将 SAML 2.0 与 WorkSpaces 个人版集成 - Amazon WorkSpaces
身份验证工作流

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 SAML 2.0 与 WorkSpaces 个人版集成

注意

SAML只有通过管理您的 WorkSpaces 个人目录时,2.0 才可用 AWS Directory Service 包括 Simple AD、AD Connector 和 AWS 托管微软 AD 目录。该功能不适用于由 Amazon 管理的目录,这些目录通常使用 I WorkSpaces dent IAM ity Center 进行用户身份验证,而不是 SAML 2.0 联合。

将 SAML 2.0 与您的 WorkSpaces 桌面会话身份验证集成,允许您的用户通过其默认 Web 浏览器使用其现有的 SAML 2.0 身份提供商 (IdP) 凭据和身份验证方法。通过使用您的 IdP 对用户进行身份验证 WorkSpaces,您可以 WorkSpaces 通过使用 IdP 功能(如多因素身份验证和情境访问策略)进行保护。

身份验证工作流

以下各节描述了由 WorkSpaces 客户端应用程序、 WorkSpaces Web Access 和 SAML 2.0 身份提供商 (IdP) 启动的身份验证工作流程:

  • 当流由 IdP 启动时。例如,当用户使用 Web 浏览器在 IdP 用户门户中选择应用程序时。

  • 当流程由 WorkSpaces 客户端启动时。例如,当用户打开客户端应用程序并登录时。

  • 当流程由 WorkSpaces Web Access 启动时。例如,当用户在浏览器中打开 Web Access 并登录时。

在这些示例中,用户输入 user@example.com 以登录 IdP。IdP 已为 WorkSpaces 目录配置了 SAML 2.0 服务提供商应用程序,并授权用户使用 WorkSpaces SAML 2.0 应用程序。用户在 WorkSpace 启用 SAML 2.0 身份验证的目录中为其用户名创建。user此外,用户可以在自己的设备上安装WorkSpaces 客户端应用程序,或者用户在 Web 浏览器中使用 Web Access。

由身份提供者 (IdP) 启动的客户端应用程序流

IdP 启动的流程允许用户在其设备上自动注册 WorkSpaces 客户端应用程序,而无需输入 WorkSpaces 注册码。用户不会 WorkSpaces 使用 IdP 启动的流程登录。 WorkSpaces 身份验证必须来自客户端应用程序。

  1. 用户使用其 Web 浏览器登录 IdP。

  2. 登录 IdP 后,用户从 IdP 用户门户中选择 WorkSpaces 应用程序。

  3. 用户将在浏览器中重定向到此页面,并且 WorkSpaces 客户端应用程序会自动打开。

    打开 WorkSpaces 应用程序重定向页面

  4. WorkSpaces 客户端应用程序现已注册,用户可以通过单击 “继续” 登录继续登录 WorkSpaces

身份提供者 (IdP) 启动的 Web Access 流

IDP 启动的 Web 访问流程允许用户 WorkSpaces 通过 Web 浏览器自动注册,无需输入 WorkSpaces 注册码。用户不会 WorkSpaces 使用 IdP 启动的流程登录。 WorkSpaces 身份验证必须源自 Web 访问。

  1. 用户使用其 Web 浏览器登录 IdP。

  2. 登录 IdP 后,用户从 IdP 用户门户中单击该 WorkSpaces 应用程序。

  3. 系统在浏览器中将用户重定向到此页面。要打开 WorkSpaces,请在浏览器 WorkSpaces 中选择 Amazon

    打开 WorkSpaces 应用程序重定向页面

  4. WorkSpaces 客户端应用程序现已注册,用户可以继续通过 WorkSpaces Web Access 登录。

WorkSpaces 客户端启动的流程

客户端启动的流程允许用户在登录 IdP WorkSpaces 后登录自己的。

  1. 用户启动 WorkSpaces 客户端应用程序(如果尚未运行),然后单击 “继续” 登录 WorkSpaces

  2. 系统会将用户重定向到其默认 Web 浏览器以登录 IdP。如果用户已经在浏览器中登录 IdP,则无需再次登录,可以跳过此步骤。

  3. 登录 IdP 后,系统会将用户重定向到弹出窗口。按照提示允许您的 Web 浏览器打开客户端应用程序。

    打开客户端应用程序提示。

  4. 用户将被重定向到 WorkSpaces 客户端应用程序以完成对他们的登录 WorkSpace。 WorkSpaces 用户名是从 SAML IdP 2.0 断言中自动填充的。使用基于证书的身份验证 (CBA) 时,用户会自动登录。

  5. 用户已登录他们的 WorkSpace。

WorkSpaces Web 访问启动的流程

Web Access 启动的流程允许用户在登录 Id WorkSpaces P 后登录自己的。

  1. 用户启动 WorkSpaces Web 访问并选择登录

  2. 在同一个浏览器选项卡中,系统将用户重定向到 IdP 门户。如果用户已经在浏览器中登录 IdP,则无需再次登录,可以跳过此步骤。

  3. 登录 IdP 后,用户在浏览器中重定向到此页面,然后单击 “登录”。 WorkSpaces

  4. 用户重定向到 WorkSpaces 客户端应用程序以完成对他们的登录 WorkSpace。 WorkSpaces 用户名是从 SAML IdP 2.0 断言中自动填充的。使用基于证书的身份验证 (CBA) 时,用户会自动登录。

  5. 用户已登录他们的 WorkSpace。