

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Attribute-Based Direitos do aplicativo usando um provedor de identidade Third-Party SAML 2.0
<a name="application-entitlements-saml"></a>

Os direitos de aplicativos controlam o acesso a aplicativos específicos em suas pilhas de WorkSpaces aplicativos. Isso funciona ao usar declarações de atributos SAML 2.0 de um provedor de identidades SAML 2.0 de terceiros. A afirmação corresponde a um valor quando a identidade do usuário é federada em um aplicativo SAML do WorkSpaces Applications 2.0. Se o direito for verdadeiro e o nome e o valor do atributo corresponderem, a identidade do usuário receberá acesso a uma ou mais aplicações na pilha.

Attribute-based os direitos do aplicativo usando um provedor de identidade SAML 2.0 terceirizado não se aplicam nos cenários a seguir. Em outras palavras, o direito é ignorado em casos como os seguintes:
+ WorkSpaces Autenticação do grupo de usuários de aplicativos. Para obter mais informações, consulte [Grupos de usuários de WorkSpaces aplicativos da Amazon](user-pool.md).
+ WorkSpaces Autenticação de URL de streaming de aplicativos. Para obter mais informações, consulte [URL de streaming](use-client-start-streaming-session-streaming-URL.md).
+ O aplicativo de desktop quando as frotas de WorkSpaces aplicativos são configuradas para a **visualização do Desktop Stream**. Para obter mais informações, consulte [Crie uma frota e uma pilha de WorkSpaces aplicativos da Amazon](set-up-stacks-fleets.md).
+ Pilhas que usam o framework dinâmico de aplicações. O framework dinâmico de aplicações fornece recursos específicos de direitos de aplicações. Para obter mais informações, consulte [Direitos de aplicações de um provedor dinâmico de aplicações usando o framework dinâmico de aplicações](dynamic-app-framework.md).
+ Quando os usuários se federam no catálogo de WorkSpaces aplicativos de aplicativos, os direitos do aplicativo exibirão somente os aplicativos aos quais o usuário tem direito. Os aplicativos não estão restritos de serem executados na sessão de WorkSpaces aplicativos. Por exemplo, em uma frota configurada para a visualização de streaming Desktop, um usuário pode iniciar uma aplicação diretamente pela área de trabalho.

## Criar direitos de aplicações
<a name="manage-application-entitlements"></a>

Antes de criar direitos de aplicações, é necessário fazer o seguinte:
+ Crie uma frota e empilhe WorkSpaces aplicativos com uma imagem contendo um ou mais aplicativos (Always-On ou On-Demand frota) ou aplicativos atribuídos (frota elástica) que atenderão às suas necessidades. Para obter mais informações, consulte [Crie uma frota e uma pilha de WorkSpaces aplicativos da Amazon](set-up-stacks-fleets.md).
+ Forneça acesso de usuário à pilha usando um provedor de identidades SAML 2.0 de terceiros. Para obter mais informações, consulte [Integração WorkSpaces de aplicativos da Amazon com SAML 2.0](external-identity-providers.md). Se você estiver usando um provedor de identidade SAML 2.0 existente que você configurou anteriormente, consulte as etapas [Etapa 2: Criar um perfil do IAM de federação SAML 2.0](external-identity-providers-setting-up-saml.md#external-identity-providers-grantperms) para adicionar a TagSession permissão sts: à sua política de confiança da função do IAM. Para obter mais informações, consulte [Passing session tags in AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html). Essa permissão é necessária para usar os direitos de aplicações.

**Como criar direitos de aplicações**

1. [Abra o console de WorkSpaces aplicativos](managing-image-builders-connect-console.md).

1. No painel de navegação à esquerda, escolha **Pilhas** e selecione a pilha para a qual deseja gerenciar direitos de aplicações.

1. Na caixa de diálogo **Direitos de aplicações**, escolha **Criar**.

1. Insira um **Nome** e uma **Descrição** para o direito.

1. Defina o nome e o valor do atributo para o direito.

   Ao mapear atributos, especifique o atributo no formatohttps://aws.amazon.com/SAML/Attributes/PrincipalTag: {TagKey}, onde {TagKey} é um dos seguintes atributos: 
   + perfis
   + department
   + organização
   + groups
   + título
   + costCenter
   + userType

   Os atributos que você definiu são usados para autorizar aplicativos em sua pilha a um usuário quando eles se federam em uma WorkSpaces sessão de aplicativos. O direito funciona por meio da combinação do nome do atributo com um nome de valor de chave na declaração SAML criada durante a federação. Para obter mais informações, consulte [ PrincipalTag Atributo SAML](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-tags.html).
**nota**  
Um ou mais valores podem ser incluídos em qualquer atributo compatível, separados por um sinal de dois pontos (:).   
Por exemplo, as informações de grupos podem ser passadas em um atributo SAML name:groups https://aws.amazon.com/SAML/Attributes/PrincipalTag com o valor “group1:group2:group3” e seu direito pode permitir inscrições com base em um único valor de grupo, ou seja, “group1”. Para obter mais informações, consulte [ PrincipalTag Atributo SAML](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-tags.html).

1. Defina configurações de aplicações na pilha para conceder direito a todas as aplicações ou a aplicações selecionadas. Escolher **Todas as aplicações (\*)** aplica todas as aplicações disponíveis na pilha, incluindo aplicações que serão adicionadas no futuro. Escolher **Selecionar aplicações** filtrará os nomes de aplicações específicos.

1. Revise as configurações e crie o direito. Você pode repetir o processo e criar direitos adicionais. O direito às aplicações em uma pilha será uma união de todos os direitos que correspondem ao usuário com base nos nomes e valores de atributos.

1. Em seu provedor de identidade SAML 2.0, configure os mapeamentos de atributos do aplicativo SAML de seus WorkSpaces aplicativos para enviar o atributo e o valor definidos em seu direito. Quando os usuários se federam no catálogo de WorkSpaces aplicativos de aplicativos, os direitos do aplicativo exibirão somente os aplicativos aos quais o usuário tem direito.

## Catálogo de Multi-Stack aplicativos SAML 2.0
<a name="saml-application-catalog"></a>

Com direitos de aplicação baseados em atributos usando um provedor de identidades SAML 2.0 de terceiros, você pode habilitar o acesso a várias pilhas por um único URL em estado de retransmissão. Remova os parâmetros da pilha e da aplicação (se presentes) do URL do estado de retransmissão, da seguinte forma:

```
https:{{//relay-state-region-endpoint?accountId=aws-account-id-without-hyphens}}
```

Quando os usuários se federam no catálogo de WorkSpaces aplicativos, eles recebem todas as pilhas nas quais os direitos do aplicativo corresponderam a um ou mais aplicativos ao usuário para o ID da conta e o endpoint do estado de retransmissão associados à região em que suas pilhas estão localizadas. Quando um usuário seleciona um catálogo, os direitos de aplicação exibirão somente as aplicações às quais o usuário tem direito. Para obter mais informações, consulte [Etapa 6: configurar o estado de retransmissão da federação](external-identity-providers-setting-up-saml.md#external-identity-providers-relay-state).

**nota**  
Para usar os catálogos de Multi-Stack aplicativos SAML 2.0, você precisa configurar a política embutida para sua função IAM da federação SAML 2.0. Para obter mais informações, consulte [Etapa 3: Incorporar uma política em linha para o perfil do IAM](external-identity-providers-setting-up-saml.md#external-identity-providers-embed-inline-policy-for-IAM-role).