本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 Amazon WorkSpaces 安全浏览器配置标准身份验证类型
<a name="configure-standard"></a>

*标准* 身份验证类型是默认身份验证类型。它可以借助符合 SAML 2.0 标准的 IdP，支持服务提供者发起（SP 发起）的登录流和身份提供者发起（IdP 发起）的登录流。要配置标准身份验证类型，请按照以下步骤操作，将您的第三方 SAML 2.0 IdP（例如 Okta 或 Ping）直接与您的门户联合。

**Topics**
+ [在 Amazon WorkSpaces 安全浏览器上配置您的身份提供商](configure-idp-step1.md)
+ [在您自己的 IdP 上配置 IdP](configure-idp-step2.md)
+ [在亚马逊 WorkSpaces 安全浏览器上完成 IdP 配置](upload-metadata.md)
+ [特定 IdPs 于 Amazon WorkSpaces 安全浏览器的使用指南](idp-guidance.md)

# 在 Amazon WorkSpaces 安全浏览器上配置您的身份提供商
<a name="configure-idp-step1"></a>

按照以下步骤配置身份提供者：

1. 在创建向导的**配置身份提供者**页面上，选择**标准**。

1. 选择**继续使用标准 IdP**。

1. 下载 SP 元数据文件，并保持各个元数据值的选项卡处于打开状态。
   + 如果 SP 元数据文件可用，请选择**下载元数据文件**以下载服务提供者（SP）元数据文档，然后在下一步中将服务提供者元数据文件上传到您的 IdP。否则，用户将无法登录。
   + 如果您的提供者未上传 SP 元数据文件，请手动输入元数据值。

1. 在**选择 SAML 登录类型**下方，在 **SP 发起和 IdP 发起的 SAML 断言**之间进行选择，或选择**仅限 SP 发起的 SAML 断言**。
   + **SP 发起和 IdP 发起的 SAML 断言**允许您的门户支持这两种类型的登录流。通过支持 IdP 发起的登录流的门户，您可以向服务身份联合验证端点呈现 SAML 断言，而无需用户通过访问门户 URL 启动会话。
     + 选择此选项后，该门户可接受未经请求的 IdP 发起的 SAML 断言。
     + 此选项要求在 SAML 2.0 身份提供者中配置**默认中继状态**。您门户的中继状态参数位于控制台的 **IdP 发起的 SAML 登录**下，或者您可以从 `<md:IdPInitRelayState>` 下的 SP 元数据文件中进行复制。
     +  备注
       + 以下为中继状态的格式：`redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider`。
       + 如果您从 SP 元数据文件中复制并粘贴该值，请确保将 `&amp; ` 更改为 `&`。`&amp;` 是一个 XML 转义字符。
   + 选择**仅限 SP 发起的 SAML 断言**，使门户仅支持 SP 发起的登录流。此选项将拒绝 IdP 发起的登录流中未经请求的 SAML 断言。
**注意**  
某些第三方 IdPs 允许您创建自定义 SAML 应用程序，该应用程序可以利用 SP 启动的流程提供 IDP 启动的身份验证体验。例如，请参阅[添加 Okta 书签应用程序](https://help.okta.com/oag/en-us/content/topics/access-gateway/add-app-saml-pass-thru-add-bookmark.htm)。

1. 选择是否要启用**签署向该提供商发出的 SAML 请求**。通过 SP 发起的身份验证，您的 IdP 可以验证身份验证请求是否来自门户，从而阻止接受其他第三方请求。

   1. 下载签名证书并将其上传到您的 IdP。相同的签名证书可用于单次注销。

   1. 在您的 IdP 中启用签名请求。名称可能会有所不同，具体取决于 IdP。
**注意**  
RSA-SHA256 是唯一支持的请求和默认请求签名算法。

1. 选择是否要启用**需要加密的 SAML 断言**。这支持您对来自您的 IdP 的 SAML 断言进行加密。它可以防止数据在 IdP 和安全浏览器之间的 SAML 断言中被拦截。 WorkSpaces 
**注意**  
此步骤中没有加密证书。它将在您的门户启动后创建。启动门户后，下载加密证书并将其上传到您的 IdP。然后，在您的 IdP 中启用断言加密（名称可能有所不同，具体取决于 IdP）。

1. 选择是否要启用**单点注销**。单点注销允许您的最终用户通过一个操作退出其 IdP WorkSpaces 和安全浏览器会话。

   1. 从 WorkSpaces 安全浏览器下载签名证书并将其上传到您的 IdP。这与上一步中用于**请求签名**的签名证书相同。

   1. 使用**单点注销**需要您在 SAML 2.0 身份提供者中配置**单点注销 URL**。您可以在控制台的**服务提供者（SP）详细信息 - 显示各个元数据值**下找到门户的**单点注销 URL**，也可以从 `<md:SingleLogoutService>` 下方的 SP 元数据文件中找到。

   1. 在您的 IdP 中启用**单点注销**。名称可能会有所不同，具体取决于 IdP。

# 在您自己的 IdP 上配置 IdP
<a name="configure-idp-step2"></a>

要在您自己的 IdP 上配置 IdP，请按照以下步骤操作。

1. 在浏览器中打开一个新标签页。

1. 将您的门户元数据添加到 SAML IdP。

   将您在上一步中下载的 SP 元数据文档上传到该 IdP，或者复制元数据值并将其粘贴到 IdP 中的正确字段中。某些提供者不允许上传文件。

   此过程的详细信息因提供者而异。有关如何将门户详细信息添加到 IdP 配置的帮助，请在[特定 IdPs 于 Amazon WorkSpaces 安全浏览器的使用指南](idp-guidance.md)中查看提供者文档。

1. 确认 SAML 断言的 **NameID**。

   确保 SAML IdP 使用用户电子邮件字段填充 SAML 断言的 **NameID**。**NameID** 和用户电子邮件用于在门户中唯一标识您的 SAML 联合用户。使用持久性 SAML 名称 ID 格式。

1. 可选：为 IdP 发起的身份验证配置**中继状态**。

   如果您在上一步中选择了**接受 SP 发起和 IdP 发起的 SAML 断言**，请按照[在 Amazon WorkSpaces 安全浏览器上配置您的身份提供商](configure-idp-step1.md)中的步骤 2 操作，为您的 IdP 应用程序设置默认**中继状态**。

1. 可选：配置**请求签名**。如果您在上一步中选择了**签署向该提供者发出的 SAML 请求**，请按照[在 Amazon WorkSpaces 安全浏览器上配置您的身份提供商](configure-idp-step1.md)中的步骤 3 操作，将签名证书上传到您的 IdP 并启用请求签名。有些人 IdPs （例如 Okta）可能需要您的 Name **ID** 属于 “永久” 类型才能**使用**请求签名。请务必按照上述步骤操作，确认您的 SAML 断言的 **NameID**。

1. 可选：配置**断言加密**。如果您选择了**需要此提供者提供加密的 SAML 断言**，请等到门户创建完成，然后按照下文“上传元数据”中的步骤 4 操作，将加密证书上传到您的 IdP 并启用断言加密。

1. 可选：配置**单点注销**。如果您选择了**单点注销**，请按照[在 Amazon WorkSpaces 安全浏览器上配置您的身份提供商](configure-idp-step1.md)中的步骤 5 操作，将签名证书上传到您的 IdP，填写**单点注销 URL**，然后启用**单点注销**。

1. 向 IdP 中的用户授予使用 WorkSpaces 安全浏览器的访问权限。

1. 从 IdP 下载元数据交换文件。您将在下一步中将此元数据上传到 WorkSpaces 安全浏览器。

# 在亚马逊 WorkSpaces 安全浏览器上完成 IdP 配置
<a name="upload-metadata"></a>

要在 WorkSpaces 安全浏览器上完成 IdP 配置，请按照以下步骤操作。

1. 返回 WorkSpaces 安全浏览器控制台。在创建向导的**配置身份提供者**页面的 **IdP 元数据**下，上传元数据文件，或输入来自您的 IdP 的元数据 URL。该门户使用来自 IdP 的这些元数据来建立信任。

1. 要上传元数据文件，请在 **IdP 元数据文档**下，选择**选择文件**。上传您在上一步中下载的 XML 格式的 IdP 元数据文件。

1. 要使用元数据 URL，请前往您在上一步中设置的 IdP，并获取其**元数据 URL**。返回 WorkSpaces 安全浏览器控制台，在 **IdP 元数据 URL** 下，输入您从 IdP 获得的元数据 URL。

1. 完成后，选择**下一步**。

1. 对于启用了**需要此提供者提供加密的 SAML 断言**选项的门户，您需要从门户 IdP 详细信息部分下载加密证书，并将其上传到您的 IdP。然后，可以在那里启用该选项。
**注意**  
WorkSpaces 安全浏览器要求在 IdP 设置的 SAML 断言中映射和设置主题或名称 ID。您的 IdP 可以自动创建这些映射。如果这些映射配置不正确，您的用户将无法登录 Web 门户并启动会话。  
WorkSpaces 安全浏览器要求在 SAML 响应中包含以下声明。您可以通过控制台或 CLI *<Your SP ACS URL>* 从门户的服务提供商详细信息或元数据文档中查找*<Your SP Entity ID>*和查找。  
一项 `AudienceRestriction` 声明，所具有的 `Audience` 值将您的 SP 实体 ID 设置为响应的目标。示例：  

     ```
     <saml:AudienceRestriction>
         <saml:Audience><Your SP Entity ID></saml:Audience>
     </saml:AudienceRestriction>
     ```
一项 `Response` 声明，具有原始 SAML 请求 ID 的 `InResponseTo` 值。示例：  

     ```
     <samlp:Response ... InResponseTo="<originalSAMLrequestId>">
     ```
一项 `SubjectConfirmationData` 声明，具有 SP ACS URL 的 `Recipient` 值，以及与原始 SAML 请求 ID 匹配的 `InResponseTo` 值。示例：  

     ```
     <saml:SubjectConfirmation>
         <saml:SubjectConfirmationData ... 
             Recipient="<Your SP ACS URL>"
             InResponseTo="<originalSAMLrequestId>"
             />
     </saml:SubjectConfirmation>
     ```
WorkSpaces 安全浏览器会验证您的请求参数和 SAML 断言。对于 IdP 发起的 SAML 断言，必须将您的请求的详细信息的格式设置为 HTTP POST 请求正文中的 `RelayState` 参数。请求正文还必须包含您的 SAML 断言，作为 `SAMLResponse` 参数。如果您已经执行了上一步操作，则这两个参数都应该存在。  
以下是 IdP 发起的 SAML 提供者的 `POST` 正文示例。  

   ```
   SAMLResponse=<Base64-encoded SAML assertion>&RelayState=<RelayState> 
   ```

# 特定 IdPs 于 Amazon WorkSpaces 安全浏览器的使用指南
<a name="idp-guidance"></a>

为确保正确配置门户的 SAML 联合，请参阅以下链接以获取常用 IdPs文档。


| IdP | SAML 应用程序设置 | 用户管理 | IdP 发起的身份验证 | 请求签名 | 断言加密 | 单点注销 | 
| --- | --- | --- | --- | --- | --- | --- | 
| Okta | [Create SAML app integrations](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [User management](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Application Integration Wizard SAML field reference](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Application Integration Wizard SAML field reference](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Application Integration Wizard SAML field reference](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Application Integration Wizard SAML field reference](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | 
| Entra | [Create your own application](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [Quickstart: Create and assign a user account](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-assign-users) | [Enable single sign-on for an enterprise application](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-setup-sso) | [SAML Request Signature Verification](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-enforce-signed-saml-authentication) | [Configure Microsoft Entra SAML token encryption](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-saml-token-encryption?tabs=azure-portal) | [Single Sign-Out SAML Protocol](https://learn.microsoft.com/en-us/entra/identity-platform/single-sign-out-saml-protocol) | 
| Ping | [Add a SAML application](https://docs.pingidentity.com/r/en-us/pingone/pingone_p1tutorial_add_a_saml_app) | [Users](https://docs.pingidentity.com/r/en-us/pingone/p1_c_aboutusers) | [Enabling IdP-initiated SSO](https://docs.pingidentity.com/r/en-us/pingone/pingone_configuring_the_oidc_application) | [为企业配置身份验证 PingOne 请求登录](https://docs.pingidentity.com/r/en-us/solution-guides/htg_config_authn_req_sign_p14e) | [企业版是否 PingOne 支持加密？](https://support.pingidentity.com/s/article/Does-PingOne-support-encryption) | [SAML 2.0 single logout](https://docs.pingidentity.com/r/en-us/pingone/pingone_c_saml_2-0_slo?tocId=aKUl0dlpyVDVw3PJmLIGGg) | 
| One Login | [SAML Custom Connector (Advanced) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [将用户添加到 “ OneLogin 手动”](https://www.onelogin.com/getting-started/free-trial-plan/add-users-manually) | [SAML Custom Connector (Advanced) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [SAML Custom Connector (Advanced) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [SAML Custom Connector (Advanced) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [SAML Custom Connector (Advanced) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | 
| IAM Identity Center | [设置您自己的 SAML 2.0 应用程序](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [设置您自己的 SAML 2.0 应用程序](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [设置您自己的 SAML 2.0 应用程序](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | 不适用 | 不适用 | 不适用 |