本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 配置 SAML 2.0 并创建 WorkSpaces 池目录
**重要**
“ WorkSpaces 池” 功能不适用于北京和宁夏区域。
您可以通过使用 SAML 2.0 设置联合身份来启用 WorkSpaces 客户端应用程序注册和登录 WorkSpaces 池。 WorkSpaces 为此,您可以使用 Amazon Identity and Access Management (IAM)角色和中继状态 URL 来配置您的 SAML 2.0 身份提供者(IdP),并为 Amazon启用它。这将授予您的联合用户访问 WorkSpace 池目录的权限。中继状态是用户在成功登录后被转发到的 WorkSpaces 目录端点 Amazon。
**重要**
WorkSpaces 池不支持基于 IP 的 SAML 2.0 配置。
**Topics**
+ [步骤 1:考虑要求](#saml-directory-consider-the-requirements)
+ [步骤 2:完成先决条件](#saml-directory-complete-the-prereqs)
+ [步骤 3:在 IAM 中创建 SAML 身份提供者](#saml-directory-create-saml-idp)
+ [步骤 4:创建 WorkSpace 池目录](#saml-directory-create-wsp-pools-directory)
+ [步骤 5:创建 SAML 2.0 联合身份验证 IAM 角色](#saml-directory-saml-federation-role-in-iam)
+ [步骤 6:配置 SAML 2.0 身份提供者](#saml-directory-configure-saml-idp)
+ [步骤 7:为 SAML 身份验证响应创建断言](#saml-directory-create-assertions)
+ [步骤 8:配置联合身份验证的中继状态](#saml-directory-configure-relay-state)
+ [步骤 9:在 WorkSpace 池目录上启用与 SAML 2.0 的集成](#saml-directory-enable-saml-integration)
+ [问题排查](#saml-pools-troubleshooting)
+ [为 P WorkSpaces ools 目录指定活动目录的详细信息](pools-service-account-details.md)
## 步骤 1:考虑要求
在为 P WorkSpaces ools 目录设置 SAML 时,需要满足以下要求。
+ workspaces\$1 DefaultRole IAM 角色必须存在于您的账户中。 Amazon 当您使用 WorkSpaces 快速设置或之前使用启动时,系统会自动创建此角色 Amazon Web Services 管理控制台。 WorkSpace 它授予 Amazon 代表您访问特定 Amazon 资源的 WorkSpaces权限。如果该角色已经存在,则可能需要为其附加 AmazonWorkSpacesPoolServiceAccess托管策略,Amazon WorkSpaces 使用该策略访问 WorkSpaces 池 Amazon 账户中的所需资源。有关更多信息,请参阅[创建工作空间\$1 角色 DefaultRole](workspaces-access-control.md#create-default-role)和[Amazon 托管策略: AmazonWorkSpacesPoolServiceAccess](managed-policies.md#workspaces-pools-service-access)。
+ 您可以在中为支持该 Amazon Web Services 区域 功能的 WorkSpaces 池配置 SAML 2.0 身份验证。有关更多信息,请参阅 [Amazon Web Services 区域 和 WorkSpaces 池的可用区](wsp-pools-regions.md)。
+ 要将 SAML 2.0 身份验证与一起使用 WorkSpaces,IdP 必须通过深度链接目标资源或中继状态端点 URL 支持未经请求的 IdP 发起的 SSO。这方面的 IdPs 支持示例包括 ADFS、Azure AD、Duo Single Sign-On、Okta 和。 PingFederate PingOne有关更多信息,请参阅 IdP 文档。
+ 仅以下 WorkSpaces 客户端支持 SAML 2.0 身份验证。要了解最新 WorkSpaces 客户,请查看 [Amazon WorkSpaces 客户端下载页面](https://clients.amazonworkspaces.com/)。
+ Windows 客户端应用程序 5.20.0 或更高版本
+ macOS 客户端 5.20.0 或更高版本
+ Web Access
## 步骤 2:完成先决条件
在配置与池目录的 SAML 2.0 IdP 连接之前,请完成以下先决条件 WorkSpaces 。
+ 配置 IdP 以与 Amazon建立信任关系
+ 有关配置 Amazon 联合的更多信息,请参阅[将第三方 SAML 解决方案提供商与 Amazon集成](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html)。相关示例包括将 IdP 与 IAM 进行集成以访问 Amazon Web Services 管理控制台。
+ 使用您的 IdP 生成和下载联合身份验证元数据文档,该文档将您的组织描述为 IdP。此签名 XML 文档用于建立信赖方信任关系。将该文件保存您稍后可通过 IAM 控制台访问的位置。
+ 使用 WorkSpaces 控制台创建 WorkSpaces 池目录。有关更多信息,请参阅 [将 Active Directory 与 WorkSpaces Pools 结合使用](active-directory.md)。
+ 为可以使用支持的目录类型登录 IdP 的用户创建 WorkSpaces 池。有关更多信息,请参阅 [创建 WorkSpaces Pools](set-up-pools-create.md)。
## 步骤 3:在 IAM 中创建 SAML 身份提供者
要开始使用,您必须在 IAM 中创建 SAML IdP。此 IdP 使用组织中 IdP 软件生成的元数据文档定义贵组织的 IdP Amazon 信任关系。有关更多信息,请参阅《Amazon Identity and Access Management 用户指南》**中的[创建和管理 SAML 身份提供者](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console)。有关 IdPs 在中使用 SAML 的信息 Amazon GovCloud (US) Regions,请参阅《*Amazon GovCloud (US) 用户指南*》[Amazon Identity and Access Management](https://docs.amazonaws.cn//govcloud-us/latest/UserGuide/govcloud-iam.html)中的。
## 步骤 4:创建 WorkSpace 池目录
完成以下过程以创建 WorkSpaces 池目录。
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.amazonaws.cn/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在导航窗格中,选择**目录**。
1. 选择**创建目录**。
1. 对于**WorkSpace 类型**,请选择**池**。
1. 在该页面的**用户身份源**部分:
1. 在**用户访问 URL** 文本框中输入占位符值。例如,在文本框中输入 `placeholder`。稍后在您的 IdP 中设置应用程序授权后,您需要对其进行编辑。
1. 将**中继状态参数名称**文本框留空。稍后在您的 IdP 中设置应用程序授权后,您需要对其进行编辑。
1. 在该页面的**目录信息**部分,输入目录的名称和描述。目录名称和描述必须少于 128 个字符,可以包含字母数字字符和以下特殊字符:`_ @ # % * + = : ? . / ! \ -`。目录名称和描述不能以特殊字符开头。
1. 在该页面的**网络和安全**部分:
1. 选择对您的应用程序需要的网络资源有访问权的一个 VPC 和两个子网。为了提高容错能力,您应选择位于不同可用区中的两个子网。
1. 选择允许 WorkSpaces 在您的 VPC 中创建网络链接的安全组。安全组控制允许哪些网络流量流入您的 VPC。 WorkSpaces 例如,如果您的安全组限制所有入站 HTTPS 连接,则访问您的 Web 门户的用户将无法从中加载 HTTPS 网站。 WorkSpaces
1. **Active Directory 配置**为可选部分。但是,如果您计划在池中使用 AD,则应在创建 WorkSpaces 池目录时指定活动目录 (AD) 详细信息。 WorkSpaces 创建 WorkSpaces 池**目录的 Active Directory Config** 后,您就无法对其进行编辑。有关为 WorkSpaces 池目录指定 AD 详细信息的更多信息,请参阅[为 P WorkSpaces ools 目录指定活动目录的详细信息](pools-service-account-details.md)。完成该主题中概述的过程后,应返回本主题以完成创建 WorkSpaces 池目录。
如果您不打算在 WorkSpaces 池中使用 AD,则可以跳过 A **ctive Directory Config** 部分。
1. 在该页面的**流式传输属性**部分:
+ 选择剪贴板权限行为,选择“复制到本地字符限制”(可选),“粘贴到远程会话字符限制”(可选)。
+ 选择允许或不允许打印到本地设备。
+ 选择允许或不允许诊断日志记录。
+ 选择允许或不允许智能卡登录。仅当您在本步骤前面启用了 AD 配置时,此功能才适用。
1. 在该页面的**存储**部分,您可以选择启用主文件夹。
1. 在该页面的 **IAM 角色**部分,选择一个可供所有桌面流实例使用的 IAM 角色。要创建新的 IAM 角色,请选择**创建新的 IAM 角色**。
当您将账户中的 IAM 角色应用到 WorkSpace 池目录时,您可以从 WorkSpace 池 WorkSpace 中的发出 Amazon API 请求,而无需手动管理 Amazon 证书。有关更多信息,请参阅《Amazon Identity and Access Management 用户指南》**中的[创建向 IAM 用户委派权限的角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_create_for-user.html)。
1. 选择**创建目录**。
## 步骤 5:创建 SAML 2.0 联合身份验证 IAM 角色
完成以下过程,在 IAM 控制台中创建 SAML 2.0 联合身份验证 IAM 角色。
1. 使用 [https://console.aws.amazon.com/iam/](https://console.amazonaws.cn/secretsmanager/) 打开 IAM 控制台。
1. 在导航窗格中选择 **Roles**。
1. 选择创建角色。
1. 为受信任的实体类型选择 **SAML 2.0 联合身份验证**。
1. 对于基于 SAML 2.0 的提供者,选择您在 IAM 中创建的身份提供者。有关更多信息,请参阅[在 IAM 中创建 SAML 身份提供者](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_providers_create_saml.html?)。
1. 选择**仅允许编程访问**以允许访问。
1. 对于“属性”,选择 ** SAML:sub\$1type**。
1. 对于**值**,请输入 `https://signin.aws.amazon.com/saml`。该值限制角色访问 SAML 用户流式传输请求,其中包括值为 `persistent` 的 SAML 主题类型断言。如果 SAML:sub\$1type 为 persistent,则在来自特定用户的所有 SAML 请求中,您的 IdP 会为 `NameID` 元素发送相同的唯一值。有关更多信息,请参阅《Amazon Identity and Access Management 用户指南》**中的[唯一识别基于 SAML 的联合身份验证中的用户](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-userid)。
1. 选择**下一步**以继续。
1. 请勿在**添加权限**页面中进行更改或选择。选择**下一步**以继续。
1. 输入角色的名称和描述。
1. 选择**创建角色**。
1. 在**角色**页面上,选择您必须创建的角色。
1. 选择 **Trust relationships(信任关系)**选项卡。
1. 选择**编辑信任策略**。
1. 在**编辑信任策略** JSON 文本框中,将 **st TagSession s:** 操作添加到信任策略。有关更多信息,请参阅《Amazon Identity and Access Management 用户指南》**中的[在 Amazon STS中传递会话标签](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_session-tags.html)。
结果应该类似以下示例。
![\[信任策略的示例。\]](http://docs.amazonaws.cn/workspaces/latest/adminguide/images/iam-saml-federation-policy-sts-tagsession.png)
1. 选择**更新策略**。
1. 选择**权限**选项卡。
1. 在该页面的**权限策略**部分,选择**添加权限**,然后选择**创建内联策略**。
1. 在该页面的**策略编辑器**部分,选择 **JSON**。
1. 在**策略编辑器** JSON 文本框中,输入以下策略。请务必替换以下内容:
+ **使用您在其中创建 WorkSpace 池目录的 Amazon 区域的代码。
+ **使用 Amazon 账户 ID。
+ **使用您之前创建的目录的 ID。你可以在 WorkSpaces控制台中获得这个。
对于中的资源 Amazon GovCloud (US) Regions,请使用以下格式的 ARN:。`arn:aws-us-gov:workspaces:::directory/`
1. 选择下一步。
1. 为策略输入名称,然后选择 **Create policy (创建策略)**。
## 步骤 6:配置 SAML 2.0 身份提供者
根据您的 SAML 2.0 IdP,您可能需要手动更新 IdP,以信任 Amazon 作为服务提供者。为此,您可以下载在 [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml) 中找到的`saml-metadata.xml`文件,然后将其上传到您的 IdP。这会更新您 IdP 的元数据。
对于某些人来说 IdPs,更新可能已经配置好了。如果已经配置,可以跳过此步骤。如果您的 IdP 中尚未配置此更新,请查看您的 IdP 提供的文档,了解有关如何更新元数据的信息。一些提供者为您提供了以下选项:将 XML 文件的 URL 键入到控制面板并由 IdP 获取和安装该文件。另一些提供者则要求您从该 URL 处下载该文件,然后将其上传到控制面板。
**重要**
此时,您还可以授权 IdP 中的用户访问您在 IdP 中配置的 WorkSpaces应用程序。有权访问您目录中 WorkSpaces 应用程序的用户不会自动为他们 WorkSpace创建一个。同样,为其 WorkSpace 创建的用户也不会自动获得访问该 WorkSpaces 应用程序的权限。要成功连接 WorkSpace 使用 SAML 2.0 身份验证,用户必须获得 IdP 的授权并且必须已 WorkSpace 创建。
## 步骤 7:为 SAML 身份验证响应创建断言
将您的 IdP 发送到的信息配置为其 Amazon 身份验证响应中的 SAML 属性。根据您的 IdP,可能已经配置了此类信息。如果已经配置,可以跳过此步骤。如果尚未配置,请提供以下信息:
+ **SAML 主题 NameID** - 登录用户的唯一标识符。请勿更改此 format/value 字段的。否则,主文件夹功能将无法按预期运行,因为该用户将被视为其他用户。
**注意**
对于已加入域的 WorkSpaces 池,必须使用以的格式为用户提供`NameID`值`sAMAccountName`,或者`domain\username``username@domain.com`格式使用`userPrincipalName`或仅提供。`userName`如果您要使用 `sAMAccountName` 格式,则可以使用 NetBIOS 名称或完全限定域名(FQDN)指定域。Active Directory 单向信任方案需要 `sAMAccountName` 格式。有关更多信息,请参阅[将 Active Directory 与 WorkSpaces Pools 结合使用](active-directory.md)。如果仅提供 `userName`,用户将登录到主域
+ **SAML 主题类型(值设为 `persistent`)**– 将值设为 `persistent` 可确保在来自特定用户的所有 SAML 请求中,您的 IdP 会为 `NameID` 元素发送相同的唯一值。请确保您的 IAM 策略包含一个条件,仅允许将 SAML `sub_type` 设置为 `persistent` 的 SAML 请求(如[步骤 5:创建 SAML 2.0 联合身份验证 IAM 角色](#saml-directory-saml-federation-role-in-iam)一节所述)。
+ **`Attribute``Name`属性设置为 “ https://aws.amazon.com/SAML/属性/角色” 的元素** — 此元素包含一个或多个元素,这些`AttributeValue`元素列出了您的 IDP 将用户映射到的 IAM 角色和 SAML IdP。角色和 IdP 以逗号分隔的一对指定。 ARNs预期值的一个示例是 `arn:aws:iam:::role/,arn:aws:iam:::saml-provider/`。
+ **`Attribute``Name`属性设置为 A https://aws.amazon.com/SAML/ ttributes/ 的元素 RoleSessionName** — 此元素包含一个`AttributeValue`元素,该元素为为 SSO 颁发的 Amazon 临时证书提供标识符。`AttributeValue` 元素中值的长度必须介于 2 到 64 个字符之间,只能包含字母数字字符和以下特殊字符:`_ . : / = + - @`。它不能包含空格。该值通常是电子邮件地址或用户主体名 (UPN)。该值不应包含空格,如用户的显示名称。
+ **`Attribute``Name`属性设置为 Att https://aws.amazon.com/SAML/ ributes/: Email 的元素 PrincipalTag —** 此元素包含一个提供`AttributeValue`用户电子邮件地址的元素。该值必须与 WorkSpaces 目录中定义的 WorkSpaces 用户电子邮件地址相匹配。标签值可能包括字母、数字、空格和 `_ . : / = + - @` 字符的组合。有关更多信息,请参阅《Amazon Identity and Access Management 用户指南》**中的 [IAM 和 Amazon STS的标记规则](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_tags.html#id_tags_rules)。
+ (可选)**`Name`属性设置为 A https://aws.amazon.com/SAML/ ttributes/PrincipalTag: 的`Attribute`元素 UserPrincipalName** — 此元素包含一个`userPrincipalName`为登录用户提供 Active Directory 的`AttributeValue`元素。必须采用 `username@domain.com` 格式提供该值。此参数与基于证书的身份验证一起使用,作为最终用户证书中的主题备用名称。有关更多信息,请参阅 [基于证书的身份验证和个人 WorkSpaces](certificate-based-authentication.md)。
+ (可选)**`Name`属性设置为 A https://aws.amazon.com/SAML/ ttributes/PrincipalTag:ObjectSid (可选)的`Attribute`元素**-此元素包含一个为登录用户提供 Active Directory 安全标识符 (SID) 的`AttributeValue`元素。此参数与基于证书的身份验证一起使用,以启用到 Active Directory 用户的强映射。有关更多信息,请参阅 [基于证书的身份验证和个人 WorkSpaces](certificate-based-authentication.md)。
+ (可选)**`Name`属性设置为 At https://aws.amazon.com/SAML/ tributes/: Domain 的`Attribute`元素 PrincipalTag —** 此元素包含一个为登录用户提供 Active Directory DNS 完全限定域名 (FQDN) 的元素`AttributeValue`。当用户的 Active Directory `userPrincipalName` 包含备用后缀时,此参数用于基于证书的身份验证。必须以 `domain.com` 格式提供该值,且必须包括所有子域名。
+ (可选)**`Name`属性设置为 A https://aws.amazon.com/SAML/ ttributes/ 的`Attribute`元素 SessionDuration** — 此元素包含一个`AttributeValue`元素,用于指定在要求重新进行身份验证之前,用户的联合流媒体会话可以保持活动状态的最长时间。默认值为 `3600` 秒(60 分钟)。有关更多信息,请参阅《*Amazon Identity and Access Management 用户指南》 SessionDurationAttribute*中的 [SAML](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration)。
**注意**
虽然 `SessionDuration` 是一个可选属性,但建议您将该属性包含在 SAML 响应中。如果您未指定此属性,则会话持续时间将设置为默认值,即`3600`秒(60 分钟)。 WorkSpaces 桌面会话将在会话持续时间到期后断开连接。
有关如何配置这些元素的更多信息,请参阅《Amazon Identity and Access Management 用户指南》**中的[为身份验证响应配置 SAML 断言](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)。有关 IdP 的具体配置要求的信息,请参阅 IdP 的文档。
## 步骤 8:配置联合身份验证的中继状态
使用您的 IdP 将联盟的中继状态配置为指向 WorkSpaces 池目录中继状态 URL。成功通过身份验证后 Amazon,用户将被定向到 WorkSpaces 池目录端点,该端点在 SAML 身份验证响应中定义为中继状态。
以下为中继状态 URL 格式:
```
https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code
```
下表列出了可用 WorkSpaces SAML 2.0 身份验证的 Amazon 区域的中继状态端点。 Amazon 无法使用 WorkSpaces 池功能的区域已被移除。
| Region | 中继状态端点 |
| --- | --- |
| 美国东部(弗吉尼亚州北部)区域 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/workspaces/latest/adminguide/create-directory-pools.html) |
| 美国西部(俄勒冈州)区域 | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/workspaces/latest/adminguide/create-directory-pools.html) |
| 亚太地区(孟买)区域 | workspaces.euc-sso.ap-south-1.aws.amazon.com |
| 亚太地区(首尔)区域 | workspaces.euc-sso.ap-northeast-2.aws.amazon.com |
| 亚太地区(新加坡)区域 | workspaces.euc-sso.ap-southeast-1.aws.amazon.com |
| 亚太地区(悉尼)区域 | workspaces.euc-sso.ap-southeast-2.aws.amazon.com |
| 亚太地区(东京)区域 | workspaces.euc-sso.ap-northeast-1.aws.amazon.com |
| 加拿大(中部)区域 | workspaces.euc-sso.ca-central-1.aws.amazon.com |
| 欧洲地区(法兰克福)区域 | workspaces.euc-sso.eu-central-1.aws.amazon.com |
| 欧洲地区(爱尔兰)区域 | workspaces.euc-sso.eu-west-1.aws.amazon.com |
| 欧洲地区(伦敦)区域 | workspaces.euc-sso.eu-west-2.aws.amazon.com |
| 南美洲(圣保罗)区域 | workspaces.euc-sso.sa-east-1.aws.amazon.com |
| Amazon GovCloud (美国西部) | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/workspaces/latest/adminguide/create-directory-pools.html) 有关 IdPs 在中使用 SAML 的信息 Amazon GovCloud (US) Regions,请参阅 *Amazon GovCloud (美国)用户指南 WorkSpaces*中的 [Amazon](https://docs.amazonaws.cn/govcloud-us/latest/UserGuide/govcloud-workspaces.html)。 |
| Amazon GovCloud (美国东部) | [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/workspaces/latest/adminguide/create-directory-pools.html) 有关 IdPs 在中使用 SAML 的信息 Amazon GovCloud (US) Regions,请参阅 *Amazon GovCloud (美国)用户指南 WorkSpaces*中的 [Amazon](https://docs.amazonaws.cn/govcloud-us/latest/UserGuide/govcloud-workspaces.html)。 |
## 步骤 9:在 WorkSpace 池目录上启用与 SAML 2.0 的集成
完成以下过程为 WorkSpaces 池目录启用 SAML 2.0 身份验证。
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.amazonaws.cn/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在导航窗格中,选择**目录**。
1. 选择**池目录**选项卡。
1. 选择要编辑的目录 ID。
1. 在该页面的**身份验证**部分,选择**编辑**。
1. 选择**编辑 SAML 2.0 身份提供者**。
1. 对于**用户访问 URL**(有时也称为“SSO URL”),将占位符值替换为您的 IdP 提供给您的 SSO URL。
1. 对于 **IdP 深层链接参数名称**,输入适用于您的 IdP 和您配置的应用程序的参数。如果省略该参数名称,则默认值为 `RelayState`。
下表列出了应用程序的各种身份提供商所独有的用户访问权限 URLs 和深度链接参数名称。
[\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/workspaces/latest/adminguide/create-directory-pools.html)
1. 选择**保存**。
**重要**
撤销用户的 SAML 2.0 不会直接断开其会话连接。只有在超时开始后,才会删除这些会话。他们也可以使用 [ TerminateWorkspacesPoolSession](https://docs.amazonaws.cn//workspaces/latest/api/API_TerminateWorkspacesPoolSession.html)API 将其终止。
## 问题排查
以下信息可以帮助您解决 WorkSpaces 池的特定问题。
### 完成 SAML 身份验证后,我在 P WorkSpaces ools 客户端中收到 “无法登录” 消息
SAML 声明中的 `nameID` 和 `PrincipalTag:Email` 需要与 Active Directory 中配置的用户名和电子邮件地址相匹配。调整某些属性后,某些 IdP 可能需要更新、刷新或重新部署。如果您进行了调整,但未反映在您的 SAML 捕获中,请参阅您的 IdP 文档或支持计划,了解使更改生效所需的具体步骤。