As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configurando seu provedor de identidade no Amazon WorkSpaces Secure Browser
<a name="configure-idp-step1"></a>

Conclua as etapas a seguir para configurar seu provedor de identidades:

1. Na página **Configurar o provedor de identidade** do assistente de criação, escolha **Padrão**.

1. Escolha **Continuar com o IdP padrão**.

1. Faça o download do arquivo de metadados do SP e mantenha a guia aberta para os valores de metadados individuais.
   + Se o arquivo de metadados do SP estiver disponível, escolha **Baixar arquivo de metadados** para baixar o documento de metadados do provedor de serviços (SP) e carregar o arquivo de metadados do provedor de serviços no IdP na próxima etapa. Sem isso, os usuários não conseguirão fazer login.
   + Se seu provedor não fizer upload dos arquivos de metadados do SP, insira manualmente os valores dos metadados.

1. Em **Escolher tipo de login SAML**, escolha entre **declarações de SAML iniciadas pelo SP e iniciadas pelo IdP** ou **somente declarações de SAML iniciadas pelo SP**.
   + As **declarações de SAML iniciadas pelo SP e pelo IdP** permitem que seu portal ofereça suporte aos dois tipos de fluxos de login. Os portais que oferecem suporte a fluxos iniciados pelo IdP permitem que você apresente declarações de SAML ao endpoint da federação de identidade de serviço sem exigir que os usuários iniciem uma sessão visitando a URL do portal. 
     + Escolha essa opção para permitir que o portal aceite declarações de SAML não solicitadas iniciadas pelo IdP. 
     + Essa opção exige que um **estado de retransmissão padrão** seja configurado em seu provedor de identidade SAML 2.0. O parâmetro de estado de retransmissão do seu portal está no console em **login de SAML iniciado por IdP**, ou você pode copiá-lo do arquivo de metadados SP em `<md:IdPInitRelayState>`.
     +  Observação
       + O formato a seguir representa o estado de retransmissão: `redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider`. 
       + Se você copiar e colar o valor do arquivo de metadados do SP, certifique-se de alterar `&amp; ` para `&`. `&amp;` é um caractere de escape de XML.
   + Escolha somente **declarações de SAML iniciadas pelo SP** para que o portal ofereça suporte somente aos fluxos de login iniciados pelo SP. Essa opção rejeitará declarações de SAML não solicitadas de fluxos de login iniciados pelo IdP. 
**nota**  
Alguns terceiros IdPs permitem que você crie um aplicativo SAML personalizado que pode oferecer experiências de autenticação iniciadas pelo IdP aproveitando fluxos iniciados pelo SP. Consulte um exemplo em [Add an Okta bookmark application](https://help.okta.com/oag/en-us/content/topics/access-gateway/add-app-saml-pass-thru-add-bookmark.htm).

1. Escolha se você deseja habilitar **Assinar solicitações de SAML para esse provedor**. A autenticação iniciada pelo SP permite que o IdP valide se a solicitação de autenticação está vindo do portal, o que impede a aceitação de outras solicitações de terceiros. 

   1. Baixe o certificado de assinatura e faça o upload para o seu IdP. O mesmo certificado de assinatura pode ser usado para um único logout.

   1. Habilitar a solicitação assinada em seu IdP. O nome pode ser diferente, dependendo do IdP.
**nota**  
RSA- SHA256 é o único algoritmo de solicitação e assinatura de solicitação padrão suportado.

1. Escolha se você deseja habilitar **Exigir declarações de SAML criptografadas**. Isso permite que você criptografe a declaração de SAML que vem do seu IdP. Isso pode impedir que os dados sejam interceptados em declarações SAML entre o IdP e o Secure Browser. WorkSpaces 
**nota**  
O certificado de criptografia não está disponível nessa etapa. Ele será criado após o portal ser iniciado. Depois de iniciar o portal, baixe o certificado de criptografia e faça o upload para o IdP. Em seguida, habilite a criptografia de declaração em seu IdP (o nome pode ser diferente, dependendo do IdP). 

1. Escolha se você deseja ativar o **Logout único**. O logout único permite que seus usuários finais saiam da sessão do IdP WorkSpaces e do Secure Browser com uma única ação.

   1. Baixe o certificado de assinatura do WorkSpaces Secure Browser e carregue-o em seu IdP. Esse é o mesmo certificado de assinatura usado para **Solicitar assinatura** na etapa anterior.

   1. Usar o **Logout único** exige que você configure um **URL de logout único** no seu provedor de identidade SAML 2.0. Você pode encontrar o **URL de logout único** do seu portal no console em **Detalhes do provedor de serviços (SP) - Mostrar valores de metadados individuais** ou do arquivo de metadados SP em `<md:SingleLogoutService>`. 

   1. Habilitar **logout único** em seu IdP. O nome pode ser diferente, dependendo do IdP.