributes/ SessionDuration** — Dieses Element enthält ein `AttributeValue` Element, das angibt, wie lange eine föderierte Streaming-Sitzung für einen Benutzer maximal aktiv bleiben kann, bevor eine erneute Authentifizierung erforderlich ist. Der Standardwert ist `3600` Sekunden (60 Minuten). Weitere Informationen finden Sie unter [SAML SessionDurationAttribute](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration) im *AWS Identity and Access Management Benutzerhandbuch*.
**Anmerkung**  
Auch wenn es sich bei `SessionDuration` um ein optionales Attribut handelt, wird empfohlen, es in die SAML-Antwort aufzunehmen. Wenn Sie dieses Attribut nicht angeben, wird die Sitzungsdauer auf einen Standardwert von `3600` Sekunden (60 Minuten) festgelegt. WorkSpaces Desktop-Sitzungen werden nach Ablauf ihrer Sitzungsdauer getrennt.

*Weitere Informationen zur Konfiguration dieser Elemente finden Sie unter [Konfiguration von SAML-Assertionen für die Authentifizierungsantwort](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) im AWS Identity and Access Management Benutzerhandbuch.* Weitere Informationen zu spezifischen Konfigurationsanforderungen für Ihren IdP finden Sie in der Dokumentation zu Ihrem IdP.

## Schritt 8: Konfigurieren Sie den Relay-Status Ihres Verbunds
<a name="saml-directory-configure-relay-state"></a>

Verwenden Sie Ihren IdP, um den Relay-Status Ihres Verbunds so zu konfigurieren, dass er auf die Relay-Status-URL des WorkSpaces Pool-Verzeichnisses verweist. Nach erfolgreicher Authentifizierung von AWS wird der Benutzer zum Endpunkt des WorkSpaces Pool-Verzeichnisses weitergeleitet, der in der SAML-Authentifizierungsantwort als Relay-Status definiert ist.

Der Relay-Status-URL hat das folgende Format:

```
https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code
```

In der folgenden Tabelle sind die Relay-State-Endpunkte für die AWS Regionen aufgeführt, in denen die WorkSpaces SAML 2.0-Authentifizierung verfügbar ist. AWS Regionen, in denen die WorkSpaces Pools-Funktion nicht verfügbar ist, wurden entfernt.


| Region | RelayState-Endpunkt | 
| --- | --- | 
| Region USA Ost (Nord-Virginia) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/create-directory-pools.html)  | 
| Region USA West (Oregon) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/create-directory-pools.html)  | 
| Region Asien-Pazifik (Mumbai) | workspaces.euc-sso.ap-south-1.aws.amazon.com | 
| Region Asien-Pazifik (Seoul) | workspaces.euc-sso.ap-northeast-2.aws.amazon.com | 
| Region Asien-Pazifik (Singapur) | workspaces.euc-sso.ap-southeast-1.aws.amazon.com | 
| Region Asien-Pazifik (Sydney) | workspaces.euc-sso.ap-southeast-2.aws.amazon.com | 
| Region Asien-Pazifik (Tokio) | workspaces.euc-sso.ap-northeast-1.aws.amazon.com | 
| Region Kanada (Zentral) | workspaces.euc-sso.ca-central-1.aws.amazon.com | 
| Region Europa (Frankfurt) | workspaces.euc-sso.eu-central-1.aws.amazon.com | 
| Region Europa (Irland) | workspaces.euc-sso.eu-west-1.aws.amazon.com | 
| Region Europa (London) | workspaces.euc-sso.eu-west-2.aws.amazon.com | 
| Region Südamerika (São Paulo) | workspaces.euc-sso.sa-east-1.aws.amazon.com | 
| AWS GovCloud (US-West) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/create-directory-pools.html)  Informationen zur Arbeit mit SAML IdPs in AWS GovCloud (US) Regions finden Sie unter [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html) im *Benutzerhandbuch AWS GovCloud (USA)*.   | 
| AWS GovCloud (USA-Ost) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/create-directory-pools.html)  Informationen zur Arbeit mit SAML IdPs in AWS GovCloud (US) Regions finden Sie unter [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html) im *Benutzerhandbuch AWS GovCloud (USA)*.   | 

## Schritt 9: Aktivieren Sie die Integration mit SAML 2.0 in Ihrem WorkSpace Pool-Verzeichnis
<a name="saml-directory-enable-saml-integration"></a>

Gehen Sie wie folgt vor, um die SAML 2.0-Authentifizierung für das WorkSpaces Pool-Verzeichnis zu aktivieren.

1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.

1. Wählen Sie die Registerkarte **Pools-Verzeichnisse**.

1. Wählen Sie die ID des Verzeichnisses, das Sie bearbeiten möchten.

1. Wählen Sie im Abschnitt **Authentifizierung** der Seite die Option **Bearbeiten** aus.

1. Wählen Sie **SAML-2.0-Identitätsanbieter bearbeiten** aus.

1. Ersetzen Sie für die **Benutzerzugriffs-URL**, die manchmal auch als „SSO-URL“ bezeichnet wird, den Platzhalterwert durch die SSO-URL, die Sie von Ihrem IdP erhalten haben.

1. Geben Sie für den **Namen des IdP-Deep-Link-Parameters** den Parameter ein, der für Ihren IdP und die von Ihnen konfigurierte Anwendung gilt. Der Standardwert ist, `RelayState` wenn Sie den Parameternamen weglassen.

   In der folgenden Tabelle sind die Namen der Benutzerzugriffs URLs - und Deep-Link-Parameter aufgeführt, die für verschiedene Identitätsanbieter für Anwendungen eindeutig sind.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/create-directory-pools.html)

1. Wählen Sie **Speichern**.

**Wichtig**  
Wenn Sie einem Benutzer SAML 2.0 entziehen, wird dessen Sitzung nicht direkt unterbrochen. Sie werden erst nach Ablauf des Timeouts entfernt. Sie können es auch mithilfe der [ TerminateWorkspacesPoolSession](https://docs.aws.amazon.com//workspaces/latest/api/API_TerminateWorkspacesPoolSession.html)API beenden.

## Fehlerbehebung
<a name="saml-pools-troubleshooting"></a>

Die folgenden Informationen können Ihnen bei der Behebung bestimmter Probleme mit Ihren WorkSpaces Pools helfen.

### Nach Abschluss der SAML-Authentifizierung erhalte ich im WorkSpaces Pools-Client die Meldung „Anmeldung nicht möglich“
<a name="pools-unable-to-login"></a>

Die `nameID` Werte und `PrincipalTag:Email` in den SAML-Ansprüchen müssen mit dem in Active Directory konfigurierten Benutzernamen und der E-Mail-Adresse übereinstimmen. Einige IdPs benötigen nach der Anpassung bestimmter Attribute möglicherweise ein Update, eine Aktualisierung oder eine erneute Bereitstellung. Wenn Sie eine Anpassung vornehmen und diese nicht in Ihrer SAML-Erfassung berücksichtigt wird, finden Sie in der Dokumentation oder im Supportprogramm Ihres IdP nach, welche spezifischen Schritte erforderlich sind, damit die Änderung wirksam wird.