Configure SAML 2.0 e crie um diretório WorkSpaces Pools - Amazon WorkSpaces
Etapa 1: considere os requisitosEtapa 2: concluir os pré-requisitosEtapa 3: criar um provedor de SAML identidade no IAMEtapa 4: Criar diretório WorkSpace PoolEtapa 5: criar uma IAM função de federação SAML 2.0Etapa 6: Configurar seu provedor de identidade SAML 2.0Etapa 7: criar afirmações para a resposta de SAML autenticaçãoEtapa 8: Configurar o estado de retransmissão da sua federaçãoEtapa 9: Habilitar a integração com SAML 2.0 em seu diretório WorkSpace Pool

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configure SAML 2.0 e crie um diretório WorkSpaces Pools

Você pode habilitar o registro WorkSpaces do aplicativo cliente e fazer login WorkSpaces em um WorkSpaces pool configurando a federação de identidades usando SAML 2.0. Para fazer isso, você usa um AWS Identity and Access Management (IAM) função e um estado de retransmissão URL para configurar seu provedor de identidade SAML 2.0 (IdP) e habilitá-lo para AWS. Isso concede aos seus usuários federados acesso a um diretório WorkSpace Pool. O estado de retransmissão é o endpoint do WorkSpaces diretório para o qual os usuários são encaminhados após entrarem com sucesso no AWS.

Tópicos

Etapa 1: considere os requisitos

Os requisitos a seguir se aplicam ao configurar SAML um diretório de WorkSpaces Pools.

  • A DefaultRole IAM função workspaces_ deve existir em seu AWS conta. Essa função é criada automaticamente quando você usa a Configuração WorkSpaces rápida ou se você iniciou anteriormente uma WorkSpace usando a AWS Management Console. Ele concede à Amazon WorkSpaces permissão para acessar informações específicas AWS recursos em seu nome. Se a função já existir, talvez seja necessário anexar a política AmazonWorkSpacesPoolServiceAccess gerenciada a ela, que a Amazon WorkSpaces usa para acessar os recursos necessários no AWS conta para WorkSpaces piscinas. Para ter mais informações, consulte Crie os espaços de trabalho_ Role DefaultRole e AWS política gerenciada: AmazonWorkSpacesPoolServiceAccess.

  • Você pode configurar a autenticação SAML 2.0 para WorkSpaces Pools no Regiões da AWS que suportam o recurso. Para obter mais informações, consulte Regiões da AWS e zonas de disponibilidade para WorkSpaces piscinas.

  • Para usar a autenticação SAML 2.0 com WorkSpaces, o IdP deve oferecer suporte ao IdP não solicitado iniciado SSO com um recurso de destino de deep link ou um endpoint de estado de retransmissão. URL Exemplos IdPs que suportam isso incluem Azure ADADFS, Duo Single Sign-On, Okta e. PingFederate PingOne Para obter mais informações, consulte a documentação do IdP.

  • SAMLA autenticação 2.0 é suportada somente nos seguintes WorkSpaces clientes. Para os WorkSpaces clientes mais recentes, consulte a página de download WorkSpaces do Amazon Client.

    • Aplicativo cliente Windows versão 5.20.0 ou posterior

    • Cliente macOS versão 5.20.0 ou posterior

    • Web Access

Etapa 2: concluir os pré-requisitos

Preencha os pré-requisitos a seguir antes de configurar sua conexão 2.0 SAML IdP com um diretório Pool. WorkSpaces

  • Configure seu IdP para estabelecer uma relação de confiança com AWS.

  • Consulte Integração de fornecedores de SAML soluções terceirizados com AWSpara obter mais informações sobre a configuração AWS federação. Exemplos relevantes incluem a integração do IdP com IAM para acessar o AWS Management Console.

  • Usar o IdP para gerar e fazer download de um documento de metadados de federação que descreva a empresa como um IdP. Esse XML documento assinado é usado para estabelecer a confiança da parte confiável. Salve esse arquivo em um local que você possa acessar a partir do IAM console posteriormente.

  • Crie um diretório WorkSpaces Pool usando o WorkSpaces console. Para obter mais informações, consulte Usando o Active Directory com WorkSpaces pools.

  • Crie um WorkSpaces pool para usuários que possam entrar no IdP usando um tipo de diretório compatível. Para obter mais informações, consulte Crie um WorkSpaces pool.

Etapa 3: criar um provedor de SAML identidade no IAM

Para começar, você deve criar um SAML IdP em. IAM Esse IdP define o IdP da sua organização AWS relação de confiança usando o documento de metadados gerado pelo software IdP em sua organização. Para obter mais informações, consulte Criação e gerenciamento de um provedor de SAML identidade no AWS Identity and Access Management Guia do usuário. Para obter informações sobre como trabalhar com SAML IdPs AWS GovCloud (US) Regions, veja AWS Identity and Access Management no AWS GovCloud (US) Guia do usuário.

Etapa 4: Criar diretório WorkSpace Pool

Conclua o procedimento a seguir para criar um diretório WorkSpaces Pool.

  1. Abra o WorkSpaces console em https://console.aws.amazon.com/workspaces/.

  2. Escolha Diretórios no painel de navegação.

  3. Selecione Criar diretório.

  4. Para WorkSpace tipo, escolha Pool.

  5. Na seção Fonte de identidade do usuário da página:

    1. Insira um valor de espaço reservado na caixa de URL texto Acesso do usuário. Por exemplo, insira placeholder na caixa de texto. Você editará isso mais tarde, depois de configurar o direito ao aplicativo em seu IdP.

    2. Deixe a caixa de texto do nome do parâmetro de estado do relé em branco. Você editará isso mais tarde, depois de configurar o direito ao aplicativo em seu IdP.

  6. Na seção Informações do diretório da página, insira um nome e uma descrição para o diretório. O nome e a descrição do diretório devem ter menos de 128 caracteres, podem conter caracteres alfanuméricos e os seguintes caracteres especiais:_ @ # % * + = : ? . / ! \ -. O nome e a descrição do diretório não podem começar com um caractere especial.

  7. Na seção Rede e segurança da página:

    1. Escolha uma VPC e duas sub-redes que tenham acesso aos recursos de rede que seu aplicativo precisa. Para aumentar a tolerância a falhas, você deve escolher duas sub-redes em diferentes zonas de disponibilidade.

    2. Escolha um grupo de segurança que permita WorkSpaces criar links de rede no seuVPC. Os grupos de segurança controlam qual tráfego de rede pode fluir WorkSpaces para o seuVPC. Por exemplo, se seu grupo de segurança restringir todas as HTTPS conexões de entrada, os usuários que acessam seu portal da web não poderão carregar HTTPS sites do. WorkSpaces

  8. A seção Configuração do Active Directory é opcional. No entanto, você deve especificar os detalhes do Active Directory (AD) durante a criação do diretório WorkSpaces Pools se planeja usar um AD com seus WorkSpaces Pools. Você não pode editar a Configuração do Active Directory para seu diretório WorkSpaces Pools depois de criá-lo. Para obter mais informações sobre como especificar os detalhes do AD para seu diretório WorkSpaces Pool, consulteEspecifique os detalhes do Active Directory para seu diretório de WorkSpaces Pools. Depois de concluir o processo descrito nesse tópico, você deve retornar a esse tópico para concluir a criação do diretório WorkSpaces Pools.

    Você pode pular a seção Configuração do Active Directory se não planeja usar um AD com WorkSpaces seus pools.

  9. Na seção Propriedades de streaming da página:

    • Escolha o comportamento das permissões da área de transferência e insira uma cópia para o limite de caracteres local (opcional) e cole para o limite de caracteres da sessão remota (opcional).

    • Escolha permitir ou não a impressão no dispositivo local.

    • Escolha permitir ou não permitir o registro de diagnóstico.

    • Escolha permitir ou não permitir o login com cartão inteligente. Esse recurso se aplica somente se você tiver habilitado a configuração do AD anteriormente neste procedimento.

  10. Na seção Armazenamento da página, você pode optar por ativar as pastas pessoais.

  11. Na seção de IAM funções da página, escolha uma IAM função que esteja disponível para todas as instâncias de streaming de desktop. Para criar uma nova, escolha Criar nova IAM função.

    Quando você aplica uma IAM função da sua conta a um diretório de WorkSpace Pool, você pode fazer AWS APIsolicitações de um WorkSpace no WorkSpace Pool sem gerenciar manualmente AWS credenciais. Para obter mais informações, consulte Criação de uma função para delegar permissões a um IAM usuário no AWS Identity and Access Management Guia do usuário.

  12. Selecione Criar diretório.

Etapa 5: criar uma IAM função de federação SAML 2.0

Conclua o procedimento a seguir para criar uma IAM função de federação SAML 2.0 no IAM console.

  1. Abra o IAM console em https://console.aws.amazon.com/iam/.

  2. Selecione Roles (Funções) no painel de navegação.

  3. Selecione Criar função.

  4. Escolha federação SAML 2.0 para o tipo de entidade confiável.

  5. Para provedor SAML baseado em 2.0, escolha o provedor de identidade em que você criou. IAM Para obter mais informações, consulte Criar um provedor de SAML identidade em IAM.

  6. Escolha Permitir acesso programático somente para que o acesso seja permitido.

  7. Escolha:AUD SAMLpara o atributo.

  8. Em Valor, insira https://signin.aws.amazon.com/saml. Esse valor restringe o acesso à função às solicitações de streaming SAML do usuário que incluem uma declaração do tipo de SAML assunto com um valor de. persistent Se o:sub_type SAML for persistente, seu IdP enviará o mesmo valor exclusivo para o elemento NameID em todas as solicitações de um usuário específico. SAML Para obter mais informações, consulte Identificação exclusiva de usuários na federação SAML baseada em AWS Identity and Access Management Guia do usuário.

  9. Escolha Próximo para continuar.

  10. Não faça alterações ou seleções na página Adicionar permissões. Escolha Próximo para continuar.

  11. Insira um nome e uma descrição para a função.

  12. Selecione Criar função.

  13. Na página Funções, escolha a função que você deve criar.

  14. Selecione a guia Trust relationships (Relações de confiança).

  15. Escolha Editar política de confiança.

  16. Na caixa de JSON texto Editar política de confiança, adicione a TagSession ação sts: à política de confiança. Para obter mais informações, consulte Passando tags de sessão em AWS STS em AWS Identity and Access Management Guia do usuário.

    O resultado será algo semelhante a este exemplo:

    Um exemplo de política de confiança.

  17. Escolha Atualizar política.

  18. Escolha a aba Permissões.

  19. Na seção Políticas de permissões da página, escolha Adicionar permissões e, em seguida, escolha Criar política embutida.

  20. Na seção Editor de políticas da página, escolha JSON.

  21. Na caixa de JSON texto Editor de políticas, insira a política a seguir. Certifique-se de substituir:

    • <region-code> com o código do AWS Região na qual você criou seu diretório WorkSpace Pool.

    • <account-id> com o AWS ID da conta.

    • <directory-id> com o ID do diretório que você criou anteriormente. Você pode obter isso no WorkSpaces console.

    Para recursos em AWS GovCloud (US) Regions, use o seguinte formato paraARN:arn:aws-us-gov:workspaces:<region-code>:<account-id>:directory/<directory-id>.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "workspaces:Stream",
            "Resource": "arn:aws:workspaces:<region-code>:<account-id>:directory/<directory-id>",
            "Condition": {
                "StringEquals": {"workspaces:userId": "${saml:sub}"}
            }
        }
    ]
}

  22. Escolha Próximo.

  23. Insira um nome para a política e escolha Create policy (Criar política).

Etapa 6: Configurar seu provedor de identidade SAML 2.0

Dependendo do seu IdP SAML 2.0, talvez seja necessário atualizar manualmente seu IdP para confiar AWS como prestador de serviços. Você faz isso baixando o saml-metadata.xml arquivo encontrado em https://signin.aws.amazon.com/static/saml-metadata.xml e, em seguida, enviando-o para o seu IdP. Isso atualiza os metadados do seu IdP.

Para alguns IdPs, a atualização pode já estar configurada. Você pode pular essa etapa se ela já estiver configurada. Se a atualização ainda não estiver configurada no seu IdP, revise a documentação fornecida pelo seu IdP para obter informações sobre como atualizar os metadados. Alguns provedores oferecem a opção URL de digitar o XML arquivo em seu painel, e o IdP obtém e instala o arquivo para você. Outros exigem que você baixe o arquivo do URL e, em seguida, faça o upload para o painel deles.

Importante

No momento, você também pode autorizar usuários em seu IdP a acessar WorkSpaces o aplicativo que você configurou em seu IdP. Os usuários autorizados a acessar o WorkSpaces aplicativo do seu diretório não têm automaticamente um WorkSpace criado para eles. Da mesma forma, os usuários que WorkSpace criaram um para eles não estão automaticamente autorizados a acessar o WorkSpaces aplicativo. Para se conectar com êxito a uma autenticação WorkSpace usando SAML 2.0, o usuário deve ser autorizado pelo IdP e ter criado uma WorkSpace .

Etapa 7: criar afirmações para a resposta de SAML autenticação

Configure as informações que seu IdP envia para AWS como SAML atributos em sua resposta de autenticação. Dependendo do seu IdP, isso pode já estar configurado. Você pode pular essa etapa se ela já estiver configurada. Se ainda não estiver configurado, forneça o seguinte:

  • SAMLSubject NameID — O identificador exclusivo do usuário que está fazendo login. Não altere o formato/valor desse campo. Caso contrário, o recurso de pasta pessoal não funcionará conforme o esperado porque o usuário será tratado como um usuário diferente.

    nota

    Para WorkSpaces pools associados ao domínio, o NameID valor para o usuário deve ser fornecido no domain\username formato usando osAMAccountName, ou no username@domain.com formato usandouserPrincipalName, ou apenas. userName Se você estiver usando o sAMAccountName formato, poderá especificar o domínio usando o nome da rede ou o BIOS nome de domínio totalmente qualificado (FQDN). O sAMAccountName formato é necessário para cenários de confiança unidirecional do Active Directory. Para obter mais informações, consulteUsando o Active Directory com WorkSpaces pools. Se apenas userName for fornecido, o usuário estará logado no domínio primário

  • SAMLTipo de assunto (com um valor definido comopersistent) — Definir o valor para persistent garantir que seu IdP envie o mesmo valor exclusivo para o NameID elemento em todas as SAML solicitações de um usuário específico. Certifique-se de que sua IAM política inclua uma condição para permitir somente SAML solicitações com um SAML sub_type definido comopersistent, conforme descrito na Etapa 5: criar uma IAM função de federação SAML 2.0 seção.

  • Attributeelemento com o Name https://aws.amazon.com/SAML/ atributo definido como Atributos/Função — Esse elemento contém um ou mais AttributeValue elementos que listam a IAM função e o SAML IdP para os quais o usuário é mapeado pelo seu IdP. A função e o IdP são especificados como um par delimitado por vírgula de. ARNs Um exemplo do valor esperado éarn:aws:iam::<account-id>:role/<role-name>,arn:aws:iam::<account-id>:saml-provider/<provider-name>.

  • Attributeelemento com o Name atributo definido como https://aws.amazon.com/SAML/ Attributes/ RoleSessionName — Esse elemento contém um AttributeValue elemento que fornece um identificador para o AWS credenciais temporárias emitidas paraSSO. O valor no AttributeValue elemento deve ter entre 2 e 64 caracteres, pode conter caracteres alfanuméricos e os seguintes caracteres especiais:_ . : / = + - @. Ele não pode conter espaços. O valor geralmente é um endereço de e-mail ou o nome principal do usuário (UPN). Não deve ser um valor que inclua um espaço, como o nome de exibição de um usuário.

  • Attributeelemento com o Name atributo definido como https://aws.amazon.com/SAML/ Attributes/:Email PrincipalTag — Esse elemento contém um elemento AttributeValue que fornece o endereço de e-mail do usuário. O valor deve corresponder ao endereço de e-mail WorkSpaces do usuário, conforme definido no WorkSpaces diretório. Os valores das tags podem incluir combinações de letras, números, espaços e _ . : / = + - @ caracteres. Para obter mais informações, consulte Regras para marcar e IAM AWS STS no AWS Identity and Access Management Guia do usuário.

  • AttributeElemento (opcional) com o Name https://aws.amazon.com/SAML/ atributo definido como Attributes/PrincipalTag: UserPrincipalName — Esse elemento contém um AttributeValue elemento que fornece o Active Directory userPrincipalName para o usuário que está fazendo login. O valor deve ser fornecido no username@domain.com formato. Este parâmetro é usado com autenticação baseada em certificado como Nome Alternativo do Assunto no certificado do usuário final. Para obter mais informações, consulte Autenticação baseada em certificado e pessoal WorkSpaces .

  • AttributeElemento (opcional) com o Name https://aws.amazon.com/SAML/ atributo definido como Attributes/PrincipalTag: ObjectSid (opcional) — Esse elemento contém um AttributeValue elemento que fornece o identificador de segurança do Active Directory (SID) para o usuário que está fazendo login. Esse parâmetro é usado com a autenticação baseada em certificado para permitir um mapeamento forte para o usuário do Active Directory. Para obter mais informações, consulte Autenticação baseada em certificado e pessoal WorkSpaces .

  • AttributeElemento (opcional) com o Name https://aws.amazon.com/SAML/ atributo definido como Attributes/:Domain PrincipalTag — Esse elemento contém um elemento AttributeValue que fornece o nome de domínio totalmente DNS qualificado do Active Directory () FQDN para usuários que estão fazendo login. Esse parâmetro é usado com autenticação baseada em certificado quando o Active Directory userPrincipalName do usuário contém um sufixo alternativo. O valor deve ser fornecido no domain.com formato e incluir todos os subdomínios.

  • AttributeElemento (opcional) com o Name https://aws.amazon.com/SAML/ atributo definido como Attributes/ SessionDuration — Esse elemento contém um AttributeValue elemento que especifica o tempo máximo em que uma sessão de streaming federada para um usuário pode permanecer ativa antes que a reautenticação seja necessária. O valor padrão é 3600 segundos (60 minutos). Para obter mais informações, consulte o SAML SessionDurationAttributeAWS Identity and Access Management Guia do usuário.

    nota

    Embora SessionDuration seja um atributo opcional, recomendamos que você o inclua na SAML resposta. Se você não especificar esse atributo, a duração da sessão será definida como um valor padrão de 3600 segundos (60 minutos). WorkSpaces as sessões de desktop são desconectadas após a expiração da duração da sessão.

Para obter mais informações sobre como configurar esses elementos, consulte Configurando SAML asserções para a resposta de autenticação no AWS Identity and Access Management Guia do usuário. Para obter informações sobre requisitos de configuração específicos do seu IdP, consulte a documentação do seu IdP.

Etapa 8: Configurar o estado de retransmissão da sua federação

Use seu IdP para configurar o estado de retransmissão da sua federação para apontar para o estado de retransmissão do diretório WorkSpaces Pool. URL Após a autenticação bem-sucedida por AWS, o usuário é direcionado ao endpoint do diretório WorkSpaces Pool, definido como o estado de retransmissão na resposta de SAML autenticação.

A seguir está o URL formato do estado do relé:


https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code

A tabela a seguir lista os pontos finais do estado do relé para o AWS Regiões em que a autenticação WorkSpaces SAML 2.0 está disponível. AWS As regiões nas quais o recurso WorkSpaces Pools não está disponível foram removidas.

Região Endpoint de estado de retransmissão
Região Leste dos EUA (N. da Virgínia) workspaces.euc-sso.us-east-1.aws.amazon.com
Região Oeste dos EUA (Oregon) workspaces.euc-sso.us-west-2.aws.amazon.com
Região Ásia-Pacífico (Mumbai) workspaces.euc-sso.ap-south-1.aws.amazon.com
Região Ásia-Pacífico (Seul) https://workspaces.ap-northeast-2.amazonaws.com
Região Ásia-Pacífico (Singapura) https://workspaces.ap-southeast-1.amazonaws.com
Região Ásia-Pacífico (Sydney) https://workspaces.ap-southeast-2.amazonaws.com
Região Ásia-Pacífico (Tóquio) https://workspaces.ap-northeast-1.amazonaws.com
Região Canadá (Central) workspaces.euc-sso.ca-central-1.aws.amazon.com
Região Europa (Frankfurt) workspaces.euc-sso.eu-central-1.aws.amazon.com
Região Europa (Irlanda) workspaces.euc-sso.eu-west-1.aws.amazon.com
Região Europa (Londres) workspaces.euc-sso.eu-west-2.aws.amazon.com
Região América do Sul (São Paulo) workspaces.euc-sso.sa-east-1.aws.amazon.com
AWS GovCloud (Oeste dos EUA) workspaces.euc-sso. us-gov-west-1. amazonaws-us-gov.com
nota

Para obter informações sobre como trabalhar com SAML IdPs AWS GovCloud (US) Regions, veja a Amazon WorkSpaces no AWS GovCloud Guia do usuário (EUA).
AWS GovCloud (Leste dos EUA) workspaces.euc-sso. us-gov-east-1. amazonaws-us-gov.com
nota

Para obter informações sobre como trabalhar com SAML IdPs AWS GovCloud (US) Regions, veja a Amazon WorkSpaces no AWS GovCloud Guia do usuário (EUA).

Etapa 9: Habilitar a integração com SAML 2.0 em seu diretório WorkSpace Pool

Conclua o procedimento a seguir para habilitar a autenticação SAML 2.0 para o diretório WorkSpaces Pool.

  1. Abra o WorkSpaces console em https://console.aws.amazon.com/workspaces/.

  2. Escolha Diretórios no painel de navegação.

  3. Escolha a guia Diretórios de grupos.

  4. Escolha o ID do diretório que você deseja editar.

  5. Escolha Editar na seção Autenticação da página.

  6. Escolha Editar provedor de identidade SAML 2.0.

  7. Para o Acesso do Usuário URL, que às vezes é conhecido como "SSOURL“, substitua o valor do espaço reservado pelo SSO URL fornecido pelo seu IdP.

  8. Para o nome do parâmetro do link direto do IdP, insira o parâmetro aplicável ao seu IdP e ao aplicativo que você configurou. O valor padrão é RelayState se você omitir o nome do parâmetro.

    A tabela a seguir lista os nomes dos parâmetros de acesso do usuário URLs e do link direto que são exclusivos de vários provedores de identidade para aplicativos.

    Provedor de identidades Parâmetro Acesso do usuário URL
    ADFS RelayState https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>
    Azure AD RelayState https://myapps.microsoft.com/signin/<app-id>?tenantId=<tenant-id>
    Duo Single Sign-On RelayState https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app-id>/sso
    Okta RelayState https://<sub-domain>.okta.com/app/<app-name>/<app-id>/sso/saml
    OneLogin RelayState https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>
    JumpCloud RelayState https://sso.jumpcloud.com/saml2/<app-id>
    Auth0 RelayState https://<default-tenant-name>.us.auth0.com/samlp/<client-id>
    PingFederate TargetResource https://<host>/idp/startSSO.ping?PartnerSpId=<sp-id>
    PingOne para Enterprise TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app-id>&idpid=<idp-id>

  9. Escolha Salvar.