Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Konfiguration Ihres Identitätsanbieters für Single Sign-On (SSO)
Research and Engineering Studio lässt sich in jeden SAML 2.0-Identitätsanbieter integrieren, um den Benutzerzugriff auf das RES-Portal zu authentifizieren. Diese Schritte enthalten Anweisungen zur Integration mit dem von Ihnen ausgewählten SAML 2.0-Identitätsanbieter. Wenn Sie beabsichtigen, IAM Identity Center zu verwenden, finden Sie weitere Informationen unter. [Single Sign-On (SSO) mit IAM Identity Center einrichten](sso-idc.md)
**Anmerkung**
Die E-Mail-Adresse des Benutzers muss in der IDP-SAML-Assertion und in Active Directory übereinstimmen. Sie müssen Ihren Identitätsanbieter mit Ihrem Active Directory verbinden und Benutzer regelmäßig synchronisieren.
**Topics**
+ [Konfigurieren Sie Ihren Identitätsanbieter](#configure-id-federation_config-idp)
+ [Konfigurieren Sie RES für die Verwendung Ihres Identitätsanbieters](#configure-id-federation_config-res)
+ [Konfiguration Ihres Identitätsanbieters in einer Umgebung außerhalb der Produktionsumgebung](#configure-id-federation-demo-env)
+ [Debuggen von SAML-IdP-Problemen](#configure-id-federation_debug)
## Konfigurieren Sie Ihren Identitätsanbieter
Dieser Abschnitt enthält die Schritte zur Konfiguration Ihres Identitätsanbieters mit Informationen aus dem RES Amazon Cognito Cognito-Benutzerpool.
1. RES geht davon aus, dass Sie über ein AD (AWS Managed AD oder ein selbst bereitgestelltes AD) mit den Benutzeridentitäten verfügen, die Zugriff auf das RES-Portal und die Projekte haben. Connect Sie Ihr AD mit Ihrem Identitätsdienstanbieter und synchronisieren Sie die Benutzeridentitäten. In der Dokumentation Ihres Identitätsanbieters erfahren Sie, wie Sie Ihr AD verbinden und Benutzeridentitäten synchronisieren. Weitere Informationen finden Sie beispielsweise [unter Verwenden von Active Directory als Identitätsquelle](https://docs.aws.amazon.com/singlesignon/latest/userguide/gs-ad.html) im *AWS IAM Identity Center Benutzerhandbuch*.
1. Konfigurieren Sie eine SAML 2.0-Anwendung für RES in Ihrem Identity Provider (IdP). Diese Konfiguration erfordert die folgenden Parameter:
+ **SAML-Umleitungs-URL** — Die URL, die Ihr IdP verwendet, um die SAML 2.0-Antwort an den Dienstanbieter zu senden.
**Anmerkung**
Je nach IdP kann die SAML-Umleitungs-URL einen anderen Namen haben:
URL der Anwendung
URL des Assertion Consumer Service (ACS)
ACS-POST-Bindungs-URL
**Um die URL zu erhalten**
1. Melden Sie sich bei RES als Administrator oder ****Clusteradmin**** an.
1. Navigieren Sie zu **Environment Management** ⇒ **Allgemeine Einstellungen** ⇒ **Identity** Provider.
1. Wählen Sie **SAML-Umleitungs-URL**.
+ **SAML-Zielgruppen-URI** — Die eindeutige ID der SAML-Zielgruppenentität auf der Seite des Dienstanbieters.
**Anmerkung**
Je nach IdP kann die SAML-Zielgruppen-URI einen anderen Namen haben:
ClientID
SAML-Zielgruppe der Anwendung
SP-Entitäts-ID
Geben Sie die Eingabe im folgenden Format an.
```
urn:amazon:cognito:sp:user-pool-id
```
**Um Ihre SAML-Zielgruppen-URI zu finden**
1. Melden Sie sich bei RES als Administrator oder ****Clusteradmin**** an.
1. Navigieren Sie zu **Environment Management** ⇒ **Allgemeine Einstellungen** ⇒ **Identity** Provider.
1. Wählen Sie **Benutzerpool-ID**.
1. Für die SAML-Assertion, die an RES gesendet wird, muss die E-Mail-Adresse des Benutzers wie folgt fields/claims festgelegt sein:
+ SAML-Betreff oder NameID
+ SAML-E-Mail
1. Ihr IdP trägt je fields/claims nach Konfiguration zur SAML-Assertion bei. RES benötigt diese Felder. Die meisten Anbieter füllen diese Felder standardmäßig automatisch aus. Beachten Sie die folgenden Feldeingaben und Werte, wenn Sie sie konfigurieren müssen.
+ **AudienceRestriction**— Eingestellt auf`urn:amazon:cognito:sp:user-pool-id`. *user-pool-id*Ersetzen Sie es durch die ID Ihres Amazon Cognito Cognito-Benutzerpools.
```
urn:amazon:cognito:sp:user-pool-id
```
+ **Antwort** — Eingestellt `InResponseTo` auf. `https://user-pool-domain/saml2/idpresponse` *user-pool-domain*Ersetzen Sie es durch den Domainnamen Ihres Amazon Cognito Cognito-Benutzerpools.
```
```
+ **SubjectConfirmationData**— Stellen Sie `Recipient` Ihren `saml2/idpresponse` Benutzerpool-Endpunkt und `InResponseTo` die ursprüngliche SAML-Anforderungs-ID ein.
```
```
+ **AuthnStatement**— Konfigurieren Sie wie folgt:
```
urn:oasis:names:tc:SAML:2.0:ac:classes:Password
```
1. Wenn Ihre SAML-Anwendung über ein Abmelde-URL-Feld verfügt, setzen Sie es auf:. `/saml2/logout`
**Um die Domain-URL zu erhalten**
1. Melden Sie sich bei RES als Administrator oder ****Clusteradmin**** an.
1. Navigieren Sie zu **Environment Management** ⇒ **Allgemeine Einstellungen** ⇒ **Identity** Provider.
1. Wählen Sie **Domain-URL**.
1. Wenn Ihr IdP ein Signaturzertifikat akzeptiert, um Vertrauen mit Amazon Cognito aufzubauen, laden Sie das Amazon Cognito-Signaturzertifikat herunter und laden Sie es in Ihren IdP hoch.
**Um das Signaturzertifikat zu erhalten**
1. Öffnen Sie die [Amazon-Cognito-Konsole](https://console.aws.amazon.com/cognito/v2/idp/user-pools/).
1. Wählen Sie Ihren Benutzerpool aus. Ihr Benutzerpool sollte es sein`res--user-pool`.
1. Wählen Sie die Registerkarte **Anmeldeerfahrung** aus.
1. Wählen Sie im Abschnitt **Anmeldung mit dem Federated Identity Provider die Option Signaturzertifikat** **anzeigen** aus.
![\[Die Amazon Cognito Cognito-Konsole mit der Schaltfläche Signaturzertifikat anzeigen im Anmeldebereich des Federated Identity Providers für einen ausgewählten Benutzerpool.\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/cognito-user-pool-signing-cert.png)
Sie können dieses Zertifikat verwenden, um Active Directory-IDP einzurichten`relying party trust`, einen hinzuzufügen und die SAML-Unterstützung für diese vertrauende Partei zu aktivieren.
**Anmerkung**
Dies gilt nicht für Keycloak und IDC.
1. Nachdem die Einrichtung der Anwendung abgeschlossen ist, laden Sie die SAML 2.0-Anwendungsmetadaten (XML oder URL) herunter. Sie verwenden es im nächsten Abschnitt.
## Konfigurieren Sie RES für die Verwendung Ihres Identitätsanbieters
**Um das Single Sign-On-Setup für RES abzuschließen**
1. Melden Sie sich bei RES als Administrator oder ****Clusteradmin**** an.
1. Navigieren Sie zu **Environment Management** ⇒ **Allgemeine Einstellungen** ⇒ **Identity** Provider.
![\[Die Benutzeroberfläche der Umgebungseinstellungen in RES, einschließlich eines Abschnitts für Single Sign-On.\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/environment-settings.png)
1. Wählen Sie unter **Single Sign-On** das Bearbeitungssymbol neben der Statusanzeige, um die Seite **Single Sign-On-Konfiguration zu** öffnen.
![\[Die Benutzeroberfläche für die Single Sign-On-Konfiguration in RES.\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/sso-config.png)
1. Wählen Sie als **Identity Provider** **SAML** aus.
1. Geben Sie **unter Anbietername** einen eindeutigen Namen für Ihren Identitätsanbieter ein.
**Anmerkung**
Die folgenden Namen sind nicht zulässig:
Cognito
IdentityCenter
1. Wählen Sie unter **Metadaten-Dokumentquelle** die entsprechende Option aus und laden Sie das Metadaten-XML-Dokument hoch oder geben Sie die URL vom Identitätsanbieter an.
1. Geben Sie für das **Anbieter-E-Mail-Attribut** den Textwert ein`email`.
1. Wählen Sie **Absenden** aus.
1. Laden Sie die Seite mit den **Umgebungseinstellungen** neu. Single Sign-On ist aktiviert, wenn die Konfiguration korrekt war.
## Konfiguration Ihres Identitätsanbieters in einer Umgebung außerhalb der Produktionsumgebung
Wenn Sie die bereitgestellten [externen Ressourcen](prerequisites.md#external-resources) verwendet haben, um eine RES-Umgebung außerhalb der Produktion zu erstellen, und IAM Identity Center als Ihren Identitätsanbieter konfiguriert haben, möchten Sie möglicherweise einen anderen Identitätsanbieter wie Okta konfigurieren. Das Formular zur RES-SSO-Aktivierung fragt nach drei Konfigurationsparametern:
1. Anbietername — Kann nicht geändert werden
1. Metadaten-Dokument oder URL — Kann geändert werden
1. E-Mail-Attribut des Anbieters — Kann geändert werden
**Gehen Sie wie folgt vor, um das Metadatendokument und das E-Mail-Attribut des Anbieters zu ändern:**
1. Melden Sie sich bei der Amazon-Cognito-Konsole an.
1. Wählen Sie in der Navigation **Benutzerpools** aus.
1. Wählen Sie Ihren Benutzerpool aus, um die **Übersicht über den Benutzerpool** anzuzeigen.
1. Gehen Sie auf der Registerkarte **Anmeldeerfahrung** zur **Anmeldung mit dem Federated Identity Provider** und öffnen Sie Ihren konfigurierten Identity Provider.
1. Im Allgemeinen müssen Sie nur die Metadaten ändern und die Attributzuordnung unverändert lassen. Um die **Attributzuordnung** zu aktualisieren, wählen Sie **Bearbeiten**. Um das **Metadaten-Dokument** zu aktualisieren, wählen Sie „**Metadaten ersetzen**“.
![\[Der Amazon Cognito Cognito-Benutzerpool im Überblick.\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-attributemetadata.png)
1. Wenn Sie die Attributzuordnung bearbeitet haben, müssen Sie die `.cluster-settings` Tabelle in DynamoDB aktualisieren.
1. Öffnen Sie die DynamoDB-Konsole und wählen Sie in der **Navigation Tabellen** aus.
1. Suchen Sie die `.cluster-settings` Tabelle, wählen Sie sie aus und wählen Sie im Menü **Aktionen** die Option Elemente **durchsuchen** aus.
1. Gehen **Sie unter Elemente scannen oder abfragen** zu **Filter** und geben Sie die folgenden Parameter ein:
+ **Name des Attributs** — `key`
+ **Wert** — `identity-provider.cognito.sso_idp_provider_email_attribute`
1. Klicken Sie auf **Ausführen**.
1. Suchen Sie unter **Zurückgegebene Artikel nach** der `identity-provider.cognito.sso_idp_provider_email_attribute` Zeichenfolge und wählen Sie **Bearbeiten**, um die Zeichenfolge an Ihre Änderungen in Amazon Cognito anzupassen.
![\[Das Amazon Cognito Cognito-Update der in DynamoDB zurückgegebenen Filter und Artikel.\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-scanqueryitems.png)
## Debuggen von SAML-IdP-Problemen
**SAML-Tracer** — Sie können diese Erweiterung für den Chrome-Browser verwenden, um SAML-Anfragen zu verfolgen und die SAML-Assertion-Werte zu überprüfen. Weitere Informationen finden Sie unter [SAML-Tracer](https://chromewebstore.google.com/detail/saml-tracer/mpdajninpobndbfcldcmbpnnbhibjmch?pli=1) im Chrome Web Store.
**SAML-Entwicklertools — OneLogin stellt Tools** bereit, mit denen Sie den SAML-codierten Wert dekodieren und die erforderlichen Felder in der SAML-Assertion überprüfen können. Weitere Informationen finden Sie auf der Website unter [Base 64 Decode](https://www.samltool.com/decode.php) \$1 Inflate. OneLogin
**Amazon CloudWatch Logs** — Sie können Ihre CloudWatch RES-Protokolle in Logs auf Fehler oder Warnungen überprüfen. Ihre Protokolle befinden sich in einer Protokollgruppe mit dem Namensformat`/res-environment-name/cluster-manager`.
**Amazon Cognito-Dokumentation** — Weitere Informationen zur SAML-Integration mit Amazon Cognito finden Sie unter [Hinzufügen von SAML-Identitätsanbietern zu einem Benutzerpool](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-saml-idp.html) im *Amazon* Cognito Developer Guide.