

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Konfigurasikan SAMP 2.0 dan buat direktori WorkSpaces Pools
<a name="create-directory-pools"></a>

Anda dapat mengaktifkan pendaftaran aplikasi WorkSpaces klien dan masuk ke WorkSpaces dalam WorkSpaces Pool dengan menyiapkan federasi identitas menggunakan SAMP 2.0. Untuk melakukan ini, Anda menggunakan peran AWS Identity and Access Management (IAM) dan URL status relai untuk mengonfigurasi penyedia identitas SAMP 2.0 Anda (iDP) dan mengaktifkannya. AWS Ini memberi pengguna federasi Anda akses ke direktori WorkSpace Pool. Status relai adalah titik akhir WorkSpaces direktori tempat pengguna diteruskan setelah berhasil masuk. AWS

**penting**  
WorkSpaces Pools tidak mendukung konfigurasi SAMP 2.0 berbasis IP.

**Topics**
+ [Langkah 1: Pertimbangkan persyaratan](#saml-directory-consider-the-requirements)
+ [Langkah 2: Selesaikan prasyarat](#saml-directory-complete-the-prereqs)
+ [Langkah 3: Buat penyedia identitas SAMP di IAM](#saml-directory-create-saml-idp)
+ [Langkah 4: Buat direktori WorkSpace Pool](#saml-directory-create-wsp-pools-directory)
+ [Langkah 5: Buat peran IAM federasi SAMP 2.0](#saml-directory-saml-federation-role-in-iam)
+ [Langkah 6: Konfigurasikan penyedia identitas SAMP 2.0 Anda](#saml-directory-configure-saml-idp)
+ [Langkah 7: Buat pernyataan untuk respon otentikasi SAMP](#saml-directory-create-assertions)
+ [Langkah 8: Konfigurasikan status relai federasi Anda](#saml-directory-configure-relay-state)
+ [Langkah 9: Aktifkan integrasi dengan SAMP 2.0 di direktori WorkSpace Pool Anda](#saml-directory-enable-saml-integration)
+ [Pemecahan masalah](#saml-pools-troubleshooting)
+ [Tentukan detail Active Directory untuk direktori WorkSpaces Pools Anda](pools-service-account-details.md)

## Langkah 1: Pertimbangkan persyaratan
<a name="saml-directory-consider-the-requirements"></a>

Persyaratan berikut berlaku saat menyiapkan SAMP untuk direktori WorkSpaces Pools.
+ Ruang kerja\$1 peran DefaultRole IAM harus ada di akun Anda. AWS Peran ini dibuat secara otomatis saat Anda menggunakan WorkSpaces Quick Setup atau jika sebelumnya Anda meluncurkan WorkSpace menggunakan Konsol Manajemen AWS. Ini memberikan WorkSpaces izin Amazon untuk mengakses AWS sumber daya tertentu atas nama Anda. Jika peran sudah ada, Anda mungkin perlu melampirkan kebijakan AmazonWorkSpacesPoolServiceAccess terkelola ke sana, yang WorkSpaces digunakan Amazon untuk mengakses sumber daya yang diperlukan di AWS akun untuk WorkSpaces Pools. Untuk informasi selengkapnya, lihat [Buat ruang kerja\$1 DefaultRole Peran](workspaces-access-control.md#create-default-role) dan [AWS kebijakan terkelola: AmazonWorkSpacesPoolServiceAccess](managed-policies.md#workspaces-pools-service-access).
+ Anda dapat mengonfigurasi otentikasi SAMP 2.0 untuk WorkSpaces Pools di Wilayah AWS yang mendukung fitur tersebut. Untuk informasi selengkapnya, lihat [Wilayah AWS dan Availability Zone untuk WorkSpaces Pools](wsp-pools-regions.md).
+ Untuk menggunakan otentikasi SAMP 2.0 WorkSpaces, IDP harus mendukung SSO yang diprakarsai IDP yang tidak diminta dengan sumber daya target deep link atau URL titik akhir status relai. Contoh IdPs yang mendukung ini termasuk ADFS, Azure AD, Duo Single Sign-On, Okta, dan. PingFederate PingOne Konsultasikan dokumentasi IDP Anda untuk informasi lebih lanjut.
+ Otentikasi SAMP 2.0 hanya didukung pada klien berikut WorkSpaces . Untuk WorkSpaces klien terbaru, lihat [halaman Unduhan WorkSpaces Klien Amazon](https://clients.amazonworkspaces.com/).
  + Aplikasi klien Windows versi 5.20.0 atau yang lebih baru
  + klien macOS versi 5.20.0 atau yang lebih baru
  + Akses Web

## Langkah 2: Selesaikan prasyarat
<a name="saml-directory-complete-the-prereqs"></a>

Selesaikan prasyarat berikut sebelum mengonfigurasi koneksi IDP SAMP 2.0 Anda ke direktori Pool. WorkSpaces 
+ Konfigurasikan IdP Anda untuk membuat hubungan kepercayaan dengan AWS.
+ Lihat [Mengintegrasikan penyedia solusi SAMP pihak ketiga dengan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html) untuk informasi selengkapnya tentang mengonfigurasi AWS federasi. Contoh yang relevan termasuk integrasi iDP dengan IAM untuk mengakses file. Konsol Manajemen AWS
+ Gunakan iDP Anda untuk membuat dan mengunduh dokumen metadata federasi yang menjelaskan organisasi Anda sebagai IDP. Dokumen XHTML yang ditandatangani ini digunakan untuk membangun kepercayaan pihak yang mengandalkan. Simpan file ini ke lokasi yang dapat Anda akses dari konsol IAM nanti.
+ Buat direktori WorkSpaces Pool dengan menggunakan WorkSpaces konsol. Untuk informasi selengkapnya, lihat [Menggunakan Active Directory dengan WorkSpaces Pools](active-directory.md).
+ Buat WorkSpaces Pool untuk pengguna yang dapat masuk ke iDP menggunakan jenis direktori yang didukung. Untuk informasi selengkapnya, lihat [Buat WorkSpaces Kolam Renang](set-up-pools-create.md).

## Langkah 3: Buat penyedia identitas SAMP di IAM
<a name="saml-directory-create-saml-idp"></a>

Untuk memulai, Anda harus membuat SAMP iDP di IAM. IDP ini mendefinisikan hubungan AWS IDP-to-trust organisasi Anda menggunakan dokumen metadata yang dihasilkan oleh perangkat lunak iDP di organisasi Anda. Untuk informasi selengkapnya, lihat [Membuat dan mengelola penyedia identitas SAMP](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) di *Panduan AWS Identity and Access Management Pengguna*. Untuk informasi tentang bekerja dengan SAMP IdPs di AWS GovCloud (US) Regions, lihat [AWS Identity and Access Management](https://docs.aws.amazon.com//govcloud-us/latest/UserGuide/govcloud-iam.html)di *Panduan AWS GovCloud (US) Pengguna*.

## Langkah 4: Buat direktori WorkSpace Pool
<a name="saml-directory-create-wsp-pools-directory"></a>

Selesaikan prosedur berikut untuk membuat direktori WorkSpaces Pool.

1. Buka WorkSpaces konsol di [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Pilih **Direktori** di panel navigasi.

1. Pilih **Buat direktori**.

1. Untuk **WorkSpace tipe**, pilih **Pool**.

1. Di bagian **Sumber identitas pengguna** pada halaman:

   1. Masukkan nilai placeholder ke dalam kotak teks **URL akses pengguna**. Misalnya, masukkan `placeholder` ke dalam kotak teks. Anda akan mengedit ini nanti setelah menyiapkan hak aplikasi di IDP Anda.

   1. Biarkan kotak teks **nama parameter status Relay** kosong. Anda akan mengedit ini nanti setelah menyiapkan hak aplikasi di IDP Anda.

1. Di bagian **Informasi direktori** halaman, masukkan nama dan deskripsi untuk direktori. Nama direktori dan deskripsi harus kurang dari 128 karakter, dapat berisi karakter alfanumerik dan karakter khusus berikut:. `_ @ # % * + = : ? . / ! \ -` Nama direktori dan deskripsi tidak dapat dimulai dengan karakter khusus.

1. Di bagian **Jaringan dan keamanan** halaman:

   1. Pilih VPC dan 2 subnet yang memiliki akses ke sumber daya jaringan yang dibutuhkan aplikasi Anda. Untuk meningkatkan toleransi kesalahan, Anda harus memilih dua subnet di Availability Zone yang berbeda.

   1. Pilih grup keamanan yang memungkinkan WorkSpaces untuk membuat tautan jaringan di VPC Anda. Grup keamanan mengontrol lalu lintas jaringan apa yang diizinkan mengalir dari WorkSpaces VPC Anda. Misalnya, jika grup keamanan Anda membatasi semua koneksi HTTPS masuk, pengguna yang mengakses portal web Anda tidak akan dapat memuat situs web HTTPS dari situs. WorkSpaces

1. Bagian **Active Directory Config bersifat** opsional. Namun, Anda harus menentukan detail Active Directory (AD) selama pembuatan direktori WorkSpaces Pools jika Anda berencana untuk menggunakan AD dengan WorkSpaces Pools Anda. Anda tidak dapat mengedit **Active Directory Config** untuk direktori WorkSpaces Pools setelah Anda membuatnya. Untuk informasi selengkapnya tentang menentukan detail iklan untuk direktori WorkSpaces Pool, lihat[Tentukan detail Active Directory untuk direktori WorkSpaces Pools Anda](pools-service-account-details.md). Setelah Anda menyelesaikan proses yang diuraikan dalam topik itu, Anda harus kembali ke topik ini untuk menyelesaikan pembuatan direktori WorkSpaces Pools Anda.

   Anda dapat melewati bagian **Active Directory Config** jika Anda tidak berencana menggunakan AD dengan Pools Anda WorkSpaces .

1. Di bagian **properti Streaming** pada halaman:
   + Pilih perilaku izin clipboard, dan masukkan salinan ke batas karakter lokal (opsional), dan tempel ke batas karakter sesi jarak jauh (opsional).
   + Pilih untuk mengizinkan atau tidak mengizinkan pencetakan ke perangkat lokal.
   + Pilih untuk mengizinkan atau tidak mengizinkan pencatatan diagnostik.
   + Pilih untuk mengizinkan atau tidak mengizinkan kartu pintar masuk. Fitur ini hanya berlaku jika Anda mengaktifkan konfigurasi AD sebelumnya dalam prosedur ini.

1. Di bagian **Penyimpanan** halaman, Anda dapat memilih untuk mengaktifkan folder rumah.

1. Di **bagian peran IAM** pada halaman, pilih peran IAM agar tersedia untuk semua instans streaming desktop. Untuk membuat yang baru, pilih **Buat peran IAM baru**.

   Saat menerapkan peran IAM dari akun ke direktori WorkSpace Pool, Anda dapat membuat permintaan AWS API dari WorkSpace dalam WorkSpace Pool tanpa mengelola AWS kredensialnya secara manual. *Untuk informasi selengkapnya, lihat [Membuat peran untuk mendelegasikan izin ke pengguna IAM di AWS Identity and Access Management Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html).*

1. Pilih **Buat direktori**.

## Langkah 5: Buat peran IAM federasi SAMP 2.0
<a name="saml-directory-saml-federation-role-in-iam"></a>

Selesaikan prosedur berikut untuk membuat peran IAM federasi SAMP 2.0 di konsol IAM.

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/secretsmanager/).

1. Pilih **Peran** di panel navigasi.

1. Pilih Buat peran.

1. Pilih **federasi SAMP 2.0** untuk jenis entitas tepercaya.

1. Untuk penyedia berbasis SAMP 2.0, pilih penyedia identitas yang Anda buat di IAM. Untuk informasi selengkapnya, lihat [Membuat penyedia identitas SAMP di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html?).

1. Pilih **Izinkan akses terprogram hanya** untuk akses yang diizinkan.

1. Pilih **SAML:sub\$1type** untuk atribut.

1. Untuk **Nilai**, masukkan `https://signin.aws.amazon.com/saml`. Nilai ini membatasi akses peran ke permintaan streaming pengguna SAMP yang menyertakan pernyataan tipe subjek SAMP dengan nilai. `persistent` Jika SAML:SUB\$1Type persisten, IDP Anda mengirimkan nilai unik yang sama untuk `NameID` elemen di semua permintaan SAMP dari pengguna tertentu. *Untuk informasi selengkapnya, lihat [Mengidentifikasi pengguna secara unik di federasi berbasis SAMP di](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-userid) Panduan Pengguna.AWS Identity and Access Management *

1. Pilih **Next** untuk melanjutkan.

1. Jangan membuat perubahan atau pilihan di halaman **Tambahkan izin**. Pilih **Next** untuk melanjutkan.

1. Masukkan nama dan deskripsi untuk peran tersebut. 

1. Pilih **Buat peran**.

1. Di halaman **Peran**, pilih peran yang harus Anda buat.

1. Pilih tab **Trust relationship**.

1. Pilih **Edit kebijakan kepercayaan**.

1. Di kotak teks **Edit kebijakan kepercayaan** JSON, tambahkan TagSession tindakan **sts:** ke kebijakan kepercayaan. Untuk informasi selengkapnya, lihat [Melewati tag sesi AWS STS di](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) *Panduan AWS Identity and Access Management Pengguna*.

   Hasilnya akan terlihat seperti contoh berikut ini.  
![\[Contoh kebijakan kepercayaan.\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/images/iam-saml-federation-policy-sts-tagsession.png)

1. Pilih **Perbarui kebijakan**.

1. Pilih tab **Izin**.

1. Di bagian **Kebijakan izin** pada halaman, pilih **Tambahkan izin**, lalu pilih **Buat kebijakan sebaris**.

1. Di bagian **Editor kebijakan** halaman, pilih **JSON**.

1. Di kotak teks **Editor kebijakan** JSON, masukkan kebijakan berikut. Pastikan untuk mengganti:
   + *<region-code>*dengan kode AWS Wilayah tempat Anda membuat direktori WorkSpace Pool Anda.
   + *<account-id>*dengan ID AWS akun.
   + *<directory-id>*dengan ID direktori yang Anda buat sebelumnya. Anda bisa mendapatkan ini di WorkSpaces konsol.

   Untuk sumber daya di AWS GovCloud (US) Regions, gunakan format berikut untuk ARN:. `arn:aws-us-gov:workspaces:<region-code>:<account-id>:directory/<directory-id>`

1. Pilih Berikutnya.

1. Masukkan nama untuk kebijakan tersebut, lalu pilih **Buat kebijakan**.

## Langkah 6: Konfigurasikan penyedia identitas SAMP 2.0 Anda
<a name="saml-directory-configure-saml-idp"></a>

Bergantung pada IDP SAMP 2.0 Anda, Anda mungkin perlu memperbarui iDP Anda secara manual agar AWS dipercaya sebagai penyedia layanan. Anda melakukan ini dengan mengunduh `saml-metadata.xml` file yang ditemukan di [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml), dan kemudian mengunggahnya ke IDP Anda. Ini memperbarui metadata IDP Anda.

Bagi sebagian orang IdPs, pembaruan mungkin sudah dikonfigurasi. Anda dapat melewati langkah ini jika sudah dikonfigurasi. Jika pembaruan belum dikonfigurasi di IDP Anda, tinjau dokumentasi yang disediakan oleh iDP Anda untuk informasi tentang cara memperbarui metadata. Beberapa penyedia memberi Anda opsi untuk mengetik URL file XMLke dasbor mereka, dan iDP memperoleh dan menginstal file untuk Anda. Yang lain mengharuskan Anda mengunduh file dari URL dan kemudian mengunggahnya ke dasbor mereka.

**penting**  
Pada saat ini, Anda juga dapat memberi wewenang kepada pengguna di IDP Anda untuk mengakses aplikasi yang telah Anda konfigurasikan WorkSpaces di iDP Anda. Pengguna yang berwenang untuk mengakses WorkSpaces aplikasi untuk direktori Anda tidak secara otomatis memiliki yang WorkSpace dibuat untuk mereka. Demikian juga, pengguna yang telah WorkSpace dibuat untuk mereka tidak secara otomatis diizinkan untuk mengakses WorkSpaces aplikasi. Agar berhasil terhubung ke otentikasi WorkSpace menggunakan SAMP 2.0, pengguna harus diberi wewenang oleh iDP dan harus memiliki yang dibuat. WorkSpace 

## Langkah 7: Buat pernyataan untuk respon otentikasi SAMP
<a name="saml-directory-create-assertions"></a>

Konfigurasikan informasi yang dikirim IDP Anda AWS sebagai atribut SAMP dalam respons otentikasi. Tergantung pada IDP Anda, ini mungkin sudah dikonfigurasi. Anda dapat melewati langkah ini jika sudah dikonfigurasi. Jika belum dikonfigurasi, berikan yang berikut ini:
+ **NameID Subjek SAMP** — Pengidentifikasi unik untuk pengguna yang masuk. Jangan mengubah format/value bidang ini. Jika tidak, fitur folder rumah tidak akan berfungsi seperti yang diharapkan karena pengguna akan diperlakukan sebagai pengguna yang berbeda.
**catatan**  
Untuk WorkSpaces Pool yang bergabung dengan domain, `NameID` nilai untuk pengguna harus disediakan dalam `domain\username` format menggunakan`sAMAccountName`, atau dalam `username@domain.com` format yang menggunakan`userPrincipalName`, atau hanya. `userName` Jika Anda menggunakan `sAMAccountName` format, Anda dapat menentukan domain dengan menggunakan nama NetBIOS atau nama domain yang sepenuhnya memenuhi syarat (FQDN). `sAMAccountName`Format ini diperlukan untuk skenario kepercayaan satu arah Direktori Aktif. Untuk informasi selengkapnya, [Menggunakan Active Directory dengan WorkSpaces Pools](active-directory.md) lihat. jika hanya `userName` disediakan, pengguna akan masuk ke domain utama
+ **Jenis Subjek SAMP (dengan nilai yang disetel ke`persistent`)** - Mengatur nilai untuk `persistent` memastikan bahwa IDP Anda mengirimkan nilai unik yang sama untuk elemen `NameID` di semua permintaan SAMP dari pengguna tertentu. Pastikan bahwa kebijakan IAM Anda menyertakan kondisi untuk hanya mengizinkan permintaan SAMP dengan saml yang `sub_type` disetel ke`persistent`, seperti yang dijelaskan di bagian. [Langkah 5: Buat peran IAM federasi SAMP 2.0](#saml-directory-saml-federation-role-in-iam)
+ **`Attribute`elemen dengan `Name` atribut disetel ke https://aws.amazon.com/SAML/ Atribut/Peran - Elemen ini berisi satu atau lebih `AttributeValue` elemen yang mencantumkan peran** IAM dan SAMP iDP yang pengguna dipetakan oleh IDP Anda. Peran dan idP ditentukan sebagai pasangan yang dibatasi koma dari. ARNs Contoh dari nilai yang diharapkan adalah`arn:aws:iam::<account-id>:role/<role-name>,arn:aws:iam::<account-id>:saml-provider/<provider-name>`.
+ **`Attribute`elemen dengan `Name` atribut disetel ke https://aws.amazon.com/SAML/ Attributes/ RoleSessionName** - Elemen ini berisi satu `AttributeValue` elemen yang menyediakan pengenal untuk kredensi AWS sementara yang dikeluarkan untuk SSO. Nilai dalam `AttributeValue` elemen harus antara 2 dan 64 karakter, dapat berisi karakter alfanumerik dan karakter khusus berikut:. `_ . : / = + - @` Nama tidak boleh berisi spasi. Nilai biasanya alamat email atau nama utama pengguna (UPN). Seharusnya bukan nilai yang menyertakan spasi, seperti nama tampilan pengguna.
+ **`Attribute`elemen dengan `Name` atribut diatur ke https://aws.amazon.com/SAML/ Atributes/:Email PrincipalTag -** Elemen ini berisi satu elemen `AttributeValue` yang menyediakan alamat email pengguna. Nilai harus sesuai dengan alamat email WorkSpaces pengguna seperti yang didefinisikan dalam WorkSpaces direktori. Nilai tag dapat mencakup kombinasi huruf, angka, spasi, dan `_ . : / = + - @` karakter. Untuk informasi selengkapnya, lihat [Aturan untuk menandai di IAM dan AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules) di *AWS Identity and Access Management Panduan Pengguna*.
+ (Opsional) **`Attribute`elemen dengan `Name` atribut diatur ke https://aws.amazon.com/SAML/ Attributes/PrincipalTag: UserPrincipalName** - Elemen ini berisi satu `AttributeValue` elemen yang menyediakan Active Directory `userPrincipalName` untuk pengguna yang masuk. Nilai harus disediakan dalam `username@domain.com` format. Parameter ini digunakan dengan otentikasi berbasis sertifikat sebagai Nama Alternatif Subjek di sertifikat pengguna akhir. Untuk informasi selengkapnya, lihat [Otentikasi berbasis sertifikat dan Pribadi WorkSpaces](certificate-based-authentication.md).
+ (Opsional) **`Attribute`elemen dengan `Name` atribut diatur ke https://aws.amazon.com/SAML/ Attributes/PrincipalTag: ObjectSid (opsional)** - Elemen ini berisi satu `AttributeValue` elemen yang menyediakan pengenal keamanan Direktori Aktif (SID) untuk pengguna yang masuk. Parameter ini digunakan dengan otentikasi berbasis sertifikat untuk mengaktifkan pemetaan yang kuat ke pengguna Active Directory. Untuk informasi selengkapnya, lihat [Otentikasi berbasis sertifikat dan Pribadi WorkSpaces](certificate-based-authentication.md).
+ (Opsional) **`Attribute`elemen dengan `Name` atribut disetel ke https://aws.amazon.com/SAML/ Atributes/:Domain PrincipalTag - Elemen ini berisi satu elemen `AttributeValue` yang menyediakan nama domain** yang sepenuhnya memenuhi syarat DNS Active Directory (FQDN) untuk pengguna yang masuk. Parameter ini digunakan dengan otentikasi berbasis sertifikat ketika Active Directory `userPrincipalName` untuk pengguna berisi akhiran alternatif. Nilai harus disediakan dalam `domain.com` format, dan harus menyertakan subdomain apa pun.
+ (Opsional) **`Attribute`elemen dengan `Name` atribut diatur ke https://aws.amazon.com/SAML/ Attributes/ SessionDuration** - Elemen ini berisi satu `AttributeValue` elemen yang menentukan jumlah maksimum waktu bahwa sesi streaming federasi untuk pengguna dapat tetap aktif sebelum otentikasi ulang diperlukan. Nilai default adalah `3600` detik (60 menit). Untuk informasi selengkapnya, lihat [SAMP SessionDurationAttribute](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration) di *Panduan AWS Identity and Access Management Pengguna*.
**catatan**  
Meskipun `SessionDuration` merupakan atribut opsional, kami sarankan Anda memasukkannya ke dalam respons SAMP. Jika Anda tidak menentukan atribut ini, durasi sesi diatur ke nilai default `3600` detik (60 menit). WorkSpaces sesi desktop terputus setelah durasi sesi berakhir.

*Untuk informasi selengkapnya tentang cara mengonfigurasi elemen-elemen ini, lihat [Mengonfigurasi pernyataan SAMP untuk respons autentikasi di](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) Panduan Pengguna.AWS Identity and Access Management * Untuk informasi tentang persyaratan konfigurasi khusus untuk IDP Anda, lihat dokumentasi IDP Anda.

## Langkah 8: Konfigurasikan status relai federasi Anda
<a name="saml-directory-configure-relay-state"></a>

Gunakan iDP Anda untuk mengonfigurasi status relai federasi Anda untuk menunjuk ke URL status relai direktori WorkSpaces Pool. Setelah otentikasi berhasil oleh AWS, pengguna diarahkan ke titik akhir direktori WorkSpaces Pool, didefinisikan sebagai status relai dalam respons otentikasi SAMP.

Berikut ini adalah format URL status relay:

```
https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code
```

Tabel berikut mencantumkan titik akhir status relai untuk AWS Wilayah tempat otentikasi WorkSpaces SAMP 2.0 tersedia. AWS Wilayah di mana fitur WorkSpaces Pools tidak tersedia telah dihapus.


| Region | Titik akhir status relai | 
| --- | --- | 
| Wilayah AS Timur (Virginia Utara) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/create-directory-pools.html)  | 
| Wilayah AS Barat (Oregon) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/create-directory-pools.html)  | 
| Wilayah Asia Pasifik (Mumbai) | ruang kerja.euc-sso.ap-south-1.aws.amazon.com | 
| Wilayah Asia Pasifik (Seoul) | ruang kerja.euc-sso.ap-northeast-2.aws.amazon.com | 
| Wilayah Asia Pasifik (Singapura) | ruang kerja.euc-sso.ap-southeast-1.aws.amazon.com | 
| Wilayah Asia Pasifik (Sydney) | ruang kerja.euc-sso.ap-southeast-2.aws.amazon.com | 
| Wilayah Asia Pasifik (Tokyo) | ruang kerja.euc-sso.ap-northeast-1.aws.amazon.com | 
| Wilayah Kanada (Pusat) | ruang kerja.euc-sso.ca-central-1.aws.amazon.com | 
| Wilayah Eropa (Frankfurt) | ruang kerja.euc-sso.eu-central-1.aws.amazon.com | 
| Wilayah Eropa (Irlandia) | ruang kerja.euc-sso.eu-west-1.aws.amazon.com | 
| Wilayah Eropa (London) | ruang kerja.euc-sso.eu-west-2.aws.amazon.com | 
| Wilayah Amerika Selatan (Sao Paulo) | ruang kerja.euc-sso.sa-east-1.aws.amazon.com | 
| AWS GovCloud (AS-Barat) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/create-directory-pools.html)  Untuk informasi tentang bekerja dengan SAMP IdPs di AWS GovCloud (US) Regions, lihat [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html) di *Panduan Pengguna AWS GovCloud (AS)*.   | 
| AWS GovCloud (AS-Timur) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/create-directory-pools.html)  Untuk informasi tentang bekerja dengan SAMP IdPs di AWS GovCloud (US) Regions, lihat [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html) di *Panduan Pengguna AWS GovCloud (AS)*.   | 

## Langkah 9: Aktifkan integrasi dengan SAMP 2.0 di direktori WorkSpace Pool Anda
<a name="saml-directory-enable-saml-integration"></a>

Selesaikan prosedur berikut untuk mengaktifkan otentikasi SAMP 2.0 untuk direktori WorkSpaces Pool.

1. Buka WorkSpaces konsol di [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. Pilih **Direktori** di panel navigasi.

1. Pilih tab **direktori Pools**.

1. Pilih ID direktori yang ingin Anda edit.

1. Pilih **Edit** di bagian **Otentikasi** halaman.

1. Pilih **Edit Penyedia Identitas SAMP 2.0**.

1. Untuk **URL Akses Pengguna**, yang terkadang dikenal sebagai “URL SSO”, ganti nilai placeholder dengan URL SSO yang diberikan kepada Anda oleh IDP Anda.

1. Untuk **nama parameter deep link iDP, masukkan parameter** yang berlaku untuk iDP Anda dan aplikasi yang telah Anda konfigurasikan. Nilai default adalah `RelayState` jika Anda menghilangkan nama parameter.

   Tabel berikut mencantumkan akses pengguna URLs dan nama parameter deep link yang unik untuk berbagai penyedia identitas untuk aplikasi.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/create-directory-pools.html)

1. Pilih **Simpan**.

**penting**  
Mencabut SAMP 2.0 dari pengguna tidak akan langsung memutuskan sesi mereka. Mereka akan dihapus hanya setelah batas waktu dimulai. Mereka juga dapat menghentikannya menggunakan [ TerminateWorkspacesPoolSession](https://docs.aws.amazon.com//workspaces/latest/api/API_TerminateWorkspacesPoolSession.html)API.

## Pemecahan masalah
<a name="saml-pools-troubleshooting"></a>

Informasi berikut dapat membantu Anda memecahkan masalah tertentu dengan Pools Anda WorkSpaces .

### Saya menerima pesan “Tidak dapat masuk” di klien WorkSpaces Pools setelah menyelesaikan otentikasi SAMP
<a name="pools-unable-to-login"></a>

Klaim `nameID` dan `PrincipalTag:Email` dalam SAMP harus sesuai dengan nama pengguna dan email yang dikonfigurasi di Active Directory. Beberapa IDP mungkin memerlukan pembaruan, penyegaran, atau penerapan ulang setelah menyesuaikan atribut tertentu. Jika Anda membuat penyesuaian dan tidak tercermin dalam tangkapan SAMP Anda, lihat dokumentasi atau program dukungan IDP Anda mengenai langkah-langkah spesifik yang diperlukan untuk membuat perubahan berlaku.