本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Amazon WorkSpaces 安全瀏覽器上設定您的身分提供者
<a name="configure-idp-step1"></a>

完成下列步驟以設定您的身分提供者：

1. 在建立精靈的**設定身分提供者**頁面上，選擇**標準**。

1. 選擇**使用標準 IdP** 繼續。

1. 下載 SP 中繼資料檔案，並保持個別中繼資料值的索引標籤開啟。
   + 如果 SP 中繼資料檔案可用，請選擇**下載中繼資料檔案**以下載服務提供者 (SP) 中繼資料文件，然後在下一個步驟中將服務提供者中繼資料檔案上傳到您的 IdP。如果沒有此項目，使用者將無法登入。
   + 如果您的提供者未上傳 SP 中繼資料檔案，請手動輸入中繼資料值。

1. 在**選擇 SAML 登入類型**下，選擇 **SP 起始和 IdP 起始的 SAML 聲明**，或**僅 SP 起始的 SAML 聲明**。
   + **SP 起始和 IdP 起始的 SAML 聲明**可讓您的入口網站支援這兩種類型的登入流程。支援 IdP 起始流程的入口網站可讓您向服務聯合身分端點呈現 SAML 聲明，而不需要使用者透過造訪入口網站 URL 來啟動工作階段。
     + 選擇此選項，以允許入口網站接受未經請求的 IdP 起始的 SAML 聲明。
     + 此選項需要在 SAML 2.0 Identity Provider 中設定**預設轉送狀態**。入口網站的轉送狀態參數位於 **IdP 起始的 SAML 登入**下的主控台中，或者您可以從 下的 SP 中繼資料檔案複製`<md:IdPInitRelayState>`。
     +  注意
       + 以下是轉送狀態的格式：`redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider`。
       + 如果您從 SP 中繼資料檔案複製並貼上值，請務必`&amp; `變更為 `&`。 `&amp;` 是 XML 逸出字元。
   + 僅為入口網站選擇 **SP 起始的 SAML 聲明**，僅支援 SP 起始的登入流程。此選項將從 IdP 起始的登入流程拒絕未經請求的 SAML 聲明。
**注意**  
某些第三方 IdPs 可讓您建立自訂 SAML 應用程式，以利用 SP 起始的流程提供 IdP 起始的身分驗證體驗。例如，請參閱[新增 Okta 書籤應用程式](https://help.okta.com/oag/en-us/content/topics/access-gateway/add-app-saml-pass-thru-add-bookmark.htm)。

1. 選擇是否要啟用**對此提供者的 Sign SAML 請求**。SP 啟動的身分驗證可讓您的 IdP 驗證身分驗證請求是否來自入口網站，以防止接受其他第三方請求。

   1. 下載簽署憑證並上傳至您的 IdP。相同的簽署憑證可用於單一登出。

   1. 在 IdP 中啟用已簽署的請求。根據 IdP，名稱可能不同。
**注意**  
RSA-SHA256 是唯一支援請求和預設請求簽署演算法。

1. 選擇是否要啟用**需要加密的 SAML 聲明**。這可讓您加密來自 IdP 的 SAML 聲明。它可以防止 IdP 和 WorkSpaces 安全瀏覽器之間的 SAML 聲明攔截資料。
**注意**  
此步驟不提供加密憑證。它會在您的入口網站啟動後建立。啟動入口網站後，請下載加密憑證並將其上傳至您的 IdP。然後，在您的 IdP 中啟用聲明加密 （名稱可能不同，取決於 IdP。

1. 選擇是否要啟用**單一登出**。單一登出可讓您的最終使用者透過單一動作登出其 IdP 和 WorkSpaces 安全瀏覽器工作階段。

   1. 從 WorkSpaces 安全瀏覽器下載簽署憑證，並將其上傳至您的 IdP。這是上一個步驟中用於**請求簽署**的相同簽署憑證。

   1. 使用**單一登出**需要在 SAML 2.0 身分提供者中設定**單一登出 URL**。您可以在 主控台的**服務供應商 (SP) 詳細資訊 - 顯示個別中繼資料值**，或從 下的 SP `<md:SingleLogoutService>` 中繼資料檔案找到入口網站的**單一登出 URL**。

   1. 在 IdP 中啟用**單一登出**。根據 IdP，名稱可能不同。