As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurar o SAML 2.0 para uso pessoal WorkSpaces
Ative o registro e o login WorkSpaces do aplicativo cliente WorkSpaces para seus usuários usando as credenciais do provedor de identidade (IdP) e os métodos de autenticação do SAML 2.0 configurando a federação de identidades usando o SAML 2.0. Para definir a federação de identidades usando o SAML 2.0, use o perfil do IAM e o URL de estado de retransmissão para configurar o IdP e habilitar a AWS. Isso concede aos usuários federados acesso a um WorkSpaces diretório. O estado de retransmissão é o endpoint do WorkSpaces diretório para o qual os usuários são encaminhados após o login bem-sucedido. AWS
**Topics**
+ [Requisitos](#setting-up-saml-requirements)
+ [Pré-requisitos](#setting-up-saml-prerequisites)
+ [Etapa 1: criar um provedor de identidade SAML no IAM AWS](#create-saml-identity-provider)
+ [Etapa 2: Criar um perfil do IAM de federação SAML 2.0](#create-saml-iam-role)
+ [Etapa 3: Incorporar uma política em linha para o perfil do IAM](#embed-inline-policy)
+ [Etapa 4: Configurar um provedor de identidades SAML 2.0](#configure-saml-id-provider)
+ [Etapa 5: Criar declarações para a resposta de autenticação SAML](#create-assertions-saml-auth)
+ [Etapa 6: Configurar o estado de retransmissão da federação](#configure-relay-state)
+ [Etapa 7: habilitar a integração com o SAML 2.0 em seu diretório WorkSpaces](#enable-integration-saml)
## Requisitos
+ A autenticação SAML 2.0 está disponível nas seguintes regiões:
+ Região Leste dos EUA (N. da Virgínia)
+ Região Oeste dos EUA (Oregon)
+ Região África (Cidade do Cabo)
+ Região Ásia-Pacífico (Mumbai)
+ Região Ásia-Pacífico (Seul)
+ Região Ásia-Pacífico (Singapura)
+ Região Ásia-Pacífico (Sydney)
+ Região Ásia-Pacífico (Tóquio)
+ Região do Canadá (Central)
+ Região Europa (Frankfurt)
+ Região Europa (Irlanda)
+ Região Europa (Londres)
+ Região América do Sul (São Paulo)
+ Região de Israel (Tel Aviv)
+ AWS GovCloud (Oeste dos EUA)
+ AWS GovCloud (Leste dos EUA)
+ Para usar a autenticação SAML 2.0 com WorkSpaces, o IdP deve oferecer suporte a SSO não solicitado iniciado pelo IdP com um recurso de destino de link direto ou URL de endpoint de estado de retransmissão. Exemplos IdPs incluem ADFS, Azure AD, Duo Single Sign-On, Okta, e. PingFederate PingOne Para obter mais informações, consulte a documentação do IdP.
+ A autenticação do SAML 2.0 funcionará com o WorkSpaces Launch usando o Simple AD, mas isso não é recomendado, pois o Simple AD não se integra ao SAML 2.0. IdPs
+ A autenticação SAML 2.0 é compatível com os seguintes WorkSpaces clientes. Outras versões do cliente não são compatíveis com a autenticação SAML 2.0. Abra o Amazon WorkSpaces [Client Downloads](https://clients.amazonworkspaces.com/) para encontrar as versões mais recentes:
+ Aplicação cliente para Windows versão 5.1.0.3029 ou posterior
+ Cliente para macOS versão 5.x ou posterior
+ Cliente Linux para Ubuntu 22.04 versão 2024.1 ou posterior, Ubuntu 20.04 versão 24.1 ou posterior
+ Web Access
Outras versões do cliente não poderão se conectar à autenticação WorkSpaces habilitada para SAML 2.0, a menos que o fallback esteja ativado. Para obter mais informações, consulte [Habilitar a autenticação SAML 2.0 no WorkSpaces diretório](https://d1.awsstatic.com/workspaces-saml-guide.pdf).
Para step-by-step obter instruções sobre como integrar o SAML 2.0 com WorkSpaces o uso do ADFS, do Azure AD, do Duo Single Sign-On, do Okta PingFederate e do Enterprise OneLogin, consulte o PingOne Guia de implementação da autenticação [Amazon WorkSpaces ](https://d1.awsstatic.com/workspaces-saml-guide.pdf) SAML.
## Pré-requisitos
Preencha os pré-requisitos a seguir antes de configurar sua conexão do provedor de identidade (IdP) SAML 2.0 com um diretório. WorkSpaces
1. Configure seu IdP para integrar identidades de usuário do Microsoft Active Directory que é usado com o diretório. WorkSpaces Para um usuário com a WorkSpace, os atributos de **AMAccountnome e **e-mail** s** para o usuário do Active Directory e os valores da declaração SAML devem corresponder para que o usuário faça login WorkSpaces usando o IdP. Para obter mais informações sobre a integração do Active Directory com seu IdP, consulte a documentação do seu IdP.
1. Configurar o IdP para estabelecer uma relação de confiança AWS.
+ Consulte [Integração de provedores de soluções SAML de terceiros com AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html) para obter mais informações sobre como configurar AWS a federação. Exemplos relevantes incluem a integração do IdP com o AWS IAM para acessar o console AWS de gerenciamento.
+ Usar o IdP para gerar e fazer download de um documento de metadados de federação que descreva a empresa como um IdP. Este documento XML assinado é usado para estabelecer a confiança da parte dependente. Salvar este arquivo em um local para acessar posteriormente no console do IAM.
1. Crie ou registre um diretório WorkSpaces usando o console WorkSpaces de gerenciamento. Para obter mais informações, consulte [Gerenciar diretórios para WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-directory.html). A autenticação SAML 2.0 para WorkSpaces é compatível com os seguintes tipos de diretório:
+ AD Connector
+ AWS Microsoft AD gerenciado
1. Crie um WorkSpace para um usuário que possa entrar no IdP usando um tipo de diretório compatível. Você pode criar um WorkSpace usando o console WorkSpaces de gerenciamento ou a WorkSpaces API. AWS CLI Para obter mais informações, consulte [Iniciar uma área de trabalho virtual usando WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html).
## Etapa 1: criar um provedor de identidade SAML no IAM AWS
Primeiro, crie um SAML IdP AWS no IAM. Esse IdP define a relação de AWS confiança entre IdP e IdP de sua organização usando o documento de metadados gerado pelo software IdP em sua organização. Para obter mais informações, consulte [Criação e gerenciamento de um provedor de identidade do IAM SAML (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console). Para obter informações sobre como trabalhar com SAML IdPs em AWS GovCloud (Oeste dos EUA) e AWS GovCloud (Leste dos EUA), consulte [AWS Identity and](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html) Access Management.
## Etapa 2: Criar um perfil do IAM de federação SAML 2.0
A seguir, crie um perfil do IAM de federação SAML 2.0. Essa etapa estabelece uma relação de confiança entre o IAM e o IdP da sua organização, o que identifica seu IdP como uma entidade confiável para federação.
Como criar um perfil do IAM para o IdP SAML
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Perfis** > **Criar perfil**.
1. Em **Tipo de perfil**, escolha **Federação SAML 2.0**.
1. Em **Provedor SAML**, selecionar o IdP SAML que você criou.
**Importante**
Não escolha nenhum dos dois métodos de acesso SAML 2.0 (**Permitir somente acesso programático** ou **Permitir acesso programático e pelo Console de Gerenciamento da Amazon Web Services**).
1. Em **Atributo**, selecione **SAML:sub\_type**.
1. Em **Valor**, insira `persistent`. Esse valor restringe o acesso de perfis a solicitações de streaming de usuários do SAML que incluam uma declaração do tipo de assunto de SAML com um valor persistente. Se o SAML:sub\_type for persistente, o IdP envia o mesmo valor exclusivo para o elemento NameID em todas as solicitações de SAML de um usuário específico. [Para obter mais informações sobre a declaração SAML:sub\_type, consulte a seção **Identificação exclusiva de usuários na federação baseada em SAML em Como usar a federação baseada em SAML** para acesso à API a. AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring)
1. Verificar as informações de confiança do SAML 2.0 confirmando a entidade confiável e a condição corretas e, em seguida, selecionar **Próximo: Permissões**.
1. Na página **Anexar políticas de permissões**, selecione **Próximo: Etiquetas**.
1. (Opcional) Insira uma chave e um valor para cada etiqueta que deseja adicionar. Para obter mais informações, consulte [Recursos de etiquetas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html).
1. Ao concluir, selecione **Próximo: revisão**. Você pode criar e incorporar uma política em linha para esse perfil posteriormente.
1. Em **Nome do perfil**, insira um nome que identifique a finalidade desse perfil. Como várias entidades podem fazer referência ao perfil, não é possível editar o nome do perfil depois que ele é criado.
1. (Opcional) Em **Descrição da função**, insira uma descrição para o novo perfil.
1. Revisar os detalhes do perfil e selecionar **Criar perfil**.
1. Adicione a TagSession permissão sts: à política de confiança da sua nova função do IAM. Para obter mais informações, consulte [Passar tags de sessão no AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html). Nos detalhes do novo perfil do IAM, selecione a guia **Relações de confiança** e escolha **Editar relação de confiança\***. Quando o editor Editar política de relacionamento de confiança for aberto, adicione a permissão **sts: TagSession \***, da seguinte forma:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::{{111122223333}}:saml-provider/IDENTITY-PROVIDER"
},
"Action": [
"sts:AssumeRoleWithSAML",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
------
Substitua `IDENTITY-PROVIDER` pelo nome do IdP SAML criado na etapa 1. Depois, escolha **Atualizar política de confiança**.
## Etapa 3: Incorporar uma política em linha para o perfil do IAM
A seguir, incorpore uma política do IAM em linha para o perfil que você criou. Quando você incorpora uma política em linha, as permissões nela não podem ser anexadas acidentalmente à entidade principal errada. A política em linha fornece aos usuários federados acesso ao WorkSpaces diretório.
**Importante**
As políticas do IAM para gerenciar o acesso AWS com base no IP de origem não são compatíveis com a `workspaces:Stream` ação. Para gerenciar controles de acesso IP para WorkSpaces, use [grupos de controle de acesso IP](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-ip-access-control-groups.html). Além disso, ao usar a autenticação SAML 2.0, você pode usar políticas de controle de acesso IP se elas estiverem disponíveis no seu IdP do SAML 2.0.
1. Nos detalhes do perfil do IAM que você criou, escolha a guia **Permissões** e adicione as permissões necessárias à política de permissões do perfil. O **assistente Criar política** será iniciado.
1. Em **Criar política**, selecione a guia **JSON**.
1. Copie e cole a política JSON a seguir na janela JSON. Em seguida, modifique o recurso inserindo seu Código AWS da Região, ID da conta e ID do diretório. Na política a seguir, `"Action": "workspaces:Stream"` está a ação que fornece aos WorkSpaces usuários permissões para se conectarem às sessões de desktop no WorkSpaces diretório.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "workspaces:Stream",
"Resource": "arn:aws:workspaces:us-east-1:123456789012:directory/DIRECTORY-ID",
"Condition": {
"StringEquals": {
"workspaces:userId": "${saml:sub}"
}
}
}
]
}
```
------
`REGION-CODE`Substitua pela AWS região em que seu WorkSpaces diretório existe. `DIRECTORY-ID`Substitua pelo ID do WorkSpaces diretório, que pode ser encontrado no console WorkSpaces de gerenciamento. Para recursos em AWS GovCloud (Oeste dos EUA) ou AWS GovCloud (Leste dos EUA), use o seguinte formato para o ARN:. `arn:aws-us-gov:workspaces:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:directory/DIRECTORY-ID`
1. Ao concluir, selecionar **Revisar política**. O [Validador de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) indica se há erros de sintaxe.
## Etapa 4: Configurar um provedor de identidades SAML 2.0
[Em seguida, dependendo do seu IdP do SAML 2.0, talvez seja necessário atualizar manualmente seu IdP para AWS confiar como provedor de serviços fazendo o upload do arquivo em https://signin.aws.amazon.com/static/ saml-metadata.xml para `saml-metadata.xml` o seu IdP.](https://signin.aws.amazon.com/static/saml-metadata.xml) Esta etapa atualiza os metadados do seu IdP. Para alguns IdPs, a atualização pode já estar configurada. Se for esse o caso, prosseguir para a próxima etapa.
Se esta atualização ainda não estiver configurada no seu IdP, revise a documentação fornecida pelo IdP para obter informações sobre como atualizar os metadados. Alguns provedores dão a opção de digitar o URL, e o IdP obtém e instala o arquivo para você. Outros exigem que você baixe o arquivo pelo URL e forneça como arquivo local.
**Importante**
No momento, você também pode autorizar usuários em seu IdP a acessar WorkSpaces o aplicativo que você configurou em seu IdP. Os usuários autorizados a acessar o WorkSpaces aplicativo do seu diretório não têm automaticamente um WorkSpace criado para eles. Da mesma forma, os usuários que WorkSpace criaram um para eles não estão automaticamente autorizados a acessar o WorkSpaces aplicativo. Para se conectar com êxito a uma autenticação WorkSpace usando SAML 2.0, o usuário deve ser autorizado pelo IdP e ter WorkSpace criado uma.
**nota**
Se seus usuários finais alternarem frequentemente entre várias identidades de WorkSpaces usuário diferentes enquanto usam o mesmo provedor de identidade (IdP) SAML 2.0, certifique-se de que seu IdP esteja configurado para forçar a autenticação (ForceAuthn) em cada tentativa de login. Isso impede que seu IdP reutilize uma sessão de SSO existente, o que pode causar falhas de autenticação quando seus usuários estão migrando para outra. WorkSpace Consulte a documentação do seu IdP para obter orientação sobre como ativar a configuração ForceAuthn (ou equivalente).
## Etapa 5: Criar declarações para a resposta de autenticação SAML
Em seguida, configure as informações que seu IdP envia AWS como atributos SAML em sua resposta de autenticação. Dependendo do IdP, isso já está configurado. Nesse caso, pule esta etapa e prossiga para [Step 6: Configure the relay state of your federation](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#configure-relay-state).
Se essas informações ainda não estiverem configuradas no seu IdP, forneça o seguinte:
+ **NameID de assunto de SAML**: o identificador exclusivo do usuário que está fazendo login. O valor deve corresponder ao nome WorkSpaces do usuário e normalmente é o atributo **s AMAccount Name** para o usuário do Active Directory.
+ **Tipo de assunto de SAML** (com um valor definido como `persistent`): definir o valor como `persistent` garante que o IdP envia o mesmo valor exclusivo para o elemento `NameID` em todas as solicitações SAML de determinado usuário. Garanta que a política do IAM inclua uma condição para permitir apenas solicitações SAML com sub\_type de SAML definido como `persistent`, conforme descrito em [Step 2: Create a SAML 2.0 federation IAM role](https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-setting-up-saml.html#external-identity-providers-grantperms).
+ **Elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/Role`**: este elemento contém um ou mais elementos `AttributeValue` que listam o perfil do IAM e o IdP SAML para o qual o usuário é mapeado pelo IdP. A função e o IdP são especificados como um par delimitado por vírgula de. ARNs Um exemplo do valor esperado é`arn:aws:iam::ACCOUNTNUMBER:role/ROLENAME,arn:aws:iam::ACCOUNTNUMBER:saml-provider/PROVIDERNAME`.
+ **`Attribute`elemento com o `Name` atributo definido como `https://aws.amazon.com/SAML/Attributes/RoleSessionName`** — Esse elemento contém um `AttributeValue` elemento que fornece um identificador para as credenciais AWS temporárias emitidas para o SSO. O valor no `AttributeValue` elemento deve ter entre 2 e 64 caracteres, pode conter apenas caracteres alfanuméricos, sublinhados e os seguintes caracteres: **\_ . : / = \+ - @**. Não pode conter espaços. O valor geralmente é um endereço de e-mail ou um nome de entidade principal de usuário (UPN). Não deve ser um valor que inclua um espaço, como o nome de exibição de um usuário.
+ **Elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email`**: este elemento contém um elemento `AttributeValue` que fornece o endereço de e-mail do usuário. O valor deve corresponder ao endereço de e-mail WorkSpaces do usuário, conforme definido no WorkSpaces diretório. Os valores da etiqueta podem incluir combinações de letras, números, espaços e caracteres **\_ . : / = \+ - @**. Para obter mais informações, consulte [Regras para etiquetar no IAM e no AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules) no *Guia do usuário do IAM*.
+ **Elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName` (opcional)**: este elemento contém um elemento `AttributeValue` que fornece o `userPrincipalName` do Active Directory para o usuário que está fazendo login. O valor deve ser fornecido no formato `username@domain.com`. Este parâmetro é usado com autenticação baseada em certificado como Nome Alternativo do Assunto no certificado do usuário final. Para obter mais informações, consulte Certificate-Based Authentication.
+ **Elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid` (opcional)**: este elemento contém um elemento `AttributeValue` que fornece o identificador de segurança (SID) do Active Directory para o usuário que está fazendo login. Esse parâmetro é usado com a autenticação baseada em certificado para permitir um mapeamento forte para o usuário do Active Directory. Para obter mais informações, consulte Certificate-Based Authentication.
+ **Elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ClientUserName` (opcional)**: este elemento contém um elemento `AttributeValue` que fornece um formato de nome de usuário alternativo. Use esse atributo se você tiver casos de uso que exijam formatos de nome de usuário`corp\username`, como`corp.example.com\username`, ou `username@corp.example.com` para fazer login usando o WorkSpaces cliente. As chaves e os valores da etiqueta podem incluir qualquer combinação de letras, números, espaços e caracteres **\_ : / . \+ = @ -**. Para obter mais informações, consulte [Regras para etiquetar no IAM e no AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules) no *Guia do usuário do IAM*. Para reivindicar os formatos `corp\username` ou `corp.example.com\username`, substitua **\\** por **/** na declaração SAML.
+ **`Attribute`elemento com o `Name` https://aws.amazon.com/SAML/ atributo definido como Attributes/:Domain PrincipalTag (opcional) —** Esse elemento contém um elemento `AttributeValue` que fornece o nome de domínio totalmente qualificado (FQDN) do Active Directory DNS para usuários que fazem login. Esse parâmetro é usado com autenticação baseada em certificado quando o Active Directory `userPrincipalName` do usuário contém um sufixo alternativo. O valor deve ser fornecido no`domain.com`, incluindo quaisquer subdomínios.
+ **`Attribute`elemento com o `Name` https://aws.amazon.com/SAML/ atributo definido como Attributes/ SessionDuration (opcional)** — Esse elemento contém um `AttributeValue` elemento que especifica o tempo máximo em que uma sessão de streaming federada para um usuário pode permanecer ativa antes que a reautenticação seja necessária. O valor padrão é de 3.600 segundos (60 minutos). Para obter mais informações, consulte [ SAML `SessionDurationAttribute`](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration).
**nota**
Embora `SessionDuration` seja um atributo opcional, recomendamos incluí-lo na resposta SAML. Se você não especificar esse atributo, a duração da sessão será definida como um valor padrão de 3600 segundos (60 minutos). WorkSpaces as sessões de desktop são desconectadas após a expiração da duração da sessão.
Para obter mais informações sobre como configurar esses elementos, consulte [Configuração de declarações SAML para a resposta de autenticação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) no *Guia de usuário do IAM*. Para obter informações sobre requisitos de configuração específicos do seu IdP, consulte a documentação do seu IdP.
## Etapa 6: Configurar o estado de retransmissão da federação
Em seguida, use seu IdP para configurar o estado de retransmissão da sua federação para apontar para a URL do estado de retransmissão do WorkSpaces diretório. Após a autenticação bem-sucedida AWS, o usuário é direcionado ao endpoint do WorkSpaces diretório, definido como o estado de retransmissão na resposta de autenticação SAML.
O URL do estado de retransmissão tem o seguinte formato:
```
https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code
```
Crie sua URL de estado de retransmissão a partir do código de registro do WorkSpaces diretório e do endpoint de estado de retransmissão associado à região na qual seu diretório está localizado. O código de registro pode ser encontrado no console WorkSpaces de gerenciamento.
Opcionalmente, se você estiver usando o redirecionamento entre regiões WorkSpaces, poderá substituir o código de registro pelo nome de domínio totalmente qualificado (FQDN) associado aos diretórios em suas regiões primária e de failover. Para obter mais informações, consulte [Redirecionamento entre regiões para a Amazon](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html). WorkSpaces Ao usar o redirecionamento entre regiões e a autenticação SAML 2.0, os diretórios primário e de failover precisam ser habilitados para a autenticação SAML 2.0 e configurados de forma independente com o IdP, usando o endpoint de estado de retransmissão associado a cada região. Isso permitirá que o FQDN seja configurado corretamente quando os usuários registrarem seus aplicativos WorkSpaces clientes antes de fazer login e permitirá que os usuários se autentiquem durante um evento de failover.
A tabela a seguir lista os endpoints do estado de retransmissão para as regiões em que a autenticação WorkSpaces SAML 2.0 está disponível.
**Regiões em que a autenticação WorkSpaces SAML 2.0 está disponível**
| Região | Endpoint de estado de retransmissão |
| --- | --- |
| Região Leste dos EUA (Norte da Virgínia) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/setting-up-saml.html) |
| Região Oeste dos EUA (Oregon) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/setting-up-saml.html) |
| Região África (Cidade do Cabo) | workspaces.euc-sso.af-south-1.aws.amazon.com |
| Região Ásia-Pacífico (Mumbai) | workspaces.euc-sso.ap-south-1.aws.amazon.com |
| Região Ásia-Pacífico (Seul) | https://workspaces.ap-northeast-2.amazonaws.com |
| Região Ásia-Pacífico (Singapura) | https://workspaces.ap-southeast-1.amazonaws.com |
| Região Ásia-Pacífico (Sydney) | https://workspaces.ap-southeast-2.amazonaws.com |
| Região Ásia-Pacífico (Tóquio) | https://workspaces.ap-northeast-1.amazonaws.com |
| Região Canadá (Central) | workspaces.euc-sso.ca-central-1.aws.amazon.com |
| Região Europa (Frankfurt) | workspaces.euc-sso.eu-central-1.aws.amazon.com |
| Região Europa (Irlanda) | workspaces.euc-sso.eu-west-1.aws.amazon.com |
| Região Europa (Londres) | workspaces.euc-sso.eu-west-2.aws.amazon.com |
| Região América do Sul (São Paulo) | workspaces.euc-sso.sa-east-1.aws.amazon.com |
| Região de Israel (Tel Aviv) | workspaces.euc-sso.eu-central-1.aws.amazon.com |
| AWS GovCloud (Oeste dos EUA) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/setting-up-saml.html) Para obter mais informações sobre, consulte o *Guia do usuário da [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)AWS GovCloud (EUA)*. |
| AWS GovCloud (Leste dos EUA) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/setting-up-saml.html) Para obter mais informações sobre, consulte o *Guia do usuário da [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)AWS GovCloud (EUA)*. |
Com um fluxo iniciado pelo provedor de identidade (IdP), você pode optar por especificar o cliente que deseja usar para a federação SAML 2.0. Para fazer isso, especifique `native` ou `web` no final do URL do estado de retransmissão, depois de `&client=`. Quando o parâmetro é especificado em uma URL de estado de retransmissão, as sessões correspondentes serão iniciadas automaticamente no cliente especificado.
## Etapa 7: habilitar a integração com o SAML 2.0 em seu diretório WorkSpaces
Você pode usar o WorkSpaces console para habilitar a autenticação SAML 2.0 no WorkSpaces diretório.
**Habilitar integração com SAML 2.0**
1. Abra o WorkSpaces console em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. No painel de navegação, selecionar **Diretórios**.
1. Escolha o ID do diretório para o seu WorkSpaces.
1. Em **Autenticação**, selecione **Editar**.
1. Selecione **Editar provedor de identidades SAML 2.0**.
1. Desmarcar **Habilitar autenticação SAML 2.0**.
1. Em **URL de acesso de usuários** e **Nome do parâmetro de link profundo do IdP**, insira valores que sejam aplicáveis ao IdP e à aplicação configurados na etapa 1. O valor padrão para o nome do parâmetro de link direto do IdP é “RelayState“se você omitir esse parâmetro. A tabela a seguir lista URLs de acesso de usuários e nomes de parâmetros exclusivos de vários provedores de identidades para aplicações.
**Domínios e endereços IP para adicionar à sua lista de permissões**
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/setting-up-saml.html)
O URL de acesso do usuário geralmente é definido pelo provedor para SSO não solicitado iniciado pelo IdP. Um usuário pode inserir esse URL em um navegador da web para se federar diretamente à aplicação SAML. Para testar o URL de acesso do usuário e os valores dos parâmetros do seu IdP, selecionar **Testar**. Copie e cole o URL de teste em uma janela privada no seu navegador atual ou em outro navegador para testar o logon do SAML 2.0 sem interromper a sessão atual do console AWS de gerenciamento. Quando o fluxo iniciado pelo IdP é aberto, você pode registrar seu WorkSpaces cliente. Para obter mais informações, consulte [Identity provider (IdP)-initiated flow](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html).
1. Gerenciar as configurações de fallback marcando ou desmarcando **Permitir login de clientes que não suportam SAML 2.0**. Ative essa configuração para continuar fornecendo aos usuários acesso ao WorkSpaces uso de tipos ou versões de clientes que não oferecem suporte ao SAML 2.0 ou se os usuários precisarem de tempo para atualizar para a versão mais recente do cliente.
**nota**
Essa configuração permite que os usuários ignorem o SAML 2.0 e façam login usando autenticação de diretório usando versões de cliente mais antigas.
1. Para usar SAML com o cliente web, habilite o Acesso via Web. Para obter mais informações, consulte [Habilitar e configurar o Amazon WorkSpaces Web Access](https://docs.aws.amazon.com/workspaces/latest/adminguide/web-access.html).
**nota**
PCoO IP com SAML não é suportado no Web Access.
1. Escolha **Salvar**. Seu WorkSpaces diretório agora está habilitado com a integração com o SAML 2.0. Você pode usar os fluxos iniciados pelo IdP e iniciados pelo aplicativo cliente para registrar os aplicativos WorkSpaces do cliente e fazer login. WorkSpaces