Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menambahkan dan mengelola penyedia identitas SAMP di kumpulan pengguna
Setelah mengonfigurasi penyedia identitas agar bekerja dengan Amazon Cognito, Anda dapat menambahkannya ke kumpulan pengguna dan klien aplikasi. Prosedur berikut menunjukkan cara membuat, memodifikasi, dan menghapus penyedia SAMP di kumpulan pengguna Amazon Cognito.
------
#### [ Konsol Manajemen AWS ]
Anda dapat menggunakan Konsol Manajemen AWS untuk membuat dan menghapus penyedia identitas SAMP (IdPs).
Sebelum Anda membuat IDP SAMP, Anda harus memiliki dokumen metadata SAMP yang Anda dapatkan dari iDP pihak ketiga. Untuk petunjuk tentang cara mendapatkan atau menghasilkan dokumen metadata SAML yang diperlukan, lihat [Mengonfigurasi penyedia identitas SAMP pihak ketiga Anda](cognito-user-pools-integrating-3rd-party-saml-providers.md).
**Untuk mengonfigurasi SAMP 2.0 iDP di kumpulan pengguna Anda**
1. Masuk ke [Konsol Amazon Cognito](https://console.aws.amazon.com/cognito/home). Jika diminta, masukkan AWS kredensil Anda.
1. Pilih **Kolam Pengguna**.
1. Pilih kolam pengguna yang ada dari daftar, atau [buat kolam pengguna](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).
1. Pilih menu **Penyedia sosial dan eksternal**, lalu pilih **Tambahkan penyedia identitas**.
1. Pilih **SAMP iDP**.
1. Masukkan **nama Penyedia**. Anda dapat meneruskan nama ramah ini dalam parameter `identity_provider` permintaan ke file[Otorisasi titik akhir](authorization-endpoint.md).
1. Masukkan **Identifier** dipisahkan dengan koma. Pengidentifikasi memberi tahu Amazon Cognito bahwa ia harus memeriksa alamat email yang dimasukkan pengguna saat mereka masuk, dan kemudian mengarahkannya ke penyedia yang sesuai dengan domain mereka.
1. Pilih **Tambahkan alur keluar** jika Anda ingin Amazon Cognito mengirim permintaan keluar yang ditandatangani ke penyedia Anda saat pengguna keluar. Anda harus mengonfigurasi IDP SAMP 2.0 Anda untuk mengirim respons keluar ke titik akhir yang dibuat saat Anda `https://mydomain.auth.us-east-1.amazoncognito.com/saml2/logout` mengonfigurasi login terkelola. `saml2/logout`Titik akhir menggunakan pengikatan POST.
**catatan**
Jika opsi ini dipilih dan IDP SALL Anda mengharapkan permintaan logout yang ditandatangani, Anda juga harus memberikan SAMP IDP Anda dengan sertifikat penandatanganan dari kumpulan pengguna Anda.
SAMP iDP akan memproses permintaan logout yang ditandatangani dan mengeluarkan pengguna Anda dari sesi Amazon Cognito.
1. Pilih konfigurasi login **SAMP yang diprakarsai IDP**. Sebagai praktik keamanan terbaik, pilih **Terima pernyataan SAMP yang diprakarsai SP** saja. Jika Anda telah mempersiapkan lingkungan Anda untuk menerima sesi masuk SAMP yang tidak diminta dengan aman, pilih **Terima** pernyataan SAMP yang diprakarsai SP dan IDP. Untuk informasi selengkapnya, lihat [Inisiasi sesi SAMP di kumpulan pengguna Amazon Cognito](cognito-user-pools-SAML-session-initiation.md).
1. Pilih sumber **dokumen Metadata**. Jika IDP Anda menawarkan metadata SAMP di URL publik, Anda dapat memilih URL **dokumen Metadata** dan memasukkan URL publik tersebut. Jika tidak, pilih **Unggah dokumen metadata** dan pilih file metadata yang Anda unduh dari penyedia Anda sebelumnya.
**catatan**
Kami menyarankan Anda memasukkan URL dokumen metadata jika penyedia Anda memiliki titik akhir publik alih-alih mengunggah file. Amazon Cognito secara otomatis menyegarkan metadata dari URL metadata. Biasanya, penyegaran metadata terjadi setiap 6 jam atau sebelum metadata kedaluwarsa, mana yang lebih awal.
1. **Petakan atribut antara penyedia SAMP Anda dan kumpulan pengguna Anda** untuk memetakan atribut penyedia SAMP ke profil pengguna di kumpulan pengguna Anda. Sertakan atribut wajib kumpulan pengguna Anda di peta atribut Anda.
Misalnya, ketika Anda memilih **atribut User pool**`email`, masukkan nama atribut SAMP seperti yang muncul dalam pernyataan SAMP dari idP Anda. Jika IDP Anda menawarkan contoh pernyataan SAMP, Anda dapat menggunakan pernyataan sampel ini untuk membantu Anda menemukan nama. Beberapa IdPs menggunakan nama sederhana, seperti`email`, sementara yang lain menggunakan nama seperti berikut ini.
```
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
```
1. Pilih **Buat**.
------
#### [ API/CLI ]
Gunakan perintah berikut untuk membuat dan mengelola penyedia identitas SAMP (iDP).
**Untuk membuat iDP dan mengunggah dokumen metadata**
+ AWS CLI: `aws cognito-idp create-identity-provider`
Contoh dengan file metadata: `aws cognito-idp create-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-type SAML --provider-details file:///details.json --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress`
Di mana `details.json` berisi:
```
"ProviderDetails": {
"MetadataFile": "",
"IDPSignout" : "true",
"RequestSigningAlgorithm" : "rsa-sha256",
"EncryptedResponses" : "true",
"IDPInit" : "true"
}
```
**catatan**
Jika ** berisi instance karakter`"`, Anda harus menambahkan `\` sebagai karakter escape:`\"`.
Contoh dengan URL metadata: `aws cognito-idp create-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-type SAML --provider-details MetadataURL=https://myidp.example.com/sso/saml/metadata --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress`
+ AWS API: [CreateIdentityProvider](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateIdentityProvider.html)
**Untuk mengunggah dokumen metadata baru untuk IDP**
+ AWS CLI: `aws cognito-idp update-identity-provider`
Contoh dengan file metadata: `aws cognito-idp update-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-details file:///details.json --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress`
Di mana `details.json` berisi:
```
"ProviderDetails": {
"MetadataFile": "",
"IDPSignout" : "true",
"RequestSigningAlgorithm" : "rsa-sha256",
"EncryptedResponses" : "true",
"IDPInit" : "true"
}
```
**catatan**
Jika ** berisi instance karakter`"`, Anda harus menambahkan `\` sebagai karakter escape:`\"`.
Contoh dengan URL metadata: `aws cognito-idp update-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1 --provider-details MetadataURL=https://myidp.example.com/sso/saml/metadata --attribute-mapping email=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress`
+ AWS API: [UpdateIdentityProvider](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateIdentityProvider.html)
**Untuk mendapatkan informasi tentang IDP tertentu**
+ AWS CLI: `aws cognito-idp describe-identity-provider`
`aws cognito-idp describe-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1`
+ AWS API: [DescribeIdentityProvider](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DescribeIdentityProvider.html)
**Untuk daftar informasi tentang semua IdPs**
+ AWS CLI: `aws cognito-idp list-identity-providers`
Contoh: `aws cognito-idp list-identity-providers --user-pool-id us-east-1_EXAMPLE --max-results 3`
+ AWS API: [ListIdentityProviders](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ListIdentityProviders.html)
**Untuk menghapus IdP**
+ AWS CLI: `aws cognito-idp delete-identity-provider`
`aws cognito-idp delete-identity-provider --user-pool-id us-east-1_EXAMPLE --provider-name=SAML_provider_1`
+ AWS API: [DeleteIdentityProvider](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_DeleteIdentityProvider.html)
------
**Untuk menyiapkan IdP SAML untuk menambahkan kolam pengguna sebagai pihak yang mengandalkan**
+ URN penyedia layanan kolam pengguna adalah: `urn:amazon:cognito:sp:us-east-1_EXAMPLE`. Amazon Cognito memerlukan nilai pembatasan audiens yang cocok dengan URN ini dalam respons SAMP. Konfigurasikan IDP Anda untuk menggunakan titik akhir pengikatan POST berikut untuk pesan respons. IdP-to-SP
```
https://mydomain.auth.us-east-1.amazoncognito.com/saml2/idpresponse
```
+ IDP SAMP Anda harus `NameID` terisi dan atribut apa pun yang diperlukan untuk kumpulan pengguna Anda dalam pernyataan SAMP. `NameID`digunakan untuk mengidentifikasi pengguna federasi SAMP Anda secara unik di kumpulan pengguna. IDP Anda harus meneruskan ID nama SAMP setiap pengguna dalam format yang konsisten dan peka huruf besar/kecil. Setiap variasi dalam nilai ID nama pengguna membuat profil pengguna baru.
**Untuk memberikan sertifikat penandatanganan ke IDP SAMP 2.0 Anda**
+ ****Untuk mengunduh salinan kunci publik dari Amazon Cognito yang dapat digunakan idP Anda untuk memvalidasi permintaan logout SAMP, pilih menu **penyedia sosial dan eksternal dari kumpulan pengguna Anda, pilih IDP Anda, dan** di bawah Lihat sertifikat penandatanganan, pilih Unduh sebagai.crt.****
Anda dapat menghapus penyedia SAMP apa pun yang telah Anda atur di kumpulan pengguna dengan konsol Amazon Cognito.
**Untuk menghapus penyedia SAML**
1. Masuk ke [Konsol Amazon Cognito](https://console.aws.amazon.com/cognito/home).
1. Di panel navigasi, pilih **Kumpulan Pengguna**, dan pilih kumpulan pengguna yang ingin Anda edit.
1. Pilih menu **penyedia sosial dan eksternal**.
1. Pilih tombol radio di sebelah SAMP yang ingin IdPs Anda hapus.
1. **Ketika Anda diminta untuk **Hapus penyedia identitas**, masukkan nama penyedia SAMP untuk mengonfirmasi penghapusan, lalu pilih Hapus.**