本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 SAML 2.0 並建立 WorkSpaces 集區目錄
<a name="create-directory-pools"></a>

您可以使用 SAML 2.0 設定聯合身分，在 WorkSpaces 集 WorkSpaces 區中啟用 WorkSpaces 用戶端應用程式註冊和登入 WorkSpaces。若要這樣做，您可以使用 AWS Identity and Access Management (IAM) 角色和轉送狀態 URL 來設定您的 SAML 2.0 身分提供者 (IdP) 並為其啟用 AWS。這可讓您的聯合身分使用者存取 WorkSpace 集區目錄。轉送狀態是 WorkSpaces 目錄端點，使用者在成功登入 AWS後會轉送至該端點。

**重要**  
WorkSpaces 集區不支援 IP 型 SAML 2.0 組態。

**Topics**
+ [步驟 1：考慮需求](#saml-directory-consider-the-requirements)
+ [步驟 2：完成事前準備](#saml-directory-complete-the-prereqs)
+ [步驟 3：在 IAM 中建立 SAML 身分提供者](#saml-directory-create-saml-idp)
+ [步驟 4：建立 WorkSpace 集區目錄](#saml-directory-create-wsp-pools-directory)
+ [步驟 5：建立 SAML 2.0 聯合 IAM 角色](#saml-directory-saml-federation-role-in-iam)
+ [步驟 6：設定 SAML 2.0 身分提供者](#saml-directory-configure-saml-idp)
+ [步驟 7：建立 SAML 身分驗證回應的聲明](#saml-directory-create-assertions)
+ [步驟 8：設定聯合的轉送狀態](#saml-directory-configure-relay-state)
+ [步驟 9：在 WorkSpace 集區目錄上啟用與 SAML 2.0 的整合](#saml-directory-enable-saml-integration)
+ [疑難排解](#saml-pools-troubleshooting)
+ [為您的 WorkSpaces 集區目錄指定 Active Directory 詳細資訊](pools-service-account-details.md)

## 步驟 1：考慮需求
<a name="saml-directory-consider-the-requirements"></a>

設定 WorkSpaces 集區目錄的 SAML 時，適用下列要求。
+ workspaces\_DefaultRole IAM 角色必須存在於您的帳戶中 AWS 。當您使用 WorkSpaces 快速設定或先前使用 啟動 WorkSpace 時，會自動建立此角色 AWS 管理主控台。它授予 Amazon WorkSpaces 代表您存取特定 AWS 資源的許可。如果角色已存在，您可能需要將 AmazonWorkSpacesPoolServiceAccess 受管政策連接至該角色，Amazon WorkSpaces 會使用此政策來存取 WorkSpaces 集區 AWS 帳戶中的必要資源。如需詳細資訊，請參閱[建立 workspaces\_DefaultRole 角色](workspaces-access-control.md#create-default-role)及[AWS 受管政策：AmazonWorkSpacesPoolServiceAccess](managed-policies.md#workspaces-pools-service-access)。
+ 您可以在支援 功能的 中為 WorkSpaces 集區設定 SAML 2 AWS 區域 .0 身分驗證。如需詳細資訊，請參閱[AWS 區域 WorkSpaces 集區的 和可用區域](wsp-pools-regions.md)。
+ 若要搭配 WorkSpaces 使用 SAML 2.0 身分驗證，IdP 必須使用深層連結目標資源或轉送狀態端點 URL 來支援未經請求的 IdP 起始 SSO。支援此功能的 IdPs 範例包括 ADFS、Azure AD、Duo Single Sign-On、Okta、PingFederate 和 PingOne。如需詳細資訊，請參閱 IdP 文件。
+ 只有下列 WorkSpaces 用戶端才支援 SAML 2.0 身分驗證。如需最新的 WorkSpaces 用戶端，請參閱 [Amazon WorkSpaces 用戶端下載頁面](https://clients.amazonworkspaces.com/)。
  + Windows 用戶端應用程式 5.20.0 版或更新版本
  + macOS 用戶端 5.20.0 版或更新版本
  + Web Access

## 步驟 2：完成事前準備
<a name="saml-directory-complete-the-prereqs"></a>

在設定 SAML 2.0 IdP 連線至 WorkSpaces 集區目錄之前，請先完成下列先決條件。
+ 設定 IdP 來與 AWS建立信任關係
+ 如需設定聯合的詳細資訊，請參閱[將第三方 SAML 解決方案供應商與 整合 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html)。 AWS 相關範例包括 IdP 與 IAM 整合以存取 AWS 管理主控台。
+ 使用 IdP 來產生並下載聯合中繼資料文件，以將您的組織描述為 IdP。這份簽章的 XML 文件是用來建立轉送方信任關係。請將這個檔案儲存到日後可從 IAM 主控台存取更新版本的位置。
+ 使用 WorkSpaces 主控台建立 WorkSpaces 集區目錄。如需詳細資訊，請參閱[搭配 WorkSpaces 集區使用 Active Directory](active-directory.md)。
+ 為可以使用支援的目錄類型登入 IdP 的使用者建立 WorkSpaces 集區。如需詳細資訊，請參閱[建立 WorkSpaces 集區](set-up-pools-create.md)。

## 步驟 3：在 IAM 中建立 SAML 身分提供者
<a name="saml-directory-create-saml-idp"></a>

若要開始使用，您必須在 IAM 中建立 SAML IdP。此 IdP 使用組織中 IdP 軟體產生的中繼資料文件來定義組織的 IdP 對AWS 信任關係。如需詳細資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的[建立和管理 SAML 身分提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console)。如需在 中使用 SAML IdPs 的詳細資訊 AWS GovCloud (US) Regions，請參閱*AWS GovCloud (US) 《 使用者指南*[AWS Identity and Access Management](https://docs.aws.amazon.com//govcloud-us/latest/UserGuide/govcloud-iam.html)》中的 。

## 步驟 4：建立 WorkSpace 集區目錄
<a name="saml-directory-create-wsp-pools-directory"></a>

完成下列程序以建立 WorkSpaces 集區目錄。

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中選擇**目錄**。

1. 選擇**建立目錄**。

1. 針對 **WorkSpace 類型**，選擇**集區**。

1. 在頁面**的使用者身分來源**區段中：

   1. 在**使用者存取 URL** 文字方塊中輸入預留位置值。例如，在文字方塊`placeholder`中輸入 。稍後您會在 IdP 中設定應用程式權利後編輯此項目。

   1. 將**轉送狀態參數名稱**文字方塊保留空白。稍後您會在 IdP 中設定應用程式權利後編輯此項目。

1. 在頁面的**目錄資訊**區段中，輸入目錄的名稱和描述。目錄名稱和描述必須小於 128 個字元，可包含英數字元和下列特殊字元：`_ @ # % * + = : ? . / ! \ -`。目錄名稱和描述不能以特殊字元開頭。

1. 在頁面**的網路和安全性**區段中：

   1. 選擇可存取應用程式所需網路資源的 VPC 和 2 個子網路。為了提高容錯能力，您應該選擇不同可用區域中的兩個子網路。

   1. 選擇允許 WorkSpaces 在 VPC 中建立網路連結的安全群組。安全群組控制允許哪些網路流量從 WorkSpaces 流向 VPC。例如，如果您的安全群組限制所有傳入 HTTPS 連線，存取 Web 入口網站的使用者將無法從 WorkSpaces 載入 HTTPS 網站。

1. **Active Directory Config **區段是選用的。不過，如果您計劃在 WorkSpaces 集區中使用 AD，則應在建立 WorkSpaces 集區目錄期間指定 Active Directory (AD) 詳細資訊。您無法在建立 WorkSpaces 集區目錄之後編輯其 **Active Directory Config**。如需為 WorkSpaces 集區目錄指定 AD 詳細資訊的詳細資訊，請參閱 [為您的 WorkSpaces 集區目錄指定 Active Directory 詳細資訊](pools-service-account-details.md)。完成該主題中概述的程序後，您應該返回此主題以完成建立 WorkSpaces 集區目錄。

   如果您不打算搭配 WorkSpaces 集區使用 AD，則可以略過 **Active Directory Config** 區段。

1. 在頁面的**串流屬性**區段中：
   + 選擇剪貼簿許可行為，然後輸入複製到本機字元限制 （選用），然後貼到遠端工作階段字元限制 （選用）。
   + 選擇允許或不允許列印到本機裝置。
   + 選擇允許或不允許診斷記錄。
   + 選擇允許或不允許智慧卡登入。此功能僅適用於您先前在此程序中啟用 AD 組態的情況。

1. 在頁面的**儲存**區段中，您可以選擇啟用主資料夾。

1. 在頁面的 **IAM 角色區段**中，選擇要供所有桌面串流執行個體使用的 IAM 角色。若要建立新的 IAM 角色，請選擇**建立新的 IAM 角色**。

   當您將 IAM 角色從您的帳戶套用到 WorkSpace 集區目錄時，您可以從 WorkSpace 集區中的 WorkSpace 提出 AWS API 請求，而無需手動管理 AWS 登入資料。如需詳細資訊，請參閱《 *AWS Identity and Access Management 使用者指南*》中的[建立角色以將許可委派給 IAM 使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)。

1. 選擇**建立目錄**。

## 步驟 5：建立 SAML 2.0 聯合 IAM 角色
<a name="saml-directory-saml-federation-role-in-iam"></a>

請完成下列程序，以在 IAM 主控台中建立 SAML 2.0 聯合 IAM 角色。

1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/secretsmanager/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇 **Roles (角色)**。

1. 選擇建立角色。

1. 為信任的實體類型選擇 **SAML 2.0 聯合。**

1. 針對以 SAML 2.0 為基礎的提供者，選擇您在 IAM 中建立的身分提供者。如需詳細資訊，請參閱[在 IAM 中建立 SAML 身分提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html?)。

1. 選擇**僅允許以程式設計方式存取**，以允許存取。

1. 為 屬性選擇 ** SAML：sub\_type**。

1. 針對**數值**，輸入 `https://signin.aws.amazon.com/saml`。此值限制對 SAML 使用者串流請求的角色存取，其中包含值為 的 SAML 主體類型聲明`persistent`。如果 SAML：sub\_type 是持久性的，您的 IdP 會為來自特定使用者的所有 SAML 請求中的 `NameID`元素傳送相同的唯一值。如需詳細資訊，請參閱*AWS Identity and Access Management 《 使用者指南*[》中的在以 SAML 為基礎的聯合中唯一識別使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-userid)。

1. 選擇 **Next** (下一步) 繼續。

1. 請勿在**新增許可**頁面中進行變更或選擇。選擇 **Next** (下一步) 繼續。

1. 輸入角色的名稱和描述。

1. 選擇建**立角色**。

1. 在**角色**頁面中，選擇您必須建立的角色。

1. 選擇**信任關係**標籤。

1. 選擇**編輯信任政策**。

1. 在**編輯信任政策** JSON 文字方塊中，將 **sts：TagSession** 動作新增至信任政策。如需詳細資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的[在 中傳遞工作階段標籤 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

   結果應如下列範例所示。  
![信任政策的範例。](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/images/iam-saml-federation-policy-sts-tagsession.png)

1. 選擇**更新政策**。

1. 選擇**許可**索引標籤。

1. 在頁面的**許可政策**區段中，選擇**新增許可**，然後選擇**建立內嵌政策**。

1. 在頁面**的政策編輯器**區段中，選擇 **JSON**。

1. 在**政策編輯器** JSON 文字方塊中，輸入下列政策。請務必取代：
   + {{<region-code>}}，其中包含您建立 WorkSpace 集區目錄的 AWS 區域代碼。
   + 帳戶 AWS ID 為 {{<account-id>}}。
   + {{<directory-id>}} 以及您先前建立之目錄的 ID。您可以在 WorkSpaces 主控台中取得此項目。

   對於 中的資源 AWS GovCloud (US) Regions，請使用 ARN 的下列格式：`arn:aws-us-gov:workspaces:{{<region-code>}}:{{<account-id>}}:directory/{{<directory-id>}}`。

------
#### [ JSON ]

****  

   ```
   {
       "Version": "2012-10-17", 		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "workspaces:Stream",
               "Resource": "arn:aws:workspaces:{{<region-code>}}:{{<account-id>}}:directory/{{<directory-id>}}",
               "Condition": {
                   "StringEquals": {"workspaces:userId": "${saml:sub}"}
               }
           }
       ]
   }
   ```

------

1. 選擇下一步。

1. 輸入政策名稱，然後選擇 **Create policy (建立政策)**。

## 步驟 6：設定 SAML 2.0 身分提供者
<a name="saml-directory-configure-saml-idp"></a>

根據您的 SAML 2.0 IdP，您可能需要手動更新 IdP 以信任 AWS 作為服務提供者。您可以下載位於 [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml)：// `saml-metadata.xml`的檔案，然後上傳到您的 IdP。這會更新 IdP 的中繼資料。

對於某些 IdPs，可能已設定更新。如果已設定此步驟，您可以略過此步驟。如果您的 IdP 中尚未設定更新，請檢閱 IdP 提供的文件，以取得如何更新中繼資料的資訊。有些提供者可讓您選擇在儀表板中輸入 XML 檔案的 URL，而 IdP 會為您取得並安裝 檔案。其他人會要求您從 URL 下載檔案，然後將其上傳至其儀表板。

**重要**  
此時，您也可以授權 IdP 中的使用者存取您在 IdP 中設定的 WorkSpaces 應用程式。系統不會自動為經過授權可存取您目錄之 WorkSpaces 應用程式的使用者建立 WorkSpace。同樣地，已為其建立 WorkSpace 的使用者不會自動獲得存取 WorkSpaces 應用程式的授權。若要使用 SAML 2.0 驗證成功連線至 WorkSpace，使用者必須獲得 IdP 的授權，且必須已建立 WorkSpace。

## 步驟 7：建立 SAML 身分驗證回應的聲明
<a name="saml-directory-create-assertions"></a>

在身分驗證回應中，將 IdP 傳送至 的資訊 AWS 設定為 SAML 屬性。根據您的 IdP，可能已設定。如果已設定此步驟，您可以略過此步驟。如果尚未設定，請提供下列項目：
+ **SAML 主體NameID** — 登入使用者的唯一識別符。請勿變更此欄位的格式/值。否則，主資料夾功能將無法如預期運作，因為使用者將被視為不同的使用者。
**注意**  
對於加入網域的 WorkSpaces 集區，必須以使用 的`domain\username`格式提供使用者`NameID`的值`sAMAccountName`，或以使用 的`username@domain.com`格式提供`userPrincipalName`，或僅提供 `userName`。如果您使用的是 `sAMAccountName` 格式，您可以使用 NetBIOS 名稱或完整網域名稱 (FQDN) 來指定網域。Active Directory 單向信任案例需要 `sAMAccountName` 格式。如需詳細資訊，請參閱 [搭配 WorkSpaces 集區使用 Active Directory](active-directory.md)。如果只`userName`提供 ，使用者將登入主要網域
+ **SAML 主體類型 （將值設定為 `persistent`)** — 將值設定為 ，`persistent`以確保 IdP 為來自特定使用者的所有 SAML 請求中的`NameID`元素傳送相同的唯一值。請確定您的 IAM 政策包含一個條件，只允許將 SAML `sub_type`設定為 的 SAML 請求`persistent`，如 [步驟 5：建立 SAML 2.0 聯合 IAM 角色](#saml-directory-saml-federation-role-in-iam)節所述。
+ **`Attribute` `Name` 屬性設為 https://aws.amazon.com/SAML/Attributes/Role 的 元素** — 此元素包含一或多個`AttributeValue`元素，列出使用者由 IdP 映射到的 IAM 角色和 SAML IdP。角色和 IdP 會指定為以逗號分隔的 ARN 對。預期值的範例是 `arn:aws:iam::{{<account-id>}}:role/{{<role-name>}},arn:aws:iam::{{<account-id>}}:saml-provider/{{<provider-name>}}`。
+ **`Attribute` `Name` 屬性設為 https://aws.amazon.com/SAML/Attributes/RoleSessionName 的 元素** — 此元素包含一個`AttributeValue`元素，可為為 SSO 發行的 AWS 臨時登入資料提供識別符。`AttributeValue` 元素中的值長度必須介於 2 到 64 個字元之間，可包含英數字元和下列特殊字元：`_ . : / = + - @`。不可含有空格。此值通常是電子郵件地址或使用者主體名稱 (UPN)。該值不得包含空格，例如使用者的顯示名稱。
+ **`Attribute` `Name` 屬性設為 https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email 的 元素** — 此元素包含一個元素`AttributeValue`，可提供使用者的電子郵件地址。此值必須與 WorkSpaces 目錄中定義的 WorkSpaces 使用者電子郵件地址相符。標籤值可能包含字母、數字、空格和`_ . : / = + - @`字元的組合。如需詳細資訊，請參閱*AWS Identity and Access Management 《 使用者指南*[》中的在 IAM 中標記的規則和 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules) 。
+ （選用） **`Attribute` `Name` 屬性設為 https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName 的 元素** — 此元素包含一個`AttributeValue`元素，`userPrincipalName`可為登入的使用者提供 Active Directory。值必須以 `username@domain.com` 格式提供。此參數與憑證型驗證搭配使用，做為終端使用者憑證中的主體替代名稱。如需詳細資訊，請參閱[憑證型身分驗證和 WorkSpaces Personal](certificate-based-authentication.md)。
+ （選用） **`Attribute` `Name` 屬性設為 https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid 的 元素 （選用） ** — 此元素包含一個`AttributeValue`元素，可為登入的使用者提供 Active Directory 安全識別符 (SID)。此參數與憑證型驗證搭配使用，能夠強式對應至 Active Directory 使用者。如需詳細資訊，請參閱[憑證型身分驗證和 WorkSpaces Personal](certificate-based-authentication.md)。
+ （選用） **`Attribute` `Name` 屬性設為 https://aws.amazon.com/SAML/Attributes/PrincipalTag:Domain 的 元素** — 此元素包含一個`AttributeValue`元素，可為登入的使用者提供 Active Directory DNS 完整網域名稱 (FQDN)。當使用者的 Active Directory `userPrincipalName` 包含替代尾碼時，此參數會與憑證型驗證搭配使用。值必須以 `domain.com` 格式提供，且必須包含任何子網域。
+ （選用） **`Attribute` `Name` 屬性設為 https://aws.amazon.com/SAML/Attributes/SessionDuration 的 元素** — 此元素包含一個`AttributeValue`元素，指定使用者聯合串流工作階段在需要重新驗證之前可保持作用中狀態的時間上限。預設值為`3600`秒 (60 分鐘）。如需詳細資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的 [SAML SessionDurationAttribute](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration)。
**注意**  
雖然 `SessionDuration` 是選用屬性，但我們建議您將它包含在 SAML 回應中。如果您未指定此屬性，工作階段持續時間會設定為預設值`3600`秒 (60 分鐘）。WorkSpaces 桌面工作階段會在其工作階段持續時間到期後中斷連線。

如需如何設定這些元素的詳細資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的[設定身分驗證回應的 SAML 聲明](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)。如需 IdP 的特定組態需求相關資訊，請參閱您的 IdP 文件。

## 步驟 8：設定聯合的轉送狀態
<a name="saml-directory-configure-relay-state"></a>

使用您的 IdP 來設定聯合的轉送狀態，以指向 WorkSpaces 集區目錄轉送狀態 URL。身分驗證成功後 AWS，會將使用者導向 WorkSpaces 集區目錄端點，定義為 SAML 身分驗證回應中的轉送狀態。

以下是轉送狀態 URL 格式：

```
https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code
```

下表列出可使用 WorkSpaces SAML 2.0 身分驗證 AWS 之區域的轉送狀態端點。無法使用 WorkSpaces 集區功能的 AWS 區域已移除。


| 區域 | 轉送狀態端點 | 
| --- | --- | 
| 美國東部 (維吉尼亞北部) 區域 |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/create-directory-pools.html)  | 
| 美國西部 (奧勒岡) 區域 |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/create-directory-pools.html)  | 
| 亞太地區 (孟買) 區域 | workspaces.euc-sso.ap-south-1.aws.amazon.com | 
| 亞太 (首爾) 區域 | workspaces.euc-sso.ap-northeast-2.aws.amazon.com | 
| 亞太 (新加坡) 區域 | workspaces.euc-sso.ap-southeast-1.aws.amazon.com | 
| 亞太地區 (雪梨) 區域 | workspaces.euc-sso.ap-southeast-2.aws.amazon.com | 
| 亞太地區 (東京) 區域 | workspaces.euc-sso.ap-northeast-1.aws.amazon.com | 
| 加拿大 (中部) 區域 | workspaces.euc-sso.ca-central-1.aws.amazon.com | 
| 歐洲 (法蘭克福) 區域 | workspaces.euc-sso.eu-central-1.aws.amazon.com | 
| 歐洲 (愛爾蘭) 區域 | workspaces.euc-sso.eu-west-1.aws.amazon.com | 
| 歐洲 (倫敦) 區域 | workspaces.euc-sso.eu-west-2.aws.amazon.com | 
| 南美洲 (聖保羅) 區域 | workspaces.euc-sso.sa-east-1.aws.amazon.com | 
| AWS GovCloud （美國西部） |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/create-directory-pools.html)  如需有關在 中使用 SAML IdPs 的資訊 AWS GovCloud (US) Regions，請參閱 *AWS GovCloud (US) 使用者指南*中的 [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)。   | 
| AWS GovCloud （美國東部） |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/create-directory-pools.html)  如需有關在 中使用 SAML IdPs 的資訊 AWS GovCloud (US) Regions，請參閱 *AWS GovCloud (US) 使用者指南*中的 [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)。   | 

## 步驟 9：在 WorkSpace 集區目錄上啟用與 SAML 2.0 的整合
<a name="saml-directory-enable-saml-integration"></a>

完成下列程序，以啟用 WorkSpaces 集區目錄的 SAML 2.0 身分驗證。

1. 在 https：//[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。

1. 在導覽窗格中選擇**目錄**。

1. 選擇**集區目錄**索引標籤。

1. 選擇您要編輯的目錄 ID。

1. 在頁面的**身分驗證**區段中選擇**編輯**。

1. 選擇**編輯 SAML 2.0 身分提供者**。

1. 對於有時稱為「SSO URL」**的使用者存取 URL**，請以 IdP 提供給您的 SSO URL 取代預留位置值。

1. 針對 **IdP 深層連結參數名稱**，輸入適用於您的 IdP 和您已設定之應用程式的參數。`RelayState` 如果您省略參數名稱，預設值為 。

   下表列出各種應用程式身分提供者獨有的使用者存取 URLs 和深層連結參數名稱。    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/create-directory-pools.html)

1. 選擇**儲存**。

**重要**  
從使用者撤銷 SAML 2.0 不會直接中斷其工作階段的連線。只有在逾時開始後才會將其移除。他們也可以使用 [ TerminateWorkspacesPoolSession](https://docs.aws.amazon.com//workspaces/latest/api/API_TerminateWorkspacesPoolSession.html) API 將其終止。

## 疑難排解
<a name="saml-pools-troubleshooting"></a>

以下資訊可協助您疑難排解 WorkSpaces 集區的特定問題。

### 在完成 SAML 身分驗證後，我在 WorkSpaces 集區用戶端中收到「無法登入」訊息
<a name="pools-unable-to-login"></a>

SAML 宣告`PrincipalTag:Email`中的 `nameID`和 必須與 Active Directory 中設定的使用者名稱和電子郵件相符。調整特定屬性後，某些 IdP 可能需要更新、重新整理或重新部署。如果您進行調整且未反映在 SAML 擷取中，請參閱 IdP 的文件或支援計畫，了解讓變更生效所需的特定步驟。