本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Amazon WorkSpaces 安全浏览器上配置您的身份提供商
<a name="configure-idp-step1"></a>

按照以下步骤配置身份提供者：

1. 在创建向导的**配置身份提供者**页面上，选择**标准**。

1. 选择**继续使用标准 IdP**。

1. 下载 SP 元数据文件，并保持各个元数据值的选项卡处于打开状态。
   + 如果 SP 元数据文件可用，请选择**下载元数据文件**以下载服务提供者（SP）元数据文档，然后在下一步中将服务提供者元数据文件上传到您的 IdP。否则，用户将无法登录。
   + 如果您的提供者未上传 SP 元数据文件，请手动输入元数据值。

1. 在**选择 SAML 登录类型**下方，在 **SP 发起和 IdP 发起的 SAML 断言**之间进行选择，或选择**仅限 SP 发起的 SAML 断言**。
   + **SP 发起和 IdP 发起的 SAML 断言**允许您的门户支持这两种类型的登录流。通过支持 IdP 发起的登录流的门户，您可以向服务身份联合验证端点呈现 SAML 断言，而无需用户通过访问门户 URL 启动会话。
     + 选择此选项后，该门户可接受未经请求的 IdP 发起的 SAML 断言。
     + 此选项要求在 SAML 2.0 身份提供者中配置**默认中继状态**。您门户的中继状态参数位于控制台的 **IdP 发起的 SAML 登录**下，或者您可以从 `<md:IdPInitRelayState>` 下的 SP 元数据文件中进行复制。
     +  备注
       + 以下为中继状态的格式：`redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider`。
       + 如果您从 SP 元数据文件中复制并粘贴该值，请确保将 `&amp; ` 更改为 `&`。`&amp;` 是一个 XML 转义字符。
   + 选择**仅限 SP 发起的 SAML 断言**，使门户仅支持 SP 发起的登录流。此选项将拒绝 IdP 发起的登录流中未经请求的 SAML 断言。
**注意**  
某些第三方 IdPs 允许您创建自定义 SAML 应用程序，该应用程序可以利用 SP 启动的流程提供 IDP 启动的身份验证体验。例如，请参阅[添加 Okta 书签应用程序](https://help.okta.com/oag/en-us/content/topics/access-gateway/add-app-saml-pass-thru-add-bookmark.htm)。

1. 选择是否要启用**签署向该提供商发出的 SAML 请求**。通过 SP 发起的身份验证，您的 IdP 可以验证身份验证请求是否来自门户，从而阻止接受其他第三方请求。

   1. 下载签名证书并将其上传到您的 IdP。相同的签名证书可用于单次注销。

   1. 在您的 IdP 中启用签名请求。名称可能会有所不同，具体取决于 IdP。
**注意**  
RSA-SHA256 是唯一支持的请求和默认请求签名算法。

1. 选择是否要启用**需要加密的 SAML 断言**。这支持您对来自您的 IdP 的 SAML 断言进行加密。它可以防止数据在 IdP 和安全浏览器之间的 SAML 断言中被拦截。 WorkSpaces 
**注意**  
此步骤中没有加密证书。它将在您的门户启动后创建。启动门户后，下载加密证书并将其上传到您的 IdP。然后，在您的 IdP 中启用断言加密（名称可能有所不同，具体取决于 IdP）。

1. 选择是否要启用**单点注销**。单点注销允许您的最终用户通过一个操作退出其 IdP WorkSpaces 和安全浏览器会话。

   1. 从 WorkSpaces 安全浏览器下载签名证书并将其上传到您的 IdP。这与上一步中用于**请求签名**的签名证书相同。

   1. 使用**单点注销**需要您在 SAML 2.0 身份提供者中配置**单点注销 URL**。您可以在控制台的**服务提供者（SP）详细信息 - 显示各个元数据值**下找到门户的**单点注销 URL**，也可以从 `<md:SingleLogoutService>` 下方的 SP 元数据文件中找到。

   1. 在您的 IdP 中启用**单点注销**。名称可能会有所不同，具体取决于 IdP。