

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configurar SAML 2.0 para personal WorkSpaces
<a name="setting-up-saml"></a>

Habilite el registro de las aplicaciones WorkSpaces cliente y el inicio de sesión WorkSpaces para sus usuarios mediante sus credenciales de proveedor de identidad (IdP) de SAML 2.0 y sus métodos de autenticación configurando la federación de identidades mediante SAML 2.0. Para configurar la federación de identidades mediante SAML 2.0, usa un rol de IAM y una URL de estado de retransmisión para configurar tu IdP y habilitarlo. AWS Esto permite a los usuarios federados acceder a un directorio. WorkSpaces El estado de retransmisión es el punto final del WorkSpaces directorio al que se redirige a los usuarios después de iniciar AWS sesión correctamente. 

**Topics**
+ [Requisitos](#setting-up-saml-requirements)
+ [Requisitos previos](#setting-up-saml-prerequisites)
+ [Paso 1: Crear un proveedor de identidades SAML en IAM AWS](#create-saml-identity-provider)
+ [Paso 2: crear un rol de IAM de federación de SAML 2.0](#create-saml-iam-role)
+ [Paso 3: incrustar una política en línea para el rol de IAM](#embed-inline-policy)
+ [Paso 4: configurar el proveedor de identidades de SAML 2.0](#configure-saml-id-provider)
+ [Paso 5: crear declaraciones para la respuesta de autenticación SAML](#create-assertions-saml-auth)
+ [Paso 6: configurar el estado de retransmisión de la federación](#configure-relay-state)
+ [Paso 7: Habilita la integración con SAML 2.0 en tu directorio WorkSpaces](#enable-integration-saml)

## Requisitos
<a name="setting-up-saml-requirements"></a>
+ La autenticación SAML 2.0 está disponible en las siguientes regiones:
  + Región Este de EE. UU. (Norte de Virginia)
  + Región del Oeste de EE. UU (Oregón)
  + Región África (Ciudad del Cabo)
  + Región de Asia-Pacífico (Mumbai)
  + Región de Asia-Pacífico (Seúl)
  + Región de Asia-Pacífico (Singapur)
  + Región de Asia-Pacífico (Sídney)
  + Región de Asia-Pacífico (Tokio)
  + Región de Canadá (centro)
  + Región de Europa (Fráncfort)
  + Región de Europa (Irlanda)
  + Región de Europa (Londres)
  + Región de América del Sur (São Paulo)
  + Región Israel (Tel Aviv)
  + AWS GovCloud (EE. UU.-Oeste)
  + AWS GovCloud (EE. UU.-Este)
+ Para utilizar la autenticación SAML 2.0 con WorkSpaces, el IdP debe admitir el SSO iniciado por un IdP no solicitado con un recurso de destino de enlace profundo o una URL de punto final de estado de retransmisión. Algunos ejemplos IdPs son ADFS, Azure AD, Duo Single Sign-On, Okta y. PingFederate PingOne Para obtener más información, consulte la documentación de su IdP.
+ La autenticación SAML 2.0 funcionará si se WorkSpaces inicia con Simple AD, pero no se recomienda porque Simple AD no se integra con SAML 2.0. IdPs
+ La autenticación SAML 2.0 se admite en los siguientes clientes. WorkSpaces Otras versiones de los clientes no son compatibles con la autenticación SAML 2.0. Abre Amazon WorkSpaces [Client Downloads](https://clients.amazonworkspaces.com/) para encontrar las versiones más recientes:
  + Aplicación cliente de Windows (versión 5.1.0.3029 o posterior)
  + Cliente para macOS (versión 5.x o posterior)
  + Cliente Linux para Ubuntu 22.04, versión 2024.1 o posterior, Ubuntu 20.04, versión 24.1 o posterior
  + Acceso web

  Las demás versiones del cliente no podrán conectarse a la autenticación WorkSpaces habilitada para SAML 2.0 a menos que esté habilitada la opción alternativa. Para obtener más información, consulte [Habilitar la autenticación SAML 2.0 en el directorio](https://d1.awsstatic.com/workspaces-saml-guide.pdf). WorkSpaces 

Para step-by-step obtener instrucciones sobre cómo integrar SAML 2.0 WorkSpaces con ADFS, Azure AD, Duo Single Sign-On, Okta PingFederate y PingOne para empresas, consulte la OneLogin Guía de implementación de la autenticación de [Amazon WorkSpaces ](https://d1.awsstatic.com/workspaces-saml-guide.pdf) SAML.

## Requisitos previos
<a name="setting-up-saml-prerequisites"></a>

Complete los siguientes requisitos previos antes de configurar la conexión del proveedor de identidad (IdP) de SAML 2.0 a un directorio. WorkSpaces 

1. Configure su IdP para integrar las identidades de usuario del Microsoft Active Directory que se utiliza con el WorkSpaces directorio. En el caso de un usuario con a WorkSpace, **los atributos de AMAccount nombre** y **correo electrónico** del usuario de Active Directory y los valores de notificación de SAML deben coincidir para que el usuario inicie sesión WorkSpaces con el IdP. Para obtener más información sobre la integración de Active Directory con el IdP, consulte la documentación del IdP.

1. Configure el IdP para establecer una relación de confianza con AWS.
   + Consulte [Integrar proveedores de soluciones SAML de terceros AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html) para obtener más información sobre la configuración de la federación. AWS Los ejemplos relevantes incluyen la integración del IdP con AWS IAM para acceder a la AWS consola de administración.
   + Use su IdP para generar y descargar un documento de metadatos de federación que describa su organización como proveedor de identidades. Este documento XML firmado se utiliza para establecer la relación de confianza. Guarde este archivo en una ubicación a la que pueda acceder desde la consola de IAM en otro momento.

1. Cree o registre un directorio WorkSpaces mediante la consola de WorkSpaces administración. Para obtener más información, consulte [Administrar directorios para WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-directory.html). La autenticación SAML 2.0 para WorkSpaces se admite en los siguientes tipos de directorios:
   + Conector de AD
   + AWS Microsoft AD gestionado

1. Cree una WorkSpace para un usuario que pueda iniciar sesión en el IdP mediante un tipo de directorio compatible. Puede crear una WorkSpace mediante la consola WorkSpaces de administración o AWS CLI la WorkSpaces API. Para obtener más información, consulte [Lanzar un escritorio virtual mediante WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html). 

## Paso 1: Crear un proveedor de identidades SAML en IAM AWS
<a name="create-saml-identity-provider"></a>

En primer lugar, cree un IdP de SAML en IAM. AWS Este IdP define la relación entre el IDP y la AWS confianza de su organización mediante el documento de metadatos generado por el software de IdP de su organización. Para obtener más información, consulte [Creación y administración de un proveedor de identidades de SAML (consola de administración de Amazon Web Services)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console). Para obtener información sobre cómo trabajar con SAML IdPs en AWS GovCloud (EE. UU. Oeste) y AWS GovCloud (EE. UU. Este), consulte [AWS Identity and Access Management](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html). 

## Paso 2: crear un rol de IAM de federación de SAML 2.0
<a name="create-saml-iam-role"></a>

A continuación, creará un rol de IAM de federación de SAML 2.0. Este paso se establece una relación de confianza entre IAM y el proveedor de identidades de su organización, que identifica el proveedor de identidades como una entidad de confianza para la federación.

Para crear un rol de IAM para el IdP de SAML

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Roles** > **Crear rol**.

1.  Para **Tipo de rol**, seleccione **Federación con SAML 2.0**. 

1.  Para **Proveedor de SAML**, seleccione el IdP de SAML que ha creado. 
**importante**  
No elija ninguno de los dos métodos de acceso de SAML 2.0 (**Permitir solo acceso mediante programación** o **Permitir acceso mediante programación y mediante la consola de administración de Amazon Web Services**).

1. Para **Attribute**, elija **SAML:sub\_type**.

1. En **Valor**, ingrese `persistent`. Este valor restringe el acceso del rol a solicitudes de transmisión de usuario de SAML que incluyan una aserción de tipo de sujeto de SAML con un valor de persistent. Si SAML:sub\_type es persistente, el IdP envía el mismo valor único para el elemento NameID en todas las solicitudes de SAML desde un usuario particular. [Para obtener más información sobre la afirmación SAML:sub\_type, consulta la sección Cómo **identificar de forma exclusiva a los usuarios en la federación basada en SAML en Cómo utilizar la federación basada en SAML** para el acceso a la API. AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring)

1. Revise su información de confianza de SAML 2.0, confirmando la entidad de confianza y la condición correctas y, a continuación, elija **Siguiente: Permisos**. 

1. En la página **Asociar políticas de permisos**, seleccione **Siguiente: Etiquetas**.

1. (Opcional) Especifique una clave y un valor para cada etiqueta que desee añadir. Para obtener más información, consulte [Etiquetado de usuarios y roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html).

1. Cuando haya terminado, seleccione **Siguiente: Revisar**. Posteriormente, creará e incrustará una política en línea para este rol.

1. En **Nombre del rol**, introduzca un nombre de rol que le sea útil para identificar su propósito. Dado que múltiples entidades pueden hacer referencia al rol, no se puede editar el nombre del rol una vez que se haya creado.

1. (Opcional) En **Descripción del rol**, escriba una descripción para el nuevo rol.

1. Revise los detalles del rol y seleccione **Crear rol**.

1. Añada el permiso sts: TagSession a la política de confianza de su nueva función de IAM. Para obtener más información, consulte [Transferencia de etiquetas de sesión en AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html). En la página de detalles del nuevo rol de IAM, seleccione la pestaña **Relaciones de confianza** y, a continuación, seleccione **Editar la relación de confianza**. Cuando se abra el editor de políticas de Editar relaciones de confianza, añada el permiso **sts: TagSession \*** de la siguiente manera:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Federated": "arn:aws:iam::{{111122223333}}:saml-provider/IDENTITY-PROVIDER"
               },
               "Action": [
                   "sts:AssumeRoleWithSAML",
                   "sts:TagSession"
               ],
               "Condition": {
                   "StringEquals": {
                       "SAML:aud": "https://signin.aws.amazon.com/saml"
                   }
               }
           }
       ]
   }
   ```

------

Sustituya `IDENTITY-PROVIDER` por el nombre del IdP de SAML que ha creado en el paso 1. A continuación, seleccione **Actualizar la política de confianza**.

## Paso 3: incrustar una política en línea para el rol de IAM
<a name="embed-inline-policy"></a>

A continuación, incruste una política de IAM en línea para el rol que ha creado. Al incrustar una política en línea, los permisos en la política no se pueden asociar de forma accidental a una entidad principal incorrecta. La política en línea proporciona a los usuarios federados acceso al WorkSpaces directorio.

**importante**  
Esta acción no admite políticas de IAM para gestionar el acceso en AWS función de la IP de origen. `workspaces:Stream` Para administrar los controles de acceso IP WorkSpaces, utilice los [grupos de control de acceso IP](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-ip-access-control-groups.html). Además, al usar la autenticación de SAML 2.0, puede usar políticas de control de acceso IP si están disponibles en el IdP de SAML 2.0.

1. En los detalles del rol de IAM que ha creado, seleccione la pestaña **Permisos** y, a continuación, añada los permisos necesarios a la política de permisos del rol. Se inicia el **Asistente de creación de políticas**.

1. En **Crear política**, elija la pestaña **JSON**.

1. Copie y pegue la siguiente política JSON en la ventana de JSON. A continuación, modifique el recurso introduciendo el código de AWS región, el identificador de cuenta y el identificador de directorio. En la siguiente política, `"Action": "workspaces:Stream"` es la acción que proporciona a WorkSpaces los usuarios permisos para conectarse a sus sesiones de escritorio en el WorkSpaces directorio.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "workspaces:Stream",
               "Resource": "arn:aws:workspaces:us-east-1:123456789012:directory/DIRECTORY-ID",
               "Condition": {
                   "StringEquals": {
                       "workspaces:userId": "${saml:sub}"
                   }
               }
           }
       ]
   }
   ```

------

   `REGION-CODE`Sustitúyala por la AWS región en la que se encuentra tu WorkSpaces directorio. `DIRECTORY-ID`Sustitúyalo por el identificador del WorkSpaces directorio, que se encuentra en la consola WorkSpaces de administración. Para los recursos en AWS GovCloud (EE. UU. Oeste) o AWS GovCloud (EE. UU. Este), utilice el siguiente formato para el ARN:. `arn:aws-us-gov:workspaces:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:directory/DIRECTORY-ID`

1. Cuando haya terminado, elija **Revisar política**. El [validador de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) notificará los errores de sintaxis.

## Paso 4: configurar el proveedor de identidades de SAML 2.0
<a name="configure-saml-id-provider"></a>

[A continuación, en función del IdP de SAML 2.0, es posible que tengas que actualizar manualmente tu IdP para que sea AWS confiable como proveedor de servicios cargando `saml-metadata.xml` el archivo saml-metadata.xml a https://signin.aws.amazon.com/static/ tu IdP.](https://signin.aws.amazon.com/static/saml-metadata.xml) En este paso se actualizan los metadatos de su proveedor de identidades. En el caso de algunos IdPs, es posible que la actualización ya esté configurada. En tal caso, continúe en el paso siguiente.

Si esta actualización aún no está configurada en su IdP, revise la documentación facilitada por su proveedor de identidad para obtener información acerca de cómo actualizar los metadatos. Algunos proveedores ofrecen la opción de escribir la URL y de que el IdP obtenga e instale el archivo automáticamente. Otros requieren que descargue el archivo de la URL y, a continuación, lo proporcione como archivo local.

**importante**  
En este momento, también puede autorizar a los usuarios de su IdP a acceder a la WorkSpaces aplicación que ha configurado en su IdP. A los usuarios que están autorizados a acceder a la WorkSpaces aplicación de su directorio no se les WorkSpace crea automáticamente una. Del mismo modo, los usuarios que hayan WorkSpace creado una para ellos no están autorizados automáticamente a acceder a la WorkSpaces aplicación. Para conectarse correctamente a una autenticación WorkSpace mediante SAML 2.0, el IdP debe autorizar al usuario y tener WorkSpace un creado.

**nota**  
Si sus usuarios finales cambian con frecuencia entre varias identidades de WorkSpaces usuario diferentes mientras utilizan el mismo proveedor de identidades (IdP) de SAML 2.0, asegúrese de que su IdP esté configurado para forzar la autenticación ForceAuthn () en cada intento de inicio de sesión. Esto evita que su IdP vuelva a utilizar una sesión de SSO existente, lo que podría provocar errores de autenticación cuando los usuarios cambien a otra. WorkSpace Consulte la documentación de su IdP para obtener instrucciones sobre cómo habilitar la configuración ForceAuthn (o una equivalente).

## Paso 5: crear declaraciones para la respuesta de autenticación SAML
<a name="create-assertions-saml-auth"></a>

A continuación, configure la información que su IdP envía AWS como atributos de SAML en su respuesta de autenticación. Según su IdP, ya está configurado, omita este paso y continúe con el [Paso 6: configurar el estado de retransmisión de su federación](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#configure-relay-state).

Si esta información no está configurada en su IdP, proporcione lo siguiente:
+ **NameID del sujeto de SAML**: el identificador único del usuario que está iniciando sesión. El valor debe coincidir con el nombre WorkSpaces de usuario y, por lo general, es el atributo **s AMAccount Name** del usuario de Active Directory.
+ **Tipo de sujeto de SAML** (con un valor establecido en `persistent`): al establecer el valor en `persistent` se garantiza que el IdP envíe el mismo valor único para el elemento `NameID` en todas las solicitudes de SAML de un usuario particular. Asegúrese de que su política de IAM incluya una condición para permitir solo las solicitudes de SAML con un SAML sub\_type configurado como `persistent`, tal como se describe en [Paso 2: crear un rol de IAM de federación de SAML 2.0](https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-setting-up-saml.html#external-identity-providers-grantperms).
+ **Elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/Role`**: este elemento incluye uno o varios elementos `AttributeValue` que enumera el rol de IAM y el IdP de SAML a los que el IdP ha asignado al usuario. El rol y el IdP se especifican como un par delimitado por comas de. ARNs Un ejemplo del valor esperado es `arn:aws:iam::ACCOUNTNUMBER:role/ROLENAME,arn:aws:iam::ACCOUNTNUMBER:saml-provider/PROVIDERNAME`.
+ **`Attribute`elemento con el `Name` atributo establecido** en`https://aws.amazon.com/SAML/Attributes/RoleSessionName`: este elemento contiene un `AttributeValue` elemento que proporciona un identificador para las credenciales AWS temporales que se emiten para el SSO. El valor del elemento `AttributeValue` debe tener entre 2 y 64 caracteres, solo puede contener caracteres alfanuméricos, guiones bajos y los siguientes caracteres: **\_ . : / = \+ - @**. No puede contener espacios. Normalmente, el valor es una dirección de correo electrónico o un nombre principal de un usuario (UPN). No debe ser un valor que contenga un espacio, como el nombre visible de un usuario.
+ **Elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email`**: este elemento incluye un elemento `AttributeValue` que proporciona la dirección de correo electrónico del usuario. El valor debe coincidir con la dirección WorkSpaces de correo electrónico del usuario definida en el WorkSpaces directorio. Los valores de las etiquetas pueden incluir combinaciones de letras, números, espacios y caracteres **\_ . : / = \+ - @**. Para obtener más información, consulte [Reglas para etiquetar en IAM y AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules) en la *Guía del usuario de IAM*.
+ **Elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName` (opcional)**: este elemento contiene un elemento `AttributeValue` que proporciona el `userPrincipalName` de Active Directory del usuario que inicia sesión. El formato del valor que proporcione debe ser `username@domain.com`. Este parámetro se usa con la autenticación basada en certificados como nombre alternativo del sujeto en el certificado del usuario final. Para obtener más información, consulte Autenticación basada en certificados.
+ **Elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid` (opcional)**: este elemento contiene un elemento `AttributeValue` que proporciona el identificador de seguridad (SID) de Active Directory del usuario que inicia sesión. Este parámetro se usa con la autenticación basada en certificados para permitir una asignación firme con el usuario de Active Directory. Para obtener más información, consulte Autenticación basada en certificados.
+ **Elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ClientUserName` (opcional)**: este elemento contiene un elemento `AttributeValue` que proporciona un formato de nombre de usuario alternativo. Utilice este atributo si tiene casos de uso que requieren formatos de nombre de usuario como `corp\username``corp.example.com\username`, o `username@corp.example.com` para iniciar sesión con el WorkSpaces cliente. Las claves y los valores de las etiquetas puede incluir cualquier combinación de letras, números, espacios y los caracteres **\_ : / . \+ = @ -**. Para obtener más información, consulte [Reglas para etiquetar en IAM y AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules) en la *Guía del usuario de IAM*. Para reclamar los formatos `corp\username` o `corp.example.com\username`, sustituya **\\** por **/** en la aserción SAML.
+ **`Attribute`elemento con el `Name` atributo establecido en https://aws.amazon.com/SAML/ Attributes/:Domain PrincipalTag (opcional): este elemento contiene un elemento `AttributeValue` que proporciona el nombre de dominio** completo (FQDN) de DNS de Active Directory para que los usuarios inicien sesión. Este parámetro se usa con la autenticación basada en certificados cuando el `userPrincipalName` de Active Directory del usuario contiene un sufijo alternativo. El valor debe proporcionarse en `domain.com`, incluidos los subdominios.
+ **`Attribute`elemento con el `Name` atributo establecido en https://aws.amazon.com/SAML/ Attributes/ SessionDuration (opcional)**: este elemento contiene un `AttributeValue` elemento que especifica el tiempo máximo que una sesión de streaming federada de un usuario puede permanecer activa antes de que sea necesario volver a autenticarse. El valor predeterminado es de 3600 segundos (60 minutos). Para obtener más información, consulte la [`SessionDurationAttribute` de SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration). 
**nota**  
Aunque `SessionDuration` es un atributo opcional, se recomienda incluirlo en la respuesta de SAML. Si no especificas este atributo, la duración de la sesión se establece en un valor predeterminado de 3600 segundos (60 minutos). WorkSpaces Las sesiones de escritorio se desconectan una vez expirada la duración de la sesión.

Para obtener más información acerca de cómo configurar estos elementos, consulte [Configuración de aserciones SAML para la respuesta de autenticación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) en la *Guía del usuario de IAM*. Para obtener información sobre los requisitos de configuración específicos de su IdP, consulte la documentación de su IdP.

## Paso 6: configurar el estado de retransmisión de la federación
<a name="configure-relay-state"></a>

A continuación, utilice su IdP para configurar el estado de retransmisión de su federación para que apunte a la URL del estado de retransmisión del WorkSpaces directorio. Tras la correcta autenticación AWS, se dirige al usuario al punto final del WorkSpaces directorio, definido como el estado de retransmisión en la respuesta de autenticación SAML.

Este es el formato de la URL del estado de retransmisión:

```
https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code
```

Cree la URL del estado de retransmisión a partir del código de registro del WorkSpaces directorio y el punto final del estado de retransmisión asociado a la región en la que se encuentra el directorio. El código de registro se encuentra en la consola WorkSpaces de administración.

Si lo prefiere, si utiliza la redirección entre regiones WorkSpaces, puede sustituir el código de registro por el nombre de dominio completo (FQDN) asociado a los directorios de las regiones principal y de conmutación por error. Para obtener más información, consulta [Redireccionamiento entre regiones para Amazon](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html). WorkSpaces Cuando se utiliza el redireccionamiento entre regiones y la autenticación SAML 2.0, los directorios principal y de conmutación por error deben estar habilitados para la autenticación SAML 2.0 y configurarse de forma independiente con el IdP, mediante el punto de conexión de estado de retransmisión asociado a cada región. Esto permitirá configurar correctamente el FQDN cuando los usuarios registren sus aplicaciones WorkSpaces cliente antes de iniciar sesión, y permitirá a los usuarios autenticarse durante un evento de conmutación por error.

En la siguiente tabla se enumeran los puntos finales del estado de retransmisión de las regiones en las que está disponible la autenticación WorkSpaces SAML 2.0.


**Regiones en las que está WorkSpaces disponible la autenticación SAML 2.0**  

| Region | Punto de conexión del estado de retransmisión | 
| --- | --- | 
| Región Este de EE. UU. (Norte de Virginia) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/setting-up-saml.html) | 
| Región del Oeste de EE. UU (Oregón) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/setting-up-saml.html) | 
| Región África (Ciudad del Cabo) | workspaces.euc-sso.us-east-1.aws.amazon.com | 
| Región de Asia-Pacífico (Mumbai) | workspaces.euc-sso.ap-south-1.aws.amazon.com | 
| Región de Asia-Pacífico (Seúl) | workspaces.euc-sso.ap-northeast-2.aws.amazon.com | 
| Región de Asia-Pacífico (Singapur) | workspaces.euc-sso.ap-southeast-1.aws.amazon.com | 
| Región de Asia-Pacífico (Sídney) | workspaces.euc-sso.ap-southeast-1.aws.amazon.com | 
| Región de Asia-Pacífico (Tokio) | workspaces.euc-sso.ap-northeast-2.aws.amazon.com | 
| Región de Canadá (centro) | workspaces.euc-sso.us-east-1.aws.amazon.com | 
| Región de Europa (Fráncfort) | workspaces.euc-sso.eu-central-1.aws.amazon.com | 
| Región de Europa (Irlanda) | workspaces.euc-sso.eu-west-1.aws.amazon.com | 
| Región de Europa (Londres) | workspaces.euc-sso.eu-west-1.aws.amazon.com | 
| Región de América del Sur (São Paulo) | workspaces.euc-sso.sa-east-1.aws.amazon.com | 
| Región Israel (Tel Aviv) | workspaces.euc-sso.il-central-1.aws.amazon.com | 
| AWS GovCloud (EE. UU.-Oeste) |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/setting-up-saml.html)  Para obtener más información, consulta la *Guía del usuario WorkSpaces de [Amazon](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)AWS GovCloud (EE. UU.)*.   | 
| AWS GovCloud (Este de EE. UU.) |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/setting-up-saml.html)  Para obtener más información, consulta la *Guía del usuario WorkSpaces de [Amazon](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)AWS GovCloud (EE. UU.)*.   | 

Con un flujo iniciado por un proveedor de identidades (IdP), puede optar por especificar el cliente que desea usar para la federación de SAML 2.0. Para ello, especifique `native` o `web` al final de la URL del estado de retransmisión, después de `&client=`. Si el parámetro se especifica en una URL de estado de retransmisión, las sesiones correspondientes se iniciarán automáticamente en el cliente especificado.

## Paso 7: Habilita la integración con SAML 2.0 en tu directorio WorkSpaces
<a name="enable-integration-saml"></a>

Puede usar la WorkSpaces consola para habilitar la autenticación SAML 2.0 en el WorkSpaces directorio.

**Para activar la integración con SAML 2.0**

1. [Abre la WorkSpaces consola en la versión 2/homehttps://console.aws.amazon.com/workspaces/.](https://console.aws.amazon.com/workspaces/v2/home)

1. En el panel de navegación, elija **Directories (Directorios)**.

1. Elija el ID de directorio para su. WorkSpaces

1. En **Autenticación**, elija **Editar**.

1. Seleccione **Editar proveedor de identidad de SAML 2.0**.

1. Seleccione **Habilitar la autenticación SAML**.

1. En ** URL de acceso del usuario** y **Nombre del parámetro de enlace profundo del IdP**, introduzca los valores aplicables a su IdP y a la aplicación que ha configurado en el paso 1. El valor predeterminado del nombre del parámetro de enlace profundo del IdP es RelayState «» si se omite este parámetro. En la siguiente tabla se enumeran las URL de acceso de los usuarios y los nombres de los parámetros que son exclusivos de los distintos proveedores de identidad de las aplicaciones.   
**Dominios y direcciones IP para agregar a la lista de permitidos**    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/setting-up-saml.html)

   El proveedor suele definir la URL de acceso del usuario para el SSO iniciado por un IdP no solicitado. Un usuario puede introducir esta URL en un navegador web para federarse directamente con la aplicación SAML. Para probar la URL de acceso del usuario y los valores de los parámetros de su IdP, elija **Probar**. Copie y pegue la URL de prueba en una ventana privada de su navegador actual o de otro navegador para probar el inicio de sesión con SAML 2.0 sin interrumpir la sesión actual de la consola AWS de administración. Cuando se abra el flujo iniciado por el IdP, podrá registrar a su WorkSpaces cliente. Para obtener más información, consulte [Flujo iniciado por el proveedor de identidades (IdP)](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html).

1. Para administrar la configuración alternativa, active o desactive **Permitir que los clientes que no sean compatibles con SAML 2.0 inicien sesión**. Active esta configuración para seguir proporcionando a sus usuarios el acceso al WorkSpaces uso de tipos de clientes o versiones que no sean compatibles con SAML 2.0 o si los usuarios necesitan tiempo para actualizar a la última versión del cliente.
**nota**  
Esta configuración permite a los usuarios omitir SAML 2.0 e iniciar sesión mediante la autenticación de directorio con versiones de cliente anteriores.

1. Para usar SAML con el cliente web, habilite Acceso web. Para obtener más información, consulte [Habilitar y configurar Amazon WorkSpaces Web Access](https://docs.aws.amazon.com/workspaces/latest/adminguide/web-access.html).
**nota**  
PCoWeb Access no admite IP con SAML.

1. Seleccione **Save**. Su WorkSpaces directorio ahora está habilitado con la integración de SAML 2.0. Puede utilizar los flujos iniciados por el IdP y por la aplicación cliente para registrar las aplicaciones WorkSpaces cliente e iniciar sesión en ellas. WorkSpaces