Konfigurasikan jenis otentikasi standar - Browser WorkSpaces Aman Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan jenis otentikasi standar

Untuk Standar (default), gabungkan penyedia identitas SAMP 2.0 pihak ketiga Anda (seperti Okta atau Ping) langsung dengan portal Anda.

Tipe identitas Standar dapat mendukung alur masuk service-provider-initiated (dimulai SP) dan identity-provider-initiated (diprakarsai IDP) dengan IDP yang sesuai dengan SAMP 2.0 Anda.

Langkah 1: Mulai mengkonfigurasi penyedia identitas Anda di Browser WorkSpaces Aman

Selesaikan langkah-langkah berikut untuk mengonfigurasi penyedia identitas Anda:

  1. Pada halaman Configure identity provider dari wizard pembuatan, pilih Standard.

  2. Pilih Lanjutkan dengan IDP Standar.

  3. Unduh file metadata SP, dan biarkan tab tetap terbuka untuk nilai metadata individual.

    • Jika file metadata SP tersedia, pilih Unduh file metadata untuk mengunduh dokumen metadata penyedia layanan (SP), dan unggah file metadata penyedia layanan ke IDP Anda di langkah berikutnya. Tanpa ini, pengguna tidak akan dapat masuk.

    • Jika penyedia Anda tidak mengunggah file metadata SP, masukkan nilai metadata secara manual.

  4. Di bawah Pilih tipe login SAMP, pilih antara pernyataan SAMP yang diprakarsai SP dan yang diprakarsai IDP, atau hanya pernyataan SAMP yang diprakarsai SP.

    • Pernyataan SAMP yang diprakarsai SP dan yang diprakarsai IDP memungkinkan portal Anda mendukung kedua jenis alur masuk. Portal yang mendukung alur yang diprakarsai IDP memungkinkan Anda menyajikan pernyataan SAMP ke titik akhir federasi identitas layanan tanpa mengharuskan pengguna untuk meluncurkan sesi dengan mengunjungi URL portal.

      • Pilih ini untuk memungkinkan portal menerima pernyataan SAMP yang diprakarsai IDP yang tidak diminta.

      • Opsi ini memerlukan Status Relay default untuk dikonfigurasi di Penyedia Identitas SAMP 2.0 Anda. Parameter status Relay untuk portal Anda ada di konsol di bawah login SAMP yang dimulai IDP, atau Anda dapat menyalinnya dari file metadata SP di bawah. <md:IdPInitRelayState>

      • Catatan

        • Berikut ini adalah format status relai:redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider.

        • Jika Anda menyalin dan menempelkan nilai dari file metadata SP, pastikan Anda mengubahnya&amp; . & &amp;adalah karakter pelarian XHTML.

    • Pilih pernyataan SAMP yang diprakarsai SP hanya agar portal hanya mendukung alur masuk yang dimulai SP. Opsi ini akan menolak pernyataan SAMP yang tidak diminta dari alur masuk yang diprakarsai IDP.

    catatan

    Beberapa pihak ketiga IdPs memungkinkan Anda membuat aplikasi SAMP khusus yang dapat memberikan pengalaman otentikasi yang diprakarsai IDP dengan memanfaatkan alur yang diprakarsai SP. Misalnya, lihat Menambahkan aplikasi bookmark Okta.

  5. Pilih apakah Anda ingin mengaktifkan permintaan Tanda tangani SAMP ke penyedia ini. Otentikasi yang dimulai SP memungkinkan IDP Anda untuk memvalidasi bahwa permintaan otentikasi berasal dari portal, yang mencegah penerimaan permintaan pihak ketiga lainnya.

    1. Unduh sertifikat penandatanganan dan unggah ke IDP Anda. Sertifikat penandatanganan yang sama dapat digunakan untuk logout tunggal.

    2. Aktifkan permintaan yang ditandatangani di IDP Anda. Namanya mungkin berbeda, tergantung pada IDP.

      catatan

      RSA-SHA256 adalah satu-satunya permintaan dan algoritma penandatanganan permintaan default yang didukung.

  6. Pilih apakah Anda ingin mengaktifkan Perlukan pernyataan SAMP terenkripsi. Ini memungkinkan Anda untuk mengenkripsi pernyataan SAMP yang berasal dari IDP Anda. Hal ini dapat mencegah data dari dicegat dalam pernyataan SAMP antara IDP dan Secure Browser. WorkSpaces

    catatan

    Sertifikat enkripsi tidak tersedia pada langkah ini. Ini akan dibuat setelah portal Anda diluncurkan. Setelah Anda meluncurkan portal, unduh sertifikat enkripsi dan unggah ke IDP Anda. Kemudian, aktifkan enkripsi pernyataan di IDP Anda (namanya mungkin berbeda, tergantung pada IDP.

  7. Pilih apakah Anda ingin mengaktifkan Single Logout. Single logout memungkinkan pengguna akhir Anda untuk keluar dari sesi IDP WorkSpaces dan Secure Browser mereka dengan satu tindakan.

    1. Unduh sertifikat penandatanganan dari WorkSpaces Secure Browser dan unggah ke IDP Anda. Ini adalah sertifikat penandatanganan yang sama yang digunakan untuk Penandatanganan Permintaan pada langkah sebelumnya.

    2. Menggunakan Single Logout mengharuskan Anda untuk mengonfigurasi URL Logout Tunggal di penyedia identitas SAMP 2.0 Anda. Anda dapat menemukan URL Logout Tunggal untuk portal Anda di konsol di bawah Detail penyedia layanan (SP) - Tampilkan nilai metadata individual, atau dari file metadata SP di bawah. <md:SingleLogoutService>

    3. Aktifkan Single Logout di IDP Anda. Namanya mungkin berbeda, tergantung pada IDP.

Langkah 2: Konfigurasikan penyedia identitas Anda di IDP Anda sendiri

Buka tab baru di browser Anda. Kemudian, selesaikan langkah-langkah berikut dengan IDP Anda:

  1. Tambahkan metadata portal Anda ke IDP SAMP Anda.

    Unggah dokumen metadata SP yang Anda unduh di langkah sebelumnya ke iDP Anda, atau salin dan tempel nilai metadata ke bidang yang benar di iDP Anda. Beberapa penyedia tidak mengizinkan pengunggahan file.

    Rincian proses ini dapat bervariasi antar penyedia. Temukan dokumentasi penyedia Anda Panduan untuk spesifik IdPs untuk mendapatkan bantuan tentang cara menambahkan detail portal ke konfigurasi IDP Anda.

  2. Konfirmasikan NameID untuk pernyataan SAMP Anda.

    Pastikan IDP SAMP Anda mengisi nameID di pernyataan SAMP dengan bidang email pengguna. NameID dan email pengguna digunakan untuk mengidentifikasi pengguna federasi SAMP Anda secara unik dengan portal. Gunakan format ID Nama SAMP persisten.

  3. Opsional: Konfigurasikan Status Relay untuk otentikasi yang diprakarsai IDP.

    Jika Anda memilih Accept SP-initiated dan IDP-initiated SAMP assertions pada langkah sebelumnya, ikuti langkah-langkah di langkah 2 untuk Langkah 1: Mulai mengkonfigurasi penyedia identitas Anda di Browser WorkSpaces Aman mengatur Status Relay default untuk aplikasi IDP Anda.

  4. Opsional: Konfigurasikan penandatanganan Permintaan. Jika Anda memilih Menandatangani permintaan SAMP ke penyedia ini pada langkah sebelumnya, ikuti langkah-langkah di langkah 3 Langkah 1: Mulai mengkonfigurasi penyedia identitas Anda di Browser WorkSpaces Aman untuk mengunggah sertifikat penandatanganan ke IDP Anda dan mengaktifkan penandatanganan permintaan. Beberapa IdPs seperti Okta mungkin mengharuskan NameID Anda termasuk dalam tipe “persisten” untuk menggunakan penandatanganan Permintaan. Pastikan untuk mengonfirmasi NameID Anda untuk pernyataan SAMP Anda dengan mengikuti langkah-langkah di atas.

  5. Opsional: Konfigurasikan enkripsi Assertion. Jika Anda memilih Memerlukan pernyataan SAMP terenkripsi dari penyedia ini, tunggu hingga pembuatan portal selesai, lalu ikuti langkah 4 di “Unggah metadata” di bawah ini untuk mengunggah sertifikat enkripsi ke IDP Anda dan mengaktifkan enkripsi pernyataan.

  6. Opsional: Konfigurasikan Single Logout. Jika Anda memilih Single Logout, ikuti langkah-langkah di langkah 5 Langkah 1: Mulai mengkonfigurasi penyedia identitas Anda di Browser WorkSpaces Aman untuk mengunggah sertifikat penandatanganan ke IDP Anda, isi URL Logout Tunggal, dan aktifkan Single Logout.

  7. Berikan akses ke pengguna Anda di IDP Anda untuk menggunakan Browser WorkSpaces Aman.

  8. Unduh file pertukaran metadata dari IDP Anda. Anda akan mengunggah metadata ini ke WorkSpaces Secure Browser di langkah berikutnya.

Langkah 3: Selesai mengonfigurasi penyedia identitas Anda di Browser WorkSpaces Aman

Kembali ke WorkSpaces Secure Browserconsole. Pada halaman Konfigurasi penyedia identitas dari panduan pembuatan, di bawah metadata iDP, unggah file metadata, atau masukkan URL metadata dari iDP Anda. Portal menggunakan metadata ini dari IDP Anda untuk membangun kepercayaan.

  1. Untuk mengunggah file metadata, di bawah dokumen metadata iDP, pilih Pilih file. Unggah file metadata berformat XML dari IDP yang Anda unduh pada langkah sebelumnya.

  2. Untuk menggunakan URL metadata, buka IDP yang Anda atur pada langkah sebelumnya dan dapatkan URL Metadata-nya. Kembali ke konsol Browser WorkSpaces Aman, dan di bawah URL metadata iDP, masukkan url metadata yang Anda peroleh dari iDP Anda.

  3. Setelah selesai, pilih Berikutnya.

  4. Untuk portal di mana Anda telah mengaktifkan Perlukan pernyataan SAMP terenkripsi dari opsi penyedia ini, Anda perlu mengunduh sertifikat enkripsi dari bagian detail iDP portal dan mengunggahnya ke IDP Anda. Kemudian, Anda dapat mengaktifkan opsi di sana.

    catatan

    WorkSpaces Browser Aman memerlukan subjek atau nameID untuk dipetakan dan disetel dalam pernyataan SAMP dalam pengaturan IDP Anda. IDP Anda dapat membuat pemetaan ini secara otomatis. Jika pemetaan ini tidak dikonfigurasi dengan benar, pengguna Anda tidak dapat masuk ke portal web dan memulai sesi.

    WorkSpaces Browser Aman mengharuskan klaim berikut hadir dalam respons SAMP. Anda dapat menemukan <Your SP Entity ID>dan <Your SP ACS URL>dari detail penyedia layanan portal atau dokumen metadata Anda, baik melalui konsol atau CLI.

    • AudienceRestrictionKlaim dengan Audience nilai yang menetapkan ID Entitas SP Anda sebagai target respons. Contoh:

      <saml:AudienceRestriction> <saml:Audience><Your SP Entity ID></saml:Audience> </saml:AudienceRestriction>
    • ResponseKlaim dengan InResponseTo nilai ID permintaan SAMP asli. Contoh:

      <samlp:Response ... InResponseTo="<originalSAMLrequestId>">
    • SubjectConfirmationDataKlaim dengan Recipient nilai URL SP ACS Anda, dan InResponseTo nilai yang cocok dengan ID permintaan SAMP asli. Contoh:

      <saml:SubjectConfirmation> <saml:SubjectConfirmationData ... Recipient="<Your SP ACS URL>" InResponseTo="<originalSAMLrequestId>" /> </saml:SubjectConfirmation>

    WorkSpaces Browser Aman memvalidasi parameter permintaan dan pernyataan SAMP Anda. Untuk pernyataan SAMP yang diprakarsai IDP, rincian permintaan Anda harus diformat sebagai RelayState parameter di badan permintaan HTTP POST. Badan permintaan juga harus berisi pernyataan SAMP Anda sebagai parameter. SAMLResponse Keduanya harus ada jika Anda telah mengikuti langkah sebelumnya.

    Berikut ini adalah contoh POST badan untuk penyedia SAMP yang diprakarsai IDP.

    SAMLResponse=<Base64-encoded SAML assertion>&RelayState=<RelayState>

Panduan untuk spesifik IdPs

Untuk memastikan Anda mengonfigurasi federasi SAMP dengan benar untuk portal Anda, lihat tautan di bawah ini untuk dokumentasi dari yang umum digunakan IdPs.