Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Akses ke AWS aplikasi dan layanan dari Microsoft AD yang AWS Dikelola
Anda dapat memberikan akses ke pengguna Microsoft AD yang AWS Dikelola untuk mengakses AWS aplikasi dan layanan. Beberapa AWS aplikasi dan layanan ini meliputi:
+ Amazon Chime
+ Amazon EC2
+ Cepat
+ Konsol Manajemen AWS
+ Amazon WorkSpaces
Anda juga dapat menggunakan akses URLs dan sistem masuk tunggal dengan AWS Microsoft AD yang Dikelola.
**Topics**
+ [Kompatibilitas aplikasi untuk Microsoft AD yang AWS Dikelola](ms_ad_app_compatibility.md)
+ [Mengaktifkan akses ke AWS aplikasi dan layanan untuk Microsoft AD yang AWS Dikelola](ms_ad_enable_apps_services.md)
+ [Mengaktifkan Konsol Manajemen AWS akses dengan kredensi Microsoft AD yang AWS Dikelola](ms_ad_management_console_access.md)
+ [Membuat URL akses untuk Microsoft AD yang AWS Dikelola](ms_ad_create_access_url.md)
+ [Mengaktifkan sistem masuk tunggal untuk Microsoft AD yang Dikelola AWS](ms_ad_single_sign_on.md)
# Kompatibilitas aplikasi untuk Microsoft AD yang AWS Dikelola
AWS Directory Service untuk Microsoft Active Directory (AWS Managed Microsoft AD) kompatibel dengan beberapa AWS layanan dan aplikasi pihak ketiga.
Berikut ini adalah daftar AWS aplikasi dan layanan yang kompatibel:
+ Amazon Chime
+ Amazon Connect
+ Amazon EC2
+ Cepat
+ Amazon RDS
+ WorkDocs
+ Amazon WorkMail
+ AWS Client VPN
+ AWS IAM Identity Center
+ AWS License Manager
+ Konsol Manajemen AWS
+ FSx untuk Windows File Server
+ WorkSpaces
Untuk informasi selengkapnya, lihat [Mengaktifkan akses ke AWS aplikasi dan layanan untuk Microsoft AD yang AWS Dikelola](ms_ad_enable_apps_services.md).
Karena besarnya off-the-shelf aplikasi kustom dan komersial yang menggunakan Active Directory, AWS tidak dan tidak dapat melakukan verifikasi formal atau luas kompatibilitas aplikasi pihak ketiga dengan AWS Directory Service untuk Microsoft Active Directory (AWS Managed Microsoft AD). Meskipun AWS bekerja dengan pelanggan dalam upaya untuk mengatasi tantangan instalasi aplikasi potensial yang mungkin mereka hadapi, kami tidak dapat menjamin bahwa aplikasi apa pun atau akan terus kompatibel dengan Microsoft AD yang AWS Dikelola.
Aplikasi pihak ketiga berikut ini kompatibel dengan Microsoft AD yang AWS Dikelola:
+ Aktivasi Berbasis Direktori Aktif (ADBA)
+ Active Directory Certificate Services (AD CS): Enterprise Certificate Authority
+ Active Directory Federation Services (AD FS)
+ Active Directory Users and Computers (ADUC)
+ Application Server (.NET)
+ Microsoft Entra(sebelumnya dikenal sebagai Azure Active Directory (AzureAD))
+ Microsoft Entra Connect(sebelumnya dikenal sebagai) Azure Active Directory Connect
+ Distributed File System Replication (DFSR)
+ Distributed File System Namespaces (DFSN)
+ Microsoft Remote Desktop Services Licensing Server
+ Microsoft SharePoint Server
+ Microsoft SQL Server(termasuk SQL Server Selalu Pada Grup Ketersediaan)
+ Microsoft System Center Configuration Manager(SCCM) - Pengguna yang menggunakan SCCM harus menjadi anggota grup Administrator Manajemen Sistem AWS Delegasi.
+ Microsoft Windows and Windows Server OS
+ Office 365
Perhatikan bahwa tidak semua konfigurasi dari aplikasi-aplikasi ini mungkin didukung.
## Pedoman kompatibilitas
Meskipun aplikasi mungkin memiliki konfigurasi yang tidak kompatibel, konfigurasi deployment aplikasi sering dapat mengatasi ketidakcocokan. Berikut ini menjelaskan alasan paling umum untuk ketidakcocokan aplikasi. Pelanggan dapat menggunakan informasi ini untuk menyelidiki karakteristik kompatibilitas aplikasi yang diinginkan dan mengidentifikasi perubahan deployment yang potensial.
+ **Administrator domain atau izin istimewa lainnya –** Beberapa aplikasi menyatakan bahwa Anda harus menginstalnya sebagai administrator domain. Karena AWS harus mempertahankan kontrol eksklusif tingkat izin ini untuk memberikan Active Directory sebagai layanan terkelola, Anda tidak dapat bertindak sebagai administrator domain untuk menginstal aplikasi tersebut. Namun, Anda sering dapat menginstal aplikasi tersebut dengan mendelegasikan izin khusus, kurang istimewa, dan AWS didukung kepada orang yang melakukan instalasi. Untuk detail selengkapnya tentang izin yang tepat yang diperlukan aplikasi Anda, tanyakan penyedia aplikasi Anda. Untuk informasi selengkapnya tentang izin yang AWS memungkinkan Anda mendelegasikan, lihat. [Apa yang dibuat dengan Microsoft AD yang AWS Dikelola](ms_ad_getting_started_what_gets_created.md)
+ **Akses ke container Active Directory yang memiliki hak istimewa —** Di dalam direktori Anda, Microsoft AD yang AWS dikelola menyediakan Unit Organisasi (OU) di mana Anda memiliki kontrol administratif penuh. Anda tidak memiliki izin membuat atau menulis dan mungkin memiliki izin baca terbatas untuk kontainer yang lebih tinggi di pohon Direktori Aktif daripada OU Anda. Aplikasi yang membuat atau mengakses kontainer yang tidak Anda miliki izinnya mungkin tidak bekerja. Namun, aplikasi semacam itu sering memiliki kemampuan untuk menggunakan kontainer yang Anda buat di OU Anda sebagai alternatif. Periksa dengan penyedia aplikasi Anda untuk menemukan cara untuk membuat dan menggunakan kontainer di OU Anda sebagai alternatif. Untuk informasi lebih lanjut tentang OU Anda, lihat[Apa yang dibuat dengan Microsoft AD yang AWS Dikelola](ms_ad_getting_started_what_gets_created.md).
+ **Perubahan skema selama alur kerja instalasi —** Beberapa aplikasi Direktori Aktif memerlukan perubahan skema Direktori Aktif default, dan mereka mungkin mencoba untuk menginstal perubahan tersebut sebagai bagian dari alur kerja instalasi aplikasi. Karena sifat istimewa ekstensi skema, AWS memungkinkan hal ini dengan mengimpor file Lightweight Directory Interchange Format (LDIF) melalui konsol Directory Service , CLI, atau SDK saja. Aplikasi semacam itu sering datang dengan file LDIF yang dapat Anda terapkan ke direktori melalui proses pembaruan Directory Service skema. Untuk informasi selengkapnya tentang bagaimana proses impor LDIF bekerja, lihat [Tutorial: Memperluas skema AD Microsoft AWS Terkelola Anda](ms_ad_tutorial_extend_schema.md). Anda dapat menginstal aplikasi dengan cara untuk memotong instalasi skema selama proses instalasi.
## Aplikasi tidak kompatibel dikenal
Berikut daftar off-the-shelf aplikasi komersial yang biasa diminta yang belum kami temukan konfigurasi yang berfungsi dengan Microsoft AD yang AWS Dikelola. AWS memperbarui daftar ini dari waktu ke waktu atas kebijakannya sendiri sebagai sopan santun untuk membantu Anda menghindari upaya yang tidak produktif. AWS memberikan informasi ini tanpa jaminan atau klaim mengenai kompatibilitas saat ini atau masa depan.
+ Active Directory Certificate Services (AD CS): Certificate Enrollment Web Service
+ Active Directory Certificate Services (AD CS): Certificate Enrollment Policy Web Service
+ Microsoft Exchange Server
+ Microsoft Skype for Business Server
# Mengaktifkan akses ke AWS aplikasi dan layanan untuk Microsoft AD yang AWS Dikelola
Pengguna dapat mengotorisasi Microsoft AD yang AWS Dikelola untuk memberikan AWS aplikasi dan layanan, seperti Amazon WorkSpaces, akses ke Direktori Aktif Anda. AWS Aplikasi dan layanan berikut dapat diaktifkan atau dinonaktifkan untuk bekerja dengan Microsoft AD yang AWS Dikelola.
| AWS aplikasi/layanan | Informasi selengkapnya… |
| --- | --- |
| Amazon Chime | Untuk informasi selengkapnya, lihat [Menghubungkan ke Direktori Aktif](https://docs.aws.amazon.com/chime/latest/ag/active_directory.html). |
| Amazon Connect | Untuk informasi selengkapnya, lihat [Panduan Administrasi Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/related-services-amazon-connect.html#security-services). |
| Amazon EC2 | Untuk informasi selengkapnya, lihat [Cara untuk bergabung dengan instans Amazon EC2 ke AWS Microsoft AD yang Dikelola](ms_ad_join_instance.md). |
| Amazon FSx untuk Server File Windows | Untuk informasi selengkapnya, lihat [Menggunakan Amazon FSx dengan AWS Directory Service untuk Microsoft Active Directory](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/fsx-aws-managed-ad.html). |
| Cepat | Untuk informasi selengkapnya, lihat [edisi Menggunakan Active Directory with Quick Enterprise](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html). |
| Amazon Relational Database Service | Untuk informasi selengkapnya, lihat berikut ini: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/directoryservice/latest/admin-guide/ms_ad_enable_apps_services.html) |
| Amazon WorkDocs | Untuk informasi selengkapnya, lihat [Aktifkan Amazon WorkDocs untuk iklan Microsoft yang AWS Dikelola](https://docs.aws.amazon.com/workspaces/latest/adminguide/enable-workdocs-active-directory.html). |
| Amazon WorkMail | Untuk informasi selengkapnya, lihat [Membuat organisasi](https://docs.aws.amazon.com/workmail/latest/adminguide/add_new_organization.html). |
| Amazon WorkSpaces | Anda dapat membuat Simple AD, AWS Managed Microsoft AD, atau AD Connector langsung dari WorkSpaces. Cukup luncurkan **Pengaturan Advanced** saat membuat Workspace Anda. Untuk informasi selengkapnya, lihat [Daftar Directory Service direktori yang ada dengan WorkSpaces Personal](https://docs.aws.amazon.com/workspaces/latest/adminguide/register-deregister-directory.html). |
| AWS Client VPN | Untuk informasi selengkapnya, lihat [otentikasi Active Directory di Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/ad.html). |
| AWS IAM Identity Center | Untuk informasi selengkapnya, lihat [Connect to a Microsoft AD direktori](https://docs.aws.amazon.com/singlesignon/latest/userguide/connectawsad.html). |
| AWS License Manager | Untuk informasi selengkapnya, lihat [Mengelola langganan berbasis pengguna di License Manager](https://docs.aws.amazon.com/license-manager/latest/userguide/user-based-subscriptions.html). |
| Konsol Manajemen AWS | Untuk informasi selengkapnya, lihat [Mengaktifkan Konsol Manajemen AWS akses dengan kredensi Microsoft AD yang AWS Dikelola](ms_ad_management_console_access.md). |
| AWS Private Certificate Authority | Untuk informasi selengkapnya, lihat [AWS Private CA Konektor untuk Direktori Aktif](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html). |
| AWS Transfer Family | Untuk informasi selengkapnya, lihat [Mengkonfigurasi titik akhir server SFTP, FTPS, atau](https://docs.aws.amazon.com/transfer/latest/userguide/sftp-for-transfer-family.html) FTP. |
Setelah diaktifkan, Anda mengelola akses ke direktori Anda di konsol dari aplikasi atau layanan yang ingin Anda berikan akses ke direktori Anda.
## Temukan AWS aplikasi dan layanan
Untuk menemukan AWS aplikasi dan layanan yang dijelaskan sebelumnya di Directory Service konsol, lakukan langkah-langkah berikut.
1. Pada panel navigasi [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**.
1. Pada halaman **Direktori**, pilih ID direktori Anda.
1. Pada halaman **Detail direktori**, pilih tab **Pengelolaan aplikasi**.
1. Tinjau daftar di bawah bagian **aplikasi & layanan AWS **.
Untuk informasi selengkapnya tentang cara mengotorisasi atau membatalkan otorisasi AWS aplikasi dan layanan yang digunakan Directory Service, lihat. [Otorisasi untuk AWS aplikasi dan layanan menggunakan Directory Service](ad_manage_apps_services_authorization.md)
# Mengaktifkan Konsol Manajemen AWS akses dengan kredensi Microsoft AD yang AWS Dikelola
Directory Service memungkinkan Anda untuk memberikan anggota direktori Anda akses ke Konsol Manajemen AWS. Secara default, anggota direktori Anda tidak memiliki akses ke AWS sumber daya apa pun. Anda menetapkan peran IAM ke anggota direktori Anda untuk memberi mereka akses ke berbagai AWS layanan dan sumber daya. IAM role menentukan layanan, sumber daya, dan tingkat akses yang dimiliki anggota direktori Anda.
Sebelum Anda dapat memberikan akses konsol ke anggota direktori Anda, direktori Anda harus memiliki URL akses. Untuk informasi selengkapnya tentang cara melihat detail direktori dan mendapatkan URL akses Anda, lihat [Melihat informasi direktori Microsoft AD yang AWS Dikelola](ms_ad_view_directory_info.md). Untuk informasi selengkapnya tentang cara membuat URL akses, lihat [Membuat URL akses untuk Microsoft AD yang AWS Dikelola](ms_ad_create_access_url.md).
Untuk informasi selengkapnya tentang cara membuat dan menetapkan IAM role untuk anggota direktori Anda, lihat [Memberikan pengguna dan grup Microsoft AD AWS Terkelola akses ke AWS sumber daya dengan peran IAM](ms_ad_manage_roles.md).
**Topics**
+ [Mengaktifkan akses Konsol Manajemen AWS](#console_enable)
+ [Menonaktifkan akses Konsol Manajemen AWS](#console_disable)
+ [Mengatur panjang sesi Konsol Manajemen AWS login](#console_session)
**Artikel Blog AWS Keamanan Terkait**
+ [Cara Mengakses Iklan Microsoft yang Konsol Manajemen AWSAWS Dikelola dan Kredensial Lokal Anda](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)
** AWS re:Post Artikel terkait**
+ [Bagaimana cara memberikan akses ke untuk pengguna Active Directory lokal? Konsol Manajemen AWS](https://repost.aws/knowledge-center/enable-active-directory-console-access)
**catatan**
Akses ke Konsol Manajemen AWS adalah fitur Regional dari Microsoft AD yang AWS Dikelola. Jika Anda menggunakan [replikasi Multi-Region](ms_ad_configure_multi_region_replication.md), prosedur berikut harus diterapkan secara terpisah di setiap Wilayah. Untuk informasi selengkapnya, lihat [Fitur Global vs Regional](multi-region-global-region-features.md).
## Mengaktifkan akses Konsol Manajemen AWS
Secara default, akses konsol tidak diaktifkan untuk direktori apapun. Untuk mengaktifkan akses konsol untuk pengguna dan grup direktori Anda, lakukan langkah-langkah berikut:
**Untuk mengaktifkan akses konsol**
1. Pada panel navigasi [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**.
1. Pada halaman **Direktori**, pilih ID direktori Anda.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
+ Jika Anda memiliki beberapa **Wilayah yang ditampilkan di bawah replikasi Multi-Region**, pilih Wilayah tempat Anda ingin mengaktifkan akses ke Konsol Manajemen AWS, lalu pilih tab **Manajemen aplikasi**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
+ Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Pengelolaan Aplikasi**.
1. Di bawah bagian **Konsol Manajemen AWS**, pilih **Aktifkan**. Akses konsol sekarang diaktifkan untuk direktori Anda.
**penting**
Sebelum pengguna dapat masuk ke konsol dengan URL akses Anda, Anda harus terlebih dahulu menambahkan pengguna Anda ke peran IAM. Untuk informasi umum tentang menetapkan pengguna ke IAM role, lihat [Menetapkan pengguna atau grup ke peran IAM yang ada](assign_role.md). Setelah IAM role telah ditetapkan, pengguna kemudian dapat mengakses konsol tersebut menggunakan URL akses Anda. Misalnya, jika URL akses direktori Anda`example-corp.awsapps.com`, URL untuk mengakses konsol adalah`https://example-corp.awsapps.com/console/`.
## Menonaktifkan akses Konsol Manajemen AWS
Untuk menonaktifkan Konsol Manajemen AWS akses bagi pengguna dan grup direktori Microsoft AD AWS Terkelola, lakukan langkah-langkah berikut:
**Untuk menonaktifkan akses konsol**
1. Pada panel navigasi [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**.
1. Pada halaman **Direktori**, pilih ID direktori Anda.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
+ Jika Anda memiliki beberapa Wilayah yang ditampilkan di bawah **replikasi Multi-Region**, pilih Wilayah tempat Anda ingin menonaktifkan akses ke Konsol Manajemen AWS, lalu pilih tab **Manajemen aplikasi**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
+ Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Pengelolaan Aplikasi**.
1. Di bawah bagian **Konsol Manajemen AWS**, pilih **Menonaktifkan**. Akses konsol sekarang dinonaktifkan untuk direktori Anda.
1. Jika setiap IAM role telah ditetapkan untuk pengguna atau grup dalam direktori, tombol **Nonaktifkan** mungkin tidak tersedia. Dalam kasus ini, Anda harus menghapus semua penetapan IAM role untuk direktori sebelum melanjutkan, termasuk tugas untuk pengguna atau grup dalam direktori Anda yang telah dihapus, yang akan ditampilkan sebagai **Pengguna Dihapus** atau **Grup Dihapus**.
Setelah semua penetapan IAM role dihapus, ulangi langkah-langkah di atas.
## Mengatur panjang sesi Konsol Manajemen AWS login
Secara default, pengguna memiliki waktu 1 jam untuk menggunakan sesi mereka setelah berhasil masuk Konsol Manajemen AWS sebelum mereka keluar. Setelah itu, pengguna harus masuk lagi untuk memulai sesi 1 jam berikutnya sebelum keluar lagi. Anda dapat menggunakan prosedur berikut untuk mengubah lama waktu hingga 12 jam per sesi.
**Untuk mengatur panjang sesi Konsol Manajemen AWS login**
1. Pada panel navigasi [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**.
1. Pada halaman **Direktori**, pilih ID direktori Anda.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
+ Jika Anda memiliki beberapa Region yang ditampilkan di bawah **Replikasi Multi-Region**, pilih Region tempat Anda ingin mengatur lamanya sesi, lalu pilih tab **Pengelolaan Aplikasi**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
+ Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Pengelolaan Aplikasi**.
1. Di bawah bagian **Aplikasi & layanan AWS **, pilih **Konsol Manajemen AWS **.
1. Di kotak dialog **Kelola Akses ke AWS Sumber Daya**, pilih **Lanjutkan**.
1. Di halaman**Menetapkan pengguna dan grup ke IAM role**, di bawah **Atur lamanya sesi masuk**, edit nilai bernomor, dan kemudian pilih **Simpan**.
# Membuat URL akses untuk Microsoft AD yang AWS Dikelola
URL akses digunakan dengan AWS aplikasi dan layanan, seperti Amazon WorkDocs, untuk mencapai halaman login yang terkait dengan direktori Anda. Anda dapat membuat URL akses untuk direktori Anda dengan melakukan langkah-langkah berikut.
**Pertimbangan-pertimbangan**
+ URL harus unik secara global.
+ URL akses hanya dapat dikonfigurasi dari Wilayah Utama saat menggunakan direktori Multi-Region.
+ Setelah Anda membuat URL akses aplikasi untuk direktori ini, itu tidak dapat diubah. Setelah URL akses dibuat, tidak dapat digunakan oleh orang lain. Jika Anda menghapus direktori Anda, URL akses juga dihapus dan kemudian dapat digunakan oleh akun lain.
**Untuk membuat URL akses**
1. Di panel navigasi [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**.
1. Pada halaman **Direktori**, pilih ID direktori Anda.
1. Pada halaman **Detail direktori**, lakukan salah satu hal berikut:
+ Jika Anda memiliki beberapa Wilayah yang ditampilkan di bawah **replikasi Multi-Region**, pilih Wilayah Utama dan kemudian pilih tab **Manajemen aplikasi**. Untuk informasi selengkapnya, lihat [Region utama vs tambahan](multi-region-global-primary-additional.md).
+ Jika Anda tidak memiliki Region apa pun yang ditampilkan di bawah **Replikasi Multi-Region**, pilih tab **Pengelolaan Aplikasi**.
1. Di bagian **URL akses aplikasi**, jika URL akses belum ditetapkan ke direktori, tombol **Buat** ditampilkan. Masukkan alias direktori dan pilih **Buat**. Jika error **Entitas Sudah Ada** dikembalikan, alias direktori tertentu telah dialokasikan. Pilih alias lain dan ulangi prosedur ini.
URL akses Anda ditampilkan dalam format ** .awsapps.com. Secara default, URL ini akan membawa Anda ke halaman login untuk WorkDocs.
# Mengaktifkan sistem masuk tunggal untuk Microsoft AD yang Dikelola AWS
AWS Directory Service memberikan kemampuan untuk memungkinkan pengguna Anda mengakses WorkDocs dari komputer yang bergabung ke direktori tanpa harus memasukkan kredensialnya secara terpisah.
Sebelum mengaktifkan sing-on tunggal, Anda perlu mengambil langkah tambahan agar peramban web pengguna dapat mendukung sign-on tunggal. Pengguna mungkin perlu memodifikasi pengaturan peramban web mereka untuk mengaktifkan sign-on tunggal.
**catatan**
Sign-on tunggal hanya bekerja bila digunakan pada komputer yang digabungkan ke direktori Directory Service . Ini tidak dapat digunakan pada komputer yang tidak bergabung ke direktori.
Jika direktori Anda adalah direktori AD Connector dan akun layanan AD Connector tidak memiliki izin untuk menambahkan atau menghapus atribut nama utama layanannya, maka untuk Langkah 5 dan 6 di bawah ini, Anda memiliki dua pilihan:
1. Anda dapat melanjutkan dan akan diminta untuk nama pengguna dan kata sandi untuk pengguna direktori yang memiliki izin ini untuk menambah atau menghapus atribut nama utama layanan pada akun layanan AD Connector. Kredensial ini hanya digunakan untuk mengaktifkan sign-on tunggal dan tidak disimpan oleh layanan. Izin akun layanan AD Connector tidak berubah.
1. Anda dapat mendelegasikan izin untuk mengizinkan akun layanan AD Connector menambah atau menghapus atribut nama utama layanan itu sendiri, Anda dapat menjalankan PowerShell perintah di bawah ini dari komputer yang bergabung dengan domain menggunakan akun yang memiliki izin untuk mengubah izin pada akun layanan AD Connector. Perintah di bawah ini akan memberikan akun layanan AD Connector kemampuan untuk menambah dan menghapus atribut nama utama layanan hanya untuk dirinya sendiri.
```
$AccountName = 'ConnectorAccountName'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$RootDse = Get-ADRootDSE
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting AD Connector service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AclPath = $AccountProperties.DistinguishedName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for AD Connector service account.
$ObjectAcl = Get-ACL -Path "AD:\$AclPath"
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
```
**Untuk mengaktifkan atau menonaktifkan sistem masuk tunggal dengan WorkDocs**
1. Di panel navigasi [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**.
1. Pada halaman **Direktori**, pilih ID direktori Anda.
1. Pada halaman **Detail direktori**, pilih tab **Pengelolaan aplikasi**.
1. Di bagian **URL akses aplikasi**, pilih **Aktifkan** untuk mengaktifkan sistem masuk tunggal. WorkDocs
Jika Anda tidak melihat tombol **Aktifkan**, Anda mungkin harus terlebih dahulu membuat URL Akses sebelum opsi ini akan ditampilkan. Untuk informasi selengkapnya tentang cara membuat URL akses, lihat [Membuat URL akses untuk Microsoft AD yang AWS Dikelola](ms_ad_create_access_url.md).
1. Di kotak dialog **Aktifkan Sign-On Tunggal untuk direktori ini**,, pilih **Aktifkan**. Sign-on tunggal diaktifkan untuk direktori.
1. **Jika nanti Anda ingin menonaktifkan sistem masuk tunggal dengan WorkDocs, pilih **Nonaktifkan**, dan kemudian di kotak dialog **Nonaktifkan Single Sign-On untuk direktori ini**, pilih Nonaktifkan lagi.**
**Topics**
+ [Sign-on tunggal untuk IE dan Chrome](#ie_sso)
+ [Sign-on tunggal untuk Firefox](#firefox_sso)
## Sign-on tunggal untuk IE dan Chrome
Untuk mengizinkan peramban Microsoft Internet Explorer (IE) dan Google Chrome untuk mendukung sign-on tunggal, tugas berikut harus dilakukan pada komputer klien:
+ Tambahkan URL akses Anda (mis., https://**.awsapps.com) ke daftar situs yang disetujui untuk sistem masuk tunggal.
+ Aktifkan skrip aktif (JavaScript).
+ Izinkan masuk otomatis.
+ Aktifkan autentikasi terintegrasi.
Anda atau pengguna Anda dapat melakukan tugas-tugas ini secara manual, atau Anda dapat mengubah pengaturan ini menggunakan pengaturan Kebijakan Grup.
**Topics**
+ [Pembaruan manual untuk sign-on tunggal pada Windows](#ie_sso_manual_windows)
+ [Pembaruan manual untuk sign-on tunggal pada OS X](#chrome_sso_manual_mac)
+ [Pengaturan kebijakan grup untuk sign-on tunggal](#ie_sso_gpo)
### Pembaruan manual untuk sign-on tunggal pada Windows
Untuk mengaktifkan sign-on tunggal secara manual pada komputer Windows, lakukan langkah-langkah berikut pada komputer klien. Beberapa pengaturan ini mungkin sudah diatur dengan benar.
**Cara mengaktifkan sign-on tunggal untuk Internet Explorer dan Chrome secara manual di Windows**
1. Untuk membuka kotak dialog **Properti internet**, pilih menu **Start**, ketik `Internet Options` di kotak pencarian, lalu pilih **Opsi Internet**.
1. Tambahkan URL akses Anda ke daftar situs yang disetujui untuk sign-on tunggal dengan melakukan langkah-langkah berikut:
1. Di kotak dialog **Properti internet**, pilih tab **Keamanan**.
1. Pilih **Intranet lokal** dan pilih **Situs**.
1. Di kotak dialog **Intranet lokal**, pilih **Advanced**.
1. Tambahkan URL akses Anda ke daftar situs web dan pilih **tutup**.
1. Di dialog box **Intranet lokal**, pilih **OK**.
1. Untuk mengaktifkan penulisan aktif, lakukan langkah-langkah berikut ini:
1. Di tab **Keamanan** dari kotak dialog **Properti internet**, pilih **Tingkat kustom**.
1. Di kotak dialog **Pengaturan Keamanan - Zona Intranet Lokal**, gulir ke bawah untuk **Penulisan** dan pilih **Aktifkan** di bawah **Penulisan aktif**.
1. Di kotak dialog **Pengaturan Keamanan - Zona Intranet Lokal**, pilih **OK**.
1. Untuk mengaktifkan masuk otomatis, lakukan langkah-langkah berikut ini:
1. Di tab **Keamanan** dari kotak dialog **Properti internet**, pilih **Tingkat kustom**.
1. Di kotak dialog **Pengaturan Keamanan - Zona Intranet Lokal**, gulir ke bawah untuk **Autentikasi Pengguna** dan pilih **Masuk otomatis hanya di zona Intranet** di bawah **Masuk**.
1. Di kotak dialog **Pengaturan Keamanan - Zona Intranet Lokal**, pilih **OK**.
1. Di kotak dialog **Pengaturan Keamanan - Zona Intranet Lokal**, pilih **OK**.
1. Untuk mengaktifkan autentikasi terintegrasi, lakukan langkah-langkah berikut ini:
1. Di kotak dialog **Properti internet**, pilih tab **Advanced**.
1. Gulir ke bawah ke **Keamanan** dan pilih **Mengaktifkan Autentikasi Windows Terintegrasi**.
1. Di kotak dialog **Properti Internet**, pilih **OK**.
1. Tutup dan buka kembali peramban Anda agar perubahan ini berlaku.
### Pembaruan manual untuk sign-on tunggal pada OS X
Untuk mengaktifkan sign-on tunggal secara manual untuk Chrome pada OS X, lakukan langkah-langkah berikut pada komputer klien. Anda memerlukan hak administrator di komputer Anda untuk menyelesaikan langkah-langkah ini.
**Cara mengaktifkan sign-on tunggal untuk Chrome di OS X secara manual**
1. Tambahkan URL akses Anda ke [AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist)kebijakan dengan menjalankan perintah berikut:
```
defaults write com.google.Chrome AuthServerAllowlist "https://.awsapps.com"
```
1. Buka **Preferensi Sistem**, buka panel **Profil**, dan hapus profil `Chrome Kerberos Configuration`.
1. Mulai ulang Chrome dan buka chrome://policy di Chrome untuk mengonfirmasi bahwa pengaturan baru sudah terpasang.
### Pengaturan kebijakan grup untuk sign-on tunggal
Administrator domain dapat menerapkan pengaturan Kebijakan Grup untuk membuat perubahan sign-on tunggal pada komputer klien yang digabungkan ke domain.
**catatan**
Jika Anda mengelola browser web Chrome di komputer di domain Anda dengan kebijakan Chrome, Anda harus menambahkan URL akses ke [AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist)kebijakan. Untuk informasi selengkapnya tentang mengatur kebijakan Chrome, kunjungi [Pengaturan Kebijakan di Chrome](https://source.chromium.org/chromium/chromium/src/+/main:docs/enterprise/add_new_policy.md).
**Cara mengaktifkan sign-on tunggal untuk Internet Explorer dan Chrome menggunakan pengaturan Kebijakan Grup**
1. Membuat objek Kebijakan Grup baru dengan melakukan langkah-langkah berikut:
1. Buka alat Pengelolaan Kebijakan Grup, arahkan ke domain Anda, lalu pilih **Objek Kebijakan Grup**.
1. Dari menu utama, pilih **Tindakan** dan pilih **Baru**.
1. Di kotak dialog **GPO baru**, masukkan nama deskriptif untuk objek Kebijakan Grup, seperti `IAM Identity Center Policy`, dan biarkan **Sumber Starter GPO** diatur ke **(tidak ada)**. Klik **OK**.
1. Tambahkan URL akses ke daftar situs yang disetujui untuk sign-on tunggal dengan melakukan langkah-langkah berikut:
1. **Di alat Manajemen Kebijakan Grup, arahkan ke domain Anda, pilih **Objek Kebijakan Grup**, buka menu konteks (klik kanan) untuk kebijakan Pusat Identitas IAM Anda, dan pilih Edit.**
1. Di pohon kebijakan, arahkan ke **Konfigurasi Pengguna** > **Preferensi** > **Pengaturan Windows**.
1. Di daftar **Pengaturan Windows**, buka menu konteks (klik kanan) untuk **Registri** dan pilih **Item registri baru**.
1. Di kotak dialog **Properti Registri Baru**, masukkan pengaturan berikut dan pilih **OK**:
**Tindakan**
`Update`
**Sarang**
`HKEY_CURRENT_USER`
**Jalan**
`Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\`
Nilai untuk ** berasal dari URL akses Anda. Jika URL akses Anda adalah `https://examplecorp.awsapps.com`, alias adalah `examplecorp`, dan kunci registri akan menjadi `Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp`.
**Nama nilai**
`https`
**Jenis nilai**
`REG_DWORD`
**Data nilai**
`1`
1. Untuk mengaktifkan penulisan aktif, lakukan langkah-langkah berikut ini:
1. **Di alat Manajemen Kebijakan Grup, arahkan ke domain Anda, pilih **Objek Kebijakan Grup**, buka menu konteks (klik kanan) untuk kebijakan Pusat Identitas IAM Anda, dan pilih Edit.**
1. Di pohon kebijakan, arahkan ke **Konfigurasi komputer** > **Kebijakan** > **Templat Administrasi** > **Komponen Windows** > **Internet Explorer** > **Panel Kontrol Internet** > **Halaman Keamanan** > **Zona Intranet**.
1. Di daftar **Zona Intranet**, buka menu konteks (klik kanan) untuk **Izinkan penulisan aktif** dan pilih **Edit**.
1. Di kotak dialog **Izinkan penulisan aktif**, masukkan pengaturan berikut dan pilih **OK**:
+ Pilih tombol radio **Diaktifkan**.
+ Di bawah **Opsi** atur **Izinkan penulisan aktif** ke **Aktifkan**.
1. Untuk mengaktifkan masuk otomatis, lakukan langkah-langkah berikut ini:
1. Pada alat Pengelolaan Kebijakan Grup, arahkan ke domain Anda, pilih Objek Kebijakan Grup, buka menu konteks (klik kanan) untuk kebijakan SSO Anda, lalu pilih **Edit**.
1. Di pohon kebijakan, arahkan ke **Konfigurasi komputer** > **Kebijakan** > **Templat Administrasi** > **Komponen Windows** > **Internet Explorer** > **Panel Kontrol Internet** > **Halaman Keamanan** > **Zona Intranet**.
1. Di daftar **Zona Intranet**, buka menu konteks (klik kanan) untuk **Opsi masuk** dan pilih **Edit**.
1. Di kotak dialog **Opsi masuk**, masukkan pengaturan berikut dan pilih **OK**:
+ Pilih tombol radio **Diaktifkan**.
+ Di bawah **Opsi** atur **Opsi masuk** ke **Masuk otomatis hanya di zona Intranet**.
1. Untuk mengaktifkan autentikasi terintegrasi, lakukan langkah-langkah berikut ini:
1. **Di alat Manajemen Kebijakan Grup, arahkan ke domain Anda, pilih **Objek Kebijakan Grup**, buka menu konteks (klik kanan) untuk kebijakan Pusat Identitas IAM Anda, dan pilih Edit.**
1. Di pohon kebijakan, arahkan ke **Konfigurasi Pengguna** > **Preferensi** > **Pengaturan Windows**.
1. Di daftar **Pengaturan Windows**, buka menu konteks (klik kanan) untuk **Registri** dan pilih **Item registri baru**.
1. Di kotak dialog **Properti Registri Baru**, masukkan pengaturan berikut dan pilih **OK**:
**Tindakan**
`Update`
**Sarang**
`HKEY_CURRENT_USER`
**Jalan**
`Software\Microsoft\Windows\CurrentVersion\Internet Settings`
**Nama nilai**
`EnableNegotiate`
**Jenis nilai**
`REG_DWORD`
**Data nilai**
`1`
1. Tutup jendela **Editor Pengelolaan Kebijakan Grup** jika masih terbuka.
1. Tetapkan kebijakan baru ke domain Anda dengan mengikuti langkah-langkah berikut:
1. Di pohon Pengelolaan Kebijakan Grup, buka menu konteks (klik kanan) untuk domain Anda, lalu pilih **Menautkan GPO yang Ada**.
1. Dalam daftar **Objek Kebijakan Grup**, pilih kebijakan Pusat Identitas IAM Anda dan pilih **OK**.
Perubahan ini akan berlaku setelah pembaruan Kebijakan Grup berikutnya pada klien, atau waktu berikutnya pengguna masuk.
## Sign-on tunggal untuk Firefox
Untuk mengizinkan browser Mozilla Firefox mendukung sistem masuk tunggal, tambahkan URL akses Anda (mis., https://**.awsapps.com) ke daftar situs yang disetujui untuk sistem masuk tunggal. Ini bisa dilakukan secara manual, atau otomatis dengan skrip.
**Topics**
+ [Pembaruan manual untuk sign-on tunggal](#firefox_sso_manual)
+ [Pembaruan otomatis untuk sign-on tunggal](#firefox_sso_script)
### Pembaruan manual untuk sign-on tunggal
Untuk menambahkan URL akses Anda ke daftar situs yang disetujui di Firefox secara manual, lakukan langkah-langkah berikut pada komputer klien.
**Untuk menambahkan URL akses Anda secara manual ke daftar situs yang disetujui di Firefox**
1. Buka Firefox dan buka halaman `about:config`.
1. Buka preferensi `network.negotiate-auth.trusted-uris` dan tambahkan URL akses Anda ke daftar situs. Gunakan koma (,) untuk memisahkan beberapa entri.
### Pembaruan otomatis untuk sign-on tunggal
Sebagai administrator domain, Anda dapat menggunakan skrip untuk menambahkan URL akses ke preferensi pengguna `network.negotiate-auth.trusted-uris` Firefox pada semua komputer di jaringan Anda. Untuk informasi lebih lanjut, kunjungi [https://support.mozilla. org/en-US/questions/939037](https://support.mozilla.org/en-US/questions/939037).