Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengkonfigurasi penyedia identitas Anda untuk single sign-on (SSO)
<a name="configure-id-federation"></a>

Research and Engineering Studio terintegrasi dengan penyedia identitas SAMP 2.0 untuk mengautentikasi akses pengguna ke portal RES. Langkah-langkah ini memberikan petunjuk untuk berintegrasi dengan penyedia identitas SAMP 2.0 pilihan Anda. Jika Anda berniat menggunakan IAM Identity Center, lihat[Menyiapkan sistem masuk tunggal (SSO) dengan IAM Identity Center](sso-idc.md).

**catatan**  
Email pengguna harus cocok dengan pernyataan IDP SAMP dan Active Directory. Anda harus menghubungkan penyedia identitas Anda dengan Active Directory Anda dan menyinkronkan pengguna secara berkala.

**Topics**
+ [Konfigurasikan penyedia identitas Anda](#configure-id-federation_config-idp)
+ [Konfigurasikan RES untuk menggunakan penyedia identitas Anda](#configure-id-federation_config-res)
+ [Mengkonfigurasi penyedia identitas Anda di lingkungan non-produksi](#configure-id-federation-demo-env)
+ [Debugging masalah SAMP iDP](#configure-id-federation_debug)

## Konfigurasikan penyedia identitas Anda
<a name="configure-id-federation_config-idp"></a>

Bagian ini menyediakan langkah-langkah untuk mengonfigurasi penyedia identitas Anda dengan informasi dari kumpulan pengguna Amazon Cognito RES.

1. RES mengasumsikan bahwa Anda memiliki AD (AWS Managed AD atau iklan yang disediakan sendiri) dengan identitas pengguna yang diizinkan untuk mengakses portal dan proyek RES. Hubungkan iklan Anda ke penyedia layanan identitas Anda dan sinkronkan identitas pengguna. Periksa dokumentasi penyedia identitas Anda untuk mempelajari cara menghubungkan AD dan menyinkronkan identitas pengguna. Misalnya, lihat [Menggunakan Active Directory sebagai sumber identitas](https://docs.aws.amazon.com/singlesignon/latest/userguide/gs-ad.html) di *Panduan AWS IAM Identity Center Pengguna*.

1. Konfigurasikan aplikasi SAMP 2.0 untuk RES di penyedia identitas Anda (iDP). Konfigurasi ini membutuhkan parameter berikut:
   + **URL Pengalihan SAMP — URL** yang digunakan IDP Anda untuk mengirim respons SAMP 2.0 ke penyedia layanan.
**catatan**  
Bergantung pada IDP, URL Pengalihan SAMP mungkin memiliki nama yang berbeda:  
URL Aplikasi
URL Pernyataan Layanan Konsumen (ACS)
URL Pengikatan POST ACS

**Untuk mendapatkan URL**

     1. Masuk ke RES sebagai **admin** atau **clusteradmin**.

     1. Arahkan ke **Manajemen Lingkungan** ⇒ **Pengaturan Umum** ⇒ **Penyedia Identitas**.

     1. Pilih URL **Pengalihan SAMP**.
   + **SAMP Audience URI** — ID unik dari entitas audiens SAMP di sisi penyedia layanan.
**catatan**  
Bergantung pada IDP, URI Audiens SAMP mungkin memiliki nama yang berbeda:  
ClientID
Aplikasi SAMP Audiens
ID entitas SP

     Berikan masukan dalam format berikut.

     ```
     urn:amazon:cognito:sp:user-pool-id
     ```

**Untuk menemukan URI Audiens SAMP Anda**

     1. Masuk ke RES sebagai **admin** atau **clusteradmin**.

     1. Arahkan ke **Manajemen Lingkungan** ⇒ **Pengaturan Umum** ⇒ **Penyedia Identitas**.

     1. Pilih **User Pool Id**.

1. Pernyataan SAMP yang diposting ke RES harus memiliki fields/claims set berikut ke alamat email pengguna:
   + Subjek SAMP atau NameID
   + Email SAMP

1. IDP Anda fields/claims menambah pernyataan SAMP, berdasarkan konfigurasi. RES membutuhkan bidang ini. Sebagian besar penyedia secara otomatis mengisi bidang ini secara default. Lihat input dan nilai bidang berikut jika Anda harus mengonfigurasinya.

   
   + **AudienceRestriction** — Atur ke `urn:amazon:cognito:sp:user-pool-id`. Ganti *user-pool-id* dengan ID kumpulan pengguna Amazon Cognito Anda.

     ```
     <saml:AudienceRestriction>
         <saml:Audience> urn:amazon:cognito:sp:user-pool-id
     </saml:AudienceRestriction>
     ```
   + **Respons** - Setel `InResponseTo` ke`https://user-pool-domain/saml2/idpresponse`. Ganti *user-pool-domain* dengan nama domain kumpulan pengguna Amazon Cognito Anda.

     ```
     <saml2p:Response 
       Destination="https://user-pool-domain/saml2/idpresponse"
       ID="id123" 
       InResponseTo="_dd0a3436-bc64-4679-a0c2-cb4454f04184" 
       IssueInstant="Date-time stamp" 
       Version="2.0" 
       xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" 
       xmlns:xs="http://www.w3.org/2001/XMLSchema">
     ```
   + **SubjectConfirmationData**— Setel `Recipient` ke `saml2/idpresponse` titik akhir kumpulan pengguna Anda dan `InResponseTo` ke ID permintaan SAMP asli.

     ```
     <saml2:SubjectConfirmationData 
       InResponseTo="_dd0a3436-bc64-4679-a0c2-cb4454f04184" 
       NotOnOrAfter="Date-time stamp" 
       Recipient="https://user-pool-domain/saml2/idpresponse"/>
     ```
   + **AuthnStatement**— Konfigurasikan sebagai berikut:

     ```
     <saml2:AuthnStatement AuthnInstant="2016-10-30T13:13:28.152TZ"
       SessionIndex="32413b2e54db89c764fb96ya2k" SessionNotOnOrAfter="2016-10-30T13:13:28">
         <saml2:SubjectLocality />
         <saml2:AuthnContext>
             <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</saml2:AuthnContextClassRef>
         </saml2:AuthnContext>
     </saml2:AuthnStatement>
     ```

1. Jika aplikasi SAMP Anda memiliki bidang URL logout, atur ke:. `<domain-url>/saml2/logout`

**Untuk mendapatkan URL domain**

   1. Masuk ke RES sebagai **admin** atau **clusteradmin**.

   1. Arahkan ke **Manajemen Lingkungan** ⇒ **Pengaturan Umum** ⇒ **Penyedia Identitas**.

   1. Pilih **URL Domain**.

1. Jika IDP Anda menerima sertifikat penandatanganan untuk membangun kepercayaan dengan Amazon Cognito, unduh sertifikat penandatanganan Amazon Cognito dan unggah di IDP Anda.

**Untuk mendapatkan sertifikat penandatanganan**

   1. Buka Amazon Cognito [konsol](https://console.aws.amazon.com/cognito/v2/idp/user-pools/). 

   1. Pilih kumpulan pengguna Anda. Kumpulan pengguna Anda seharusnya`res-<environment name>-user-pool`.

   1. Pilih tab **Pengalaman masuk**.

   1. Di bagian **login penyedia identitas terfederasi**, pilih **Lihat sertifikat penandatanganan**.  
![\[Konsol Amazon Cognito dengan tombol Lihat sertifikat penandatanganan di bagian login penyedia identitas Federasi untuk kumpulan pengguna yang dipilih.\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/cognito-user-pool-signing-cert.png)

      Anda dapat menggunakan sertifikat ini untuk menyiapkan IDP Direktori Aktif, menambahkan`relying party trust`, dan mengaktifkan dukungan SAMP pada pihak yang mengandalkan ini.
**catatan**  
Ini tidak berlaku untuk Keycloak dan IDC.

   1. Setelah pengaturan aplikasi selesai, unduh metadata aplikasi SAMP 2.0 XML/URL. Anda menggunakannya di bagian selanjutnya.

## Konfigurasikan RES untuk menggunakan penyedia identitas Anda
<a name="configure-id-federation_config-res"></a>

**Untuk menyelesaikan pengaturan masuk tunggal untuk RES**

1. Masuk ke RES sebagai **admin** atau **clusteradmin**.

1. Arahkan ke **Manajemen Lingkungan** ⇒ **Pengaturan Umum** ⇒ **Penyedia Identitas**.  
![\[Antarmuka pengguna Pengaturan Lingkungan di RES, termasuk bagian untuk Single Sign-On.\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/environment-settings.png)

1. Di bawah **Single Sign-On**, pilih ikon edit di sebelah indikator status untuk membuka halaman **Single Sign On Configuration**.  
![\[Antarmuka pengguna Konfigurasi Masuk Tunggal di RES.\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/sso-config.png)

   1. Untuk **Penyedia Identitas**, pilih **SAMP**.

   1. Untuk **Nama Penyedia**, masukkan nama unik untuk penyedia identitas Anda.
**catatan**  
Nama-nama berikut tidak diperbolehkan:  
Cognito
IdentityCenter

   1. Di bawah **Sumber Dokumen Metadata**, pilih opsi yang sesuai dan unggah dokumen XMLmetadata atau berikan URL dari penyedia identitas.

   1. Untuk **Atribut Email Penyedia**, masukkan nilai teks`email`.

   1. Pilih **Kirim**.

1. Muat ulang halaman **Pengaturan Lingkungan**. Single sign-on diaktifkan jika konfigurasi sudah benar.

## Mengkonfigurasi penyedia identitas Anda di lingkungan non-produksi
<a name="configure-id-federation-demo-env"></a>

Jika Anda menggunakan [sumber daya eksternal](prerequisites.md#external-resources) yang disediakan untuk membuat lingkungan RES non-produksi dan mengonfigurasi Pusat Identitas IAM sebagai penyedia identitas Anda, Anda mungkin ingin mengonfigurasi penyedia identitas yang berbeda seperti Okta. Formulir pemberdayaan RES SSO meminta tiga parameter konfigurasi: 

1. Nama penyedia - Tidak dapat diubah

1. Dokumen metadata atau URL — Dapat dimodifikasi

1. Atribut email penyedia - Dapat dimodifikasi

**Untuk mengubah dokumen metadata dan atribut email penyedia, lakukan hal berikut:**

1.  Masuk ke Konsol Amazon Cognito. 

1. Dari navigasi, pilih **Kumpulan pengguna**.

1. Pilih kumpulan pengguna Anda untuk melihat **ikhtisar kumpulan Pengguna**.

1. Dari tab **Pengalaman masuk**, buka **login penyedia identitas Federasi dan buka penyedia identitas** Anda yang dikonfigurasi. 

1. Umumnya, Anda hanya akan diminta untuk mengubah metadata dan membiarkan pemetaan atribut tidak berubah. Untuk memperbarui **pemetaan Atribut**, pilih **Edit**. Untuk memperbarui **dokumen Metadata**, pilih **Ganti** metadata.  
![\[Ikhtisar kumpulan Pengguna Amazon Cognito.\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-attributemetadata.png)

1. Jika Anda mengedit pemetaan atribut, Anda perlu memperbarui `<environment name>.cluster-settings` tabel di DynamoDB. 

   1. Buka konsol DynamoDB dan **pilih** Tabel dari navigasi. 

   1. Temukan dan pilih `<environment name>.cluster-settings` tabel, dan dari menu **Tindakan** pilih **Jelajahi item**.

   1. Di bawah **Pindai atau kueri item**, buka **Filter** dan masukkan parameter berikut:
      + **Nama atribut** — `key`
      + **Nilai** - `identity-provider.cognito.sso_idp_provider_email_attribute`

   1. Pilih **Jalankan**. 

1. Di bawah **Item yang dikembalikan**, temukan `identity-provider.cognito.sso_idp_provider_email_attribute` string dan pilih **Edit** untuk memodifikasi string agar sesuai dengan perubahan Anda di Amazon Cognito.  
![\[Amazon Cognito Memperbarui Filter dan Item yang dikembalikan di DynamoDB.\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-scanqueryitems.png)

## Debugging masalah SAMP iDP
<a name="configure-id-federation_debug"></a>

**SAML-tracer** - Anda dapat menggunakan ekstensi ini untuk browser Chrome untuk melacak permintaan SAMP dan memeriksa nilai pernyataan SAMP. Untuk informasi selengkapnya, lihat [SAML-tracer](https://chromewebstore.google.com/detail/saml-tracer/mpdajninpobndbfcldcmbpnnbhibjmch?pli=1) di toko web Chrome.

**Alat pengembang SAMP** - OneLogin menyediakan alat yang dapat Anda gunakan untuk memecahkan kode nilai yang dikodekan SAMP dan memeriksa bidang yang diperlukan dalam pernyataan SAMP. Untuk informasi lebih lanjut, lihat [Base 64 Decode\$1Inflate](https://www.samltool.com/decode.php) di OneLogin situs web.

**Amazon CloudWatch Logs** — Anda dapat memeriksa log RES Anda di CloudWatch Log untuk kesalahan atau peringatan. Log Anda berada dalam grup log dengan format nama`/res-environment-name/cluster-manager`.

**Dokumentasi Amazon Cognito** *— Untuk informasi selengkapnya tentang integrasi SAMP dengan Amazon Cognito, lihat [Menambahkan penyedia identitas SAMP ke kumpulan pengguna di Panduan Pengembang](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-saml-idp.html) Amazon Cognito.*