Configura il tipo di autenticazione standard - Browser WorkSpaces sicuro Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura il tipo di autenticazione standard

Per Standard (impostazione predefinita), federa il tuo provider di identità SAML 2.0 di terze parti (come Okta o Ping) direttamente con il tuo portale.

Il tipo di identità Standard può supportare flussi di accesso service-provider-initiated (iniziati da SP) e identity-provider-initiated (avviati da IdP) con il tuo IdP conforme a SAML 2.0.

Passaggio 1: inizia a configurare il tuo provider di identità su Secure Browser WorkSpaces

Completa i seguenti passaggi per configurare il tuo provider di identità:

  1. Nella pagina Configura gestore dell'identità digitale della procedura guidata di creazione, scegli Standard.

  2. Scegli Continua con IdP standard.

  3. Scarica il file di metadati SP e mantieni aperta la scheda per i singoli valori dei metadati.

    • Se il file di metadati SP è disponibile, scegli Scarica file di metadati per scaricare il documento di metadati del fornitore di servizi (SP) e carica il file di metadati del fornitore di servizi sul tuo IdP nel passaggio successivo. Senza questo, gli utenti non saranno in grado di accedere.

    • Se il tuo provider non carica i file di metadati SP, inserisci manualmente i valori dei metadati.

  4. In Scegli il tipo di accesso SAML, scegli tra asserzioni SAML avviate da SP e IdP o solo asserzioni SAML avviate da SP.

    • Le asserzioni SAML avviate da SP e IdP consentono al portale di supportare entrambi i tipi di flussi di accesso. I portali che supportano i flussi avviati dall'IdP consentono di presentare asserzioni SAML all'endpoint di federazione delle identità del servizio senza richiedere agli utenti di avviare una sessione visitando l'URL del portale.

      • Seleziona questa opzione per consentire al portale di accettare asserzioni SAML non richieste avviate da IdP.

      • Questa opzione richiede la configurazione di un Relay State predefinito nel tuo provider di identità SAML 2.0. Il parametro Relay state per il tuo portale si trova nella console in Accesso SAML avviato da IdP oppure puoi copiarlo dal file di metadati SP sotto. <md:IdPInitRelayState>

      • Nota

        • Di seguito è riportato il formato dello stato del relè:. redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider

        • Se copi e incolli il valore dal file di metadati SP, assicurati di passare &amp; a. & &amp;è un carattere di escape XML.

    • Scegliete solo asserzioni SAML avviate da SP affinché il portale supporti solo i flussi di accesso avviati da SP. Questa opzione rifiuterà le asserzioni SAML non richieste dai flussi di accesso avviati dall'IdP.

    Nota

    Alcune terze parti IdPs consentono di creare un'applicazione SAML personalizzata in grado di fornire esperienze di autenticazione avviate da IdP sfruttando i flussi avviati da SP. Ad esempio, consulta Aggiungere un'applicazione di segnalibri Okta.

  5. Scegli se abilitare le richieste Sign SAML a questo provider. L'autenticazione avviata da SP consente all'IdP di verificare che la richiesta di autenticazione provenga dal portale, il che impedisce l'accettazione di altre richieste di terze parti.

    1. Scarica il certificato di firma e caricalo sul tuo IdP. Lo stesso certificato di firma può essere utilizzato per il singolo logout.

    2. Abilita la richiesta firmata nel tuo IdP. Il nome potrebbe essere diverso, a seconda dell'IdP.

      Nota

      RSA-SHA256 è l'unico algoritmo di richiesta e firma delle richieste predefinito supportato.

  6. Scegli se abilitare le asserzioni SAML crittografate Require. Ciò ti consente di crittografare l'asserzione SAML che proviene dal tuo IdP. Può impedire che i dati vengano intercettati nelle asserzioni SAML tra l'IdP e Secure Browser. WorkSpaces

    Nota

    Il certificato di crittografia non è disponibile in questa fase. Verrà creato dopo l'avvio del portale. Dopo aver avviato il portale, scarica il certificato di crittografia e caricalo sul tuo IdP. Quindi, abilita la crittografia delle asserzioni nel tuo IdP (il nome potrebbe essere diverso a seconda dell'IdP).

  7. Scegli se abilitare il Single Logout. Il single logout consente agli utenti finali di disconnettersi sia dalla sessione IdP WorkSpaces che da quella di Secure Browser con un'unica azione.

    1. Scarica il certificato di firma da WorkSpaces Secure Browser e caricalo sul tuo IdP. Si tratta dello stesso certificato di firma utilizzato per Request Signing nel passaggio precedente.

    2. L'utilizzo di Single Logout richiede la configurazione di un URL Single Logout nel provider di identità SAML 2.0. Puoi trovare l'URL di accesso singolo per il tuo portale nella console in Dettagli del fornitore di servizi (SP) - Mostra valori di metadati individuali o dal file di metadati SP sotto. <md:SingleLogoutService>

    3. Abilita il Single Logout nel tuo IdP. Il nome potrebbe essere diverso, a seconda dell'IdP.

Passaggio 2: configura il tuo provider di identità sul tuo IdP

Apri una nuova scheda nel browser. Quindi, completa questa procedura con il tuo IdP:

  1. Aggiungi i metadati del tuo portale al tuo IdP SAML.

    Carica il documento di metadati SP scaricato nel passaggio precedente sul tuo IdP oppure copia e incolla i valori dei metadati nei campi corretti del tuo IdP. Alcuni provider non consentono il caricamento di file.

    I dettagli di questo processo possono variare tra i provider. Linee guida per scopi specifici IdPsPer assistenza su come aggiungere i dettagli del portale alla configurazione del tuo IdP, consulta la documentazione del tuo provider.

  2. Conferma il NameID per l'asserzione SAML.

    Assicurati che il tuo IdP SAML inserisca NameID nell'asserzione SAML con il campo email dell'utente. Il NameID e l'e-mail dell'utente vengono utilizzati per identificare in modo univoco l'utente federato SAML con il portale. Utilizza il formato persistente SAML Name ID.

  3. Facoltativo: configurare lo stato di inoltro per l'autenticazione avviata dall'IdP.

    Se nel passaggio precedente hai scelto Accetta asserzioni SAML avviate da SP e IdP, segui i passaggi del passaggio 2 di per impostare lo stato di inoltro predefinito Passaggio 1: inizia a configurare il tuo provider di identità su Secure Browser WorkSpaces per la tua applicazione IdP.

  4. Facoltativo: configura la firma delle richieste. Se hai scelto Firma richieste SAML a questo provider nel passaggio precedente, segui i passaggi del passaggio 3 Passaggio 1: inizia a configurare il tuo provider di identità su Secure Browser WorkSpaces per caricare il certificato di firma sul tuo IdP e abilitare la firma delle richieste. Alcuni IdPs come Okta potrebbero richiedere che il NameID appartenga al tipo «persistente» per utilizzare la firma delle richieste. Assicurati di confermare il tuo NameID per l'asserzione SAML seguendo i passaggi precedenti.

  5. Facoltativo: configura la crittografia delle asserzioni. Se hai scelto Richiedi asserzioni SAML crittografate da questo provider, attendi il completamento della creazione del portale, quindi segui il passaggio 4 in «Carica metadati» di seguito per caricare il certificato di crittografia sul tuo IdP e abilitare la crittografia delle asserzioni.

  6. Facoltativo: configura Single Logout. Se hai scelto Single Logout, segui i passaggi indicati nel passaggio 5 Passaggio 1: inizia a configurare il tuo provider di identità su Secure Browser WorkSpaces per caricare il certificato di firma sul tuo IdP, inserire Single Logout URL e abilitare Single Logout.

  7. Concedi l'accesso ai tuoi utenti nel tuo IdP per utilizzare WorkSpaces Secure Browser.

  8. Scarica un file di scambio di metadati dal tuo gestore dell'identità digitale. Caricherai questi metadati su WorkSpaces Secure Browser nel passaggio successivo.

Passaggio 3: Completa la configurazione del tuo provider di identità su WorkSpaces Secure Browser

Torna alla console WorkSpaces Secure Browser/Browser. Nella pagina Configura provider di identità della procedura guidata di creazione, in Metadati IdP, carica un file di metadati o inserisci un URL di metadati dal tuo IdP. Il portale utilizza questi metadati del tuo IdP per stabilire la fiducia.

  1. Per caricare un file di metadati, in Documento di metadati IdP, scegli Scegli file. Carica il file di metadati in formato XML dal tuo IdP scaricato nel passaggio precedente.

  2. Per utilizzare un URL di metadati, vai al tuo IdP che hai configurato nel passaggio precedente e ottieni il relativo URL dei metadati. Torna alla console WorkSpaces Secure Browser e, in URL dei metadati IdP, inserisci l'URL dei metadati che hai ottenuto dal tuo IdP.

  3. Al termine, seleziona Next (Avanti).

  4. Per i portali in cui hai abilitato l'opzione Richiedi asserzioni SAML crittografate da questo provider, devi scaricare il certificato di crittografia dalla sezione dei dettagli dell'IdP del portale e caricarlo sul tuo IdP. Quindi, puoi abilitare l'opzione lì.

    Nota

    WorkSpaces Secure Browser richiede che l'oggetto o il NameID siano mappati e impostati nell'asserzione SAML all'interno delle impostazioni del tuo IdP. Il tuo IdP può creare queste mappature automaticamente. Se queste mappature non sono configurate correttamente, gli utenti non possono accedere al portale web e iniziare una sessione.

    WorkSpaces Secure Browser richiede che le seguenti affermazioni siano presenti nella risposta SAML. Puoi trovare <Your SP Entity ID>e consultare i <Your SP ACS URL>dettagli del fornitore di servizi o il documento di metadati del tuo portale, tramite la console o la CLI.

    • Un AudienceRestriction claim con un Audience valore che imposta il tuo SP Entity ID come obiettivo della risposta. Esempio:

      <saml:AudienceRestriction> <saml:Audience><Your SP Entity ID></saml:Audience> </saml:AudienceRestriction>
    • Una richiesta Response con il valore InResponseTo  dell'ID della richiesta SAML originale. Esempio:

      <samlp:Response ... InResponseTo="<originalSAMLrequestId>">
    • Un'SubjectConfirmationDataattestazione con un Recipient valore dell'URL SP ACS e un InResponseTo valore che corrisponde all'ID della richiesta SAML originale. Esempio:

      <saml:SubjectConfirmation> <saml:SubjectConfirmationData ... Recipient="<Your SP ACS URL>" InResponseTo="<originalSAMLrequestId>" /> </saml:SubjectConfirmation>

    WorkSpaces Secure Browser convalida i parametri della richiesta e le asserzioni SAML. Per le asserzioni SAML avviate da IdP, i dettagli della richiesta devono essere formattati come RelayState parametri nel corpo di una richiesta HTTP POST. Il corpo della richiesta deve contenere anche l'asserzione SAML come parametro. SAMLResponse Entrambi dovrebbero essere presenti se hai seguito il passaggio precedente.

    Di seguito è riportato un POST corpo di esempio per un provider SAML avviato da IdP.

    SAMLResponse=<Base64-encoded SAML assertion>&RelayState=<RelayState>

Linee guida per scopi specifici IdPs

Per assicurarti di configurare correttamente la federazione SAML per il tuo portale, consulta i link seguenti per la documentazione di uso IdPs comune.