本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 為 WorkSpaces Personal 設定 SAML 2.0
使用 SAML 2.0 設定聯合身分,讓使用者能使用其 SAML 2.0 身分提供者 (IdP) 憑證和驗證方法進行 WorkSpaces 用戶端應用程式註冊及登入 WorkSpaces。若要使用 SAML 2.0 設定聯合身分,請使用 IAM 角色和轉送狀態 URL 來設定 IdP 並啟用 AWS。這會授予聯合身分使用者存取 WorkSpaces 目錄的權限。轉送狀態是 WorkSpaces 目錄端點,使用者在成功登入 AWS後會轉送至該端點。
**Topics**
+ [要求](#setting-up-saml-requirements)
+ [先決條件](#setting-up-saml-prerequisites)
+ [步驟 1:在 IAM 中建立 SAML AWS 身分提供者](#create-saml-identity-provider)
+ [步驟 2:建立 SAML 2.0 聯合 IAM 角色](#create-saml-iam-role)
+ [步驟 3:為 IAM 角色嵌入內嵌政策](#embed-inline-policy)
+ [步驟 4:設定 SAML 2.0 身分提供者](#configure-saml-id-provider)
+ [步驟 5:建立 SAML 身分驗證回應聲明](#create-assertions-saml-auth)
+ [步驟 6:設定聯合的轉送狀態](#configure-relay-state)
+ [步驟 7:在 WorkSpaces 目錄上啟用與 SAML 2.0 的整合](#enable-integration-saml)
## 要求
+ SAML 2.0 驗證適用於下列區域:
+ 美國東部 (維吉尼亞北部) 區域
+ 美國西部 (奧勒岡) 區域
+ 非洲 (開普敦) 區域
+ 亞太 (孟買) 區域
+ 亞太 (首爾) 區域
+ 亞太區域 (新加坡) 區域
+ 亞太 (雪梨) 區域
+ 亞太 (東京) 區域
+ 加拿大 (中部) 區域
+ 歐洲 (法蘭克福) 區域
+ 歐洲 (愛爾蘭) 區域
+ 歐洲 (倫敦) 區域
+ 南美洲 (聖保羅) 區域
+ 以色列 (特拉維夫) 區域
+ AWS GovCloud (美國西部)
+ AWS GovCloud (美國東部)
+ 若要搭配 WorkSpaces 使用 SAML 2.0 驗證,IdP 必須支援具有深層連結目標資源或轉送狀態端點 URL 的未經要求 IdP 起始 SSO。IdP 的範例包括 ADFS、Azure AD、Duo 單一登入、Okta、PingFederate 和 PingOne。如需詳細資訊,請參閱 IdP 文件。
+ SAML 2.0 驗證可以在使用 Simple AD 啟動的 WorkSpaces 中運作,但不建議這麼做,因為 Simple AD 並未與 SAML 2.0 IdP 整合。
+ 下列 WorkSpaces 用戶端支援 SAML 2.0 驗證。其他用戶端版本不支援 SAML 2.0 驗證。開啟 Amazon WorkSpaces [用戶端下載](https://clients.amazonworkspaces.com/)以尋找最新版本:
+ Windows 用戶端應用程式 5.1.0.3029 版或更新版本
+ macOS 用戶端 5.x 版或更新版本
+ 適用於 Ubuntu 22.04 2024.1 版或更新版本、Ubuntu 20.04 24.1 版或更新版本的 Linux 用戶端
+ Web Access
除非啟用後援,否則其他用戶端版本將無法連線至已啟用 SAML 2.0 驗證的 WorkSpaces。如需詳細資訊,請參閱[在 WorkSpaces 目錄上啟用 SAML 2.0 驗證](https://d1.awsstatic.com/workspaces-saml-guide.pdf)。
如需使用 ADFS、Azure AD、Duo 單一登入、Okta、OneLogin、PingFederate 和 PingOne for Enterprise 來整合 SAML 2.0 與 WorkSpaces 的逐步指示,請參閱 [Amazon WorkSpaces SAML 驗證實作指南](https://d1.awsstatic.com/workspaces-saml-guide.pdf)。
## 先決條件
在設定對 WorkSpaces 目錄的 SAML 2.0 身分提供者 (IdP) 連線之前,請先完成下列先決條件。
1. 設定您的 IdP,以整合與 WorkSpaces 目錄搭配使用的 Microsoft Active Directory 中的使用者身分。對於具有 WorkSpace 的使用者,Active Directory 使用者的 **sAMAccountName** 和 **email** 屬性與 SAML 宣告值必須相符,使用者才能使用 IdP 登入 WorkSpaces。如需有關整合 Active Directory 與 IdP 的詳細資訊,請參閱您的 IdP 文件。
1. 設定 IdP 來與 AWS建立信任關係
+ 如需設定聯合的詳細資訊,請參閱[將第三方 SAML 解決方案供應商與 整合 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html)。 AWS 相關範例包括 IdP 與 IAM AWS 整合,以存取 AWS 管理主控台。
+ 使用 IdP 來產生並下載聯合中繼資料文件,以將您的組織描述為 IdP。這份簽章的 XML 文件是用來建立轉送方信任關係。請將這個檔案儲存到日後可從 IAM 主控台存取更新版本的位置。
1. 使用 WorkSpaces 管理主控台為 WorkSpaces 建立或註冊目錄。如需詳細資訊,請參閱[管理 WorkSpaces 的目錄](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-directory.html)。下列目錄類型支援 WorkSpaces 的 SAML 2.0 驗證:
+ AD Connector
+ AWS Managed Microsoft AD
1. 為可使用支援的目錄類型登入 IdP 的使用者建立 WorkSpace。您可使用 WorkSpace 管理主控台、 AWS CLI或 WorkSpaces API 來建立 WorkSpace。如需詳細資訊,請參閱[使用 WorkSpaces 啟動虛擬桌面](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html)。
## 步驟 1:在 IAM 中建立 SAML AWS 身分提供者
首先,在 IAM AWS 中建立 SAML IdP。此 IdP 使用組織中 IdP 軟體產生的中繼資料文件來定義組織的 IdP 對AWS 信任關係。如需詳細資訊,請參閱[建立和管理 SAML 身分提供者 (Amazon Web Services 管理主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console)。如需使用 in AWS GovCloud (美國西部) 和 AWS GovCloud (美國東部) 中 SAML IdPs 的詳細資訊,請參閱 [AWS Identity and Access Management](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html)。
## 步驟 2:建立 SAML 2.0 聯合 IAM 角色
接下來,建立 SAML 2.0 聯合 IAM 角色。此步驟會建立 IAM 與組織 IdP 之間的信任關係,以便將您的 IdP 識別為聯合信任的實體。
為 SAML IdP 建立 IAM 角色
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **角色**、**建立角色**。
1. 針對 **Role type (角色類型)**,選擇 **SAML 2.0 federation (SAML 2.0 聯合)**。
1. 針對 **SAML 提供者**,選取您建立的 SAML IdP。
**重要**
請勿選擇兩種 SAML 2.0 存取方法 (**僅允許以程式設計的方式存取**或**允許以程式設計方式存取和 Amazon Web Services 管理主控台存取**) 的任何一種。
1. 針對 **Attribute (屬性)**,選擇 **SAML:sub\_type**。
1. 針對**值**輸入 `persistent`。此值會將角色存取限制為 SAML 使用者串流請求,其中包括 SAML 主旨類型聲明與持久值。如果 SAML:sub\_type 為持久性,您的 IdP 就會針對來自特定使用者之所有 SAML 請求中的 NameID 元素,傳送相同的唯一值。如需 SAML:sub\_type 聲明的詳細資訊,請參閱[使用 SAML AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring) **型聯合進行 API 存取中的在 SAML 型聯合中唯一識別使用者**一節。
1. 檢閱您的 SAML 2.0 信任資訊,確認信任實體和條件無誤,然後選擇 **Next: Permissions (下一步:許可)**。
1. 在 **Attach permissions policies (連接許可政策)** 頁面上,選擇 **Next: Tags (下一步:標籤)**。
1. (選用) 為您要新增的每個標籤輸入索引鍵和值。如需詳細資訊,請參閱[標記 IAM 使用者和角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
1. 完成後,請選擇 **Next: Review (下一步:檢閱)**。您稍後可為此角色建立並嵌入內嵌政策。
1. 針對**角色名稱**,輸入可識別此角色用途的名稱。因為有多個實體可能會參考此角色,所以建立角色後,您就無法編輯其名稱。
1. (選用) 在 **Role description (角色說明)** 中,輸入新角色的說明。
1. 檢閱角色詳細資訊,並選擇 **Create role (建立角色)**。
1. 將 sts:TagSession 許可新增至新 IAM 角色的信任政策。如需詳細資訊,請參閱[在 AWS STS中傳入工作階段標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。在新 IAM 角色的詳細資訊中,選擇**信任關係**索引標籤,然後選擇**編輯信任關係**。當編輯信任關係政策編輯器開啟時,新增 **sts:TagSession\*** 許可,如下所示:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::{{111122223333}}:saml-provider/IDENTITY-PROVIDER"
},
"Action": [
"sts:AssumeRoleWithSAML",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
------
以您在步驟 1 建立的 SAML IdP 名稱取代 `IDENTITY-PROVIDER`。然後選擇**更新信任政策**。
## 步驟 3:為 IAM 角色嵌入內嵌政策
接下來,為您建立的角色嵌入內嵌 IAM 政策。嵌入內嵌政策時,該政策中的許可不得意外附加至錯誤的主體實體。內嵌政策可讓聯合身分使用者存取 WorkSpaces 目錄。
**重要**
`workspaces:Stream` 動作不支援 AWS 根據來源 IP 管理 存取權的 IAM 政策。若要管理 WorkSpaces 的 IP 存取控制,請使用 [IP 存取控制群組](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-ip-access-control-groups.html)。此外,使用 SAML 2.0 身分驗證時,如果您的 SAML 2.0 IdP 提供 IP 存取控制政策,您可以使用這些政策。
1. 在您建立的 IAM 角色的詳細資訊中,選擇**許可**索引標籤,然後將必要的許可新增至角色的許可政策。**建立政策精靈**將會啟動。
1. 在**建立政策**中,選擇 **JSON** 索引標籤。
1. 將下列 JSON 政策複製並貼入 JSON 視窗。然後,輸入 AWS 區域代碼、帳戶 ID 和目錄 ID 來修改資源。在下列政策中,`"Action": "workspaces:Stream"` 是為 WorkSpaces 使用者提供連線至 WorkSpaces 目錄中其桌面工作階段之許可的動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "workspaces:Stream",
"Resource": "arn:aws:workspaces:us-east-1:123456789012:directory/DIRECTORY-ID",
"Condition": {
"StringEquals": {
"workspaces:userId": "${saml:sub}"
}
}
}
]
}
```
------
`REGION-CODE` 將 取代為 WorkSpaces 目錄所在的 AWS 區域。以 WorkSpaces 目錄 ID 取代 `DIRECTORY-ID`,您可以在 WorkSpaces 管理主控台中找到該目錄 ID。對於 in AWS GovCloud (美國西部) 或 AWS GovCloud (美國東部) 中的資源,請使用下列格式做為 ARN:`arn:aws-us-gov:workspaces:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:directory/DIRECTORY-ID`。
1. 完成時,請選擇 **Review policy (檢閱政策)**。[政策檢查工具](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)會回報任何語法錯誤。
## 步驟 4:設定 SAML 2.0 身分提供者
接下來,根據您的 SAML 2.0 IdP,您可能需要手動更新 IdP 以信任 AWS 作為服務提供者,方法是將`saml-metadata.xml`檔案上傳至 [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml)://IdP 。此步驟會更新您的 IdP 中繼資料。某些 IdP 可能已經設定更新。如果是這種情況,請繼續下一個步驟。
如果您的 IdP 尚未設定這項更新,請檢閱 IdP 提供的文件以取得中繼資料更新方式的資訊。有些供應商會提供輸入 URL 的選項,由 IdP 為您取得並安裝檔案。另一些提供者則要求您從該 URL 處下載檔案,然後將其做為本機檔案提供。
**重要**
此時,您也可以授權 IdP 中的使用者存取您在 IdP 中設定的 WorkSpaces 應用程式。系統不會自動為經過授權可存取您目錄之 WorkSpaces 應用程式的使用者建立 WorkSpace。同樣地,已為其建立 WorkSpace 的使用者不會自動獲得存取 WorkSpaces 應用程式的授權。若要使用 SAML 2.0 驗證成功連線至 WorkSpace,使用者必須獲得 IdP 的授權,且必須已建立 WorkSpace。
**注意**
如果您的最終使用者在使用相同的 SAML 2.0 身分提供者 (IdP) 時,經常在多個不同的 WorkSpaces 使用者身分之間切換,請確保您的 IdP 設定為在每次登入嘗試時強制身分驗證 (ForceAuthn)。這可防止 IdP 重複使用現有的 SSO 工作階段,否則可能會在使用者切換到另一個 WorkSpace 時導致身分驗證失敗。如需如何啟用 ForceAuthn (或同等設定) 設定的指引,請參閱 IdP 文件。
## 步驟 5:建立 SAML 身分驗證回應聲明
接著,在身分驗證回應中,將 IdP 傳送至 的資訊 AWS 設定為 SAML 屬性。根據您的 IdP,這已經設定完成,請略過此步驟並繼續進行[步驟 6:設定聯合的轉送狀態](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#configure-relay-state)。
如果您的 IdP 尚未設定這項資訊,請提供下列項目:
+ **SAML 主旨 NameID**:進行登入之使用者的唯一識別碼。此值必須符合 WorkSpaces 使用者名稱,而且通常是 Active Directory 使用者的 **sAMAccountName** 屬性。
+ **SAML 主旨類型** (值設定為 `persistent`):將值設定為 `persistent`,可確保您的 IdP 會針對來自特定使用者之所有 SAML 請求中的 `NameID` 元素,傳送相同的唯一值。確保 IAM 政策包含一個條件,僅允許 SAML sub\_type 設為 `persistent` 的 SAML 請求,如[步驟 2:建立 SAML 2.0 聯合 IAM 角色](https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-setting-up-saml.html#external-identity-providers-grantperms)所述。
+ **`Name` 屬性設為 `https://aws.amazon.com/SAML/Attributes/Role` 的 `Attribute` 元素**:此元素包含一或多個 `AttributeValue` 元素,其列出您 IdP 將使用者對應至的 IAM 角色和 SAML IdP。角色和 IdP 會指定為以逗號分隔的 ARN 對。預期值的範例是 `arn:aws:iam::ACCOUNTNUMBER:role/ROLENAME,arn:aws:iam::ACCOUNTNUMBER:saml-provider/PROVIDERNAME`。
+ **`Attribute` `Name` 屬性設為 的 元素 `https://aws.amazon.com/SAML/Attributes/RoleSessionName`** – 此元素包含一個`AttributeValue`元素,可為為 SSO 發行的 AWS 臨時登入資料提供識別符。`AttributeValue` 元素中的值長度必須介於 2 到 64 個字元之間,只能包含字母數位字元、底線和以下字元:**\_ . : / = \+ - @**。不可含有空格。此值通常是電子郵件地址或使用者主體名稱 (UPN)。該值不得包含空格,例如使用者的顯示名稱。
+ **`Name` 屬性設為 `https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email` 的 `Attribute` 元素**:此元素包含一個可提供使用者電子郵件地址的 `AttributeValue` 元素。此值必須與 WorkSpaces 目錄中定義的 WorkSpaces 使用者電子郵件地址相符。標籤值可包含字母、數字、空格和 **\_ . : / = \+ - @** 字元的組合。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM 和 AWS STS的標記規則](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules)。
+ **`Name` 屬性設為 `https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName` 的 `Attribute` 元素 (選用)**:此元素包含一個 `AttributeValue` 元素,該元素可為正在登入的使用者提供 Active Directory `userPrincipalName`。此值必須以 `username@domain.com` 格式提供。此參數與憑證型驗證搭配使用,做為終端使用者憑證中的主體替代名稱。如需詳細資訊,請參閱憑證型驗證。
+ **`Name` 屬性設為 `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid` 的 `Attribute` 元素 (選用)**:此元素包含一個 `AttributeValue` 元素,該元素可為正在登入的使用者提供 Active Directory 安全識別碼 (SID)。此參數與憑證型驗證搭配使用,能夠強式對應至 Active Directory 使用者。如需詳細資訊,請參閱憑證型驗證。
+ **`Name` 屬性設為 `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ClientUserName` 的 `Attribute`元素 (選用)**:此元素包含一個可提供替代使用者名稱格式的 `AttributeValue` 元素。如果您有使用案例需要使用者名稱格式 (例如 `corp\username`、`corp.example.com\username` 或 `username@corp.example.com`) 才能使用 WorkSpaces 用戶端登入),請使用此屬性。標籤索引鍵和值可以包含字母、數字、空格和 **\_ : / . \+ = @ -** 字元的任意組合。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM 和 AWS STS的標記規則](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules)。若要宣告 `corp\username` 或 `corp.example.com\username` 格式,請在 SAML 聲明中以 **/** 取代 **\\**。
+ **`Name` 屬性設為 https://aws.amazon.com/SAML/Attributes/PrincipalTag:Domain 的 `Attribute` 元素 (選用)**:此元素包含一個 `AttributeValue` 元素,該元素可提供 Active Directory DNS 完整網域名稱 (FQDN) 以便使用者登入。當使用者的 Active Directory `userPrincipalName` 包含替代尾碼時,此參數會與憑證型驗證搭配使用。此值必須以 `domain.com` 提供,包括任何子網域。
+ **`Name` 屬性設為 https://aws.amazon.com/SAML/Attributes/SessionDuration 的 `Attribute` 元素 (選用)**:此元素包含一個 `AttributeValue` 元素,其指定使用者可在聯合串流工作階段中保持作用中的時間上限,之後即必須重新驗證身分。預設值為 3600 秒 (60 分鐘)。如需詳細資訊,請參閱 [SAML `SessionDurationAttribute`](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration)。
**注意**
雖然 `SessionDuration` 是選用屬性,但我們建議您將它包含在 SAML 回應中。如果您未指定此屬性,工作階段持續時間會設定為預設值 3600 秒 (60 分鐘)。WorkSpaces 桌面工作階段會在其工作階段持續時間到期後中斷連線。
如需有關如何設定這些元素的詳細資訊,請參閱《IAM 使用者指南》**的[針對身分驗證回應設定 SAML 聲明](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)。如需 IdP 的特定組態需求相關資訊,請參閱您的 IdP 文件。
## 步驟 6:設定聯合的轉送狀態
最後,使用 IdP 來設定聯合的轉送狀態,以指向 WorkSpaces 目錄轉送狀態 URL。身分驗證成功後 AWS,會將使用者導向 WorkSpaces 目錄端點,定義為 SAML 身分驗證回應中的轉送狀態。
以下是轉送狀態 URL 格式:
```
https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code
```
從您的 WorkSpaces 目錄註冊碼以及與您的目錄所在區域相關聯的轉送狀態端點,建構您的轉送狀態 URL。您可以在 WorkSpaces 管理主控台中找到註冊碼。
或者,如果您使用 WorkSpaces 的跨區域重新導向,您可使用與主要區域和容錯移轉區域中目錄相關聯的完整網域名稱 (FQDN) 來代替註冊碼。如需詳細資訊,請參閱 [Amazon WorkSpaces 的跨區域重新導向](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html)。使用跨區域重新導向和 SAML 2.0 驗證時,必須使用與每個區域相關聯的轉送狀態端點,針對 SAML 2.0 驗證啟用主要目錄和容錯移轉目錄並與 IdP 獨立設定。這會允許使用者在登入前註冊其 WorkSpaces 用戶端應用程式時正確設定 FQDN,並允許使用者在容錯移轉事件期間進行驗證。
下表列出可使用 WorkSpaces SAML 2.0 驗證之區域的轉送狀態端點。
**可使用 WorkSpaces SAML 2.0 驗證的區域**
| 區域 | 轉送狀態端點 |
| --- | --- |
| 美國東部 (維吉尼亞北部) 區域 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/setting-up-saml.html) |
| 美國西部 (奧勒岡) 區域 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/setting-up-saml.html) |
| 非洲 (開普敦) 區域 | workspaces.euc-sso.af-south-1.aws.amazon.com |
| 亞太地區 (孟買) 區域 | workspaces.euc-sso.ap-south-1.aws.amazon.com |
| 亞太 (首爾) 區域 | workspaces.euc-sso.ap-northeast-2.aws.amazon.com |
| 亞太 (新加坡) 區域 | workspaces.euc-sso.ap-southeast-1.aws.amazon.com |
| 亞太地區 (雪梨) 區域 | workspaces.euc-sso.ap-southeast-2.aws.amazon.com |
| 亞太地區 (東京) 區域 | workspaces.euc-sso.ap-northeast-1.aws.amazon.com |
| 加拿大 (中部) 區域 | workspaces.euc-sso.ca-central-1.aws.amazon.com |
| 歐洲 (法蘭克福) 區域 | workspaces.euc-sso.eu-central-1.aws.amazon.com |
| 歐洲 (愛爾蘭) 區域 | workspaces.euc-sso.eu-west-1.aws.amazon.com |
| 歐洲 (倫敦) 區域 | workspaces.euc-sso.eu-west-2.aws.amazon.com |
| 南美洲 (聖保羅) 區域 | workspaces.euc-sso.sa-east-1.aws.amazon.com |
| 以色列 (特拉維夫) 區域 | workspaces.euc-sso.il-central-1.aws.amazon.com |
| AWS GovCloud (美國西部) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/setting-up-saml.html) 如需詳細資訊,請參閱《AWS GovCloud (US) 使用者指南》**中的 [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)。 |
| AWS GovCloud (美國東部) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/setting-up-saml.html) 如需詳細資訊,請參閱《AWS GovCloud (US) 使用者指南》**中的 [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)。 |
使用身分提供者 (IdP) 起始的流程,您可以選擇指定要用於 SAML 2.0 聯合的用戶端。若要這樣做,請在 `web` 之後指定轉送狀態 URL 結尾的 `native`或 `&client=`。在轉送狀態 URL 中指定 參數時,對應的工作階段會自動在指定的用戶端中啟動。
## 步驟 7:在 WorkSpaces 目錄上啟用與 SAML 2.0 的整合
您可以使用 WorkSpaces 主控台在 WorkSpaces 目錄上啟用 SAML 2.0 驗證。
**啟用與 SAML 2.0 的整合**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在導覽窗格中,選擇**目錄**。
1. 選擇 WorkSpaces 的目錄 ID。
1. 在**驗證**之下選擇**編輯**。
1. 選擇**編輯 SAML 2.0 身分提供者**。
1. 核取**啟用 SAML 2.0 身分驗證**。
1. 對於**使用者存取 URL** 和 **IdP 深層連結參數名稱**,輸入適用於您的 IdP 和您在步驟 1 中設定之應用程式的值。如果您省略此參數,IdP 深層連結參數名稱的預設值為「RelayState」。下表列出的使用者存取 URL 和參數名稱對應用程式的各種身分提供者而言是唯一的。
**要新增至允許清單的網域和 IP 地址**
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/setting-up-saml.html)
使用者存取 URL 通常是由未經要求 IdP 起始 SSO 的提供者所定義。使用者可以在 Web 瀏覽器中輸入此 URL,直接與 SAML 應用程式聯合。若要測試 IdP 的使用者存取 URL 和參數值,請選擇**測試**。將測試 URL 複製並貼到目前瀏覽器或其他瀏覽器中的私有視窗,以測試 SAML 2.0 登入,而不會中斷您目前的 AWS 管理主控台工作階段。當 IdP 起始的流程開啟時,您可以註冊您的 WorkSpaces 用戶端。如需詳細資訊,請參閱[身分提供者 (IdP) 起始的流程](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html)。
1. 核取或取消核取**允許不支援 SAML 2.0 的用戶端登入**來管理後援設定。啟用此設定可繼續使用不支援 SAML 2.0 的用戶端類型或版本,或使用者需要時間升級至最新的用戶端版本,為使用者提供對 WorkSpaces 的存取權。
**注意**
此設定可讓使用者略過 SAML 2.0,並使用採用較舊用戶端版本的目錄驗證進行登入。
1. 若要搭配 Web 用戶端使用 SAML,請啟用 Web Access。如需詳細資訊,請參閱[啟用和設定 Amazon WorkSpaces Web Access](https://docs.aws.amazon.com/workspaces/latest/adminguide/web-access.html)。
**注意**
Web Access 不支援採用 SAML 的 PCoIP。
1. 選擇**儲存**。您的 WorkSpaces 目錄現在已透過 SAML 2.0 整合啟用。您可以使用 IdP 起始和用戶端應用程式起始的流程來註冊 WorkSpaces 用戶端應用程式並登入 WorkSpaces。