

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将 SAML 2.0 与 WorkSpaces 个人版集成
<a name="amazon-workspaces-saml"></a>

**注意**  
只有通过 Directory Service 包括 Simple AD、AD Connector 和托管的 Microsoft AD 目录在内的 WorkSpaces 个人目录 AWS 进行管理时，SAML 2.0 才可用。该功能不适用于由 Amazon WorkSpaces 管理的目录，这些目录通常使用 IAM Identity Center 进行用户身份验证，而不是 SAML 2.0 联合。

将 SAML 2.0 与您的 WorkSpaces 桌面会话身份验证集成，允许您的用户通过其默认 Web 浏览器使用其现有的 SAML 2.0 身份提供商 (IdP) 凭据和身份验证方法。通过使用您的 IdP 对用户进行身份验证 WorkSpaces，您可以 WorkSpaces 通过使用 IdP 功能（如多因素身份验证和情境访问策略）进行保护。

## 身份验证工作流
<a name="authentication-workflow"></a>

以下各节描述了由 WorkSpaces 客户端应用程序、 WorkSpaces Web Access 和 SAML 2.0 身份提供商 (IdP) 启动的身份验证工作流程：
+ 当流由 IdP 启动时。例如，当用户使用 Web 浏览器在 IdP 用户门户中选择应用程序时。
+ 当流程由 WorkSpaces 客户端启动时。例如，当用户打开客户端应用程序并登录时。
+ 当流程由 WorkSpaces Web Access 启动时。例如，当用户在浏览器中打开 Web Access 并登录时。

在这些示例中，用户输入 `user@example.com` 以登录 IdP。IdP 已为 WorkSpaces 目录配置了 SAML 2.0 服务提供商应用程序，并授权用户使用 WorkSpaces SAML 2.0 应用程序。用户在 WorkSpace 启用 SAML 2.0 `user` 身份验证的目录中为其用户名创建。此外，用户可以在自己的设备上安装[WorkSpaces 客户端应用程序](https://clients.amazonworkspaces.com/)，或者用户在 Web 浏览器中使用 Web Access。

**由身份提供者 (IdP) 启动的客户端应用程序流**

该 IdP-initiated 流程允许用户在其设备上自动注册 WorkSpaces 客户端应用程序，而无需输入 WorkSpaces 注册码。用户不会 WorkSpaces 使用 IdP-initiated 流程登录。 WorkSpaces 身份验证必须源自客户端应用程序。

1. 用户使用其 Web 浏览器登录 IdP。

1. 登录 IdP 后，用户从 IdP 用户门户中选择 WorkSpaces 应用程序。

1. 用户将在浏览器中重定向到此页面，并且 WorkSpaces 客户端应用程序会自动打开。  
![正在打开 WorkSpaces 应用程序重定向页面](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/saml-redir.png)

1.  WorkSpaces 客户端应用程序现已注册，用户可以通过单击 “继续” **登录来继续登录 WorkSpaces**。

**身份提供者（IdP）启动的 Web Access 流**

 IdP-initiated Web Access 流程允许用户 WorkSpaces 通过 Web 浏览器自动注册，而无需输入 WorkSpaces 注册码。用户不会 WorkSpaces 使用 IdP-initiated 流程登录。 WorkSpaces 身份验证必须源自 Web 访问。

1. 用户使用其 Web 浏览器登录 IdP。

1. 登录 IdP 后，用户从 IdP 用户门户中单击该 WorkSpaces 应用程序。

1. 系统在浏览器中将用户重定向到此页面。要打开 WorkSpaces，请在**浏览器 WorkSpaces 中选择 Amazon**。  
![正在打开 WorkSpaces 应用程序重定向页面](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/saml-redir.png)

1.  WorkSpaces 客户端应用程序现已注册，用户可以继续通过 WorkSpaces Web Access 登录。

**WorkSpaces 客户端启动的流程**

客户端启动的流程允许用户在登录 IdP WorkSpaces 后登录自己的。

1. 用户启动 WorkSpaces 客户端应用程序（如果尚未运行），然后单击 “**继续” 登录 WorkSpaces**。

1. 系统会将用户重定向到其默认 Web 浏览器以登录 IdP。如果用户已经在浏览器中登录 IdP，则无需再次登录，可以跳过此步骤。

1. 登录 IdP 后，系统会将用户重定向到弹出窗口。按照提示允许您的 Web 浏览器打开客户端应用程序。  
![打开客户端应用程序提示。](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/saml-open-client-app.png)

1. 用户将被重定向到 WorkSpaces 客户端应用程序以完成对他们的登录 WorkSpace。 WorkSpaces 用户名是从 IdP SAML 2.0 断言中自动填充的。使用[基于证书的身份验证 (CBA)](certificate-based-authentication.md) 时，用户会自动登录。

1. 用户已登录他们的 WorkSpace。

**WorkSpaces 网络 Access-initiated 流程**

Web Access-initiated 流程允许用户在登录 IdP WorkSpaces 后登录自己的。

1. 用户启动 WorkSpaces Web 访问并选择 “**登录”**。

1. 在同一个浏览器选项卡中，系统将用户重定向到 IdP 门户。如果用户已经在浏览器中登录 IdP，则无需再次登录，可以跳过此步骤。

1. 登录 IdP 后，用户在浏览器中重定向到此页面，然后单击 “**登录**”。 WorkSpaces

1. 用户重定向到 WorkSpaces 客户端应用程序以完成对他们的登录 WorkSpace。 WorkSpaces 用户名是从 IdP SAML 2.0 断言中自动填充的。使用[基于证书的身份验证 (CBA)](certificate-based-authentication.md) 时，用户会自动登录。

1. 用户已登录他们的 WorkSpace。