

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# SAML 2.0 für WorkSpaces Personal einrichten
<a name="setting-up-saml"></a>

Ermöglichen Sie WorkSpaces für Ihre Benutzer die Registrierung und Anmeldung von WorkSpaces Client-Anwendungen mithilfe ihrer SAML 2.0-Identitätsanbieter (IdP) -Anmeldeinformationen und Authentifizierungsmethoden, indem Sie einen Identitätsverbund mit SAML 2.0 einrichten. Verwenden Sie eine IAM-Rolle und eine Relay-State-URL, um Ihren IdP zu konfigurieren und AWS zu aktivieren, um einen Identitätsverbund mit SAML 2.0 einzurichten. Dadurch erhalten Ihre Verbundbenutzer Zugriff auf ein Verzeichnis. WorkSpaces Der Relay-Status ist der WorkSpaces Verzeichnisendpunkt, an den Benutzer nach erfolgreicher Anmeldung weitergeleitet werden. AWS

**Topics**
+ [Voraussetzungen](#setting-up-saml-requirements)
+ [Voraussetzungen](#setting-up-saml-prerequisites)
+ [Schritt 1: Erstellen Sie einen SAML-Identitätsanbieter in IAM AWS](#create-saml-identity-provider)
+ [Schritt 2: Erstellen einer IAM-Rolle für den SAML-2.0-Verbund](#create-saml-iam-role)
+ [Schritt 3: Einbetten einer eingebundenen Richtlinie für die IAM-Rolle](#embed-inline-policy)
+ [Schritt 4: Konfigurieren des SAML-2.0-Identitätsanbieters](#configure-saml-id-provider)
+ [Schritt 5: Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort](#create-assertions-saml-auth)
+ [Schritt 6: Konfigurieren des Relay-Status für den Verbund](#configure-relay-state)
+ [Schritt 7: Aktivieren Sie die Integration mit SAML 2.0 in Ihrem Verzeichnis WorkSpaces](#enable-integration-saml)

## Voraussetzungen
<a name="setting-up-saml-requirements"></a>
+ Die SAML-2.0-Authentifizierung ist in folgenden Regionen verfügbar:
  + Region USA Ost (Nord-Virginia)
  + Region USA West (Oregon)
  + Region Afrika (Kapstadt)
  + Region Asien-Pazifik (Mumbai)
  + Asia Pacific (Seoul) Region
  + Region Asien-Pazifik (Singapur)
  + Region Asien-Pazifik (Sydney)
  + Region Asien-Pazifik (Tokio)
  + Region Kanada (Zentral)
  + Region Europa (Frankfurt)
  + Region Europa (Irland)
  + Region Europa (London)
  + Region Südamerika (São Paulo)
  + Region Israel (Tel Aviv)
  + AWS GovCloud (US-West)
  + AWS GovCloud (US-Ost)
+ Um die SAML 2.0-Authentifizierung mit verwenden zu können WorkSpaces, muss der IdP unaufgefordertes, vom IdP initiiertes SSO mit einer Deep-Link-Zielressource oder einer Relay-State-Endpunkt-URL unterstützen. Beispiele hierfür IdPs sind ADFS, Azure AD, Duo Single Sign-On, Okta und. PingFederate PingOne Weitere Informationen finden Sie in der IdP-Dokumentation.
+ Die SAML 2.0-Authentifizierung funktioniert, wenn sie mit Simple AD WorkSpaces gestartet wurde. Dies wird jedoch nicht empfohlen, da Simple AD nicht in SAML 2.0 integriert werden kann. IdPs
+ Die SAML 2.0-Authentifizierung wird auf den folgenden Clients unterstützt. WorkSpaces Andere Client-Versionen werden für die SAML-2.0-Authentifizierung nicht unterstützt. Öffnen Sie Amazon WorkSpaces [Client Downloads](https://clients.amazonworkspaces.com/), um die neuesten Versionen zu finden:
  + Windows-Client, Version 5.1.0.3029 oder höher
  + macOS-Client, Version 5.x oder höher
  + Linux-Client für Ubuntu 22.04 Version 2024.1 oder höher, Ubuntu 20.04 Version 24.1 oder höher
  + Web Access

  Andere Client-Versionen können keine Verbindung zur Authentifizierung herstellen, die für SAML 2.0 WorkSpaces aktiviert ist, sofern Fallback nicht aktiviert ist. Weitere Informationen finden Sie unter [Aktivieren der SAML 2.0-Authentifizierung](https://d1.awsstatic.com/workspaces-saml-guide.pdf) für das Verzeichnis. WorkSpaces 

 step-by-stepAnweisungen zur Integration von SAML 2.0 WorkSpaces mit ADFS, Azure AD, Duo Single Sign-On, Okta PingFederate und PingOne für Unternehmen finden Sie im [Amazon WorkSpaces SAML](https://d1.awsstatic.com/workspaces-saml-guide.pdf) Authentication Implementation Guide. OneLogin

## Voraussetzungen
<a name="setting-up-saml-prerequisites"></a>

Erfüllen Sie die folgenden Voraussetzungen, bevor Sie Ihre SAML 2.0-Identity Provider-Verbindung (IdP) zu einem WorkSpaces Verzeichnis konfigurieren.

1. Konfigurieren Sie Ihren IdP so, dass Benutzeridentitäten aus dem Microsoft Active Directory integriert werden, das mit dem WorkSpaces Verzeichnis verwendet wird. Für einen Benutzer mit a WorkSpace müssen die Attribute **s AMAccount Name** und **E-Mail** für den Active Directory-Benutzer und die SAML-Anspruchswerte übereinstimmen, damit sich der Benutzer WorkSpaces mit dem IdP anmelden kann. Weitere Informationen zur Integration von Active Directory mit Ihrem IdP finden Sie in Ihrer IdP-Dokumentation.

1. Konfigurieren Sie den Identitätsanbieter, um eine Vertrauensbeziehung mit einzurichte AWS.
   + Weitere Informationen [zur Konfiguration des Verbunds finden Sie unter Integration von SAML-Lösungsanbietern von Drittanbietern mit AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html). AWS Zu den relevanten Beispielen gehört die IdP-Integration mit AWS IAM für den Zugriff auf die AWS Managementkonsole.
   + Nutzen Sie Ihren IdP, um ein Verbundmetadatendokument, in dem Ihre Organisation als IdP beschrieben wird, zu generieren und laden Sie es herunter. Dieses signierte XML-Dokument wird verwendet, um die Vertrauensstellung für die vertrauenden Seiten einzurichten. Speichern Sie diese Datei an einem Standort, auf den Sie später von der IAM-Konsole aus zugreifen können.

1. Erstellen oder registrieren Sie WorkSpaces mithilfe der WorkSpaces Managementkonsole ein Verzeichnis für. Weitere Informationen finden Sie unter [Verzeichnisse verwalten für WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-directory.html). Die SAML 2.0-Authentifizierung für WorkSpaces wird für die folgenden Verzeichnistypen unterstützt:
   + AD Connector
   + AWS Verwaltetes Microsoft AD

1. Erstellen Sie eine WorkSpace für einen Benutzer, der sich mit einem unterstützten Verzeichnistyp beim IdP anmelden kann. Sie können einen WorkSpace mithilfe der WorkSpaces Managementkonsole oder der WorkSpaces API erstellen. AWS CLI Weitere Informationen finden Sie unter [Starten eines virtuellen Desktops mit WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html). 

## Schritt 1: Erstellen Sie einen SAML-Identitätsanbieter in IAM AWS
<a name="create-saml-identity-provider"></a>

Erstellen Sie zunächst einen SAML-IdP in AWS IAM. Dieser IdP definiert die Beziehung zwischen IdP und AWS Trust Ihrer Organisation anhand des Metadatendokuments, das von der IdP-Software in Ihrer Organisation generiert wurde. Weitere Informationen finden Sie unter [Erstellen und Verwalten eines SAML-Identitätsanbieters (Amazon-Web-Services-Managementkonsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console). Informationen zur Arbeit mit SAML IdPs in AWS GovCloud (US-West) und AWS GovCloud (US-Ost) finden Sie unter [AWS Identity and](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html) Access Management. 

## Schritt 2: Erstellen einer IAM-Rolle für den SAML-2.0-Verbund
<a name="create-saml-iam-role"></a>

Anschließend erstellen Sie eine IAM-Rolle für den SAML-2.0-Verbund. Dieser Schritt stellt eine Vertrauensstellung zwischen IAM und dem IdP Ihrer Organisation her, die Ihren IdP als vertrauenswürdige Entität für den Verbund identifiziert.

So erstellen Sie eine IAM-Rolle für den SAML-IdP

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Rollen** und **Rolle erstellen** aus.

1.  Wählen Sie für **Role type** (Rollentyp) die Option **SAML 2.0 federation** (SAML 2.0 Verbund). 

1.  Wählen Sie für **SAML-Anbieter** den erstellten SAML-Identitätsanbieter aus. 
**Wichtig**  
Wählen Sie keine der beiden SAML-2.0-Zugriffsmethoden (**Nur programmgesteuerten Zugriff erlauben** oder **Programmgesteuerten Zugriff und Zugriff über Amazon Web Services Management Console erlauben**).

1. Für **Attribut** wählen Sie **SAML:sub\_type**.

1. Geben Sie für **Wert** `persistent` ein. Dieser Wert schränkt den Rollenzugriff auf Streaming-Anfragen von SAML-Benutzern ein, die eine SAML-Subjekttypangabe mit dem Wert „persistent“ enthalten. Wenn der SAML:sub\_type „persistent“ ist, sendet Ihr IdP denselben eindeutigen Wert für das NameID-Element in allen SAML-Anfragen von einem bestimmten Benutzer. [Weitere Informationen zur Behauptung SAML:sub\_type finden Sie im Abschnitt **Eindeutige Identifizierung von Benutzern in einem SAML-basierten Verbund unter Verwenden eines SAML-basierten** Verbunds für den API-Zugriff auf. AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring)

1. Überprüfen Sie Ihre SAML 2.0-Vertrauensinformationen, um die richtige vertrauenswürdige Entität und Bedingung sicherzustellen, und wählen Sie dann **Next: Permissions** (Weiter: Berechtigungen). 

1. Wählen Sie auf der Seite **Attach permissions policies (Berechtigungsrichtlinien hinzufügen)** **Next: Tags (Weiter: Tags)** aus.

1. (Optional) Geben Sie einen Schlüssel und einen Wert für jedes Tag ein, das Sie hinzufügen möchten. Weitere Informationen finden Sie unter [Markieren von IAM-Benutzern und -Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html).

1. Klicken Sie abschließend auf **Weiter: Überprüfen**. Sie erstellen später eine eingebundene Richtlinie für diese Rolle und betten diese ein.

1. Geben Sie unter **Rollenname** einen Rollennamen ein, der Ihnen hilft, den Zweck dieser Rolle zu identifizieren. Da verschiedene Entitäten möglicherweise auf die Rolle verweisen, können Sie den Namen der Rolle nach der Erstellung nicht mehr bearbeiten.

1. (Optional) Geben Sie im Feld **Role description (Rollenbeschreibung)** eine Beschreibung für die neue Rolle ein.

1. Prüfen Sie die Rollendetails und wählen Sie **Create Role** (Rolle erstellen).

1. Fügen Sie die Berechtigung sts: zur Vertrauensrichtlinie Ihrer neuen IAM-Rolle TagSession hinzu. Weitere Informationen finden Sie unter [Übergeben von Sitzungs-Tags in AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html). Wählen Sie auf der Detailseite für Ihre neue IAM-Rolle die Registerkarte **Vertrauensbeziehungen** und anschließend **Vertrauensbeziehung bearbeiten**. Wenn der Richtlinieneditor „Trust Relationship bearbeiten“ geöffnet wird, fügen Sie die **sts: TagSession \*-Berechtigung** wie folgt hinzu:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Federated": "arn:aws:iam::{{111122223333}}:saml-provider/IDENTITY-PROVIDER"
               },
               "Action": [
                   "sts:AssumeRoleWithSAML",
                   "sts:TagSession"
               ],
               "Condition": {
                   "StringEquals": {
                       "SAML:aud": "https://signin.aws.amazon.com/saml"
                   }
               }
           }
       ]
   }
   ```

------

Ersetzen Sie `IDENTITY-PROVIDER` durch den Namen des SAML-IdP, den Sie in Schritt 1 erstellt haben. Wählen Sie **Vertrauensrichtlinie aktualisieren** aus.

## Schritt 3: Einbetten einer eingebundenen Richtlinie für die IAM-Rolle
<a name="embed-inline-policy"></a>

Anschließend betten Sie eine IAM-Richtlinie für die erstellte Rolle ein. Bei der Einbettung einer eingebundenen Richtlinie können die Berechtigungen der Richtlinie nicht versehentlich an die falsche Prinzipal-Entität angefügt werden. Die Inline-Richtlinie gewährt Verbundbenutzern Zugriff auf das WorkSpaces Verzeichnis.

**Wichtig**  
IAM-Richtlinien zur Verwaltung des Zugriffs auf der AWS Grundlage der Quell-IP werden für diese Aktion nicht unterstützt. `workspaces:Stream` Verwenden Sie [IP-Zugriffskontrollgruppen WorkSpaces, um IP-Zugriffskontrollen](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-ip-access-control-groups.html) für zu verwalten. Wenn Sie die SAML 2.0-Authentifizierung verwenden, können Sie außerdem IP-Zugriffskontrollrichtlinien verwenden, sofern diese von Ihrem SAML 2.0-IdP verfügbar sind.

1. Wählen Sie in den Details für die IAM-Rolle, die Sie erstellt haben, die Registerkarte **Berechtigungen** aus und fügen Sie dann die erforderlichen Berechtigungen zur Berechtigungsrichtlinie der Rolle hinzu. Der **Assistent zum Erstellen von Richtlinien** wird gestartet.

1. Wählen Sie unter **Create policy (Richtlinie erstellen)** die Registerkarte **JSON**.

1. Kopieren Sie die folgende JSON-Richtlinie und fügen Sie sie in das JSON-Fenster ein. Ändern Sie dann die Ressource, indem Sie Ihren AWS Regionalcode, Ihre Konto-ID und Ihre Verzeichnis-ID eingeben. In der folgenden Richtlinie erhalten Ihre WorkSpaces Benutzer die Berechtigung, `"Action": "workspaces:Stream"` eine Verbindung zu ihren Desktopsitzungen im WorkSpaces Verzeichnis herzustellen.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "workspaces:Stream",
               "Resource": "arn:aws:workspaces:us-east-1:123456789012:directory/DIRECTORY-ID",
               "Condition": {
                   "StringEquals": {
                       "workspaces:userId": "${saml:sub}"
                   }
               }
           }
       ]
   }
   ```

------

   `REGION-CODE`Ersetzen Sie es durch die AWS Region, in der Ihr WorkSpaces Verzeichnis existiert. `DIRECTORY-ID`Ersetzen Sie es durch die WorkSpaces Verzeichnis-ID, die Sie in der WorkSpaces Managementkonsole finden. Verwenden Sie für Ressourcen in AWS GovCloud (US-West) oder AWS GovCloud (US-Ost) das folgende Format für den ARN:. `arn:aws-us-gov:workspaces:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:directory/DIRECTORY-ID`

1. Klicken Sie abschließend auf **Review policy (Richtlinie überprüfen)**. Die [Richtlinienvalidierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) meldet mögliche Syntaxfehler.

## Schritt 4: Konfigurieren des SAML-2.0-Identitätsanbieters
<a name="configure-saml-id-provider"></a>

Als Nächstes müssen Sie, abhängig von Ihrem SAML 2.0-IdP, Ihren IdP möglicherweise manuell aktualisieren, damit er AWS als Dienstanbieter vertrauenswürdig ist, indem Sie die `saml-metadata.xml` Datei unter [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml) auf Ihren IdP hochladen. Dieser Schritt aktualisiert die Metadaten Ihres IdP. Für einige ist das Update IdPs möglicherweise bereits konfiguriert. In diesem Fall fahren Sie mit dem nächsten Schritt fort.

Wenn diese Aktualisierung in Ihrem IdP noch nicht konfiguriert ist, lesen Sie in der Dokumentation Ihres IdP nach, wie die Metadaten zu aktualisieren sind. Bei einigen Anbietern können Sie die URL eingeben, woraufhin der Identitätsanbieter die Datei für Sie abruft und installiert. Bei anderen Anbietern müssen Sie die Datei über eine URL herunterladen und dann als lokale Datei bereitstellen.

**Wichtig**  
Zu diesem Zeitpunkt können Sie auch Benutzer in Ihrem IdP autorisieren, auf die WorkSpaces Anwendung zuzugreifen, die Sie in Ihrem IdP konfiguriert haben. Für Benutzer, die berechtigt sind, auf die WorkSpaces Anwendung für Ihr Verzeichnis zuzugreifen, wird nicht automatisch eine für sie WorkSpace erstellt. Ebenso sind Benutzer, die eine für sie WorkSpace erstellt haben, nicht automatisch autorisiert, auf die WorkSpaces Anwendung zuzugreifen. Um erfolgreich eine Verbindung WorkSpace mit einer SAML 2.0-Authentifizierung herzustellen, muss ein Benutzer vom IdP autorisiert sein und eine WorkSpace erstellte haben.

**Anmerkung**  
Wenn Ihre Endbenutzer häufig zwischen mehreren verschiedenen WorkSpaces Benutzeridentitäten wechseln, während sie denselben SAML 2.0-Identitätsanbieter (IdP) verwenden, stellen Sie sicher, dass Ihr IdP so konfiguriert ist, dass bei jedem Anmeldeversuch die Authentifizierung (ForceAuthn) erzwungen wird. Dadurch wird verhindert, dass Ihr IdP eine bestehende SSO-Sitzung wiederverwendet, was andernfalls zu Authentifizierungsfehlern führen kann, wenn Ihre Benutzer zu einer anderen wechseln. WorkSpace Anleitungen zur Aktivierung der ForceAuthn (oder einer gleichwertigen) Einstellung finden Sie in der Dokumentation Ihres IdP.

## Schritt 5: Erstellen von Zusicherungen für die SAML-Authentifizierungsantwort
<a name="create-assertions-saml-auth"></a>

Als Nächstes konfigurieren Sie die Informationen, an die Ihr IdP sendet, AWS als SAML-Attribute in seiner Authentifizierungsantwort. Abhängig von Ihrem IdP ist dies bereits konfiguriert. Überspringen Sie diesen Schritt und fahren Sie mit [Schritt 6: Konfigurieren des Relay-Status Ihres Verbunds](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#configure-relay-state) fort.

Wenn diese Informationen in Ihrem Identitätsanbieter noch nicht konfiguriert sind, führen Sie die folgenden Schritte aus:
+ **SAML Subject NameID** – Die eindeutige ID für den Benutzer, der sich anmeldet. Der Wert muss mit dem WorkSpaces Benutzernamen übereinstimmen und ist in der Regel das **AMAccountName-Attribut s** für den Active Directory-Benutzer.
+ **SAML-Subjekttyp** (mit dem Wert `persistent`) – Durch Verwendung des Werts `persistent` stellen Sie sicher, dass Ihr IdP in allen SAML-Anfragen von einem bestimmten Benutzer dasselbe `NameID`-Element sendet. Stellen Sie sicher, dass Ihre IAM-Richtlinie eine Bedingung enthält, um ausschließlichen SAML-Anfragen mit dem SAML sub\_type `persistent` zuzulassen, wie in [Erstellen einer IAM-Rolle für den SAML-2.0-Verbund](https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-setting-up-saml.html#external-identity-providers-grantperms) beschrieben.
+ **`Attribute`-Element mit dem `Name`-Attribut `https://aws.amazon.com/SAML/Attributes/Role`** – Dieses Element enthält ein oder mehrere `AttributeValue`-Elemente, die die IAM-Rollen und den SAML IdP auflisten, denen der Benutzer durch Ihren IdP zugeordnet ist. Die Rolle und der IdP werden als kommagetrenntes Paar von angegeben. ARNs Ein Beispiel für den erwarteten Wert ist `arn:aws:iam::ACCOUNTNUMBER:role/ROLENAME,arn:aws:iam::ACCOUNTNUMBER:saml-provider/PROVIDERNAME`.
+ **`Attribute`Element, bei dem das `Name` Attribut auf gesetzt** ist `https://aws.amazon.com/SAML/Attributes/RoleSessionName` — Dieses Element enthält ein `AttributeValue` Element, das eine Kennung für die AWS temporären Anmeldeinformationen bereitstellt, die für SSO ausgestellt werden. Der Wert des `AttributeValue`-Elements muss zwischen 2 und 64 Zeichen lang sein und darf nur alphanumerische Zeichen, Unterstriche und die folgenden Zeichen enthalten: **\_ . : / = \+ - @**. Leerzeichen dürfen nicht enthalten sein. Der Wert ist in der Regel eine E-Mail-Adresse oder ein User Principle Name (UPN). Er sollte kein Wert mit einem Leerzeichen (z. B. der Anzeigename eines Benutzers) sein.
+ **`Attribute`-Element, bei dem das `Name`-Attribut `https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email` ist** – Dieses Element enthält ein `AttributeValue`-Element, das die E-Mail-Adresse des/der Benutzer:in angibt. Der Wert muss mit der WorkSpaces Benutzer-E-Mail-Adresse übereinstimmen, wie sie im WorkSpaces Verzeichnis definiert ist. Tag-Werte können Kombinationen aus Buchstaben, Zahlen, Leerzeichen sein und die folgenden Zeichen enthalten: **\_ . : / = \+ - @** Weitere Informationen finden Sie unter [Regeln zum Markieren in IAM und AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules) im *IAM-Benutzerhandbuch*.
+ **`Attribute`-Element, bei dem das `Name`-Attribut `https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName` ist (optional)** – Dieses Element enthält ein `AttributeValue`-Element, das die Active-Directory-`userPrincipalName` für den Benutzer bereitstellt, der sich anmeldet. Das Format des von Ihnen angegebenen Wertes muss `username@domain.com` sein. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung als alternativer Name des Subjekts im Endbenutzerzertifikat verwendet. Weitere Informationen finden Sie unter „Zertifikatbasierte Authentifizierung“.
+ **`Attribute`-Element, bei dem das `Name`-Attribut `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid` ist (optional)** – Dieses Element enthält ein `AttributeValue`-Element, das die Active-Directory-SID (Security Identifier) für den/die Benutzer:in bereitstellt, der/die sich anmeldet. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung verwendet, um eine sichere Zuordnung zu Active-Directory-Benutzern zu ermöglichen. Weitere Informationen finden Sie unter „Zertifikatbasierte Authentifizierung“.
+ **`Attribute`-Element, bei dem das `Name`-Attribut `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ClientUserName` ist (optional)** – Dieses Element enthält ein `AttributeValue`-Element, das ein alternatives Benutzernamenformat bereitstellt. Verwenden Sie dieses Attribut, wenn Sie Anwendungsfälle haben, in denen Benutzernamenformate wie `corp\username``corp.example.com\username`, oder `username@corp.example.com` die Anmeldung über den WorkSpaces Client erforderlich sind. Tag-Schlüssel und -Werte können eine beliebige Kombination aus Buchstaben, Zahlen, Leerzeichen sein und die Zeichen **\_ : / . \+ = @ -** enthalten. Weitere Informationen finden Sie unter [Regeln zum Markieren in IAM und AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules) im *IAM-Benutzerhandbuch*. Ersetzen Sie**\\** in der SAML-Assertion durch**/**, um `corp\username`- oder `corp.example.com\username`-Formate anzugeben.
+ **`Attribute`Element, bei dem das `Name` Attribut auf https://aws.amazon.com/SAML/ Attributes/:Domain gesetzt ist PrincipalTag (optional) —** Dieses Element enthält ein Element`AttributeValue`, das den vollqualifizierten DNS-Domänennamen (FQDN) für Benutzer bereitstellt, die sich anmelden. Dieser Parameter wird bei der zertifikatbasierten Authentifizierung verwendet, wenn die Active-Directory-`userPrincipalName` für die Benutzer ein alternatives Suffix enthält. Der Wert muss in der `domain.com` angegeben werden, einschließlich aller Unterdomains.
+ **`Attribute`Element, bei dem das `Name` Attribut auf https://aws.amazon.com/SAML/ Attributes/ gesetzt ist SessionDuration (optional)** — Dieses Element enthält ein `AttributeValue` Element, das angibt, wie lange eine föderierte Streaming-Sitzung für einen Benutzer maximal aktiv bleiben kann, bevor eine erneute Authentifizierung erforderlich ist. Der Standardwert liegt bei 3600 Sekunden (60 Minuten). Weitere Informationen finden Sie unter [SAML `SessionDurationAttribute`](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration). 
**Anmerkung**  
Auch wenn es sich bei `SessionDuration` um ein optionales Attribut handelt, wird empfohlen, es in die SAML-Antwort aufzunehmen. Wenn Sie dieses Attribut nicht angeben, wird die Sitzungsdauer auf einen Standardwert von 3600 Sekunden (60 Minuten) festgelegt. WorkSpaces Desktop-Sitzungen werden nach Ablauf ihrer Sitzungsdauer getrennt.

Weitere Informationen über die Konfiguration dieser Elemente finden Sie unter [Konfigurieren von SAML-Zusicherungen für die Authentifizierungsantwort](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) im *IAM-Benutzerhandbuch*. Weitere Informationen zu spezifischen Konfigurationsanforderungen für Ihren IdP finden Sie in der Dokumentation zu Ihrem IdP.

## Schritt 6: Konfigurieren des Relay-Status für den Verbund
<a name="configure-relay-state"></a>

Verwenden Sie als Nächstes Ihren IdP, um den Relay-Status Ihres Verbunds so zu konfigurieren, dass er auf die WorkSpaces Directory-Relay-Status-URL verweist. Nach erfolgreicher Authentifizierung von AWS wird der Benutzer zum WorkSpaces Verzeichnisendpunkt weitergeleitet, der in der SAML-Authentifizierungsantwort als Relay-Status definiert ist.

Der Relay-Status-URL hat das folgende Format:

```
https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code
```

Konstruieren Sie Ihre Relay-State-URL aus Ihrem WorkSpaces Verzeichnisregistrierungscode und dem Relay-State-Endpunkt, der der Region zugeordnet ist, in der sich Ihr Verzeichnis befindet. Den Registrierungscode finden Sie in der WorkSpaces Managementkonsole.

Wenn Sie die regionsübergreifende Umleitung für verwenden WorkSpaces, können Sie den Registrierungscode optional durch den vollqualifizierten Domainnamen (FQDN) ersetzen, der Verzeichnissen in Ihren primären Regionen und in Ihren Failover-Regionen zugeordnet ist. Weitere Informationen finden Sie unter [Regionalübergreifende Umleitung für Amazon](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html). WorkSpaces Wenn Sie die regionsübergreifende Umleitung und die SAML-2.0-Authentifizierung verwenden, müssen sowohl das Primär- als auch das Failover-Verzeichnis für die SAML-2.0-Authentifizierung aktiviert und unabhängig voneinander mit dem IdP konfiguriert werden, wobei der Relay-Status-Endpunkt verwendet wird, der jeder Region zugeordnet ist. Auf diese Weise kann der FQDN korrekt konfiguriert werden, wenn Benutzer ihre WorkSpaces Client-Anwendungen vor der Anmeldung registrieren, und Benutzer können sich während eines Failover-Ereignisses authentifizieren.

In der folgenden Tabelle sind die Relay-State-Endpunkte für die Regionen aufgeführt, in denen die WorkSpaces SAML 2.0-Authentifizierung verfügbar ist.


**Regionen, in denen die WorkSpaces SAML 2.0-Authentifizierung verfügbar ist**  

| Region | RelayState-Endpunkt | 
| --- | --- | 
| Region USA Ost (Nord-Virginia) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/setting-up-saml.html) | 
| Region USA West (Oregon) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/setting-up-saml.html) | 
| Region Afrika (Kapstadt) | workspaces.euc-sso.af-south-1.aws.amazon.com | 
| Region Asien-Pazifik (Mumbai) | workspaces.euc-sso.ap-south-1.aws.amazon.com | 
| Region Asien-Pazifik (Seoul) | workspaces.euc-sso.ap-northeast-2.aws.amazon.com | 
| Region Asien-Pazifik (Singapur) | workspaces.euc-sso.ap-southeast-1.aws.amazon.com | 
| Region Asien-Pazifik (Sydney) | workspaces.euc-sso.ap-southeast-2.aws.amazon.com | 
| Region Asien-Pazifik (Tokio) | workspaces.euc-sso.ap-northeast-1.aws.amazon.com | 
| Region Kanada (Zentral) | workspaces.euc-sso.ca-central-1.aws.amazon.com | 
| Region Europa (Frankfurt) | workspaces.euc-sso.eu-central-1.aws.amazon.com | 
| Region Europa (Irland) | workspaces.euc-sso.eu-west-1.aws.amazon.com | 
| Region Europa (London) | workspaces.euc-sso.eu-west-2.aws.amazon.com | 
| Region Südamerika (São Paulo) | workspaces.euc-sso.sa-east-1.aws.amazon.com | 
| Region Israel (Tel Aviv) | workspaces.euc-sso.il-central-1.aws.amazon.com | 
| AWS GovCloud (US-West) |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/setting-up-saml.html)  Weitere Informationen zu finden Sie unter [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html) im *Benutzerhandbuch AWS GovCloud (USA)*.   | 
| AWS GovCloud (USA-Ost) |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/setting-up-saml.html)  Weitere Informationen zu finden Sie unter [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html) im *Benutzerhandbuch AWS GovCloud (USA)*.   | 

Bei einem vom Identitätsanbieter (IdP) initiierten Flow können Sie den Client angeben, den Sie für den SAML 2.0-Verbund verwenden möchten. Geben Sie dazu entweder `native` oder `web` am Ende der Relay-Status-URL danach an. `&client=` Wenn der Parameter in einer Relay-State-URL angegeben ist, werden die entsprechenden Sitzungen automatisch auf dem angegebenen Client gestartet.

## Schritt 7: Aktivieren Sie die Integration mit SAML 2.0 in Ihrem Verzeichnis WorkSpaces
<a name="enable-integration-saml"></a>

Sie können die WorkSpaces Konsole verwenden, um die SAML 2.0-Authentifizierung für das WorkSpaces Verzeichnis zu aktivieren.

**So aktivieren Sie die Integration mit SAML 2.0**

1. Öffnen Sie die WorkSpaces Konsole unter [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Wählen Sie im Navigationsbereich **Verzeichnisse** aus.

1. Wählen Sie die Verzeichnis-ID für Ihre. WorkSpaces

1. Wählen Sie unter **Authentifizierung** die Option **Bearbeiten** aus.

1. Wählen Sie **SAML-2.0-Identitätsanbieter bearbeiten** aus.

1. Aktivieren Sie das Kontrollkästchen **SAML-2.0-Authentifizierung aktivieren**.

1. Geben Sie für die **Benutzerzugriffs-URL** und **Name des IdP-Deep-Link-Parameters** Werte ein, die für Ihren IdP und die Anwendung gelten, die Sie in Schritt 1 konfiguriert haben. Der Standardwert für den IdP-Deep-Link-Parameternamen ist „RelayState„, wenn Sie diesen Parameter weglassen. In der folgenden Tabelle sind URLs und Parameternamen für den Benutzerzugriff aufgeführt, die für verschiedene Identitätsanbieter für Anwendungen eindeutig sind.   
**Domains und IP-Adressen, die der Zulassungsliste hinzugefügt werden sollten**    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/workspaces/latest/adminguide/setting-up-saml.html)

   Die Benutzerzugriffs-URL wird normalerweise vom Anbieter für unaufgefordertes, vom IdP initiiertes SSO definiert. Ein Benutzer kann diese URL in einen Webbrowser eingeben, um sich direkt mit der SAML-Anwendung zu verbinden. Wählen Sie **Testen** aus, um die Benutzerzugriffs-URL und die Parameterwerte für Ihren IdP zu testen. Kopieren Sie die Test-URL und fügen Sie sie in ein privates Fenster in Ihrem aktuellen Browser oder einem anderen Browser ein, um die SAML 2.0-Anmeldung zu testen, ohne Ihre aktuelle AWS Verwaltungskonsolensitzung zu unterbrechen. Wenn der vom IDP initiierte Flow geöffnet wird, können Sie Ihren WorkSpaces Client registrieren. Weitere Informationen finden Sie unter [Vom Identitätsanbieter (IdP) initiierter Flow](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html).

1. Aktivieren oder deaktivieren Sie die Option **Anmeldung für Clients zulassen, die SAML 2.0 nicht unterstützen**, um die Fallback-Einstellungen zu verwalten. Aktivieren Sie diese Einstellung, um Ihren Benutzern weiterhin Zugriff auf die WorkSpaces Verwendung von Clienttypen oder Versionen zu gewähren, die SAML 2.0 nicht unterstützen, oder wenn Benutzer Zeit für ein Upgrade auf die neueste Client-Version benötigen.
**Anmerkung**  
Diese Einstellung ermöglicht es Benutzern, SAML 2.0 zu umgehen und sich mithilfe der Verzeichnisauthentifizierung mit älteren Client-Versionen anzumelden.

1. Aktivieren Sie Web Access, um SAML mit dem Webclient zu verwenden. Weitere Informationen finden Sie unter [Amazon WorkSpaces Web Access aktivieren und konfigurieren](https://docs.aws.amazon.com/workspaces/latest/adminguide/web-access.html).
**Anmerkung**  
PCoIP mit SAML wird von Web Access nicht unterstützt.

1. Wählen Sie **Speichern**. Ihr WorkSpaces Verzeichnis ist jetzt mit der SAML 2.0-Integration aktiviert. Sie können die IdP-initiierten und die von Client-Anwendungen initiierten Flows verwenden, um WorkSpaces Client-Anwendungen zu registrieren und sich anzumelden. WorkSpaces