整合 SAML 2.0 與 WorkSpaces 個人 - Amazon WorkSpaces
身分驗證工作流程

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

整合 SAML 2.0 與 WorkSpaces 個人

注意

SAML只有當您的 WorkSpaces 個人目錄透過管理時,才能使用 2.0 AWS Directory Service 包括 Simple AD、AD Connector 和 AWS 管理 Microsoft AD 目錄。此功能不適用於 Amazon 管理的目錄 WorkSpaces,這些目錄通常使用IAM身分識別中心進行使用者身份驗證,而不是 SAML 2.0 聯合。

將 SAML 2.0 與您 WorkSpaces 的桌面工作階段驗證整合,可讓您的使用者透過其預設網頁瀏覽器使用其現有的 SAML 2.0 身分識別提供者 (IdP) 認證和驗證方法。透過使用您的 IdP 驗證使用者 WorkSpaces,您可以採用 IdP 功能 (例如多因素驗證和情境式存取原則) 來進行保護 WorkSpaces 。

身分驗證工作流程

下列各節說明用 WorkSpaces 戶端應用程式、 WorkSpaces Web 存取和 SAML 2.0 身分識別提供者 (IdP) 所起始的驗證工作流程:

  • 由 IdP 初始化流程時。例如,當使用者在網頁瀏覽器的 IdP 使用者入口網站中選擇應用程式時。

  • WorkSpaces 用戶端初始化流程時。例如,當使用者開啟用戶端應用程式並登入時。

  • 流程由 WorkSpaces Web 存取起始時。例如,當使用者在瀏覽器中開啟 Web 存取並登入時。

在這些範例中,使用者輸入 user@example.com 以登入 IdP。IdP 具有為 WorkSpaces 目錄設定的 SAML 2.0 服務提供者應用程式,且使用者已獲得 WorkSpaces SAML 2.0 應用程式的授權。用戶在啟用 WorkSpace SAML 2.0 身份驗證的目錄中為其用戶名創建一個。user此外,使用者在其裝置上安裝用WorkSpaces 戶端應用程式,或使用者在 Web 瀏覽器中使用 Web Access。

身分提供者 (IdP) 起始的流程搭配用戶端應用程式

IDP 啟動的流程可讓使用者在其裝置上自動註冊用 WorkSpaces 戶端應用程式,而無需輸入註 WorkSpaces 冊碼。使用者不會 WorkSpaces 使用 IDP 起始的流程登入其。 WorkSpaces 驗證必須來自用戶端應用程式。

  1. 使用者可使用其網頁瀏覽器來登入 IdP。

  2. 登入 IdP 後,使用者會從 IdP 使用者入口網站選擇 WorkSpaces 應用程式。

  3. 使用者會在瀏覽器中重新導向至此頁面,並自動開啟用 WorkSpaces 戶端應用程式。

    打開 WorkSpaces 應用程序重定向

  4. 用 WorkSpaces 戶端應用程式現已註冊,使用者可以按一下繼續登入以繼續登入 WorkSpaces

身分提供者 (IdP) 起始的流程搭配 Web Access

IDP 啟動的 Web Access 流程可讓使用者 WorkSpaces 透過網頁瀏覽器自動註冊,而無需輸入註 WorkSpaces 冊碼。使用者不會 WorkSpaces 使用 IDP 起始的流程登入其。 WorkSpaces 驗證必須來自 Web 存取。

  1. 使用者可使用其網頁瀏覽器來登入 IdP。

  2. 登入 IdP 後,使用者會從 IdP 使用者入口網站按一下 WorkSpaces 應用程式。

  3. 使用者會在瀏覽器中重新導向至此頁面。要打開 WorkSpaces,請在瀏覽器 WorkSpaces 中選擇 Amazon

    打開 WorkSpaces 應用程序重定向

  4. 用 WorkSpaces 戶端應用程式現已註冊,使用者可以透過 WorkSpaces Web Access 繼續登入。

WorkSpaces 用戶端啟動流程

用戶端啟動的流程可讓使用者在登入 IdP WorkSpaces 後登入其。

  1. 使用者啟動用 WorkSpaces 戶端應用程式 (如果尚未執行),然後按一下 [繼續] 以登入 WorkSpaces

  2. 系統會將使用者重新導向至其預設網頁瀏覽器,以登入 IdP。如果使用者已在其瀏覽器中登入 IdP,則不需要再次登入,而且會略過此步驟。

  3. 登入 IdP 後,使用者會被重新導向至快顯視窗。遵循提示,允許您的網頁瀏覽器開啟用戶端應用程式。

    開啟用戶端應用程式提示。

  4. 系統會將使用者重新導向至用 WorkSpaces 戶端應用程式,以完成登入 WorkSpace。 WorkSpaces 使用者名稱會自動從 IdP SAML 2.0 宣告填入。當您使用憑證型驗證 (CBA) 時,會自動登入使用者。

  5. 使用者已登入他們的 WorkSpace。

WorkSpaces Web 存取啟動的流程

Web 存取啟動的流程可讓使用者在登入 IdP WorkSpaces 後登入其。

  1. 使用者啟動 WorkSpaces Web 存取,然後選擇 [登入]。

  2. 在相同的瀏覽器索引標籤中,使用者會重新導向至 IdP 入口網站。如果使用者已在其瀏覽器中登入 IdP,則不需要再次登入,而且可略過此步驟。

  3. 登入 IdP 後,使用者會在瀏覽器中重新導向至此頁面,然後按一下 [登入至 WorkSpaces]。

  4. 重新導向至用 WorkSpaces 戶端應用程式以完成登入的使用者 WorkSpace。 WorkSpaces 使用者名稱會自動從 IdP SAML 2.0 宣告填入。當您使用憑證型驗證 (CBA) 時,會自動登入使用者。

  5. 使用者已登入他們的 WorkSpace。