

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurazione del linguaggio SAML
<a name="external-identity-providers-setting-up-saml"></a>

Per consentire agli utenti di accedere alle WorkSpaces applicazioni utilizzando le credenziali esistenti e avviare lo streaming delle applicazioni, puoi configurare la federazione delle identità utilizzando SAML 2.0. A tale scopo, utilizza un ruolo IAM e un URL dello stato di inoltro per configurare il tuo provider di identità (IdP) conforme a SAML 2.0 e AWS abilita per consentire agli utenti federati di accedere a uno stack di applicazioni. WorkSpaces Il ruolo IAM concede agli utenti le autorizzazioni per accedere allo stack. Lo stato dell'inoltro è il portale dello stack a cui vengono indirizzati gli utenti in seguito alla corretta autenticazione da parte di AWS.

**Topics**
+ [Prerequisiti](#external-identity-providers-setting-up-prerequisites)
+ [Fase 1: creare un provider di identità SAML in IAM AWS](#external-identity-providers-create-saml-provider)
+ [Fase 2: Creazione di un ruolo IAM di federazione SAML 2.0](#external-identity-providers-grantperms)
+ [Fase 3: Incorporamento di una policy inline per il ruolo IAM](#external-identity-providers-embed-inline-policy-for-IAM-role)
+ [Fase 4: configurazione del provider di identità basato su SAML](#external-identity-providers-config-idp)
+ [Fase 5: creazione delle asserzioni per la risposta di autenticazione SAML](#external-identity-providers-create-assertions)
+ [Fase 6: configurazione dello stato del relay della federazione](#external-identity-providers-relay-state)
+ [Tabella 1: WorkSpaces Le applicazioni relay Relay State Region Endpoint (scelta consigliata)](#relay-state-endpoints)
+ [Tabella 2: WorkSpaces Le vecchie applicazioni relay Relay State Region Endpoint (scelta non consigliata)](#relay-state-OLD-endpoints)
+ [Tabella 3: Parametri URL dello stato di inoltro](#relay-state-URL-parameters)

## Prerequisiti
<a name="external-identity-providers-setting-up-prerequisites"></a>

Completa i prerequisiti seguenti prima di configurare la tua connessione SAML 2.0.

1. Configura il provider di identità basato su SAML per stabilire una relazione di attendibilità con AWS. 
   + All'interno della rete della tua organizzazione, configura l'archivio identità affinché funzioni con un provider di identità basato su SAML. Per le risorse di configurazione, consulta [WorkSpaces Integrazione delle applicazioni con SAML 2.0](external-identity-providers-further-info.md).
   + Utilizza il tuo provider di identità basato su SAML per generare e scaricare un documento di metadati della federazione che specifica l'organizzazione come provider di identità. Questo documento XML firmato viene utilizzato per stabilire una relazione di trust. Salva questo file in un percorso successivamente accessibile dalla console IAM.

1. Utilizza la console di gestione delle applicazioni per creare uno stack WorkSpaces di applicazioni. WorkSpaces È necessario il nome dello stack per creare la policy IAM e configurare l'integrazione dell'IdP WorkSpaces con le applicazioni, come descritto più avanti in questo argomento.

   Puoi creare uno stack di WorkSpaces applicazioni utilizzando la console di gestione delle WorkSpaces applicazioni o WorkSpaces l'API AWS CLI delle applicazioni. Per ulteriori informazioni, consulta [Crea una flotta e uno stack di WorkSpaces applicazioni Amazon](set-up-stacks-fleets.md).

## Fase 1: creare un provider di identità SAML in IAM AWS
<a name="external-identity-providers-create-saml-provider"></a>

Innanzitutto, crea un IdP SAML in IAM. AWS Questo IdP definisce la relazione tra IdP e AWS trust dell'organizzazione utilizzando il documento di metadati generato dal software IdP dell'organizzazione. Per ulteriori informazioni, consulta [Creazione e gestione di un gestore dell'identità digitale SAML IAM (console di gestione AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console) nella *Guida per l'utente IAM*. Per informazioni sull'utilizzo di SAML IdPs nelle AWS GovCloud (US) regioni, consulta [AWS Identity and Access Management](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html) nella *Guida per l'AWS GovCloud (US) utente*.

## Fase 2: Creazione di un ruolo IAM di federazione SAML 2.0
<a name="external-identity-providers-grantperms"></a>

Crea quindi un ruolo IAM di federazione SAML 2.0. Questa fase stabilisce una relazione di attendibilità tra IAM e il gestore dell'identità digitale dell'organizzazione, che identifica il gestore dell'identità digitale come entità attendibile per la federazione. 

**Per creare un ruolo IAM per il provider di identità SAML**

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione seleziona **Ruoli**, quindi **Crea ruolo**. 

1. In **Role type (Tipo di ruolo)**, scegli **SAML 2.0 federation (Federazione SAML 2.0)**. 

1. In **SAML Provider (Provider SAML)**, seleziona il provider di identità SAML creato. 
**Importante**  
Non scegliere i due metodi di accesso SAML 2.0 (**Autorizza solo l'accesso programmatico** o **Autorizza l'accesso programmatico e alla console di gestione AWS)**.

1. In **Attribute (Attributo)**, scegli **SAML:sub\_type**. 

1. In **Valore**, specifica **https://signin.aws.amazon.com/saml**. Questa fase limita l'accesso del ruolo alle sole richieste di streaming degli utenti SAML che includono un'asserzione di tipo soggetto SAML con un valore persistente. Se SAML:sub\_type è persistente, il provider di identità invia lo stesso valore univoco per l'elemento NameID in tutte le richieste SAML provenienti da un determinato utente. [Per maggiori informazioni sull'asserzione SAML:Sub\_Type, consulta la sezione *Identificazione univoca degli utenti nella federazione basata su SAML in Utilizzo della federazione basata su SAML* per l'accesso alle API a. AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring)
**Nota**  
Anche se l'**https://signin.aws.amazon.com/saml**endpoint è altamente disponibile, è ospitato solo nella regione us-east-1 di. AWS Per evitare interruzioni del servizio nell'improbabile eventualità che la disponibilità di uno degli endpoint regionali ne risenta, utilizza gli endpoint regionali e configura endpoint di accesso SAML aggiuntivi per il failover. Per ulteriori informazioni, consulta [Come utilizzare gli endpoint SAML regionali per il failover](https://aws.amazon.com/blogs/security/how-to-use-regional-saml-endpoints-for-failover/).

1. Consulta le informazioni sul trust SAML 2.0, confermando la correttezza dell'entità attendibile e della condizione, quindi scegli **Next: Permissions (Successivo: Autorizzazioni)**. 

1. Nella pagina **Collega policy delle autorizzazioni**, selezionare **Next: Tags**.

1. (Facoltativo) Immetti una chiave e un valore per ogni tag che desideri aggiungere. Per ulteriori informazioni, consulta [Tagging degli utenti e dei ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html). 

1. Al termine, seleziona **Successivo: esamina**. Più avanti, potrai creare e incorporare una policy inline per questo ruolo.

1. In **Nome ruolo**, inserisci un nome del ruolo che consenta di identificarne lo scopo. Poiché varie entità possono fare riferimento al ruolo, non puoi modificare il nome del ruolo dopo averlo creato.

1. (Facoltativo) In **Descrizione ruolo**, immettere una descrizione per il nuovo ruolo.

1. Verifica i dettagli del ruolo e scegli **Create role (Crea ruolo)**.

1. (Facoltativo) Se prevedi di utilizzare il contesto di sessione o i diritti applicativi basati sugli attributi utilizzando un provider di identità SAML 2.0 di terze parti o un'autenticazione basata su certificati, devi aggiungere sts: permission alla politica di fiducia del tuo nuovo ruolo IAM. TagSession Per ulteriori informazioni, consulta [Diritti sulle applicazioni basati su attributi che utilizzano un gestore dell'identità digitale SAML 2.0 di terze parti](application-entitlements-saml.md) e [Passare i tag di sessione in AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).

   Nei dettagli del nuovo ruolo IAM, seleziona la scheda **Relazioni di attendibilità** e seleziona **Modifica relazione di attendibilità**. Viene avviato l'editor delle policy Modifica relazione di attendibilità. **Aggiungi l'autorizzazione sts:, come segue: TagSession**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Federated": "arn:aws:iam::{{111122223333}}:saml-provider/{{IDENTITY-PROVIDER}}"
               },
               "Action": [
                   "sts:AssumeRoleWithSAML",
                   "sts:TagSession"
               ],
               "Condition": {
                   "StringEquals": {
                       "SAML:sub_type": "persistent"
                   }
               }
           }
       ]
   }
   ```

------

   Sostituisci {{IDENTITY-PROVIDER}}**** con il nome dell'IdP SAML creato nel passaggio 1. Scegli **Aggiorna policy di attendibilità**.

## Fase 3: Incorporamento di una policy inline per il ruolo IAM
<a name="external-identity-providers-embed-inline-policy-for-IAM-role"></a>

A questo punto, incorpora una policy IAM inline per il ruolo creato. Quando incorpori una policy inline, le autorizzazioni della policy non possono essere collegate accidentalmente a un'entità principale errata. La politica in linea fornisce agli utenti federati l'accesso allo stack WorkSpaces Applicazioni che hai creato.

1. Nei dettagli del ruolo IAM creato, scegli la scheda **Autorizzazioni**, quindi scegli **Aggiungi policy inline**. Verrà avviata la creazione guidata dei criteri.

1. In **Crea criterio**, scegliere la scheda **JSON** .

1. Copia e incolla la seguente policy JSON nella finestra JSON. Quindi, modifica la risorsa inserendo il Regione AWS codice, l'ID dell'account e il nome dello stack. Nella seguente politica, `"Action": "appstream:Stream"` è l'azione che fornisce agli utenti WorkSpaces delle Applicazioni le autorizzazioni per connettersi alle sessioni di streaming nello stack che hai creato. 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "appstream:Stream",
               "Resource": "arn:aws:appstream:{{us-east-1}}:{{111122223333}}:stack/{{STACK-NAME}}",
               "Condition": {
                   "StringEquals": {
                       "appstream:userId": "${saml:sub}"
                   }
               }
           }
       ]
   }
   ```

------

   Sostituisci {{REGION-CODE}} con la AWS regione in cui esiste lo stack WorkSpaces delle applicazioni. Sostituisci {{STACK-NAME}} con il nome dello stack. {{STACK-NAME}}fa distinzione tra maiuscole e minuscole e deve corrispondere esattamente al nome dello stack visualizzato nella dashboard **Stacks** della console di gestione delle applicazioni. WorkSpaces 

   Per le risorse nelle AWS GovCloud (US) regioni, utilizzate il seguente formato per l'ARN: 

   `arn:aws-us-gov:appstream:{{REGION-CODE}}:{{ACCOUNT-ID-WITHOUT-HYPHENS}}:stack/{{STACK-NAME}}`

1. (Facoltativo) Se prevedi di utilizzare diritti sulle applicazioni basati su attributi utilizzando un gestore dell'identità digitale SAML 2.0 di terze parti con **Cataloghi delle applicazioni a più stack SAML 2.0**, la Risorsa nella policy inline del ruolo IAM deve essere **"Resource": "arn:aws:appstream:{{REGION-CODE}}:{{ACCOUNT-ID-WITHOUT-HYPHENS}}:stack/\*"** per consentire diritti sulle applicazioni di controllare l'accesso in streaming agli stack. Per applicare una protezione aggiuntiva su una risorsa dello stack, puoi aggiungere nella policy un rifiuto esplicito. Per ulteriori informazioni, consulta [Diritti sulle applicazioni basati su attributi che utilizzano un gestore dell'identità digitale SAML 2.0 di terze parti](application-entitlements-saml.md) e [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html).

1. Al termine, scegliere **Verifica policy**. In [Policy Validator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) (Validatore di policy) vengono segnalati eventuali errori di sintassi. 

## Fase 4: configurazione del provider di identità basato su SAML
<a name="external-identity-providers-config-idp"></a>

[Successivamente, a seconda del tuo IdP basato su SAML, potrebbe essere necessario aggiornare manualmente il tuo IdP per considerarlo affidabile AWS come fornitore di servizi caricando il file `saml-metadata.xml` all'indirizzo saml-metadata.xml sul tuo IdP. https://signin.aws.amazon.com/static/](https://signin.aws.amazon.com/static/saml-metadata.xml) In questa fase viene eseguito l'aggiornamento dei metadati del provider di identità. Per alcuni IdPs, l'aggiornamento potrebbe essere già configurato. In tal caso, procedi alla fase successiva.

Se l'aggiornamento non è già configurato nel provider di identità, consulta la documentazione fornita dal provider di identità per informazioni su come aggiornare i metadati. Alcuni provider consentono di digitare l'URL, dopodiché il provider di identità ottiene e installa il file automaticamente. Altri richiedono di scaricare il file dall'URL e quindi fornirlo come file locale.

## Fase 5: creazione delle asserzioni per la risposta di autenticazione SAML
<a name="external-identity-providers-create-assertions"></a>

Successivamente, potrebbe essere necessario configurare le informazioni a cui il tuo IdP invia AWS come attributi SAML nella sua risposta di autenticazione. A seconda dell'IdP, queste informazioni potrebbero essere già pre-configurate. In questo caso, è possibile ignorare questa fase e passare alla fase 6.

Se queste informazioni non sono già configurate nel provider di identità, inserisci quanto segue:
+ **SAML Subject NameID**: l'identificatore univoco per l'utente che effettua l'accesso. 
**Nota**  
Per gli stack con flotte unite a un dominio, il valore NameID per l'utente deve essere fornito nel formato "" utilizzando s Name o `{{domain}}\username` "" utilizzando. AMAccount `username@domain.com` userPrincipalName Se si utilizza il formato s AMAccount Name, è possibile specificarlo `{{domain}}` utilizzando il nome NetBIOS o il nome di dominio completo (FQDN). Il formato s AMAccount Name è necessario per gli scenari di trust unidirezionale di Active Directory. Per ulteriori informazioni, consulta [Utilizzo di Active Directory con WorkSpaces applicazioni](active-directory.md).
+ **SAML Subject Type** (con un valore impostato su `persistent`): l'impostazione del valore su `persistent` garantisce che l'IdP invia lo stesso valore univoco per l'elemento `NameID` tutte le richieste SAML di un determinato utente. Verifica che la policy IAM includa una condizione che consenta solo le richieste SAML con SAML sub\_type impostato su `persistent`, come descritto in [Fase 2: Creazione di un ruolo IAM di federazione SAML 2.0](#external-identity-providers-grantperms).
+ **`Attribute`elemento con l'`Name` https://aws.amazon.com/SAML/attributo impostato su Attributes/Role**: questo elemento contiene uno o più `AttributeValue` elementi che elencano il ruolo IAM e l'IdP SAML a cui l'utente è mappato dal tuo IdP. Il ruolo e l'IdP sono specificati come coppia delimitata da virgole di. ARNs
+ **`Attribute`elemento con l'`Name`attributo impostato su https://aws.amazon.com/SAML/ Attributes/ RoleSessionName** — Questo elemento contiene un `AttributeValue` elemento che fornisce un identificatore per le credenziali temporanee emesse per SSO. AWS Il valore nell'elemento `AttributeValue` deve essere compreso tra 2 e 64 caratteri, può contenere solo caratteri alfanumerici, caratteri di sottolineatura e i seguenti caratteri: \+ (segno più), = (segno uguale), , (virgola), . (punto), @ (simbolo chiocciola) e - (trattino). Non può contenere spazi. Il valore è in genere un ID utente (bobsmith) o un indirizzo e-mail (bobsmith@example.com). Non deve essere un valore che include uno spazio, ad esempio il nome visualizzato di un utente (Bob Smith).
+ **`Attribute`elemento con l'`Name`attributo impostato su https://aws.amazon.com/SAML/ Attributes/PrincipalTag: SessionContext (opzionale):** questo elemento contiene un `AttributeValue` elemento che fornisce parametri che possono essere utilizzati per passare i parametri del contesto di sessione alle applicazioni di streaming. Per ulteriori informazioni, consulta [Contesto della sessione nelle WorkSpaces applicazioni Amazon](managing-stacks-fleets-session-context.md).
+ **`Attribute`elemento con l'`Name` https://aws.amazon.com/SAML/attributo impostato su Attributes/PrincipalTag: ObjectSid (opzionale):** questo elemento contiene un `AttributeValue` elemento che fornisce l'identificatore di sicurezza (SID) di Active Directory per l'utente che effettua l'accesso. Questo parametro viene utilizzato con l'autenticazione basata su certificato per abilitare una mappatura avanzata all'utente di Active Directory.
+ **`Attribute`elemento con l'`Name` https://aws.amazon.com/SAML/attributo impostato su Attributes/:Domain PrincipalTag (opzionale): questo elemento contiene un elemento `AttributeValue` che fornisce il nome di dominio** completo (FQDN) DNS di Active Directory per l'utente che effettua l'accesso. Questo parametro viene utilizzato con l'autenticazione basata su certificati quando `userPrincipalName` di Active Directory dell'utente contiene un suffisso alternativo. Il valore deve essere fornito nel formato di **domain.com**, inclusi eventuali sottodomini.
+ **`Attribute`elemento con l'`SessionDuration` https://aws.amazon.com/SAML/attributo impostato su Attributes/ SessionDuration (opzionale)**: questo elemento contiene un `AttributeValue` elemento che specifica il periodo di tempo massimo in cui una sessione di streaming federata per un utente può rimanere attiva prima che sia richiesta la riautenticazione. Il valore predefinito è 60 minuti o 3600 secondi. [Per maggiori informazioni, consulta la sezione *Un elemento di attributo opzionale con l'attributo impostato su https://aws.amazon.com/SAML/ Attributes/ SessionDuration in Configurazione delle SessionDuration asserzioni SAML per* la risposta di autenticazione.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)
**Nota**  
Sebbene `SessionDuration` sia un attributo opzionale, si consiglia di includerlo nella risposta SAML. Se non si specifica questo attributo, la durata della sessione viene impostata su un valore predefinito di 60 minuti.  
Se gli utenti accedono alle loro applicazioni di streaming in WorkSpaces Applicazioni utilizzando il client nativo WorkSpaces delle Applicazioni o utilizzando il browser Web nella nuova esperienza, le loro sessioni vengono disconnesse alla scadenza della durata della sessione. Se gli utenti accedono alle loro applicazioni di streaming nelle WorkSpaces Applicazioni utilizzando un browser Web sull' old/classic esperienza, dopo la scadenza della durata della sessione degli utenti e dopo aver aggiornato la pagina del browser, le loro sessioni vengono disconnesse.

Per ulteriori informazioni su come configurare questi elementi, consulta [Configurazione delle asserzioni SAML per la risposta di autenticazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) nella *Guida per l'utente IAM*. Per informazioni sui requisiti di configurazione specifici per il tuo provider di identità, consulta la documentazione del provider di identità.

## Fase 6: configurazione dello stato del relay della federazione
<a name="external-identity-providers-relay-state"></a>

Infine, usa il tuo IdP per configurare lo stato di inoltro della tua federazione in modo che punti all'URL dello stack di inoltro WorkSpaces delle applicazioni. Una volta completata con successo l'autenticazione tramite AWS, l'utente viene indirizzato al portale dello stack WorkSpaces Applications, definito come lo stato di inoltro nella risposta di autenticazione SAML.

Il formato dell'URL dello stato del relay è il seguente:

```
https://{{relay-state-region-endpoint}}?stack={{stackname}}&accountId={{aws-account-id-without-hyphens}}
```

Costruisci l'URL dello stato dell'inoltro dall'ID dell'account Amazon Web Services, dal nome dello stack e dall'endpoint dello stato dell'inoltro associati alla regione in cui si trova lo stack.

Facoltativamente, puoi specificare il nome dell'applicazione che desideri avviare automaticamente. Per trovare il nome dell'applicazione, seleziona l'immagine nella console WorkSpaces Applicazioni, scegli la scheda **Applicazioni** e annota il nome visualizzato nella colonna Nome **applicazione**. Oppure, se l'immagine ancora non è stata creata, effettuare la connessione all'image builder dove è installata l'applicazione e aprire Image Assistant. I nomi delle applicazioni vengono visualizzati nella scheda **Add Apps (Aggiungi app)**.

Se il parco istanze è abilitato per la vista del flusso **Desktop** stream, puoi anche scegliere di avviarla direttamente sul desktop del sistema operativo. Per fare ciò, specifica **Desktop** alla fine dell'URL dello stato dell'inoltro, dopo **&app=**.

Con un flusso avviato da un provider di identità (IdP), nel browser predefinito del sistema, dopo che gli utenti accedono all'IdP e hanno selezionato l' WorkSpaces applicazione Applicazioni dal portale utenti IdP, vengono reindirizzati a una pagina di accesso alle WorkSpaces applicazioni nel browser predefinito del sistema con le seguenti opzioni:
+ **Continua con Browser**
+ **Client Open WorkSpaces Applications**

Nella pagina, gli utenti possono scegliere di avviare la sessione nel browser o con l'applicazione client WorkSpaces Applications. Facoltativamente, puoi anche specificare quale client deve essere utilizzato per una federazione SAML 2.0. Per fare ciò, specifica uno `native` o dopo `web` l'URL dello stato di inoltro o dopo. `&client=` Quando il parametro è presente in un URL dello stato di inoltro, le sessioni corrispondenti verranno avviate automaticamente nel client specificato, senza che gli utenti effettuino la scelta.

**Nota**  
Questa funzionalità è disponibile solo se si utilizzano i nuovi endpoint della regione dello stato di inoltro (nella Tabella 1 riportata di seguito) per creare l'URL dello stato di inoltro e si utilizza la versione 1.1.1300 e successive del client WorkSpaces Applications. Inoltre, gli utenti devono sempre utilizzare il browser predefinito del sistema per accedere all'IdP. La funzionalità non funzionerà se utilizzano un browser non predefinito.

Con i diritti sulle applicazioni basati sugli attributi che utilizzano un gestore dell'identità digitale SAML 2.0 di terze parti, puoi abilitare l'accesso a più stack da un singolo URL dello stato dell'inoltro. Rimuovi i parametri dello stack e dell'app (se presenti) dall'URL dello stato dell'inoltro, come segue:

```
https://{{relay-state-region-endpoint}}?accountId={{aws-account-id-without-hyphens}}
```

Quando gli utenti accedono al catalogo delle WorkSpaces applicazioni Applications, visualizzano tutti gli stack in cui i permessi dell'applicazione hanno associato una o più applicazioni all'utente per l'ID dell'account e l'endpoint dello stato di inoltro associato alla regione in cui si trovano gli stack. Quando un utente sceglie un catalogo, i diritti sulle applicazioni visualizzeranno solo le applicazioni a cui l'utente ha l'autorizzazione.

**Nota**  
Gli utenti non possono eseguire lo streaming da più stack contemporaneamente.

Per ulteriori informazioni, consulta [Diritti sulle applicazioni basati su attributi che utilizzano un gestore dell'identità digitale SAML 2.0 di terze parti](application-entitlements-saml.md).

## Tabella 1: WorkSpaces Le applicazioni relay Relay State Region Endpoint (scelta consigliata)
<a name="relay-state-endpoints"></a>

La Tabella 1 riportata di seguito elenca gli endpoint dello stato di inoltro per le regioni in cui WorkSpaces sono disponibili le applicazioni. Gli endpoint dello stato di inoltro nella Tabella 1 sono compatibili con [WorkSpaces Accesso al browser Web delle applicazioni (versione 2)](web-browser-access-v2.md) e con l'applicazione client Windows versione 1.1.1300 e successive. Se utilizzi versioni precedenti del client Windows, dovresti utilizzare i vecchi endpoint dello stato di inoltro elencati nella Tabella 2 per configurare la federazione SAML 2.0. Se si desidera che gli utenti eseguano lo streaming utilizzando una connessione conforme a FIPS, è necessario utilizzare un endpoint compatibile con FIPS. Per ulteriori informazioni sugli endpoint FIPS, consulta [Protezione dei dati in transito con gli endpoint FIPS](protecting-data-in-transit-FIPS-endpoints.md).


**Tabella 1: WorkSpaces Le applicazioni inoltrano gli endpoint della regione dello stato (consigliato)**  

| Region | Endpoint dello stato del relay | 
| --- | --- | 
| Stati Uniti orientali (Virginia settentrionale) | `https://appstream2.euc-sso.us-east-1.aws.amazon.com/saml`<br />(FIPS) `https://appstream2.euc-sso-fips.us-east-1.aws.amazon.com/saml` | 
| Stati Uniti orientali (Ohio) | https://appstream2.euc-sso.us-east-2.aws.amazon.com/saml | 
| Stati Uniti occidentali (Oregon) | `https://appstream2.euc-sso.us-west-2.aws.amazon.com/saml`<br />(FIPS) `https://appstream2.euc-sso-fips.us-west-2.aws.amazon.com/saml` | 
| Asia Pacifico (Malesia) | https://appstream2.euc-sso.ap-southeast-5.aws.amazon.com/saml | 
| Asia Pacifico (Mumbai) | https://appstream2.euc-sso.ap-south-1.aws.amazon.com/saml | 
| Asia Pacifico (Seoul) | https://appstream2.euc-sso.ap-northeast-2.aws.amazon.com/saml | 
| Asia Pacifico (Singapore) | https://appstream2.euc-sso.ap-southeast-1.aws.amazon.com/saml | 
| Asia Pacifico (Sydney) | https://appstream2.euc-sso.ap-southeast-2.aws.amazon.com/saml | 
| Asia Pacifico (Tokyo) | https://appstream2.euc-sso.ap-northeast-1.aws.amazon.com/saml | 
| Canada (Centrale) | https://appstream2.euc-sso.ca-central-1.aws.amazon.com/saml | 
| Europa (Francoforte) | https://appstream2.euc-sso.eu-central-1.aws.amazon.com/saml | 
| Europa (Irlanda) | https://appstream2.euc-sso.eu-west-1.aws.amazon.com/saml | 
| Europa (Londra) | https://appstream2.euc-sso.eu-west-2.aws.amazon.com/saml | 
| Europa (Milano) | https://appstream2.euc-sso.eu-south-1.aws.amazon.com/saml | 
| Europa (Parigi) | https://appstream2.euc-sso.eu-west-3.aws.amazon.com/saml | 
| Europa (Spagna) | https://appstream2.euc-sso.eu-south-2.aws.amazon.com/saml | 
| AWS GovCloud (Stati Uniti orientali) | `https://appstream2.euc-sso.us-gov-east-1.amazonaws-us-gov.com/saml`<br />(FIPS) `https://appstream2.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com/saml` Per ulteriori informazioni sull'uso WorkSpaces delle applicazioni nelle AWS GovCloud (US) regioni, consulta [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) nella *Guida AWS GovCloud (US) per l'utente*.  | 
| AWS GovCloud (Stati Uniti occidentali) | `https://appstream2.euc-sso.us-gov-west-1.amazonaws-us-gov.com/saml`<br />(FIPS) `https://appstream2.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com/saml` Per ulteriori informazioni sull'uso WorkSpaces delle applicazioni nelle AWS GovCloud (US) regioni, consulta [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) nella *Guida AWS GovCloud (US) per l'utente*.  | 
| Sud America (San Paolo) | https://appstream2.euc-sso.sa-east-1.aws.amazon.com/saml | 
| Israele (Tel Aviv) | https://appstream2.euc-sso.il-central-1.aws.amazon.com/saml | 

## Tabella 2: WorkSpaces Le vecchie applicazioni relay Relay State Region Endpoint (scelta non consigliata)
<a name="relay-state-OLD-endpoints"></a>

La tabella 2 riportata di seguito elenca i vecchi endpoint dello stato di inoltro che sono ancora disponibili. Tuttavia, si consiglia di utilizzare i nuovi endpoint dello stato di inoltro elencati nella Tabella 1 per configurare le federazioni SAML 2.0. In particolare, con i nuovi endpoint relay state, puoi consentire agli utenti di avviare l'applicazione client WorkSpaces Applications (versione 1.1.1300 e successive) da sessioni di streaming avviate da IdP. I nuovi endpoint con stato di inoltro nella Tabella 1 consentono inoltre agli utenti di accedere ad altre AWS applicazioni in diverse schede dello stesso browser Web, senza influire sulla sessione di streaming delle Applicazioni in corso. WorkSpaces I vecchi endpoint dello stato di inoltro nella Tabella 2 non supportano questa funzionalità. Per ulteriori informazioni, consulta [Gli utenti del client My WorkSpaces Applications vengono disconnessi dalla sessione WorkSpaces Applications ogni 60 minuti.](troubleshooting-user-issues.md#troubleshooting-client-users-disconnected-every-60-minutes)


**Tabella 2: Endpoint della regione con stato di inoltro WorkSpaces delle vecchie applicazioni (non consigliato)**  

| Region | Endpoint dello stato del relay | 
| --- | --- | 
| Stati Uniti orientali (Virginia settentrionale) | `https://appstream2.us-east-1.aws.amazon.com/saml`<br />(FIPS) `https://appstream2-fips.us-east-1.aws.amazon.com/saml` | 
| Stati Uniti orientali (Ohio) | https://appstream2.us-east-2.aws.amazon.com/saml | 
| Stati Uniti occidentali (Oregon) | `https://appstream2.us-west-2.aws.amazon.com/saml`<br />(FIPS) `https://appstream2-fips.us-west-2.aws.amazon.com/saml` | 
| Asia Pacifico (Mumbai) | https://appstream2.ap-south-1.aws.amazon.com/saml | 
| Asia Pacifico (Seoul) | https://appstream2.ap-northeast-2.aws.amazon.com/saml | 
| Asia Pacifico (Singapore) | https://appstream2.ap-southeast-1.aws.amazon.com/saml | 
| Asia Pacifico (Sydney) | https://appstream2.ap-southeast-2.aws.amazon.com/saml | 
| Asia Pacifico (Tokyo) | https://appstream2.ap-northeast-1.aws.amazon.com/saml | 
| Canada (Centrale) | https://appstream2.ca-central-1.aws.amazon.com/saml | 
| Europa (Francoforte) | https://appstream2.eu-central-1.aws.amazon.com/saml | 
| Europa (Irlanda) | https://appstream2.eu-west-1.aws.amazon.com/saml | 
| Europa (Londra) | https://appstream2.eu-west-2.aws.amazon.com/saml | 
| AWS GovCloud (Stati Uniti orientali) | `https://appstream2.us-gov-east-1.amazonaws-us-gov.com/saml`<br />(FIPS) `https://appstream2-fips.us-gov-east-1.amazonaws-us-gov.com/saml` Per ulteriori informazioni sull'uso WorkSpaces delle applicazioni nelle AWS GovCloud (US) regioni, consulta [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) nella *Guida AWS GovCloud (US) per l'utente*.  | 
| AWS GovCloud (Stati Uniti occidentali) | `https://appstream2.us-gov-west-1.amazonaws-us-gov.com/saml`<br />(FIPS) `https://appstream2-fips.us-gov-west-1.amazonaws-us-gov.com/saml` Per ulteriori informazioni sull'uso WorkSpaces delle applicazioni nelle AWS GovCloud (US) regioni, consulta [Amazon WorkSpaces Applications](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html) nella *Guida AWS GovCloud (US) per l'utente*.  | 
| Sud America (San Paolo) | https://appstream2.sa-east-1.aws.amazon.com/saml | 

## Tabella 3: Parametri URL dello stato di inoltro
<a name="relay-state-URL-parameters"></a>

La tabella 3 riportata di seguito elenca tutti i parametri disponibili che è possibile utilizzare per creare un URL dello stato di inoltro.


**Tabella 3: Parametri dell'URL dello stato di inoltro**  

| Parametro | Obbligatorio | Formato | Supportato da | 
| --- | --- | --- | --- | 
| accountId | Richiesto | ID a 12 caratteri Account AWS  | Endpoint nuovi e vecchi nelle tabelle 1 e 2 | 
| stack | Facoltativo | Stack name (Nome stack) | Nuovi e vecchi endpoint nelle tabelle 1 e 2 | 
| app | Facoltativo | Nome dell'app o «Desktop» | Endpoint nuovi e vecchi nelle Tabelle 1 e 2 | 
| client | Facoltativo | «nativo» o «web» | Nuovi endpoint solo nella Tabella 1 |