

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configurar SAML 2.0 y crear un directorio de WorkSpaces grupos
<a name="create-directory-pools"></a>

Puede habilitar el registro de las aplicaciones WorkSpaces cliente y el inicio de sesión WorkSpaces en un WorkSpaces grupo configurando la federación de identidades mediante SAML 2.0. Para ello, utilice un rol de AWS Identity and Access Management (IAM) y una URL de estado de retransmisión para configurar el proveedor de identidades (IdP) de SAML 2.0 y habilitarlo para AWS. Esto otorga a los usuarios federados acceso a un directorio de grupos WorkSpace . El estado de retransmisión es el punto final del WorkSpaces directorio al que se redirige a los usuarios después de iniciar AWS sesión correctamente.

**importante**  
WorkSpaces Pools no admite configuraciones de SAML 2.0 basadas en IP.

**Topics**
+ [Paso 1: tener en cuenta los requisitos](#saml-directory-consider-the-requirements)
+ [Paso 2: Completar los requisitos previos](#saml-directory-complete-the-prereqs)
+ [Paso 3: crear un proveedor de identidades de SAML en IAM](#saml-directory-create-saml-idp)
+ [Paso 4: Crear un directorio de WorkSpace grupos](#saml-directory-create-wsp-pools-directory)
+ [Paso 5: crear un rol de IAM de federación de SAML 2.0](#saml-directory-saml-federation-role-in-iam)
+ [Paso 6: configurar el proveedor de identidades de SAML 2.0](#saml-directory-configure-saml-idp)
+ [Paso 7: crear aserciones para la respuesta de autenticación de SAML](#saml-directory-create-assertions)
+ [Paso 8: configurar el estado de retransmisión de la federación](#saml-directory-configure-relay-state)
+ [Paso 9: Habilita la integración con SAML 2.0 en el directorio de tu grupo WorkSpace](#saml-directory-enable-saml-integration)
+ [Resolución de problemas](#saml-pools-troubleshooting)
+ [Especifique los detalles de Active Directory para el directorio de WorkSpaces grupos](pools-service-account-details.md)

## Paso 1: tener en cuenta los requisitos
<a name="saml-directory-consider-the-requirements"></a>

Al configurar SAML para un directorio de grupos, se aplican los siguientes requisitos. WorkSpaces 
+ El rol workspaces\$1 DefaultRole IAM debe existir en su cuenta. AWS Este rol se crea automáticamente cuando se utiliza la configuración WorkSpaces rápida o si anteriormente se ha iniciado uno con la. WorkSpace Consola de administración de AWS Concede WorkSpaces permiso a Amazon para acceder a AWS recursos específicos en tu nombre. Si el rol ya existe, es posible que tengas que adjuntarle la política AmazonWorkSpacesPoolServiceAccess gestionada, que Amazon WorkSpaces utiliza para acceder a los recursos necesarios en la AWS cuenta de WorkSpaces Pools. Para obtener más información, consulte [Cree el rol workspaces\$1 DefaultRole](workspaces-access-control.md#create-default-role) y [AWS política gestionada: AmazonWorkSpacesPoolServiceAccess](managed-policies.md#workspaces-pools-service-access).
+ Puedes configurar la autenticación SAML 2.0 para los WorkSpaces grupos Regiones de AWS que admiten la función. Para obtener más información, consulte [Regiones de AWS y zonas de disponibilidad para WorkSpaces piscinas](wsp-pools-regions.md).
+ Para utilizar la autenticación SAML 2.0 con WorkSpaces, el IdP debe admitir el SSO iniciado por un IdP no solicitado con un recurso de destino de enlace profundo o una URL de punto final de estado de retransmisión. Algunos ejemplos IdPs que lo admiten son ADFS, Azure AD, Duo Single Sign-On, Okta y. PingFederate PingOne Para obtener más información, consulte la documentación de su IdP.
+ La autenticación SAML 2.0 solo se admite en los siguientes clientes. WorkSpaces Para ver los WorkSpaces clientes más recientes, consulta la [página de descargas de Amazon WorkSpaces Client](https://clients.amazonworkspaces.com/).
  + Aplicación cliente de Windows (versión 5.20.0 o posterior)
  + Cliente de macOS (versión 5.20.0 o posterior)
  + Acceso web

## Paso 2: Completar los requisitos previos
<a name="saml-directory-complete-the-prereqs"></a>

Complete los siguientes requisitos previos antes de configurar su conexión de IdP de SAML 2.0 a un directorio de grupos. WorkSpaces 
+ Configure el IdP para establecer una relación de confianza con AWS.
+ Consulte [Integración de proveedores de soluciones SAML de terceros AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html) para obtener más información sobre la configuración de la federación. AWS Como ejemplo pertinente se incluye la integración de IdP con IAM para obtener acceso a la Consola de administración de AWS.
+ Use su IdP para generar y descargar un documento de metadatos de federación que describa su organización como proveedor de identidades. Este documento XML firmado se utiliza para establecer la relación de confianza. Guarde este archivo en una ubicación a la que pueda acceder desde la consola de IAM en otro momento.
+ Cree un WorkSpaces directorio de grupos mediante la WorkSpaces consola. Para obtener más información, consulte [Uso de Active Directory con WorkSpaces Pools](active-directory.md).
+ Cree un WorkSpaces grupo para los usuarios que puedan iniciar sesión en el IdP mediante un tipo de directorio compatible. Para obtener más información, consulte [Creación de un grupo de WorkSpaces Pools](set-up-pools-create.md).

## Paso 3: crear un proveedor de identidades de SAML en IAM
<a name="saml-directory-create-saml-idp"></a>

Para comenzar, debe crear un proveedor de identidades (IdP) de SAML en IAM. Este IdP define la relación entre el IDP y la AWS confianza de su organización mediante el documento de metadatos generado por el software de IdP de su organización. Para obtener más información, consulte [Creación y administración de un proveedor de identidades de SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) en la *Guía del usuario de AWS Identity and Access Management *. *Para obtener información sobre cómo trabajar con SAML IdPs en AWS GovCloud (US) Regions, consulte [AWS Identity and Access Management](https://docs.aws.amazon.com//govcloud-us/latest/UserGuide/govcloud-iam.html)la Guía del usuario.AWS GovCloud (US) *

## Paso 4: Crear un directorio de WorkSpace grupos
<a name="saml-directory-create-wsp-pools-directory"></a>

Complete el siguiente procedimiento para crear un directorio WorkSpaces de grupos.

1. Abra la WorkSpaces consola en la [https://console.aws.amazon.com/workspaces/versión 2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Elija **Directorios** en el panel de navegación.

1. Elija **Create directory**.

1. **Como **WorkSpace tipo**, selecciona Pool.**

1. En la sección **Origen de identidad de usuario** de la página:

   1. Introduzca un valor de marcador de posición en el cuadro de texto **URL de acceso de usuario**. Por ejemplo, introduzca `placeholder` en el cuadro de texto. Lo editará más adelante, después de configurar los derechos de la aplicación en el IdP.

   1. Deje en blanco el cuadro de texto **Nombre del parámetro del estado de retransmisión**. Lo editará más adelante, después de configurar los derechos de la aplicación en el IdP.

1. En la sección **Información del directorio** de la página, introduzca un nombre y una descripción para el directorio. El nombre y la descripción del directorio deben tener menos de 128 caracteres y pueden incluir caracteres alfanuméricos y los siguientes caracteres especiales: `_ @ # % * + = : ? . / ! \ -`. El nombre y la descripción del directorio no pueden empezar por un carácter especial.

1. En la sección **Redes y seguridad** de la página:

   1. Elija una VPC y dos subredes con acceso a los recursos de red que necesite la aplicación. Para lograr una mayor tolerancia a errores, debe elegir dos subredes en diferentes zonas de disponibilidad.

   1. Elija un grupo de seguridad que permita WorkSpaces crear enlaces de red en su VPC. Los grupos de seguridad controlan el tráfico de red desde el que se permite que fluya hacia WorkSpaces la VPC. Por ejemplo, si tu grupo de seguridad restringe todas las conexiones HTTPS entrantes, los usuarios que accedan a tu portal web no podrán cargar sitios web HTTPS desde el. WorkSpaces

1. La sección **Configuración de Active Directory** es opcional. Sin embargo, si planea usar un AD con sus WorkSpaces grupos, debe especificar los detalles de Active Directory (AD) durante la creación del directorio WorkSpaces de grupos. No puede editar la **configuración de Active Directory** para el directorio de WorkSpaces grupos después de crearla. Para obtener más información sobre cómo especificar los detalles de AD para el WorkSpaces directorio de grupos, consulte[Especifique los detalles de Active Directory para el directorio de WorkSpaces grupos](pools-service-account-details.md). Tras completar el proceso descrito en ese tema, debería volver a él para terminar de crear el directorio de WorkSpaces grupos.

   Puede omitir la sección **Config de Active Directory** si no planea usar un AD con sus WorkSpaces grupos.

1. En la sección **Propiedades de transmisión** de la página:
   + Elija el comportamiento de los permisos del portapapeles e introduzca una copia en el límite de caracteres local (opcional) y péguela en el límite de caracteres de la sesión remota (opcional).
   + Elija si desea permitir o no la impresión en el dispositivo local.
   + Elija si desea permitir o no el registro de diagnósticos.
   + Elija si desea permitir o no el inicio de sesión con tarjeta inteligente. Esta característica solo se aplica si ha habilitado la configuración de AD anteriormente en este procedimiento.

1. En la sección **Almacenamiento** de la página, puede optar por habilitar las carpetas de inicio.

1. En la sección **Rol de IAM** de la página, seleccione un rol de IAM para que esté disponible para todas las instancias de transmisión de escritorio. Para crear uno nuevo, elija **Crear un nuevo rol de IAM**.

   Cuando aplicas una función de IAM desde tu cuenta a un directorio de WorkSpace grupos, puedes realizar solicitudes de AWS API desde un WorkSpace directorio del WorkSpace grupo sin tener que administrar AWS las credenciales manualmente. Para obtener más información, consulte [Crear un rol para delegar permisos a un usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de AWS Identity and Access Management *.

1. Elija **Create directory**.

## Paso 5: crear un rol de IAM de federación de SAML 2.0
<a name="saml-directory-saml-federation-role-in-iam"></a>

Complete el procedimiento que se indica a continuación para crear un rol de IAM de federación de SAML 2.0 en la consola de IAM.

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/secretsmanager/).

1. Seleccione **Roles** en el panel de navegación.

1. Elija Crear rol.

1. Seleccione **Federación SAML 2.0** para el tipo de entidad de confianza.

1. En el proveedor basado en SAML 2.0, elija el proveedor de identidades que ha creado en IAM. Para obtener más información, consulte [Crear un proveedor de identidades de SAML en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html?).

1. Seleccione **Permitir solo acceso mediante programación** para permitir el acceso.

1. Elija **SAML:sub\$1type** para el atributo.

1. En **Valor**, introduzca `https://signin.aws.amazon.com/saml`. Este valor restringe el acceso del rol a solicitudes de transmisión de usuario de SAML que incluyan una aserción de tipo de sujeto de SAML con un valor de `persistent`. Si SAML:sub\$1type es persistente, el IdP envía el mismo valor único para el elemento `NameID` en todas las solicitudes de SAML desde un usuario particular. Para obtener más información, consulte [Identificación única de los usuarios en la federación basada en SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-userid) en la *Guía del usuario de AWS Identity and Access Management *.

1. Elija **Siguiente** para continuar.

1. No realice cambios ni selecciones en la página **Añadir permisos**. Elija **Siguiente** para continuar.

1. Introduzca un nombre y la descripción para el rol. 

1. Elija **Crear rol**.

1. En la página **Roles**, seleccione el rol que acaba de crear.

1. Seleccione la pestaña **Relaciones de confianza**.

1. Elija **Editar la política de confianza**.

1. En el cuadro de texto JSON **Editar política de confianza**, añade la TagSession acción **sts:** a la política de confianza. Para obtener más información, consulte [Transferencia de etiquetas de sesión en AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) en la *Guía del usuario de AWS Identity and Access Management *.

   El resultado debe ser similar al siguiente ejemplo:  
![\[Un ejemplo de política de confianza.\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/images/iam-saml-federation-policy-sts-tagsession.png)

1. Elija **Actualizar política**.

1. Elija la pestaña **Permisos**.

1. En la sección **Políticas de permisos** de la página, elija **Añadir permisos** y luego **Crear política insertada**.

1. En la sección **Editor de políticas** de la página, seleccione **JSON**.

1. En el cuadro de texto JSON **Editor de políticas**, escriba la política siguiente. Asegúrese de reemplazar:
   + *<region-code>*con el código de la AWS región en la que creó el directorio de su WorkSpace grupo.
   + *<account-id>*con el ID AWS de la cuenta.
   + *<directory-id>*con el ID del directorio que creó anteriormente. Puede obtenerlo en la WorkSpaces consola.

   Para los recursos en AWS GovCloud (US) Regions, utilice el siguiente formato para el ARN:. `arn:aws-us-gov:workspaces:<region-code>:<account-id>:directory/<directory-id>`

1. Elija Siguiente.

1. Escriba un nombre para la política y elija **Create policy (Crear política)**.

## Paso 6: configurar el proveedor de identidades de SAML 2.0
<a name="saml-directory-configure-saml-idp"></a>

En función del IdP de SAML 2.0, es posible que tenga que actualizarlo manualmente para que confíe en AWS como proveedor de servicios. Para ello, descarga el `saml-metadata.xml` archivo que se encuentra en [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml) y, a continuación, lo carga en tu IdP. Esto actualiza los metadatos del IdP.

Para algunos IdPs, es posible que la actualización ya esté configurada. Puede omitir este paso si ya se ha configurado. Si la actualización aún no está configurada en el IdP, revise la documentación facilitada por este para obtener más información sobre cómo actualizar los metadatos. Algunos proveedores ofrecen la opción de escribir la URL del archivo XML en su panel, y el IdP obtiene e instala el archivo automáticamente. Otros requieren que descargue el archivo de la URL y, a continuación, lo cargue en su panel.

**importante**  
En este momento, también puede autorizar a los usuarios de su IdP a acceder a la WorkSpaces aplicación que ha configurado en su IdP. A los usuarios que están autorizados a acceder a la WorkSpaces aplicación de su directorio no se les WorkSpace crea automáticamente una. Del mismo modo, los usuarios que hayan WorkSpace creado una para ellos no están autorizados automáticamente a acceder a la WorkSpaces aplicación. Para conectarse correctamente a una autenticación WorkSpace mediante SAML 2.0, el IdP debe autorizar al usuario y tener WorkSpace un creado.

## Paso 7: crear aserciones para la respuesta de autenticación de SAML
<a name="saml-directory-create-assertions"></a>

Configure la información que su IdP envía AWS como atributos de SAML en su respuesta de autenticación. En función del IdP, es posible que ya se haya configurado. Puede omitir este paso si ya se ha configurado. Si no se ha configurado, indique lo siguiente:
+ **NameID del sujeto de SAML**: el identificador único del usuario que está iniciando sesión. No cambies la format/value parte de este campo. De lo contrario, la característica de carpeta de inicio no funcionará según lo previsto porque se tratará al usuario como un usuario diferente.
**nota**  
En el caso de los WorkSpaces grupos unidos a un dominio, el `NameID` valor para el usuario debe proporcionarse en el `domain\username` formato que utilice`sAMAccountName`, o simplemente en el `username@domain.com` formato que utilice`userPrincipalName`. `userName` Si utiliza el formato `sAMAccountName`, puede especificar el dominio con el nombre de NetBIOS o con el nombre completo del dominio (FQDN). El formato `sAMAccountName` es obligatorio para situaciones de confianza unidireccional de Active Directory. Para obtener más información, consulte [Uso de Active Directory con WorkSpaces Pools](active-directory.md). Si solo se ha proporcionado `userName`, el usuario iniciará sesión en el dominio principal.
+ **Tipo de sujeto de SAML (con un valor establecido en `persistent`)**: al establecer el valor en `persistent`, se garantiza que el IdP envíe el mismo valor único para el elemento `NameID` en todas las solicitudes de SAML de un usuario particular. Asegúrese de que la política de IAM incluya una condición para permitir solo las solicitudes de SAML con un `sub_type` de SAML configurado como `persistent`, tal y como se describe en la sección [Paso 5: crear un rol de IAM de federación de SAML 2.0](#saml-directory-saml-federation-role-in-iam).
+ **`Attribute`elemento con el `Name` atributo establecido en https://aws.amazon.com/SAML/ Attributes/Role: este elemento contiene uno o más `AttributeValue` elementos que enumeran el rol** de IAM y el IdP de SAML a los que su IdP asigna al usuario. El rol y el IdP se especifican como un par delimitado por comas de. ARNs Un ejemplo del valor esperado es `arn:aws:iam::<account-id>:role/<role-name>,arn:aws:iam::<account-id>:saml-provider/<provider-name>`.
+ **`Attribute`elemento con el `Name` atributo establecido en https://aws.amazon.com/SAML/ Attributes/ RoleSessionName**: este elemento contiene un `AttributeValue` elemento que proporciona un identificador para las credenciales AWS temporales que se emiten para el SSO. El valor del elemento `AttributeValue` debe tener entre 2 y 64 caracteres, solo puede incluir caracteres alfanuméricos y los siguientes caracteres especiales: `_ . : / = + - @`. No puede contener espacios. Normalmente, el valor es una dirección de correo electrónico o un nombre principal de un usuario (UPN). No debe ser un valor que contenga un espacio, como el nombre visible de un usuario.
+ **`Attribute`elemento con el `Name` atributo establecido en https://aws.amazon.com/SAML/ Attributes/:EmailPrincipalTag:** este elemento contiene un elemento `AttributeValue` que proporciona la dirección de correo electrónico del usuario. El valor debe coincidir con la dirección de correo electrónico WorkSpaces del usuario definida en el directorio. WorkSpaces Los valores de las etiquetas pueden incluir combinaciones de letras, números, espacios y caracteres `_ . : / = + - @`. Para obtener más información, consulte [Reglas para etiquetar en IAM y AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules) en la *Guía del usuario de AWS Identity and Access Management *.
+ **`Attribute`Elemento (opcional) con el `Name` atributo establecido en https://aws.amazon.com/SAML/ Attributes/PrincipalTag: UserPrincipalName** — Este elemento contiene un `AttributeValue` elemento que proporciona Active Directory al `userPrincipalName` usuario que inicia sesión. El valor debe proporcionarse en el formato `username@domain.com`. Este parámetro se usa con la autenticación basada en certificados como nombre alternativo del sujeto en el certificado del usuario final. Para obtener más información, consulte [Autenticación basada en certificados y personal WorkSpaces](certificate-based-authentication.md).
+ **`Attribute`Elemento (opcional) con el `Name` atributo establecido en https://aws.amazon.com/SAML/ Attributes/PrincipalTag: ObjectSid (opcional)**: este elemento contiene un `AttributeValue` elemento que proporciona el identificador de seguridad (SID) de Active Directory para el usuario que inicia sesión. Este parámetro se usa con la autenticación basada en certificados para permitir una asignación firme con el usuario de Active Directory. Para obtener más información, consulte [Autenticación basada en certificados y personal WorkSpaces](certificate-based-authentication.md).
+ **`Attribute`Elemento (opcional) con el `Name` atributo establecido en https://aws.amazon.com/SAML/ Attributes/:DomainPrincipalTag: este elemento contiene un elemento `AttributeValue` que proporciona el nombre de dominio** completo (FQDN) de DNS de Active Directory para que los usuarios inicien sesión. Este parámetro se usa con la autenticación basada en certificados cuando el `userPrincipalName` de Active Directory del usuario contiene un sufijo alternativo. El valor debe proporcionarse en el formato `domain.com` y debe incluir los subdominios.
+ **`Attribute`Elemento (opcional) con el `Name` atributo establecido en https://aws.amazon.com/SAML/ Attributes/ SessionDuration**: este elemento contiene un `AttributeValue` elemento que especifica el tiempo máximo que una sesión de streaming federada de un usuario puede permanecer activa antes de que sea necesario volver a autenticarse. El valor predeterminado es de `3600` segundos (60 minutos). *Para obtener más información, consulte el [SAML en la Guía del usuario. SessionDurationAttribute](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration)AWS Identity and Access Management *
**nota**  
Aunque `SessionDuration` es un atributo opcional, se recomienda incluirlo en la respuesta de SAML. Si no especifica este atributo, la duración de la sesión se establece en un valor predeterminado de `3600` segundos (60 minutos). WorkSpaces las sesiones de escritorio se desconectan una vez expirada la duración de la sesión.

Para obtener más información sobre cómo configurar estos elementos, consulte [Configure aserciones SAML para la respuesta de autenticación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) en la *Guía del usuario de AWS Identity and Access Management *. Para obtener información sobre los requisitos de configuración específicos de su IdP, consulte la documentación de su IdP.

## Paso 8: configurar el estado de retransmisión de la federación
<a name="saml-directory-configure-relay-state"></a>

Utilice su IdP para configurar el estado de retransmisión de su federación para que apunte a la URL del estado de retransmisión del directorio del WorkSpaces grupo. Tras la correcta autenticación AWS, se dirige al usuario al punto final del directorio WorkSpaces Pool, definido como el estado de retransmisión en la respuesta de autenticación SAML.

Este es el formato de la URL del estado de retransmisión:

```
https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code
```

En la siguiente tabla se enumeran los puntos finales del estado de retransmisión de AWS las regiones en las que está disponible la autenticación WorkSpaces SAML 2.0. AWS Se han eliminado las regiones en las que la función de WorkSpaces grupos no está disponible.


| Region | Punto de conexión del estado de retransmisión | 
| --- | --- | 
| Región Este de EE. UU. (Norte de Virginia) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/create-directory-pools.html)  | 
| Región del Oeste de EE. UU (Oregón) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/create-directory-pools.html)  | 
| Región de Asia-Pacífico (Mumbai) | workspaces.euc-sso.ap-south-1.aws.amazon.com | 
| Región de Asia-Pacífico (Seúl) | workspaces.euc-sso.ap-northeast-2.aws.amazon.com | 
| Región de Asia-Pacífico (Singapur) | workspaces.euc-sso.ap-southeast-1.aws.amazon.com | 
| Región de Asia-Pacífico (Sídney) | workspaces.euc-sso.ap-southeast-1.aws.amazon.com | 
| Región de Asia-Pacífico (Tokio) | workspaces.euc-sso.ap-northeast-2.aws.amazon.com | 
| Región de Canadá (centro) | workspaces.euc-sso.us-east-1.aws.amazon.com | 
| Región de Europa (Fráncfort) | workspaces.euc-sso.eu-central-1.aws.amazon.com | 
| Región de Europa (Irlanda) | workspaces.euc-sso.eu-west-1.aws.amazon.com | 
| Región de Europa (Londres) | workspaces.euc-sso.eu-west-1.aws.amazon.com | 
| Región de América del Sur (São Paulo) | workspaces.euc-sso.sa-east-1.aws.amazon.com | 
| AWS GovCloud (EEUU-Oeste) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/create-directory-pools.html)  Para obtener información sobre cómo trabajar con SAML IdPs en AWS GovCloud (US) Regions, consulta la *Guía del usuario de [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)AWS GovCloud (EE. UU.)*.   | 
| AWS GovCloud (Este de EE. UU.) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/create-directory-pools.html)  Para obtener información sobre cómo trabajar con SAML IdPs en AWS GovCloud (US) Regions, consulta la *Guía del usuario de [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)AWS GovCloud (EE. UU.)*.   | 

## Paso 9: Habilita la integración con SAML 2.0 en el directorio de tu grupo WorkSpace
<a name="saml-directory-enable-saml-integration"></a>

Complete el siguiente procedimiento para habilitar la autenticación SAML 2.0 en el directorio del WorkSpaces pool.

1. [Abra la WorkSpaces consola en la versión 2/homehttps://console.aws.amazon.com/workspaces/.](https://console.aws.amazon.com/workspaces/v2/home)

1. Elija **Directorios** en el panel de navegación.

1. Seleccione la pestaña **Directorios de grupos**.

1. Elija el ID del directorio que desea editar.

1. Elija **Editar** en la sección **Autenticación** de la página.

1. Seleccione **Editar proveedor de identidad de SAML 2.0**.

1. En la opción **URL de acceso del usuario**, que a veces se denomina URL de SSO, sustituya el valor del marcador de posición por la URL de SSO que le proporcionó el IdP.

1. En la opción **Nombre del parámetro de enlace profundo del IdP**, introduzca el parámetro aplicable al IdP y a la aplicación que ha configurado. El valor predeterminado es `RelayState` si omite el nombre del parámetro.

   En la siguiente tabla se enumeran los nombres de los parámetros de acceso de usuario URLs y de enlace directo que son exclusivos de los distintos proveedores de identidad para las aplicaciones.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/create-directory-pools.html)

1. Seleccione **Save**.

**importante**  
La revocación de SAML 2.0 de un usuario no desconectará directamente su sesión. Solo se eliminarán cuando se agote el tiempo de espera. También pueden finalizarlo mediante la [ TerminateWorkspacesPoolSession](https://docs.aws.amazon.com//workspaces/latest/api/API_TerminateWorkspacesPoolSession.html)API.

## Resolución de problemas
<a name="saml-pools-troubleshooting"></a>

La siguiente información puede ayudarle a solucionar problemas específicos con sus WorkSpaces grupos.

### Recibo el mensaje «No puedo iniciar sesión» en el cliente de WorkSpaces Pools después de completar la autenticación SAML
<a name="pools-unable-to-login"></a>

`nameID` y `PrincipalTag:Email` en las notificaciones de SAML deben coincidir con el nombre de usuario y el correo electrónico configurados en Active Directory. Algunos IDP pueden requerir una actualización o reimplementación después de ajustar ciertos atributos. Si realiza un ajuste y no se refleja en la captura de SAML, consulte la documentación o el programa de soporte de IdP para conocer los pasos específicos necesarios para que el cambio surta efecto.