Configurer la SAML version 2.0 et créer un répertoire WorkSpaces Pools - Amazon WorkSpaces
Étape 1 : Tenez compte des exigencesÉtape 2 : Exécution des opérations prérequisesÉtape 3 : créer un fournisseur SAML d'identité dans IAMÉtape 4 : créer le répertoire du WorkSpace poolÉtape 5 : Création d'un IAM rôle de fédération SAML 2.0Étape 6 : Configuration de votre fournisseur d'identité SAML 2.0Étape 7 : Création d'assertions pour la réponse SAML d'authentificationÉtape 8 : Configuration de l'état du relais de votre fédérationÉtape 9 : Activez l'intégration avec SAML 2.0 dans le répertoire de votre WorkSpace pool

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer la SAML version 2.0 et créer un répertoire WorkSpaces Pools

Vous pouvez activer l'enregistrement des applications WorkSpaces clientes et la connexion à un WorkSpaces pool WorkSpaces en configurant la fédération d'identité à l'aide de la SAML version 2.0. Pour ce faire, vous utilisez un AWS Identity and Access Management (IAM) rôle et état de relais URL pour configurer votre fournisseur d'identité (IdP) SAML 2.0 et l'activer pour AWS. Cela permet à vos utilisateurs fédérés d'accéder à un répertoire de WorkSpace pool. L'état du relais est le point de terminaison du WorkSpaces répertoire vers lequel les utilisateurs sont redirigés une fois qu'ils se sont connectés avec succès AWS.

Rubriques

Étape 1 : Tenez compte des exigences

Les exigences suivantes s'appliquent lors de la configuration SAML d'un répertoire WorkSpaces Pools.

  • Le DefaultRole IAM rôle workspaces_ doit exister dans votre AWS . Ce rôle est automatiquement créé lorsque vous utilisez la configuration WorkSpaces rapide ou si vous avez déjà lancé un WorkSpace AWS Management Console. Il accorde à Amazon WorkSpaces l'autorisation d'accéder à des données spécifiques AWS des ressources en votre nom. Si le rôle existe déjà, vous devrez peut-être y associer la politique AmazonWorkSpacesPoolServiceAccess gérée, qu'Amazon WorkSpaces utilise pour accéder aux ressources requises dans AWS compte pour WorkSpaces Pools. Pour plus d’informations, consultez Création du rôle workspaces_ DefaultRole et AWS politique gérée : AmazonWorkSpacesPoolServiceAccess.

  • Vous pouvez configurer l'authentification SAML 2.0 pour les WorkSpaces pools dans Régions AWS qui prennent en charge la fonctionnalité. Pour de plus amples informations, veuillez consulter Régions AWS et zones de disponibilité pour les WorkSpaces piscines.

  • Pour utiliser l'authentification SAML 2.0 avec WorkSpaces, l'IdP doit prendre en charge l'IdP non sollicité initié par un IdP SSO avec une ressource cible en lien profond ou un point de terminaison d'état relais. URL Azure ADADFS, Duo Single Sign-On, Okta et PingFederate. IdPs PingOne Pour plus d'informations, consultez la documentation de votre IdP.

  • SAMLL'authentification 2.0 n'est prise en charge que sur les WorkSpaces clients suivants. Pour les derniers WorkSpaces clients, consultez la page de téléchargement WorkSpaces du client Amazon.

    • Application cliente Windows version 5.20.0 ou ultérieure

    • Client macOS version 5.20.0 ou ultérieure

    • Web Access

Étape 2 : Exécution des opérations prérequises

Remplissez les conditions préalables suivantes avant de configurer votre connexion IdP SAML 2.0 à WorkSpaces un répertoire de pool.

  • Configurez votre IdP pour établir une relation de confiance avec AWS.

  • Voir Intégration de fournisseurs de SAML solutions tiers avec AWSpour plus d'informations sur la configuration AWS fédération. Parmi les exemples pertinents, citons l'intégration d'IdP avec IAM pour accéder au AWS Management Console.

  • Utilisez votre IdP pour générer et télécharger un document de métadonnées de fédération décrivant votre organisation en tant qu'IdP. Ce XML document signé est utilisé pour établir la confiance de la partie utilisatrice. Enregistrez ce fichier dans un emplacement auquel vous pourrez accéder ultérieurement depuis la IAM console.

  • Créez un répertoire WorkSpaces Pool à l'aide de la WorkSpaces console. Pour de plus amples informations, veuillez consulter Utilisation d'Active Directory avec des WorkSpaces pools.

  • Créez un WorkSpaces pool pour les utilisateurs qui peuvent se connecter à l'IdP à l'aide d'un type d'annuaire pris en charge. Pour de plus amples informations, veuillez consulter Création d'un WorkSpaces pool.

Étape 3 : créer un fournisseur SAML d'identité dans IAM

Pour commencer, vous devez créer un SAML IdP dans. IAM Cet IdP définit l'IdP vers- de votre organisation AWS relation de confiance à l'aide du document de métadonnées généré par le logiciel IdP de votre organisation. Pour plus d'informations, consultez la section Création et gestion d'un fournisseur SAML d'identité dans le AWS Identity and Access Management Guide de l'utilisateur. Pour plus d'informations sur l'utilisation SAML IdPs de AWS GovCloud (US) Regions, voir AWS Identity and Access Management dans le .AWS GovCloud (US) Guide de l'utilisateur.

Étape 4 : créer le répertoire du WorkSpace pool

Procédez comme suit pour créer un répertoire de WorkSpaces pool.

  1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

  2. Choisissez Répertoires dans le volet de navigation.

  3. Choisissez Créer un annuaire.

  4. Pour le WorkSpace type, choisissez Pool.

  5. Dans la section Source d'identité utilisateur de la page :

    1. Entrez une valeur d'espace réservé dans la zone de URL texte Accès utilisateur. Par exemple, entrez placeholder dans la zone de texte. Vous le modifierez ultérieurement après avoir configuré les droits d'application dans votre IdP.

    2. Laissez la zone de texte Nom du paramètre d'état du relais vide. Vous le modifierez ultérieurement après avoir configuré les droits d'application dans votre IdP.

  6. Dans la section Informations sur le répertoire de la page, entrez un nom et une description pour le répertoire. Le nom et la description du répertoire doivent comporter moins de 128 caractères, peuvent contenir des caractères alphanumériques et les caractères spéciaux suivants : _ @ # % * + = : ? . / ! \ - Le nom et la description du répertoire ne peuvent pas commencer par un caractère spécial.

  7. Dans la section Réseau et sécurité de la page :

    1. Choisissez un VPC et deux sous-réseaux qui ont accès aux ressources réseau dont votre application a besoin. Pour une meilleure tolérance aux pannes, vous devez choisir deux sous-réseaux situés dans des zones de disponibilité différentes.

    2. Choisissez un groupe de sécurité qui permet WorkSpaces de créer des liens réseau dans votreVPC. Les groupes de sécurité contrôlent le trafic réseau autorisé à circuler WorkSpaces vers votreVPC. Par exemple, si votre groupe de sécurité restreint toutes les HTTPS connexions entrantes, les utilisateurs accédant à votre portail Web ne pourront pas charger de HTTPS sites Web à partir du. WorkSpaces

  8. La section Active Directory Config est facultative. Toutefois, vous devez spécifier les détails de votre Active Directory (AD) lors de la création de votre répertoire WorkSpaces Pools si vous prévoyez d'utiliser un AD avec vos WorkSpaces Pools. Vous ne pouvez pas modifier la configuration Active Directory de votre répertoire WorkSpaces Pools après l'avoir créée. Pour plus d'informations sur la spécification des détails de votre AD pour votre répertoire de WorkSpaces pool, consultezSpécifiez les détails Active Directory pour votre répertoire WorkSpaces Pools. Après avoir terminé le processus décrit dans cette rubrique, vous devez revenir à cette rubrique pour terminer la création de votre répertoire WorkSpaces Pools.

    Vous pouvez ignorer la section Active Directory Config si vous ne prévoyez pas d'utiliser un AD avec vos WorkSpaces pools.

  9. Dans la section Propriétés du streaming de la page :

    • Choisissez le comportement des autorisations du presse-papiers, saisissez une copie dans la limite de caractères locale (facultatif) et collez dans la limite de caractères de la session à distance (facultatif).

    • Choisissez d'autoriser ou non l'impression sur le périphérique local.

    • Choisissez d'autoriser ou de ne pas autoriser la journalisation des diagnostics.

    • Choisissez d'autoriser ou non la connexion par carte à puce. Cette fonctionnalité s'applique uniquement si vous avez activé la configuration AD plus tôt dans cette procédure.

  10. Dans la section Stockage de la page, vous pouvez choisir d'activer les dossiers de base.

  11. Dans la section IAM rôle de la page, choisissez un IAM rôle qui sera disponible pour toutes les instances de streaming de bureau. Pour en créer un nouveau, choisissez Créer un nouveau IAM rôle.

    Lorsque vous appliquez un IAM rôle depuis votre compte à un répertoire WorkSpace Pool, vous pouvez créer AWS APIdemandes provenant d'un WorkSpace membre du WorkSpace pool sans gestion manuelle AWS informations d'identification. Pour plus d'informations, voir Création d'un rôle pour déléguer des autorisations à un IAM utilisateur dans AWS Identity and Access Management Guide de l'utilisateur.

  12. Choisissez Créer un annuaire.

Étape 5 : Création d'un IAM rôle de fédération SAML 2.0

Procédez comme suit pour créer un IAM rôle de fédération SAML 2.0 dans la IAM console.

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Choisissez Rôles dans le panneau de navigation.

  3. Sélectionnez Créer un rôle.

  4. Choisissez la fédération SAML 2.0 pour le type d'entité de confiance.

  5. Pour un fournisseur SAML basé sur 2.0, choisissez le fournisseur d'identité dans lequel vous l'avez créé. IAM Pour plus d'informations, voir Créer un fournisseur SAML d'identité dans IAM.

  6. Choisissez Autoriser l'accès programmatique uniquement pour que l'accès soit autorisé.

  7. Choisissez : AUD SAMLpour l'attribut.

  8. Pour le champ Valeur, saisissez https://signin.aws.amazon.com/saml. Cette valeur limite l'accès aux rôles aux demandes de streaming des SAML utilisateurs qui incluent une assertion de type de SAML sujet avec une valeur depersistent. Si le:sub_type SAML est persistant, votre IdP envoie la même valeur unique pour l'élément NameID dans toutes les demandes d'un utilisateur en particulier. SAML Pour plus d'informations, voir Identification unique des utilisateurs dans le cadre SAML d'une fédération basée sur AWS Identity and Access Management Guide de l'utilisateur.

  9. Choisissez Next (Suivant) pour continuer.

  10. N'apportez pas de modifications ou de sélections sur la page Ajouter des autorisations. Choisissez Next (Suivant) pour continuer.

  11. Entrez un nom et une description pour le rôle.

  12. Sélectionnez Créer un rôle.

  13. Sur la page Rôles, choisissez le rôle que vous devez créer.

  14. Choisissez l'onglet Trust relationships.

  15. Choisissez Edit trust policy (Modifier la politique d’approbation).

  16. Dans la zone de JSON texte Modifier la politique de confiance, ajoutez l'TagSessionaction sts : à la politique de confiance. Pour plus d'informations, voir Transmission de balises de session dans AWS STS dans AWS Identity and Access Management Guide de l'utilisateur.

    Le résultat doit ressembler à l'exemple suivant :

    Un exemple de politique de confiance.

  17. Choisissez Mettre à jour une politique.

  18. Choisissez l’onglet Permissions (Autorisations).

  19. Dans la section Politiques d'autorisation de la page, choisissez Ajouter des autorisations, puis choisissez Créer une politique intégrée.

  20. Dans la section Éditeur de politiques de la page, sélectionnez JSON.

  21. Dans la zone de JSON texte de l'éditeur de stratégie, entrez la politique suivante. Assurez-vous de remplacer :

    • <region-code> avec le code du AWS Région dans laquelle vous avez créé le répertoire de votre WorkSpace pool.

    • <account-id> avec le AWS identifiant de compte.

    • <directory-id> avec l'ID du répertoire que vous avez créé précédemment. Vous pouvez l'obtenir dans la WorkSpaces console.

    Pour obtenir des ressources dans AWS GovCloud (US) Regions, utilisez le format suivant pour ARN :arn:aws-us-gov:workspaces:<region-code>:<account-id>:directory/<directory-id>.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "workspaces:Stream",
            "Resource": "arn:aws:workspaces:<region-code>:<account-id>:directory/<directory-id>",
            "Condition": {
                "StringEquals": {"workspaces:userId": "${saml:sub}"}
            }
        }
    ]
}

  22. Choisissez Suivant.

  23. Entrez un nom pour la stratégie, puis choisissez Create policy (Créer une stratégie).

Étape 6 : Configuration de votre fournisseur d'identité SAML 2.0

En fonction de votre IdP SAML 2.0, il se peut que vous deviez mettre à jour manuellement votre IdP pour faire confiance AWS en tant que fournisseur de services. Pour ce faire, téléchargez le saml-metadata.xml fichier qui se trouve dans le fichier https://signin.aws.amazon.com/static/saml-metadata.xml, puis chargez-le sur votre IdP. Cela met à jour les métadonnées de votre IdP.

Pour certains IdPs, la mise à jour est peut-être déjà configurée. Vous pouvez ignorer cette étape si elle est déjà configurée. Si la mise à jour n'est pas déjà configurée dans votre IdP, consultez la documentation fournie par votre IdP pour savoir comment mettre à jour les métadonnées. Certains fournisseurs vous offrent la possibilité URL de saisir le XML fichier dans leur tableau de bord, et l'IdP obtient et installe le fichier pour vous. D'autres exigent que vous téléchargiez le fichier depuis le, URL puis que vous le téléchargiez sur leur tableau de bord.

Important

À ce stade, vous pouvez également autoriser les utilisateurs de votre IdP à accéder à l' WorkSpacesapplication que vous avez configurée dans votre IdP. Les utilisateurs autorisés à accéder à l' WorkSpaces application de votre annuaire n'en ont pas automatiquement WorkSpace créé un. De même, les utilisateurs qui ont WorkSpace créé une application pour eux ne sont pas automatiquement autorisés à accéder à l' WorkSpaces application. Pour se connecter avec succès à une authentification WorkSpace utilisant la SAML version 2.0, un utilisateur doit être autorisé par l'IdP et doit avoir créé un WorkSpace identifiant.

Étape 7 : Création d'assertions pour la réponse SAML d'authentification

Configurez les informations que votre IdP envoie à AWS sous forme SAML d'attributs dans sa réponse d'authentification. En fonction de votre IdP, il est possible que cela soit déjà configuré. Vous pouvez ignorer cette étape si elle est déjà configurée. S'il n'est pas déjà configuré, fournissez les informations suivantes :

  • SAMLSubject NameID — Identifiant unique de l'utilisateur qui se connecte. Ne modifiez pas le format/la valeur de ce champ. Dans le cas contraire, la fonctionnalité du dossier d'accueil ne fonctionnera pas comme prévu car l'utilisateur sera traité comme un autre utilisateur.

    Note

    Pour les WorkSpaces pools joints à un domaine, la NameID valeur de l'utilisateur doit être fournie dans le domain\username format utilisant lesAMAccountName, ou dans le username@domain.com format utilisantuserPrincipalName, ou simplement. userName Si vous utilisez ce sAMAccountName format, vous pouvez spécifier le domaine en utilisant soit le BIOS nom réseau, soit le nom de domaine complet (FQDN). Le sAMAccountName format est requis pour les scénarios de confiance unidirectionnelle Active Directory. Pour plus d'informations, voirUtilisation d'Active Directory avec des WorkSpaces pools. Si userName un seul élément est fourni, l'utilisateur sera connecté au domaine principal

  • SAMLType de sujet (avec une valeur définie surpersistent) — La définition de la valeur persistent garantit que votre IdP envoie la même valeur unique pour l'NameIDélément dans toutes les SAML demandes d'un utilisateur donné. Assurez-vous que votre IAM politique inclut une condition permettant d'autoriser uniquement les SAML demandes dont le paramètre est SAML sub_type défini surpersistent, comme décrit dans la Étape 5 : Création d'un IAM rôle de fédération SAML 2.0 section.

  • Attributeélément dont l'Nameattribut est défini sur https://aws.amazon.com/SAML/ Attributes/Rôle — Cet élément contient un ou plusieurs AttributeValue éléments qui répertorient le rôle IAM et l'SAMLIdP auxquels l'utilisateur est mappé par votre IdP. Le rôle et l'IdP sont spécifiés sous la forme d'une paire séparée par des virgules de. ARNs Exemple de la valeur attendue : arn:aws:iam::<account-id>:role/<role-name>,arn:aws:iam::<account-id>:saml-provider/<provider-name>.

  • Attributeélément dont l'Nameattribut est défini sur https://aws.amazon.com/SAML/ Attributes/ RoleSessionName — Cet élément contient un AttributeValue élément qui fournit un identifiant pour AWS les informations d'identification temporaires émises pourSSO. La valeur de l'AttributeValueélément doit comporter entre 2 et 64 caractères, peut contenir des caractères alphanumériques et les caractères spéciaux suivants : _ . : / = + - @ Il ne doit pas contenir d'espace. La valeur est généralement une adresse e-mail ou un nom d'utilisateur principal (UPN). La valeur ne peut pas comporter d'espace, comme dans le nom d'affichage d'un utilisateur.

  • Attributeélément dont l'Nameattribut est défini sur https://aws.amazon.com/SAML/ Attributes/:Email PrincipalTag — Cet élément contient un élément AttributeValue qui fournit l'adresse e-mail de l'utilisateur. La valeur doit correspondre à l'adresse e-mail de WorkSpaces l'utilisateur telle que définie dans le WorkSpaces répertoire. Les valeurs des balises peuvent inclure des combinaisons de lettres, de chiffres, d'espaces et de _ . : / = + - @ caractères. Pour plus d'informations, voir Règles relatives au IAM balisage et AWS STS dans le .AWS Identity and Access Management Guide de l'utilisateur.

  • AttributeÉlément (facultatif) dont l'Nameattribut est défini sur https://aws.amazon.com/SAML/ Attributes/ PrincipalTag : UserPrincipalName — Cet élément contient un AttributeValue élément qui fournit l'Active Directory userPrincipalName à l'utilisateur qui se connecte. La valeur doit être fournie au username@domain.com format. Ce paramètre est utilisé avec l'authentification par certificat en tant qu'autre nom du sujet dans le certificat utilisateur final. Pour de plus amples informations, veuillez consulter Authentification basée sur des certificats et authentification personnelle WorkSpaces .

  • AttributeElément (facultatif) dont l'Nameattribut est défini sur https://aws.amazon.com/SAML/ Attributes/ PrincipalTag : ObjectSid (facultatif) — Cet élément contient un AttributeValue élément qui fournit l'identifiant de sécurité Active Directory (SID) à l'utilisateur qui se connecte. Ce paramètre est utilisé avec l’authentification par certificat pour permettre un mappage fort vers l’utilisateur Active Directory. Pour de plus amples informations, veuillez consulter Authentification basée sur des certificats et authentification personnelle WorkSpaces .

  • AttributeElément (facultatif) dont l'Nameattribut est défini sur https://aws.amazon.com/SAML/ Attributes/:Domain PrincipalTag — Cet élément contient un élément AttributeValue qui fournit le nom de domaine complet DNS Active Directory () FQDN aux utilisateurs qui se connectent. Ce paramètre est utilisé avec l’authentification par certificat lorsque l’élément userPrincipalName Active Directory correspondant à l’utilisateur contient un autre suffixe. La valeur doit être fournie au domain.com format et doit inclure tous les sous-domaines.

  • AttributeElément (facultatif) dont l'Nameattribut est défini sur https://aws.amazon.com/SAML/ Attributes/ SessionDuration — Cet élément contient un AttributeValue élément qui indique la durée maximale pendant laquelle une session de streaming fédérée d'un utilisateur peut rester active avant qu'une nouvelle authentification ne soit requise. La valeur par défaut est de 3600 secondes (60 minutes). Pour plus d'informations, consultez SAML SessionDurationAttributele AWS Identity and Access Management Guide de l'utilisateur.

    Note

    Bien qu'SessionDurationil s'agisse d'un attribut facultatif, nous vous recommandons de l'inclure dans la SAML réponse. Si vous ne spécifiez pas cet attribut, la durée de la session est définie sur une valeur par défaut de 3600 secondes (60 minutes). WorkSpaces les sessions de bureau sont déconnectées une fois leur durée de session expirée.

Pour plus d'informations sur la configuration de ces éléments, consultez la section Configuration SAML des assertions pour la réponse d'authentification dans AWS Identity and Access Management Guide de l'utilisateur. Pour plus d'informations sur les exigences de configuration spécifiques à votre fournisseur d'identité, consultez sa documentation.

Étape 8 : Configuration de l'état du relais de votre fédération

Utilisez votre IdP pour configurer l'état du relais de votre fédération afin qu'il pointe vers l'état du relais du répertoire WorkSpaces Pool. URL Après une authentification réussie par AWS, l'utilisateur est dirigé vers le point de terminaison du répertoire WorkSpaces Pool, défini comme l'état du relais dans la réponse SAML d'authentification.

Le URL format de l'état du relais est le suivant :


https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code

Le tableau suivant répertorie les points de terminaison de l'état du relais pour AWS Régions dans lesquelles l'authentification WorkSpaces SAML 2.0 est disponible. AWS Les régions dans lesquelles la fonctionnalité WorkSpaces Pools n'est pas disponible ont été supprimées.

Région Point de terminaison RelayState
Région USA Est (Virginie du Nord) workspaces.euc-sso.us-east-1.aws.amazon.com
Région USA Ouest (Oregon) workspaces.euc-sso.us-west-2.aws.amazon.com
Région Asie-Pacifique (Mumbai) workspaces.euc-sso.ap-south-1.aws.amazon.com
Région Asia Pacific (Seoul) workspaces.euc-sso.ap-northeast-2.aws.amazon.com
Région Asie-Pacifique (Singapour) workspaces.euc-sso.ap-southeast-1.aws.amazon.com
Région Asie-Pacifique (Sydney) workspaces.euc-sso.ap-southeast-2.aws.amazon.com
Région Asie-Pacifique (Tokyo) workspaces.euc-sso.ap-northeast-1.aws.amazon.com
Région Canada (Centre) workspaces.euc-sso.ca-central-1.aws.amazon.com
Région Europe (Francfort) workspaces.euc-sso.eu-central-1.aws.amazon.com
Région Europe (Irlande) workspaces.euc-sso.eu-west-1.aws.amazon.com
Région Europe (Londres) workspaces.euc-sso.eu-west-2.aws.amazon.com
Région Amérique du Sud (São Paulo) workspaces.euc-sso.sa-east-1.aws.amazon.com
AWS GovCloud (US-Ouest) espaces de travail.euc-sso. us-gov-west-1. amazonaws-us-gov.com
Note

Pour plus d'informations sur l'utilisation SAML IdPs de AWS GovCloud (US) Regions, consultez Amazon WorkSpaces dans le AWS GovCloud Guide de l'utilisateur (États-Unis).
AWS GovCloud (USA Est) espaces de travail.euc-sso. us-gov-east-1. amazonaws-us-gov.com
Note

Pour plus d'informations sur l'utilisation SAML IdPs de AWS GovCloud (US) Regions, consultez Amazon WorkSpaces dans le AWS GovCloud Guide de l'utilisateur (États-Unis).

Étape 9 : Activez l'intégration avec SAML 2.0 dans le répertoire de votre WorkSpace pool

Procédez comme suit pour activer l'authentification SAML 2.0 pour le répertoire du WorkSpaces pool.

  1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

  2. Choisissez Répertoires dans le volet de navigation.

  3. Choisissez l'onglet Répertoires de pools.

  4. Choisissez l'ID du répertoire que vous souhaitez modifier.

  5. Choisissez Modifier dans la section Authentification de la page.

  6. Choisissez Edit SAML 2.0 Identity Provider.

  7. Pour l'accès utilisateur URL, parfois appelé SSO URL « », remplacez la valeur de l'espace réservé par celle qui vous SSO URL a été fournie par votre IdP.

  8. Pour le nom du paramètre de lien profond IdP, entrez le paramètre applicable à votre IdP et à l'application que vous avez configurée. La valeur par défaut est RelayState si vous omettez le nom du paramètre.

    Le tableau suivant répertorie les noms des paramètres d'accès utilisateur URLs et de lien profond propres aux différents fournisseurs d'identité pour les applications.

    Fournisseur d'identité Paramètre Accès utilisateur URL
    ADFS RelayState https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>
    Azure AD RelayState https://myapps.microsoft.com/signin/<app-id>?tenantId=<tenant-id>
    Duo Single Sign-On RelayState https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app-id>/sso
    Okta RelayState https://<sub-domain>.okta.com/app/<app-name>/<app-id>/sso/saml
    OneLogin RelayState https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>
    JumpCloud RelayState https://sso.jumpcloud.com/saml2/<app-id>
    Auth0 RelayState https://<default-tenant-name>.us.auth0.com/samlp/<client-id>
    PingFederate TargetResource https://<host>/idp/startSSO.ping?PartnerSpId=<sp-id>
    PingOne pour Enterprise TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app-id>&idpid=<idp-id>

  9. Choisissez Save (Enregistrer).