本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理 WorkSpaces 池的目录
WorkSpaces Pools 使用目录来存储和管理您 WorkSpaces 和用户的信息。在本节中,我们将向您展示如何为 WorkSpaces 池创建和管理目录。
**Topics**
+ [配置 SAML 2.0 并创建 WorkSpaces 池目录](create-directory-pools.md)
+ [更新 WorkSpaces 矿池的目录详细信息](update-directory-pools-details.md)
+ [删除 WorkSpaces 池目录](delete-directory-pools.md)
# 配置 SAML 2.0 并创建 WorkSpaces 池目录
您可以通过使用 SAML 2.0 设置联合身份来启用 WorkSpaces 客户端应用程序注册和登录 WorkSpaces 池。 WorkSpaces 为此,您可以使用 AWS Identity and Access Management (IAM)角色和中继状态 URL 来配置您的 SAML 2.0 身份提供者(IdP),并为 AWS启用它。这将授予您的联合用户访问 WorkSpace 池目录的权限。中继状态是用户在成功登录后被转发到的 WorkSpaces 目录端点 AWS。
**重要**
WorkSpaces 池不支持基于 IP 的 SAML 2.0 配置。
**Topics**
+ [步骤 1:考虑要求](#saml-directory-consider-the-requirements)
+ [步骤 2:完成先决条件](#saml-directory-complete-the-prereqs)
+ [步骤 3:在 IAM 中创建 SAML 身份提供者](#saml-directory-create-saml-idp)
+ [步骤 4:创建 WorkSpace 池目录](#saml-directory-create-wsp-pools-directory)
+ [步骤 5:创建 SAML 2.0 联合身份验证 IAM 角色](#saml-directory-saml-federation-role-in-iam)
+ [步骤 6:配置 SAML 2.0 身份提供者](#saml-directory-configure-saml-idp)
+ [步骤 7:为 SAML 身份验证响应创建断言](#saml-directory-create-assertions)
+ [步骤 8:配置联合身份验证的中继状态](#saml-directory-configure-relay-state)
+ [步骤 9:在 WorkSpace 池目录上启用与 SAML 2.0 的集成](#saml-directory-enable-saml-integration)
+ [问题排查](#saml-pools-troubleshooting)
+ [为 P WorkSpaces ools 目录指定活动目录的详细信息](pools-service-account-details.md)
## 步骤 1:考虑要求
在为 P WorkSpaces ools 目录设置 SAML 时,需要满足以下要求。
+ workspaces\$1 DefaultRole IAM 角色必须存在于您的账户中。 AWS 当您使用 WorkSpaces 快速设置或之前使用启动时,系统会自动创建此角色 AWS 管理控制台。 WorkSpace 它授予 Amazon 代表您访问特定 AWS 资源的 WorkSpaces权限。如果该角色已经存在,则可能需要为其附加 AmazonWorkSpacesPoolServiceAccess托管策略,Amazon WorkSpaces 使用该策略访问 WorkSpaces 池 AWS 账户中的所需资源。有关更多信息,请参阅[创建工作空间\$1 角色 DefaultRole](workspaces-access-control.md#create-default-role)和[AWS 托管策略: AmazonWorkSpacesPoolServiceAccess](managed-policies.md#workspaces-pools-service-access)。
+ 您可以在中为支持该 AWS 区域 功能的 WorkSpaces 池配置 SAML 2.0 身份验证。有关更多信息,请参阅 [AWS 区域 和 WorkSpaces 池的可用区](wsp-pools-regions.md)。
+ 要将 SAML 2.0 身份验证与一起使用 WorkSpaces,IdP 必须通过深度链接目标资源或中继状态端点 URL 支持未经请求的 IdP 发起的 SSO。这方面的 IdPs 支持示例包括 ADFS、Azure AD、Duo Single Sign-On、Okta 和。 PingFederate PingOne有关更多信息,请参阅 IdP 文档。
+ 仅以下 WorkSpaces 客户端支持 SAML 2.0 身份验证。要了解最新 WorkSpaces 客户,请查看 [Amazon WorkSpaces 客户端下载页面](https://clients.amazonworkspaces.com/)。
+ Windows 客户端应用程序 5.20.0 或更高版本
+ macOS 客户端 5.20.0 或更高版本
+ Web Access
## 步骤 2:完成先决条件
在配置与池目录的 SAML 2.0 IdP 连接之前,请完成以下先决条件 WorkSpaces 。
+ 配置 IdP 以与 AWS建立信任关系
+ 有关配置 AWS 联合的更多信息,请参阅[将第三方 SAML 解决方案提供商与 AWS集成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html)。相关示例包括将 IdP 与 IAM 进行集成以访问 AWS 管理控制台。
+ 使用您的 IdP 生成和下载联合身份验证元数据文档,该文档将您的组织描述为 IdP。此签名 XML 文档用于建立信赖方信任关系。将该文件保存您稍后可通过 IAM 控制台访问的位置。
+ 使用 WorkSpaces 控制台创建 WorkSpaces 池目录。有关更多信息,请参阅 [将 Active Directory 与 WorkSpaces Pools 结合使用](active-directory.md)。
+ 为可以使用支持的目录类型登录 IdP 的用户创建 WorkSpaces 池。有关更多信息,请参阅 [创建 WorkSpaces Pools](set-up-pools-create.md)。
## 步骤 3:在 IAM 中创建 SAML 身份提供者
要开始使用,您必须在 IAM 中创建 SAML IdP。此 IdP 使用组织中 IdP 软件生成的元数据文档定义贵组织的 IdP AWS 信任关系。有关更多信息,请参阅《AWS Identity and Access Management 用户指南》**中的[创建和管理 SAML 身份提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console)。有关 IdPs 在中使用 SAML 的信息 AWS GovCloud (US) Regions,请参阅《*AWS GovCloud (US) 用户指南*》[AWS Identity and Access Management](https://docs.aws.amazon.com//govcloud-us/latest/UserGuide/govcloud-iam.html)中的。
## 步骤 4:创建 WorkSpace 池目录
完成以下过程以创建 WorkSpaces 池目录。
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在导航窗格中,选择**目录**。
1. 选择**创建目录**。
1. 对于**WorkSpace 类型**,请选择**池**。
1. 在该页面的**用户身份源**部分:
1. 在**用户访问 URL** 文本框中输入占位符值。例如,在文本框中输入 `placeholder`。稍后在您的 IdP 中设置应用程序授权后,您需要对其进行编辑。
1. 将**中继状态参数名称**文本框留空。稍后在您的 IdP 中设置应用程序授权后,您需要对其进行编辑。
1. 在该页面的**目录信息**部分,输入目录的名称和描述。目录名称和描述必须少于 128 个字符,可以包含字母数字字符和以下特殊字符:`_ @ # % * + = : ? . / ! \ -`。目录名称和描述不能以特殊字符开头。
1. 在该页面的**网络和安全**部分:
1. 选择对您的应用程序需要的网络资源有访问权的一个 VPC 和两个子网。为了提高容错能力,您应选择位于不同可用区中的两个子网。
1. 选择允许 WorkSpaces 在您的 VPC 中创建网络链接的安全组。安全组控制允许哪些网络流量流入您的 VPC。 WorkSpaces 例如,如果您的安全组限制所有入站 HTTPS 连接,则访问您的 Web 门户的用户将无法从中加载 HTTPS 网站。 WorkSpaces
1. **Active Directory 配置**为可选部分。但是,如果您计划在池中使用 AD,则应在创建 WorkSpaces 池目录时指定活动目录 (AD) 详细信息。 WorkSpaces 创建 WorkSpaces 池**目录的 Active Directory Config** 后,您就无法对其进行编辑。有关为 WorkSpaces 池目录指定 AD 详细信息的更多信息,请参阅[为 P WorkSpaces ools 目录指定活动目录的详细信息](pools-service-account-details.md)。完成该主题中概述的过程后,应返回本主题以完成创建 WorkSpaces 池目录。
如果您不打算在 WorkSpaces 池中使用 AD,则可以跳过 A **ctive Directory Config** 部分。
1. 在该页面的**流式传输属性**部分:
+ 选择剪贴板权限行为,选择“复制到本地字符限制”(可选),“粘贴到远程会话字符限制”(可选)。
+ 选择允许或不允许打印到本地设备。
+ 选择允许或不允许诊断日志记录。
+ 选择允许或不允许智能卡登录。仅当您在本步骤前面启用了 AD 配置时,此功能才适用。
1. 在该页面的**存储**部分,您可以选择启用主文件夹。
1. 在该页面的 **IAM 角色**部分,选择一个可供所有桌面流实例使用的 IAM 角色。要创建新的 IAM 角色,请选择**创建新的 IAM 角色**。
当您将账户中的 IAM 角色应用到 WorkSpace 池目录时,您可以从 WorkSpace 池 WorkSpace 中的发出 AWS API 请求,而无需手动管理 AWS 证书。有关更多信息,请参阅《AWS Identity and Access Management 用户指南》**中的[创建向 IAM 用户委派权限的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)。
1. 选择**创建目录**。
## 步骤 5:创建 SAML 2.0 联合身份验证 IAM 角色
完成以下过程,在 IAM 控制台中创建 SAML 2.0 联合身份验证 IAM 角色。
1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/secretsmanager/) 打开 IAM 控制台。
1. 在导航窗格中选择 **Roles**。
1. 选择创建角色。
1. 为受信任的实体类型选择 **SAML 2.0 联合身份验证**。
1. 对于基于 SAML 2.0 的提供者,选择您在 IAM 中创建的身份提供者。有关更多信息,请参阅[在 IAM 中创建 SAML 身份提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html?)。
1. 选择**仅允许编程访问**以允许访问。
1. 对于“属性”,选择 ** SAML:sub\$1type**。
1. 对于**值**,请输入 `https://signin.aws.amazon.com/saml`。该值限制角色访问 SAML 用户流式传输请求,其中包括值为 `persistent` 的 SAML 主题类型断言。如果 SAML:sub\$1type 为 persistent,则在来自特定用户的所有 SAML 请求中,您的 IdP 会为 `NameID` 元素发送相同的唯一值。有关更多信息,请参阅《AWS Identity and Access Management 用户指南》**中的[唯一识别基于 SAML 的联合身份验证中的用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-userid)。
1. 选择**下一步**以继续。
1. 请勿在**添加权限**页面中进行更改或选择。选择**下一步**以继续。
1. 输入角色的名称和描述。
1. 选择**创建角色**。
1. 在**角色**页面上,选择您必须创建的角色。
1. 选择 **Trust relationships(信任关系)**选项卡。
1. 选择**编辑信任策略**。
1. 在**编辑信任策略** JSON 文本框中,将 **st TagSession s:** 操作添加到信任策略。有关更多信息,请参阅《AWS Identity and Access Management 用户指南》**中的[在 AWS STS中传递会话标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。
结果应该类似以下示例。
![\[信任策略的示例。\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/iam-saml-federation-policy-sts-tagsession.png)
1. 选择**更新策略**。
1. 选择**权限**选项卡。
1. 在该页面的**权限策略**部分,选择**添加权限**,然后选择**创建内联策略**。
1. 在该页面的**策略编辑器**部分,选择 **JSON**。
1. 在**策略编辑器** JSON 文本框中,输入以下策略。请务必替换以下内容:
+ **使用您在其中创建 WorkSpace 池目录的 AWS 区域的代码。
+ **使用 AWS 账户 ID。
+ **使用您之前创建的目录的 ID。你可以在 WorkSpaces控制台中获得这个。
对于中的资源 AWS GovCloud (US) Regions,请使用以下格式的 ARN:。`arn:aws-us-gov:workspaces:::directory/`
1. 选择下一步。
1. 为策略输入名称,然后选择 **Create policy (创建策略)**。
## 步骤 6:配置 SAML 2.0 身份提供者
根据您的 SAML 2.0 IdP,您可能需要手动更新 IdP,以信任 AWS 作为服务提供者。为此,您可以下载在 [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml) 中找到的`saml-metadata.xml`文件,然后将其上传到您的 IdP。这会更新您 IdP 的元数据。
对于某些人来说 IdPs,更新可能已经配置好了。如果已经配置,可以跳过此步骤。如果您的 IdP 中尚未配置此更新,请查看您的 IdP 提供的文档,了解有关如何更新元数据的信息。一些提供者为您提供了以下选项:将 XML 文件的 URL 键入到控制面板并由 IdP 获取和安装该文件。另一些提供者则要求您从该 URL 处下载该文件,然后将其上传到控制面板。
**重要**
此时,您还可以授权 IdP 中的用户访问您在 IdP 中配置的 WorkSpaces应用程序。有权访问您目录中 WorkSpaces 应用程序的用户不会自动为他们 WorkSpace创建一个。同样,为其 WorkSpace 创建的用户也不会自动获得访问该 WorkSpaces 应用程序的权限。要成功连接 WorkSpace 使用 SAML 2.0 身份验证,用户必须获得 IdP 的授权并且必须已 WorkSpace 创建。
## 步骤 7:为 SAML 身份验证响应创建断言
将您的 IdP 发送到的信息配置为其 AWS 身份验证响应中的 SAML 属性。根据您的 IdP,可能已经配置了此类信息。如果已经配置,可以跳过此步骤。如果尚未配置,请提供以下信息:
+ **SAML 主题 NameID** - 登录用户的唯一标识符。请勿更改此 format/value 字段的。否则,主文件夹功能将无法按预期运行,因为该用户将被视为其他用户。
**注意**
对于已加入域的 WorkSpaces 池,必须使用以的格式为用户提供`NameID`值`sAMAccountName`,或者`domain\username``username@domain.com`格式使用`userPrincipalName`或仅提供。`userName`如果您要使用 `sAMAccountName` 格式,则可以使用 NetBIOS 名称或完全限定域名(FQDN)指定域。Active Directory 单向信任方案需要 `sAMAccountName` 格式。有关更多信息,请参阅[将 Active Directory 与 WorkSpaces Pools 结合使用](active-directory.md)。如果仅提供 `userName`,用户将登录到主域
+ **SAML 主题类型(值设为 `persistent`)**– 将值设为 `persistent` 可确保在来自特定用户的所有 SAML 请求中,您的 IdP 会为 `NameID` 元素发送相同的唯一值。请确保您的 IAM 策略包含一个条件,仅允许将 SAML `sub_type` 设置为 `persistent` 的 SAML 请求(如[步骤 5:创建 SAML 2.0 联合身份验证 IAM 角色](#saml-directory-saml-federation-role-in-iam)一节所述)。
+ **`Attribute``Name`属性设置为 “ https://aws.amazon.com/SAML/属性/角色” 的元素** — 此元素包含一个或多个元素,这些`AttributeValue`元素列出了您的 IDP 将用户映射到的 IAM 角色和 SAML IdP。角色和 IdP 以逗号分隔的一对指定。 ARNs预期值的一个示例是 `arn:aws:iam:::role/,arn:aws:iam:::saml-provider/`。
+ **`Attribute``Name`属性设置为 A https://aws.amazon.com/SAML/ ttributes/ 的元素 RoleSessionName** — 此元素包含一个`AttributeValue`元素,该元素为为 SSO 颁发的 AWS 临时证书提供标识符。`AttributeValue` 元素中值的长度必须介于 2 到 64 个字符之间,只能包含字母数字字符和以下特殊字符:`_ . : / = + - @`。它不能包含空格。该值通常是电子邮件地址或用户主体名 (UPN)。该值不应包含空格,如用户的显示名称。
+ **`Attribute``Name`属性设置为 Att https://aws.amazon.com/SAML/ ributes/: Email 的元素 PrincipalTag —** 此元素包含一个提供`AttributeValue`用户电子邮件地址的元素。该值必须与 WorkSpaces 目录中定义的 WorkSpaces 用户电子邮件地址相匹配。标签值可能包括字母、数字、空格和 `_ . : / = + - @` 字符的组合。有关更多信息,请参阅《AWS Identity and Access Management 用户指南》**中的 [IAM 和 AWS STS的标记规则](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules)。
+ (可选)**`Name`属性设置为 A https://aws.amazon.com/SAML/ ttributes/PrincipalTag: 的`Attribute`元素 UserPrincipalName** — 此元素包含一个`userPrincipalName`为登录用户提供 Active Directory 的`AttributeValue`元素。必须采用 `username@domain.com` 格式提供该值。此参数与基于证书的身份验证一起使用,作为最终用户证书中的主题备用名称。有关更多信息,请参阅 [基于证书的身份验证和个人 WorkSpaces](certificate-based-authentication.md)。
+ (可选)**`Name`属性设置为 A https://aws.amazon.com/SAML/ ttributes/PrincipalTag:ObjectSid (可选)的`Attribute`元素**-此元素包含一个为登录用户提供 Active Directory 安全标识符 (SID) 的`AttributeValue`元素。此参数与基于证书的身份验证一起使用,以启用到 Active Directory 用户的强映射。有关更多信息,请参阅 [基于证书的身份验证和个人 WorkSpaces](certificate-based-authentication.md)。
+ (可选)**`Name`属性设置为 At https://aws.amazon.com/SAML/ tributes/: Domain 的`Attribute`元素 PrincipalTag —** 此元素包含一个为登录用户提供 Active Directory DNS 完全限定域名 (FQDN) 的元素`AttributeValue`。当用户的 Active Directory `userPrincipalName` 包含备用后缀时,此参数用于基于证书的身份验证。必须以 `domain.com` 格式提供该值,且必须包括所有子域名。
+ (可选)**`Name`属性设置为 A https://aws.amazon.com/SAML/ ttributes/ 的`Attribute`元素 SessionDuration** — 此元素包含一个`AttributeValue`元素,用于指定在要求重新进行身份验证之前,用户的联合流媒体会话可以保持活动状态的最长时间。默认值为 `3600` 秒(60 分钟)。有关更多信息,请参阅《*AWS Identity and Access Management 用户指南》 SessionDurationAttribute*中的 [SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration)。
**注意**
虽然 `SessionDuration` 是一个可选属性,但建议您将该属性包含在 SAML 响应中。如果您未指定此属性,则会话持续时间将设置为默认值,即`3600`秒(60 分钟)。 WorkSpaces 桌面会话将在会话持续时间到期后断开连接。
有关如何配置这些元素的更多信息,请参阅《AWS Identity and Access Management 用户指南》**中的[为身份验证响应配置 SAML 断言](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)。有关 IdP 的具体配置要求的信息,请参阅 IdP 的文档。
## 步骤 8:配置联合身份验证的中继状态
使用您的 IdP 将联盟的中继状态配置为指向 WorkSpaces 池目录中继状态 URL。成功通过身份验证后 AWS,用户将被定向到 WorkSpaces 池目录端点,该端点在 SAML 身份验证响应中定义为中继状态。
以下为中继状态 URL 格式:
```
https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code
```
下表列出了可用 WorkSpaces SAML 2.0 身份验证的 AWS 区域的中继状态端点。 AWS 无法使用 WorkSpaces 池功能的区域已被移除。
| Region | 中继状态端点 |
| --- | --- |
| 美国东部(弗吉尼亚州北部)区域 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/create-directory-pools.html) |
| 美国西部(俄勒冈州)区域 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/create-directory-pools.html) |
| 亚太地区(孟买)区域 | workspaces.euc-sso.ap-south-1.aws.amazon.com |
| 亚太地区(首尔)区域 | workspaces.euc-sso.ap-northeast-2.aws.amazon.com |
| 亚太地区(新加坡)区域 | workspaces.euc-sso.ap-southeast-1.aws.amazon.com |
| 亚太地区(悉尼)区域 | workspaces.euc-sso.ap-southeast-2.aws.amazon.com |
| 亚太地区(东京)区域 | workspaces.euc-sso.ap-northeast-1.aws.amazon.com |
| 加拿大(中部)区域 | workspaces.euc-sso.ca-central-1.aws.amazon.com |
| 欧洲地区(法兰克福)区域 | workspaces.euc-sso.eu-central-1.aws.amazon.com |
| 欧洲地区(爱尔兰)区域 | workspaces.euc-sso.eu-west-1.aws.amazon.com |
| 欧洲地区(伦敦)区域 | workspaces.euc-sso.eu-west-2.aws.amazon.com |
| 南美洲(圣保罗)区域 | workspaces.euc-sso.sa-east-1.aws.amazon.com |
| AWS GovCloud (美国西部) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/create-directory-pools.html) 有关 IdPs 在中使用 SAML 的信息 AWS GovCloud (US) Regions,请参阅 *AWS GovCloud (美国)用户指南 WorkSpaces*中的 [Amazon](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)。 |
| AWS GovCloud (美国东部) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/create-directory-pools.html) 有关 IdPs 在中使用 SAML 的信息 AWS GovCloud (US) Regions,请参阅 *AWS GovCloud (美国)用户指南 WorkSpaces*中的 [Amazon](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)。 |
## 步骤 9:在 WorkSpace 池目录上启用与 SAML 2.0 的集成
完成以下过程为 WorkSpaces 池目录启用 SAML 2.0 身份验证。
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在导航窗格中,选择**目录**。
1. 选择**池目录**选项卡。
1. 选择要编辑的目录 ID。
1. 在该页面的**身份验证**部分,选择**编辑**。
1. 选择**编辑 SAML 2.0 身份提供者**。
1. 对于**用户访问 URL**(有时也称为“SSO URL”),将占位符值替换为您的 IdP 提供给您的 SSO URL。
1. 对于 **IdP 深层链接参数名称**,输入适用于您的 IdP 和您配置的应用程序的参数。如果省略该参数名称,则默认值为 `RelayState`。
下表列出了应用程序的各种身份提供商所独有的用户访问权限 URLs 和深度链接参数名称。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/create-directory-pools.html)
1. 选择**保存**。
**重要**
撤销用户的 SAML 2.0 不会直接断开其会话连接。只有在超时开始后,才会删除这些会话。他们也可以使用 [ TerminateWorkspacesPoolSession](https://docs.aws.amazon.com//workspaces/latest/api/API_TerminateWorkspacesPoolSession.html)API 将其终止。
## 问题排查
以下信息可以帮助您解决 WorkSpaces 池的特定问题。
### 完成 SAML 身份验证后,我在 P WorkSpaces ools 客户端中收到 “无法登录” 消息
SAML 声明中的 `nameID` 和 `PrincipalTag:Email` 需要与 Active Directory 中配置的用户名和电子邮件地址相匹配。调整某些属性后,某些 IdP 可能需要更新、刷新或重新部署。如果您进行了调整,但未反映在您的 SAML 捕获中,请参阅您的 IdP 文档或支持计划,了解使更改生效所需的具体步骤。
# 为 P WorkSpaces ools 目录指定活动目录的详细信息
在本主题中,我们将向您展示如何在 WorkSpaces 控制台的 “**创建 WorkSpaces 池目录**” 页面中指定 Active Directory (AD) 详细信息。在创建 WorkSpaces 池目录时,如果您计划在 WorkSpaces 池中使用 AD,则应指定 AD 详细信息。创建 WorkSpaces 池**目录的 Active Directory Config** 后,就无法对其进行编辑。以下是 “**创建 WorkSpaces 池目录****” 页面的 Active Directory Config** 部分的示例。
![\[创建 WorkSpaces 池目录页面的 Active Directory Config 部分\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/pools-wsp-active-directory-config.png)
**注意**
[配置 SAML 2.0 并创建 WorkSpaces 池目录](create-directory-pools.md)主题概述了创建 WorkSpaces 池目录的完整过程。本页概述的过程仅代表创建 WorkSpaces 池目录的完整过程中的一部分步骤。
**Topics**
+ [为 AD 指定组织部门和目录域名](#pools-specify-ou-and-directory-domain)
+ [为 AD 指定服务账户](#pools-specify-access-account)
## 为 AD 指定组织部门和目录域名
完成以下步骤,在 “**创建 WorkSpaces 池目录” 页面中为 AD 指定组织单位 (OU) 和目录**域名。
1. 在**组织单位**中,输入池所属的 OU。 WorkSpace 计算机帐户位于您为 WorkSpaces 池目录指定的组织单位 (OU) 中。
**注意**
OU 名称中不得包含空格。如果您指定包含空格的 OU 名称,则当它尝试重新加入 Active Directory 域时,将 WorkSpaces 无法正确循环使用计算机对象,并且无法重新加入域。
1. 对于**目录域名**,输入 Active Directory 域的完全限定域名(FQDN)(例如,`corp.example.com`)。每个 AWS 区域只能有一个带有特定目录名称的目录配置值。
+ 你可以将你的 WorkSpaces 池目录加入到 Microsoft 活动目录中的域中。您还可以使用现有的 Active Directory 域(基于云或本地)来启动已加入域 WorkSpaces名。
+ 也可以使用 AWS Directory Service for Microsoft Active Directory(也称为 AWS Managed Microsoft AD)来创建 Active Directory 域。然后,您可以使用该域来支持您的 WorkSpaces 资源。
+ WorkSpaces 加入您的活动目录域名后,您可以:
+ 允许您的用户和应用程序从流式传输会话访问 Active Directory 资源(如打印机和文件共享)。
+ 使用组策略管理控制台 (GPMC) 中可用的组策略设置定义最终用户体验。
+ 流式传输需要用户使用 Active Directory 登录凭证进行身份验证的应用程序。
+ 将企业合规性和安全策略应用于您的 WorkSpaces 流实例。
1. 对于**服务账户**,继续执行本页的下一节[为 AD 指定服务账户](#pools-specify-access-account)。
## 为 AD 指定服务账户
在目录创建过程中为 WorkSpaces 池配置 Active Directory (AD) 时,必须指定用于管理 AD 的 AD 服务帐户。这要求您提供服务帐号凭证,这些凭据必须存储在客户托管密钥中 AWS Secrets Manager 并使用 AWS Key Management Service (AWS KMS) 客户托管密钥进行加密。在本节中,我们将向您展示如何创建 AWS KMS 客户托管密钥和 Secrets Manager 密钥来存储您的 AD 服务帐号凭证。
### 步骤 1:创建 AWS KMS 客户托管密钥
完成以下步骤以创建 AWS KMS 客户托管密钥
1. 在 [https://console.aws.amazon.com/km AWS KMS](https://console.aws.amazon.com/kms) s 处打开控制台。
1. 要更改 AWS 区域,请使用页面右上角的区域选择器。
1. 选择**创建密钥**,然后选择**下一步**。
1. 为密钥类型选择**对称**,为密钥使用选择**加密和解密**,然后选择**下一步**。
1. 输入密钥的别名,例如 `WorkSpacesPoolDomainSecretKey`,然后选择**下一步**。
1. 不要选择密钥管理员。选择**下一步**以继续。
1. 不要定义密钥使用权限。选择**下一步**以继续。
1. 在该页面的“密钥策略”部分,添加以下内容:
```
{
"Sid": "Allow access for Workspaces SP",
"Effect": "Allow",
"Principal": {
"Service": "workspaces.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
结果应该类似以下示例。
![\[AWS KMS 密钥策略的示例。\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/kms-key-policy-for-wsp-pools-service-account.png)
1. 选择**结束**。
您的 AWS KMS 客户托管密钥现在可以与 Secrets Manager 一起使用了。继续执行本页的[步骤 2:创建 Secrets Manager 密钥来存储 AD 服务账户凭证](#pools-create-asm-secret)一节。
### 步骤 2:创建 Secrets Manager 密钥来存储 AD 服务账户凭证
完成以下步骤,创建 Secrets Manager 密钥来存储您的 AD 服务账户凭证。
1. 打开 AWS Secrets Manager 控制台,网址为[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。
1. 选择 **Create a new secret (创建新密钥)**。
1. 选择**其他密钥类型**。
1. 对于第一 key/value 对,输入`Service Account Name`密钥和值的服务帐号名称,例如`domain\username`。
1. 对于第二 key/value 对,`Service Account Password`为密钥输入 a,为值输入服务帐户的密码。
1. 对于加密密钥,请选择您之前创建的 AWS KMS 客户托管密钥,然后选择**下一步**。
1. 输入密钥的名称,例如 `WorkSpacesPoolDomainSecretAD`。
1. 在该页面的**资源权限**部分,选择**编辑权限**。
1. 输入以下权限策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"workspaces.amazonaws.com"
]
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "*"
}
]
}
```
------
1. 选择**保存**以保存权限策略。
1. 选择**下一步**以继续。
1. 不要配置自动轮换。选择**下一步**以继续。
1. 选择**存储**,以完成您密钥的存储。
您的 AD 服务账户凭证现存储在 Secrets Manager 中。继续执行本页的[步骤 3:选择包含您的 AD 服务账户凭证的 Secrets Manager 密钥](#continue-creating-pools-directory)一节。
### 步骤 3:选择包含您的 AD 服务账户凭证的 Secrets Manager 密钥
完成以下过程,选择你在 Active Directory 配置中为 WorkSpaces 池目录创建的 Secrets Manager 密钥。
+ 对于**服务帐号**,请选择包含您的服务帐号凭据的 AWS Secrets Manager 密钥。完成以下步骤,创建密钥(如果尚未执行此操作)。必须使用 AWS Key Management Service 客户管理的密钥对密钥进行加密。
现在,您已经完成了 “**创建 WorkSpaces 池目录” 页面的 Active Director** **y Config** 部分中的所有字段,您可以继续完成 WorkSpaces 池目录的创建。转至[步骤 4:创建 WorkSpace 池目录](create-directory-pools.md#saml-directory-create-wsp-pools-directory),并从该过程的步骤 9 开始。
# 更新 WorkSpaces 矿池的目录详细信息
您可以使用 P WorkSpaces ools 控制台完成以下目录管理任务。
## 身份验证
您可以为 WorkSpaces 池配置其他身份验证选项。池需要 SAML 2.0 身份验证。
**启用和配置 SAML 2.0 身份提供者身份验证**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在导航窗格中,选择**目录**。
1. 选择要配置的目录。
1. 转到“身份验证”,然后选择**编辑**。
1. 选择**编辑 SAML 2.0 身份提供者**。
1. 选中**启用 SAML 2.0 身份验证**复选框。
1. 输入**用户访问权限 URL**,以便在联合登录期间指 WorkSpaces 向 Pools 客户端。
1. 输入 **IdP 深层链接参数名称**(可选)。
1. 选择**保存**。
**启用和配置基于证书的身份验证**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在导航窗格中,选择**目录**。
1. 选择要配置的目录。
1. 转到“身份验证”,然后选择**编辑**。
1. 选择**编辑基于证书的身份验证**。
1. 选中**启用基于证书的身份验证**复选框。
1. 从下拉列表中选择 **AWS Certificate Manager (ACM)私有证书颁发机构(CA)**。
1. 选择**保存**。
## 安全组
将安全组应用于目录中的 WorkSpaces 存储池。
**为您的 WorkSpaces 池配置安全组**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在导航窗格中,选择**目录**。
1. 选择要配置的目录。
1. 转到“安全组”并选择**编辑**。
1. 从下拉列表中选择一个安全组。
## Active Directory 配置
使用组织单位 (OU)、目录域名和 Secrets Manager AWS 密钥配置您的目录 Active Directory Config。
**配置 Active Directory**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在导航窗格中,选择**目录**。
1. 选择要配置的目录。
1. 转到“Active Directory 配置”,然后选择**编辑**。
1. 要查找组织部门(OU),您可以开始键入 OU 的全部或部分名称,然后选择要使用的 OU。
**注意**
(可选)选择 OU 后,重建现有的 OU WorkSpaces 以更新 OU。有关更多信息,请参阅 [重建 WorkSpaces 个人版中的 WorkSpace](rebuild-workspace.md)。
1. 选择**保存**。
**注意**
创建池后,无法编辑目录域名和 Secr AWS ets Manager 密钥。
## 流属性
配置用户如何在共享设备 WorkSpace 和本地设备之间传输数据。
**配置流式传输属性**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在导航窗格中,选择**目录**。
1. 选择要配置的目录。
1. 转到“流式传输属性”,然后选择**编辑**。
1. 配置以下流式传输属性:
+ 剪贴板权限
+ 从下拉列表中选择以下选项之一:
+ **允许复制和粘贴** - 允许复制到本地设备和粘贴到远程会话。
+ **允许粘贴到远程会话** - 允许粘贴到远程会话。
+ **允许复制到本地设备** - 允许复制到本地设备。
+ 已禁用
+ 选择允许或不允许打印到本地设备。
+ 选择允许或不允许诊断日志记录。
+ 选择允许或不允许智能卡登录。
+ 要启用主文件夹存储,请选择**启用主文件夹**。
1. 选择**保存**。
## IAM 角色
为您的 P WorkSpaces ools 选择一个 IAM 角色。
**选择 IAM 角色**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在导航窗格中,选择**目录**。
1. 选择要配置的目录。
1. 转到 IAM 角色并选择**编辑**。
1. 从下拉列表中选择 IAM 角色。要创建新的 IAM 角色,请选择**创建新的 IAM 角色**。
1. 选择**保存**。
## 标签
向您的 WorkSpaces 矿池添加新标签
**添加新标签**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在导航窗格中,选择**目录**。
1. 选择要配置的目录。
1. 转到“标签”,然后选择**管理标签**。
1. 选择**添加新标签**,然后输入要使用的密钥对值。键可以是具有特定关联值的一般类别,例如“project”、“owner”或“environment”。
1. 选择**保存更改**。
# 删除 WorkSpaces 池目录
完成以下过程以删除 P WorkSpaces ools 目录。
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在导航窗格中,选择**目录**。
1. 选择目录。
1. 依次选择**操作**和**删除**。
1. 当提示您确认时**delete**,输入确认文本并选择**删除**。