Configurar SAML 2.0 y crear un directorio de WorkSpaces grupos - Amazon WorkSpaces

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar SAML 2.0 y crear un directorio de WorkSpaces grupos

Puede habilitar el registro de las aplicaciones WorkSpaces cliente y el inicio de sesión WorkSpaces en un WorkSpaces grupo configurando la federación de identidades mediante la SAML versión 2.0. Para ello, utiliza un AWS Identity and Access Management (IAM) y un estado de retransmisión URL para configurar su proveedor de identidades (IdP) SAML 2.0 y habilitarlo para AWS. Esto otorga a sus usuarios federados acceso a un directorio de WorkSpace grupos. El estado de retransmisión es el punto final del WorkSpaces directorio al que se redirige a los usuarios tras iniciar sesión correctamente AWS.

Paso 1: Tenga en cuenta los requisitos

Al configurar un directorio de WorkSpaces grupos, se aplican SAML los siguientes requisitos.

  • El DefaultRole IAM rol workspaces_ debe existir en su AWS account. Este rol se crea automáticamente cuando se utiliza la Configuración WorkSpaces rápida o si anteriormente se ha iniciado uno con el WorkSpace AWS Management Console. Otorga a Amazon WorkSpaces permiso para acceder a áreas específicas AWS recursos en tu nombre. Si el rol ya existe, es posible que tengas que adjuntarle la política AmazonWorkSpacesPoolServiceAccess gestionada, que Amazon WorkSpaces utiliza para acceder a los recursos necesarios en el AWS tener en cuenta los WorkSpaces grupos. Para obtener más información, consulte Cree el rol workspaces_ DefaultRole y AWS política gestionada: AmazonWorkSpacesPoolServiceAccess.

  • Puede configurar la autenticación SAML 2.0 para los WorkSpaces grupos en Regiones de AWS que admitan la función. Para obtener más información, consulte Regiones de AWS y zonas de disponibilidad para WorkSpaces piscinas.

  • Para utilizar la autenticación SAML 2.0 WorkSpaces, el IdP debe admitir un IdP no solicitado iniciado SSO con un recurso de destino de enlace profundo o un punto final de estado de retransmisión. URL Algunos ejemplos IdPs que lo respaldan son Azure ADADFS, Duo Single Sign-On, Okta y. PingFederate PingOne Para obtener más información, consulte la documentación de su IdP.

  • SAMLLa autenticación 2.0 solo se admite en los siguientes clientes. WorkSpaces Para ver los WorkSpaces clientes más recientes, consulta la página de descargas de Amazon WorkSpaces Client.

    • Aplicación cliente para Windows, versión 5.20.0 o posterior

    • Cliente macOS versión 5.20.0 o posterior

    • Acceso web

Paso 2: Completar los requisitos previos

Complete los siguientes requisitos previos antes de configurar su conexión de IdP SAML 2.0 a WorkSpaces un directorio de grupos.

  • Configure su IdP para establecer una relación de confianza con AWS.

  • Consulte Integrar proveedores de SAML soluciones de terceros con AWSpara obtener más información sobre la configuración AWS federación. Los ejemplos relevantes incluyen la integración del IdP con IAM para acceder al AWS Management Console.

  • Use su IdP para generar y descargar un documento de metadatos de federación que describa su organización como proveedor de identidades. Este XML documento firmado se utiliza para establecer la confianza de la parte que confía. Guarde este archivo en una ubicación a la que pueda acceder desde la IAM consola más adelante.

  • Cree un WorkSpaces directorio de grupos mediante la WorkSpaces consola. Para obtener más información, consulte Uso de Active Directory con WorkSpaces grupos.

  • Cree un WorkSpaces grupo para los usuarios que puedan iniciar sesión en el IdP mediante un tipo de directorio compatible. Para obtener más información, consulte Crear una WorkSpaces piscina.

Paso 3: Cree un proveedor de SAML identidad en IAM

Para empezar, debe crear un SAML IdP en. IAM Este IdP define el IdP a- de su organización AWS relación de confianza mediante el documento de metadatos generado por el software IdP de su organización. Para obtener más información, consulte Crear y administrar un proveedor de SAML identidades en la AWS Identity and Access Management Guía del usuario. Para obtener información sobre cómo trabajar SAML IdPs con AWS GovCloud (US) Regions, consulte AWS Identity and Access Management en la AWS GovCloud (US) Guía del usuario.

Paso 4: Crear el directorio de la WorkSpace piscina

Complete el siguiente procedimiento para crear un directorio WorkSpaces de grupos.

  1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. Seleccione Directorios en el panel de navegación.

  3. Elija Create directory.

  4. Para el WorkSpace tipo, elija Pool.

  5. En la sección Fuente de identidad del usuario de la página:

    1. Introduzca un valor de marcador de posición en el cuadro de URL texto de acceso de usuario. Por ejemplo, introdúzcalo placeholder en el cuadro de texto. Lo editará más adelante, después de configurar los derechos de solicitud en su IdP.

    2. Deje en blanco el cuadro de texto del nombre del parámetro del estado de retransmisión. Lo editará más adelante, después de configurar los derechos de solicitud en su IdP.

  6. En la sección de información del directorio de la página, introduzca un nombre y una descripción para el directorio. El nombre y la descripción del directorio deben tener menos de 128 caracteres, pueden contener caracteres alfanuméricos y los siguientes caracteres especiales:_ @ # % * + = : ? . / ! \ -. El nombre y la descripción del directorio no pueden empezar por un carácter especial.

  7. En la sección Redes y seguridad de la página:

    1. Elija una VPC y dos subredes que tengan acceso a los recursos de red que necesita su aplicación. Para aumentar la tolerancia a los errores, debe elegir dos subredes en distintas zonas de disponibilidad.

    2. Elija un grupo de seguridad que permita WorkSpaces crear enlaces de red en suVPC. Los grupos de seguridad controlan el tráfico de red desde el que se permite que fluya WorkSpaces hacia ustedVPC. Por ejemplo, si su grupo de seguridad restringe todas las HTTPS conexiones entrantes, los usuarios que accedan a su portal web no podrán cargar HTTPS sitios web desde él. WorkSpaces

  8. La sección Config de Active Directory es opcional. Sin embargo, si planea usar un AD con sus WorkSpaces grupos, debe especificar los detalles de Active Directory (AD) durante la creación del directorio de WorkSpaces grupos. No puede editar la configuración de Active Directory para el directorio de WorkSpaces grupos después de crearla. Para obtener más información sobre cómo especificar los detalles de AD para el WorkSpaces directorio de grupos, consulteEspecifique los detalles de Active Directory para el directorio de WorkSpaces grupos. Tras completar el proceso descrito en ese tema, debería volver a él para terminar de crear el directorio de WorkSpaces grupos.

    Puede omitir la sección Config de Active Directory si no planea usar un AD con sus WorkSpaces grupos.

  9. En la sección de propiedades de streaming de la página:

    • Elija el comportamiento de los permisos del portapapeles e introduzca una copia en el límite de caracteres local (opcional) y péguela en el límite de caracteres de la sesión remota (opcional).

    • Elija permitir o no permitir la impresión en el dispositivo local.

    • Elija permitir o no permitir el registro de diagnósticos.

    • Elija permitir o no permitir el inicio de sesión con tarjeta inteligente. Esta función solo se aplica si habilitó la configuración de AD anteriormente en este procedimiento.

  10. En la sección Almacenamiento de la página, puede optar por habilitar las carpetas principales.

  11. En la sección de IAM roles de la página, elige un IAM rol para que esté disponible para todas las instancias de streaming de escritorio. Para crear uno nuevo, selecciona Crear un nuevo IAM rol.

    Cuando aplicas un IAM rol de tu cuenta a un WorkSpace directorio de grupos, puedes crear AWS APIsolicitudes desde un WorkSpace miembro del WorkSpace grupo sin administrarlas manualmente AWS credenciales. Para obtener más información, consulte Crear un rol para delegar permisos a un IAM usuario en AWS Identity and Access Management Guía del usuario.

  12. Elija Create directory.

Paso 5: Crear un IAM rol de federación SAML 2.0

Complete el siguiente procedimiento para crear un IAM rol de federación SAML 2.0 en la IAM consola.

  1. Abra la IAM consola en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles en el panel de navegación.

  3. Elija Crear rol.

  4. Elija la federación SAML 2.0 como tipo de entidad de confianza.

  5. Para el proveedor SAML basado en 2.0, elige el proveedor de identidades en IAM el que lo creaste. Para obtener más información, consulte Crear un proveedor de SAML identidad en IAM.

  6. Seleccione Permitir el acceso solo mediante programación para permitir el acceso.

  7. Elija: AUD SAML para el atributo.

  8. En Valor, introduzca https://signin.aws.amazon.com/saml. Este valor restringe el acceso de los roles a las solicitudes SAML de streaming de los usuarios que incluyen una afirmación de tipo de SAML asunto con un valor de. persistent Si el:sub_type SAML es persistente, su IdP envía el mismo valor único para el elemento NameID en todas las solicitudes de un usuario en particular. SAML Para obtener más información, consulte Identificar de forma exclusiva a los usuarios en una federación basada en SAML AWS Identity and Access Management Guía del usuario.

  9. Elija Siguiente para continuar.

  10. No realices cambios ni selecciones en la página Añadir permisos. Elija Siguiente para continuar.

  11. Introduzca un nombre y una descripción para el rol.

  12. Elija Crear rol.

  13. En la página Funciones, elija la función que debe crear.

  14. Seleccione la pestaña Relaciones de confianza.

  15. Elija Editar la política de confianza.

  16. En el cuadro de JSON texto Editar política de confianza, añada la TagSession acción sts: a la política de confianza. Para obtener más información, consulte Pasar etiquetas de sesión en AWS STS en AWS Identity and Access Management Guía del usuario.

    El resultado debe ser similar al siguiente ejemplo:

    Un ejemplo de política de confianza.
  17. Elija Actualizar política.

  18. Elija la pestaña Permisos.

  19. En la sección Políticas de permisos de la página, selecciona Añadir permisos y, a continuación, selecciona Crear política integrada.

  20. En la sección del editor de políticas de la página, selecciona JSON.

  21. En el cuadro de JSON texto del editor de políticas, introduzca la siguiente política. Asegúrese de reemplazar:

    • <region-code> con el código del AWS Región en la que creó el directorio de su WorkSpace piscina.

    • <account-id> con el AWS ID de cuenta.

    • <directory-id> con el ID del directorio que creó anteriormente. Puede obtenerlo en la WorkSpaces consola.

    Para obtener recursos en AWS GovCloud (US) Regions, utilice el siguiente formato paraARN:arn:aws-us-gov:workspaces:<region-code>:<account-id>:directory/<directory-id>.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "workspaces:Stream", "Resource": "arn:aws:workspaces:<region-code>:<account-id>:directory/<directory-id>", "Condition": { "StringEquals": {"workspaces:userId": "${saml:sub}"} } } ] }
  22. Elija Next (Siguiente).

  23. Escriba un nombre para la política y elija Create policy (Crear política).

Paso 6: Configure su proveedor de identidad SAML 2.0

Según tu IdP SAML 2.0, es posible que tengas que actualizar manualmente tu IdP para que sea confiable AWS como proveedor de servicios. Para ello, descargue el saml-metadata.xml archivo que se encuentra en https://signin.aws.amazon.com/static/saml-metadata.xml y, a continuación, cárguelo en su IdP. Esto actualiza los metadatos de tu IdP.

En algunos casos IdPs, es posible que la actualización ya esté configurada. Puedes saltarte este paso si ya está configurado. Si la actualización aún no está configurada en su IdP, consulte la documentación proporcionada por su IdP para obtener información sobre cómo actualizar los metadatos. Algunos proveedores le dan la opción de escribir el XML archivo en su panel URL de control, y el IdP obtiene e instala el archivo por usted. Otros requieren que descargues el archivo desde el panel de control URL y, después, lo subas a su panel de control.

importante

En este momento, también puede autorizar a los usuarios de su IdP a acceder a la WorkSpaces aplicación que ha configurado en su IdP. A los usuarios que están autorizados a acceder a la WorkSpaces aplicación de su directorio no se les WorkSpace crea automáticamente una. Del mismo modo, los usuarios que hayan WorkSpace creado una para ellos no están autorizados automáticamente a acceder a la WorkSpaces aplicación. Para conectarse correctamente a una autenticación WorkSpace mediante la autenticación SAML 2.0, un usuario debe estar autorizado por el IdP y debe haber creado un WorkSpace .

Paso 7: Crear aserciones para la respuesta de autenticación SAML

Configure la información que su IdP envía a AWS como SAML atributos en su respuesta de autenticación. Según su IdP, es posible que ya esté configurado. Puede omitir este paso si ya está configurado. Si aún no está configurado, proporciona lo siguiente:

  • SAMLSubject NameID: el identificador único del usuario que inicia sesión. No cambies el formato o el valor de este campo. De lo contrario, la función de carpeta principal no funcionará como se esperaba porque el usuario será tratado como un usuario diferente.

    nota

    En el caso de los WorkSpaces grupos unidos a un dominio, el NameID valor para el usuario debe proporcionarse en el domain\username formato que utilice elsAMAccountName, o en el username@domain.com formato que utiliceuserPrincipalName, o simplemente. userName Si utiliza este sAMAccountName formato, puede especificar el dominio mediante el nombre de red o el BIOS nombre de dominio completo ()FQDN. El sAMAccountName formato es obligatorio para los escenarios de confianza unidireccional de Active Directory. Para obtener más información, consulteUso de Active Directory con WorkSpaces grupos. Si solo userName se proporciona, el usuario iniciará sesión en el dominio principal

  • SAMLTipo de asunto (con un valor establecido enpersistent): establecer el valor para persistent garantizar que su IdP envíe el mismo valor único para el NameID elemento en todas las SAML solicitudes de un usuario en particular. Asegúrese de que su IAM política incluya una condición para permitir solo SAML las solicitudes con un valor SAML sub_type establecido en 1persistent, tal y como se describe en la Paso 5: Crear un IAM rol de federación SAML 2.0 sección.

  • Attributeelemento con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/Role: este elemento contiene uno o más AttributeValue elementos que enumeran el rol IAM y el IdP a los que el SAML IdP asigna al usuario. El rol y el IdP se especifican como un par delimitado por comas de. ARNs Un ejemplo del valor esperado es arn:aws:iam::<account-id>:role/<role-name>,arn:aws:iam::<account-id>:saml-provider/<provider-name>.

  • Attributeelemento con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/ RoleSessionName: este elemento contiene un AttributeValue elemento que proporciona un identificador para AWS credenciales temporales emitidas para. SSO El valor del AttributeValue elemento debe tener entre 2 y 64 caracteres, puede contener caracteres alfanuméricos y los siguientes caracteres especiales:_ . : / = + - @. No puede contener espacios. El valor suele ser una dirección de correo electrónico o un nombre principal de usuario (UPN). No debe ser un valor que contenga un espacio, como el nombre visible de un usuario.

  • Attributeelemento con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/:EmailPrincipalTag: este elemento contiene un elemento AttributeValue que proporciona la dirección de correo electrónico del usuario. El valor debe coincidir con la dirección de correo electrónico WorkSpaces del usuario definida en el directorio. WorkSpaces Los valores de las etiquetas pueden incluir combinaciones de letras, números, espacios y _ . : / = + - @ caracteres. Para obtener más información, consulte Reglas para etiquetar en IAM y AWS STS en la AWS Identity and Access Management Guía del usuario.

  • AttributeElemento (opcional) con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/PrincipalTag: UserPrincipalName — Este elemento contiene un AttributeValue elemento que proporciona Active Directory al userPrincipalName usuario que inicia sesión. El valor debe proporcionarse en el username@domain.com formato. Este parámetro se usa con la autenticación basada en certificados como nombre alternativo del sujeto en el certificado del usuario final. Para obtener más información, consulte Autenticación basada en certificados y personal WorkSpaces .

  • AttributeElemento (opcional) con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/PrincipalTag: ObjectSid (opcional): este elemento contiene un AttributeValue elemento que proporciona el identificador de seguridad de Active Directory (SID) para el usuario que inicia sesión. Este parámetro se usa con la autenticación basada en certificados para permitir una asignación firme con el usuario de Active Directory. Para obtener más información, consulte Autenticación basada en certificados y personal WorkSpaces .

  • AttributeElemento (opcional) con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/:DomainPrincipalTag: este elemento contiene un elemento AttributeValue que proporciona el nombre de DNS dominio completo de Active Directory () para que los usuarios inicien sesión. FQDN Este parámetro se usa con la autenticación basada en certificados cuando el userPrincipalName de Active Directory del usuario contiene un sufijo alternativo. El valor debe proporcionarse en el domain.com formato y debe incluir todos los subdominios.

  • AttributeElemento (opcional) con el Name atributo establecido en https://aws.amazon.com/SAML/ Attributes/ SessionDuration: este elemento contiene un AttributeValue elemento que especifica el tiempo máximo que una sesión de streaming federada de un usuario puede permanecer activa antes de que sea necesario volver a autenticarse. El valor predeterminado es 3600 segundos (60 minutos). Para obtener más información, consulte SAML SessionDurationAttributela AWS Identity and Access Management Guía del usuario.

    nota

    Aunque SessionDuration es un atributo opcional, le recomendamos que lo incluya en la SAML respuesta. Si no especifica este atributo, la duración de la sesión se establece en un valor predeterminado de 3600 segundos (60 minutos). WorkSpaces las sesiones de escritorio se desconectan una vez expirada la duración de la sesión.

Para obtener más información sobre cómo configurar estos elementos, consulte Configuración de SAML aserciones para la respuesta de autenticación en el AWS Identity and Access Management Guía del usuario. Para obtener información sobre los requisitos de configuración específicos de su IdP, consulte la documentación de su IdP.

Paso 8: Configura el estado de retransmisión de tu federación

Utilice su IdP para configurar el estado de retransmisión de su federación para que apunte al estado de retransmisión del directorio del WorkSpaces grupo. URL Tras una autenticación correcta mediante AWS, se dirige al usuario al punto final del directorio WorkSpaces Pool, definido como el estado de retransmisión en la respuesta de SAML autenticación.

El siguiente es el URL formato del estado de retransmisión:

https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code

En la siguiente tabla se enumeran los puntos finales del estado de la retransmisión para AWS Regiones en las que está disponible la autenticación WorkSpaces SAML 2.0. AWS Se han eliminado las regiones en las que la función de WorkSpaces grupos no está disponible.

Región Punto de conexión del estado de retransmisión
Región del este de EE. UU. (Norte de Virginia) workspaces.euc-sso.us-east-1.aws.amazon.com
Región del oeste de EE. UU (Oregón) workspaces.euc-sso.us-west-2.aws.amazon.com
Región de Asia-Pacífico (Bombay) workspaces.euc-sso.ap-south-1.aws.amazon.com
Región de Asia-Pacífico (Seúl) workspaces.euc-sso.ap-northeast-2.aws.amazon.com
Región de Asia-Pacífico (Singapur) workspaces.euc-sso.ap-southeast-1.aws.amazon.com
Región de Asia-Pacífico (Sídney) workspaces.euc-sso.ap-southeast-1.aws.amazon.com
Asia Pacífico (Tokio) workspaces.euc-sso.ap-northeast-2.aws.amazon.com
Región de Canadá (centro) workspaces.euc-sso.us-east-1.aws.amazon.com
Región de Europa (Fráncfort) workspaces.euc-sso.eu-central-1.aws.amazon.com
Región de Europa (Irlanda) workspaces.euc-sso.eu-west-1.aws.amazon.com
Región de Europa (Londres) workspaces.euc-sso.eu-west-1.aws.amazon.com
Región de América del Sur (São Paulo) workspaces.euc-sso.sa-east-1.aws.amazon.com
AWS GovCloud (EE. UU.-Oeste) workspaces.euc-sso. us-gov-west-1. amazonaws-us-gov.com
nota

Para obtener información sobre cómo trabajar SAML IdPs con AWS GovCloud (US) Regions, consulte Amazon WorkSpaces en la AWS GovCloud Guía del usuario (EE. UU.).

AWS GovCloud (Este de EE. UU.) workspaces.euc-sso. us-gov-east-1. amazonaws-us-gov.com
nota

Para obtener información sobre cómo trabajar SAML IdPs con AWS GovCloud (US) Regions, consulte Amazon WorkSpaces en la AWS GovCloud Guía del usuario (EE. UU.).

Paso 9: Habilite la integración con la SAML versión 2.0 en el directorio de su WorkSpace grupo

Complete el siguiente procedimiento para habilitar la autenticación SAML 2.0 en el directorio del WorkSpaces grupo.

  1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. Seleccione Directorios en el panel de navegación.

  3. Seleccione la pestaña de directorios de grupos.

  4. Elija el ID del directorio que desea editar.

  5. Elija Editar en la sección de autenticación de la página.

  6. Elija Editar proveedor de identidad SAML 2.0.

  7. Para el acceso de usuario URL, que a veces se conoce como SSO URL «», sustituya el valor del marcador de posición por el que le SSO URL proporciona su IdP.

  8. Para el nombre del parámetro de enlace profundo del IdP, introduzca el parámetro que se aplique a su IdP y a la aplicación que ha configurado. El valor predeterminado es RelayState si omite el nombre del parámetro.

    En la siguiente tabla se enumeran los nombres de los parámetros de acceso de usuario URLs y de enlace directo que son exclusivos de los distintos proveedores de identidad de las aplicaciones.

    Proveedor de identidades Parámetro Acceso de usuario URL
    ADFS RelayState https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>
    Azure AD RelayState https://myapps.microsoft.com/signin/<app-id>?tenantId=<tenant-id>
    Duo Single Sign-On RelayState https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app-id>/sso
    Okta RelayState https://<sub-domain>.okta.com/app/<app-name>/<app-id>/sso/saml
    OneLogin RelayState https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>
    JumpCloud RelayState https://sso.jumpcloud.com/saml2/<app-id>
    Auth0 RelayState https://<default-tenant-name>.us.auth0.com/samlp/<client-id>
    PingFederate TargetResource https://<host>/idp/startSSO.ping?PartnerSpId=<sp-id>
    PingOne para Enterprise TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app-id>&idpid=<idp-id>
  9. Seleccione Guardar.