本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将 SAML 2.0 与 WorkSpaces 个人版集成
<a name="amazon-workspaces-saml"></a>

**注意**  
只有通过 Amazon Directory Service（包括 Simple AD、AD Connector 和 Amazon Managed Microsoft AD 目录）来管理 WorkSpaces 个人版目录时，SAML 2.0 才可用。该功能不适用于由 Amazon WorkSpaces 管理的目录，这些目录通常使用 IAM Identity Center 进行用户身份验证，而不是 SAML 2.0 联合身份验证。

将 SAML 2.0 与 WorkSpaces 集成以进行桌面会话身份验证，可允许您的用户通过其默认 Web 浏览器使用其现有的 SAML 2.0 身份提供者 (IdP) 凭证和身份验证方法。通过使用 IdP 对 WorkSpaces 用户进行身份验证，您可以采用 IdP 功能（如多因素身份验证和上下文访问策略）来保护 WorkSpaces。

## 身份验证工作流
<a name="authentication-workflow"></a>

以下各节描述了由 WorkSpaces 客户端应用程序、WorkSpaces Web Access 和 SAML 2.0 身份提供者 (IdP) 启动的身份验证工作流：
+ 当流由 IdP 启动时。例如，当用户使用 Web 浏览器在 IdP 用户门户中选择应用程序时。
+ 当流由 WorkSpaces 客户端启动时。例如，当用户打开客户端应用程序并登录时。

在这些示例中，用户输入 `user@example.com` 以登录 IdP。IdP 已为 WorkSpaces 目录配置了 SAML 2.0 服务提供者应用程序，并且用户已获得使用 WorkSpaces SAML 2.0 应用程序的授权。用户在启用 SAML 2.0 身份验证的目录中为其用户名 `user` 创建 WorkSpace。此外，用户在自己的设备上安装 [WorkSpaces 客户端应用程序](https://clients.amazonworkspaces.com/)，或者用户在 Web 浏览器中使用 Web Access。

**由身份提供者 (IdP) 启动的客户端应用程序流**

IdP 启动的流允许用户在其设备上自动注册 WorkSpaces 客户端应用程序，而无需输入 WorkSpaces 注册码。用户不会使用 IdP 启动的流登录其 WorkSpaces。WorkSpaces 身份验证必须源自客户端应用程序。

1. 用户使用其 Web 浏览器登录 IdP。

1. 登录 IdP 后，用户从 IdP 用户门户中选择 WorkSpaces 应用程序。

1. 系统在浏览器中将用户重定向到此页面，并自动打开 WorkSpaces 客户端应用程序。  
![\[打开 WorkSpaces 应用程序重定向页面\]](http://docs.amazonaws.cn/workspaces/latest/adminguide/images/saml-redir.png)

1. WorkSpaces 客户端应用程序现已注册，用户可以单击**继续登录 WorkSpaces**，以继续登录。

**由 WorkSpaces 客户端启动的流**

客户端启动的流允许用户在登录 IdP 后登录其 WorkSpaces。

1. 用户启动 WorkSpaces 客户端应用程序（如果尚未运行），然后单击**继续登录 WorkSpaces**。

1. 系统会将用户重定向到其默认 Web 浏览器以登录 IdP。如果用户已经在浏览器中登录 IdP，则无需再次登录，可以跳过此步骤。

1. 登录 IdP 后，系统会将用户重定向到弹出窗口。按照提示允许您的 Web 浏览器打开客户端应用程序。  
![\[打开客户端应用程序提示。\]](http://docs.amazonaws.cn/workspaces/latest/adminguide/images/saml-open-client-app.png)

1. 系统将用户重定向到 WorkSpaces 客户端应用程序，以完成其 WorkSpaces 登录。WorkSpaces 用户名根据 IdP SAML 2.0 断言自动填充。使用[基于证书的身份验证 (CBA)](certificate-based-authentication.md) 时，用户会自动登录。

1. 用户已登录其 WorkSpaces。