Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Manajemen identitas
Research and Engineering Studio dapat menggunakan penyedia identitas yang sesuai dengan SAMP 2.0. Untuk menggunakan Amazon Cognito sebagai direktori pengguna asli yang memungkinkan pengguna masuk ke portal web dan berbasis Linux dengan identitas pengguna VDIs Cognito, lihat. [Menyiapkan pengguna Amazon Cognito](setting-up-cognito-users.md) Jika Anda menerapkan RES menggunakan sumber daya eksternal atau berencana menggunakan Pusat Identitas IAM, lihat. [Menyiapkan sistem masuk tunggal (SSO) dengan IAM Identity Center](sso-idc.md) Jika Anda memiliki penyedia identitas yang sesuai dengan SAMP 2.0 Anda sendiri, lihat. [Mengkonfigurasi penyedia identitas Anda untuk single sign-on (SSO)](configure-id-federation.md)
**Topics**
+ [Menyiapkan pengguna Amazon Cognito](setting-up-cognito-users.md)
+ [Sinkronisasi Direktori Aktif](active-directory-sync.md)
+ [Menyiapkan sistem masuk tunggal (SSO) dengan IAM Identity Center](sso-idc.md)
+ [Mengkonfigurasi penyedia identitas Anda untuk single sign-on (SSO)](configure-id-federation.md)
+ [Mengatur kata sandi untuk pengguna](setting-user-passwords.md)
# Menyiapkan pengguna Amazon Cognito
Research and Engineering Studio (RES) memungkinkan Anda mengatur Amazon Cognito sebagai direktori pengguna asli. Ini memungkinkan pengguna untuk masuk ke portal web dan berbasis Linux dengan identitas pengguna Amazon VDIs Cognito. Administrator dapat mengimpor beberapa pengguna ke kumpulan pengguna menggunakan file csv dari Konsol. AWS Untuk detail selengkapnya tentang impor pengguna massal, lihat [Mengimpor pengguna ke kumpulan pengguna dari file CSV](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-using-import-tool.html) di Panduan Pengembang *Amazon Cognito*. RES mendukung penggunaan direktori pengguna asli berbasis Amazon Cognito dan SSO bersama-sama.
## Pengaturan administratif
**Sebagai Administrator RES, untuk mengonfigurasi lingkungan RES agar menggunakan Amazon Cognito sebagai direktori pengguna, alihkan tombol Gunakan Amazon **Cognito sebagai direktori pengguna** di halaman Manajemen **Identitas yang dapat diakses dari halaman Manajemen** Lingkungan.** Untuk memungkinkan pengguna mendaftar sendiri, alihkan tombol **registrasi mandiri Pengguna** di halaman yang sama.
![\[Halaman manajemen identitas yang menampilkan pengaturan direktori cognito\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/id-management-cognito-directory.png)
## Alur up/sign masuk pengguna
Jika **registrasi mandiri Pengguna** diaktifkan, Anda dapat memberikan URL aplikasi web kepada pengguna Anda. Di sana, pengguna akan menemukan opsi yang mengatakan **Belum pengguna? Daftar di sini**.
![\[Halaman login pengguna dengan opsi untuk mendaftar sendiri\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/user-sign-up.png)
## Alur daftar
Pengguna yang memilih **Belum menjadi pengguna? Mendaftar di sini** akan diminta untuk memasukkan email dan kata sandi mereka untuk membuat akun.
![\[Buat halaman akun untuk pendaftaran mandiri pengguna\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/create-account.png)
Sebagai bagian dari alur pendaftaran, pengguna akan diminta untuk memasukkan kode verifikasi yang diterima di email mereka untuk menyelesaikan proses pendaftaran.
![\[Halaman entri kode verifikasi\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/verify-email.png)
Jika pendaftaran mandiri dinonaktifkan, pengguna tidak akan melihat tautan pendaftaran. Administrator harus mengonfigurasi pengguna di Amazon Cognito di luar RES. (Lihat [Membuat akun pengguna sebagai administrator](https://docs.aws.amazon.com/cognito/latest/developerguide/how-to-create-user-accounts.html) di *Panduan Pengembang Amazon Cognito*.)
![\[Halaman entri kode verifikasi\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/user-sign-in.png)
## Pilihan halaman login
Jika SSO dan Amazon Cognito diaktifkan, opsi **untuk Masuk dengan organisasi** SSO akan muncul. Ketika pengguna mengklik opsi itu, itu akan mengalihkan mereka ke halaman login SSO mereka. Secara default, pengguna akan mengautentikasi dengan Amazon Cognito jika diaktifkan.
![\[Halaman login pengguna dengan opsi untuk mendaftar, memverifikasi akun, atau masuk dengan organisasi SSO\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/org-sso-sign-in.png)
## Batasan
+ **Nama Grup** Amazon Cognito Anda dapat memiliki maksimal enam huruf; hanya huruf kecil yang diterima.
+ Pendaftaran Amazon Cognito tidak akan mengizinkan dua alamat email dengan nama pengguna yang sama tetapi alamat domain yang berbeda.
+ Jika Active Directory dan Amazon Cognito diaktifkan, dan sistem mendeteksi nama pengguna duplikat, hanya pengguna Active Directory yang diizinkan untuk mengautentikasi. Administrator harus mengambil langkah-langkah untuk tidak mengonfigurasi nama pengguna duplikat antara Amazon Cognito dan Direktori Aktif mereka.
+ Pengguna Cognito tidak akan diizinkan untuk meluncurkan berbasis Windows VDIs karena RES tidak mendukung otentikasi berbasis Amazon Cognito untuk instance Windows.
## Grup administrator untuk pengguna Amazon Cognito
Secara default, RES memberikan pengguna Cognito dalam hak administrator `admins` grup. Untuk menambahkan pengguna ke grup Cognito`admins`:
1. Arahkan ke [konsol Amazon Cognito](https://console.aws.amazon.com/cognito/home), dan pilih kumpulan pengguna yang ada yang digunakan untuk RES.
1. Arahkan ke **Grup** di bawah **Manajemen Pengguna**, lalu pilih **Buat grup.**
1. Pada halaman **Buat grup**, di **Nama grup,** masukkan`admins`.
1. Pilih `admins` grup yang Anda buat, dan pilih **Tambahkan pengguna ke grup untuk** menambahkan pengguna Cognito.
1. Memulai sinkronisasi Cognito secara manual dengan mengikuti. [Sinkronisasi](#setting-up-cognito-users-sync)
Setelah sinkronisasi Amazon Cognito berhasil, pengguna yang ditambahkan ke `admins` grup akan menerima hak administrator.
## Sinkronisasi
RES menyinkronkan database-nya dengan informasi pengguna dan grup dari Amazon Cognito setiap jam. Setiap pengguna yang termasuk dalam grup “admin” akan diberikan hak istimewa sudo di dalamnya. VDIs
Anda juga dapat memulai sinkronisasi secara manual dari konsol Lambda.
**Memulai proses sinkronisasi secara manual:**
1. Buka [Konsol Lambda](https://console.aws.amazon.com/lambda).
1. Cari Lambda sinkronisasi Cognito. Lambda ini mengikuti konvensi penamaan ini:. `{RES_ENVIRONMENT_NAME}_cognito-sync-lambda`
1. Pilih **Uji**.
1. Di bagian **Test event**, pilih tombol **Test** di kanan atas. Format badan acara tidak masalah.
## Pertimbangan keamanan untuk Cognito
Sebelum rilis 2024.12, [pencatatan aktivitas pengguna](https://docs.aws.amazon.com/cognito/latest/developerguide/feature-plans-features-plus.html), yang merupakan bagian dari fitur paket Amazon Cognito Plus diaktifkan secara default. Fitur ini telah dihapus dari penerapan baseline untuk menghemat biaya bagi pelanggan yang ingin mencoba RES. Anda dapat mengaktifkan kembali fitur ini sesuai kebutuhan untuk menyelaraskan dengan pengaturan keamanan cloud organisasi Anda.
# Sinkronisasi Direktori Aktif
## Konfigurasi Runtime
Semua AWS CloudFormation parameter yang terkait dengan Active Directory (AD) adalah opsional selama instalasi.
![\[Direktori aktif rincian opsional\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/active-directory-details.png)
Untuk ARN rahasia apa pun yang disediakan saat runtime (misalnya, `ServiceAccountCredentialsSecretArn` atau`DomainTLSCertificateSecretArn`), pastikan untuk menambahkan tag berikut ke rahasia untuk RES untuk mendapatkan izin membaca nilai rahasia:
+ kunci:`res:EnvironmentName`, nilai: ``
+ kunci:`res:ModuleName`, nilai: `directoryservice`
Setiap pembaruan konfigurasi AD di portal web akan diambil secara otomatis selama sinkronisasi AD terjadwal berikutnya (per jam). Pengguna mungkin perlu mengkonfigurasi ulang SSO setelah mengubah konfigurasi AD (misalnya, jika mereka beralih ke AD yang berbeda).
Setelah instalasi awal, administrator dapat melihat atau mengedit konfigurasi AD di portal web RES di bawah halaman **Manajemen identitas**:
![\[Detail pengaturan konfigurasi domain direktori aktif\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-active-directory-domain.png)
![\[Pop-out sinkronisasi direktori aktif\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/active-directory-synchronization.png)
### Secara Otomatis Bergabung Active Directory
Administrator dapat mengonfigurasi pengaturan **Bergabung Secara Otomatis Direktori Aktif** untuk mengontrol perilaku bergabung domain direktori selama peluncuran VDI.
**Opsi konfigurasi:**
+ **Diaktifkan** - Secara otomatis bergabung dengan Windows dan Linux VDIs ke domain direktori Anda selama peluncuran.
+ **Dinonaktifkan** - Mematikan penggabungan domain otomatis. Instans Linux dapat diluncurkan dengan atau tanpa domain bergabung. Instans Windows memerlukan penggabungan domain agar berhasil diluncurkan, jadi administrator harus menyertakan logika gabungan-domain dalam skrip peluncuran kustom mereka.
**penting**
Jika Anda menonaktifkan pengaturan ini, verifikasi bahwa skrip peluncuran kustom instance Windows Anda menyertakan logika domain-join yang diperlukan.
### Pengaturan tambahan
**Filter**
Administrator dapat memfilter pengguna atau grup untuk disinkronkan menggunakan opsi **Filter Pengguna** dan **Filter Grup**. Filter harus mengikuti [sintaks filter LDAP](https://ldap.com/ldap-filters/). Contoh filter adalah:
```
(sAMAccountname=)
```
**Parameter SSSD khusus**
Administrator dapat menyediakan kamus pasangan nilai kunci yang berisi parameter dan nilai SSSD untuk ditulis ke `[domain_type/DOMAIN_NAME]` bagian file konfigurasi SSSD pada instance cluster. RES menerapkan pembaruan SSSD secara otomatis— ini memulai ulang layanan SSSD pada instance cluster dan memicu proses sinkronisasi AD.
Beberapa pengaturan SSSD kustom yang umum adalah:
+ `enumerate`- Setel ke 'true' untuk cache semua entri pengguna dan grup dari layanan direktori. Menonaktifkan ini dapat menambahkan penundaan singkat ke login pertama pengguna.
+ `ldap_id_mapping`- Setel ke 'true' untuk memetakan LDAP/AD pengguna dan grup IDs ke lokal UIDs dan GIDs pada sistem Linux. Mengaktifkan ini dapat meningkatkan kompatibilitas dengan skrip dan aplikasi POSIX yang ada.
Untuk deskripsi lengkap tentang file konfigurasi SSSD, lihat halaman manual Linux untuk`SSSD`.
![\[Konfigurasi SSSD tambahan\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-additional-sssd-config1.png)
Parameter dan nilai SSSD harus kompatibel dengan konfigurasi RES SSSD seperti yang dijelaskan di sini:
+ `id_provider`diatur secara internal oleh RES dan tidak boleh dimodifikasi.
+ Konfigurasi terkait AD termasuk`ldap_uri`,`ldap_search_base`, `ldap_default_bind_dn` dan `ldap_default_authtok` disetel berdasarkan konfigurasi AD lain yang disediakan dan tidak boleh dimodifikasi.
Contoh berikut memungkinkan tingkat debug untuk log SSSD:
![\[Konfigurasi SSSD tambahan yang menunjukkan pasangan kunci dan nilai baru yang dimasukkan\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-additional-sssd-config2.png)
## Pembaruan Email setelah Sinkronisasi AD Awal (rilis 2025.09 dan yang lebih baru)
Jika alamat email pengguna direktori aktif telah berubah, administrator dapat memulai sinkronisasi AD secara manual atau menunggu sinkronisasi AD terjadwal berikutnya agar perubahan diambil dan disinkronkan ke RES.
## Cara memulai atau menghentikan sinkronisasi secara manual (rilis 2025.03 dan yang lebih baru)
Arahkan ke halaman **Manajemen identitas**, dan pilih tombol **Mulai Sinkronisasi AD** di wadah **Domain Direktori Aktif** untuk memicu sinkronisasi AD sesuai permintaan.
![\[Konfigurasi domain Direktori Aktif\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-ad-directory-sync1.png)
Untuk menghentikan sinkronisasi AD yang sedang berlangsung, pilih tombol **Stop AD Synchronization** di container **Active Directory Domain**.
![\[Halaman konfigurasi domain Active Directory menampilkan opsi untuk menghentikan sinkronisasi\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-ad-directory-sync2.png)
Anda juga dapat memeriksa status sinkronisasi AD dan waktu sinkronisasi terbaru di wadah **Domain Direktori Aktif**.
![\[Halaman konfigurasi domain Active Directory yang menunjukkan waktu sinkronisasi terbaru\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-ad-directory-sync3.png)
## Cara menjalankan sinkronisasi secara manual (rilis 2024.12 dan 2024.12.01)
Proses sinkronisasi Direktori Aktif telah dipindahkan dari host infra Manajer Cluster ke tugas Amazon Elastic Container Service (ECS) satu kali di latar belakang. Proses ini dijadwalkan untuk berjalan setiap jam dan Anda dapat menemukan tugas ECS yang sedang berjalan di konsol Amazon ECS di bawah `-ad-sync-cluster` cluster saat sedang berlangsung.
**Untuk meluncurkannya secara manual:**
1. Arahkan ke [konsol Lambda](https://console.aws.amazon.com/lambda) dan cari lambda yang dipanggil. `-scheduled-ad-sync`
1. **Buka fungsi Lambda dan pergi ke Test**
1. Dalam **Acara JSON** masukkan yang berikut ini:
```
{
"detail-type": "Scheduled Event"
}
```
1. Pilih **Uji**.
1. Amati log tugas AD Sync yang sedang berjalan di bawah **CloudWatch**→ **Grup Log** →`//ad-sync`. Anda akan melihat log dari masing-masing tugas ECS yang sedang berjalan. Pilih yang terbaru untuk melihat log.
**catatan**
Jika Anda mengubah parameter AD atau menambahkan filter AD, RES akan menambahkan pengguna baru dengan parameter yang baru ditentukan dan menghapus pengguna yang sebelumnya disinkronkan dan tidak lagi disertakan dalam ruang pencarian LDAP.
RES tidak dapat menghapus pengguna atau grup yang secara aktif ditugaskan ke proyek. Anda harus menghapus pengguna dari proyek agar RES menghapusnya dari lingkungan.
## Konfigurasi SSO
Setelah konfigurasi AD disediakan, pengguna harus menyiapkan Single Sign-On (SSO) untuk dapat masuk ke portal web RES sebagai pengguna AD. Konfigurasi SSO telah dipindahkan dari halaman **Pengaturan Umum** ke halaman **manajemen Identitas** baru. Untuk informasi selengkapnya tentang pengaturan SSO, lihat[Manajemen identitas](manage-users.md).
# Menyiapkan sistem masuk tunggal (SSO) dengan IAM Identity Center
Jika Anda belum memiliki pusat identitas yang terhubung ke Direktori Aktif yang dikelola, mulailah dengan[Langkah 1: Siapkan pusat identitas](#set-up-identity-center). Jika Anda sudah memiliki pusat identitas yang terhubung dengan Direktori Aktif yang dikelola, mulailah dengan[Langkah 2: Connect ke pusat identitas](#connect-identity-center).
**catatan**
Jika Anda menerapkan ke GovCloud Wilayah, siapkan SSO di akun AWS GovCloud (US) partisi tempat Anda menggunakan Research and Engineering Studio.
## Langkah 1: Siapkan pusat identitas
### Mengaktifkan Pusat Identitas IAM
1. Masuk ke [konsol AWS Identity and Access Management](https://console.aws.amazon.com/iam) tersebut.
1. Buka **Pusat Identitas**.
1. Pilih **Aktifkan**.
1. Pilih **Aktifkan dengan AWS Organizations**.
1. Pilih **Lanjutkan**.
**catatan**
Pastikan Anda berada di Wilayah yang sama di mana Anda memiliki Direktori Aktif terkelola.
### Menghubungkan Pusat Identitas IAM ke Direktori Aktif yang dikelola
Setelah Anda mengaktifkan Pusat Identitas IAM, selesaikan langkah-langkah pengaturan yang disarankan ini:
1. Pada panel navigasi, silakan pilih **Pengaturan**.
1. Di bawah **Sumber identitas**, pilih **Tindakan** dan pilih **Ubah sumber identitas**.
1. Di bawah **Direktori yang ada**, pilih direktori Anda.
1. Pilih **Berikutnya**.
1. Tinjau perubahan Anda dan masukkan **ACCEPT** di kotak konfirmasi.
1. Pilih **Ubah sumber identitas**.
### Menyinkronkan pengguna dan grup ke pusat identitas
Setelah perubahan [Menghubungkan Pusat Identitas IAM ke Direktori Aktif yang dikelola](#connecting-identity-center-ad) selesai, spanduk konfirmasi hijau muncul.
1. Di spanduk konfirmasi, pilih **Mulai penyiapan yang dipandu**.
1. **Dari **Konfigurasi pemetaan atribut**, pilih Berikutnya.**
1. Di bawah bagian **Pengguna**, masukkan pengguna yang ingin Anda sinkronkan.
1. Pilih **Tambahkan**.
1. Pilih **Berikutnya**.
1. Tinjau perubahan Anda, lalu pilih **Simpan konfigurasi**.
1. Proses sinkronisasi mungkin memakan waktu beberapa menit. Jika Anda menerima pesan peringatan tentang pengguna yang tidak menyinkronkan, pilih **Lanjutkan sinkronisasi**.
### Mengaktifkan pengguna
1. Dari menu, pilih **Pengguna**.
1. Pilih pengguna yang ingin Anda aktifkan aksesnya.
1. Pilih **Aktifkan akses pengguna**.
## Langkah 2: Connect ke pusat identitas
### Menyiapkan aplikasi di IAM Identity Center
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon/).
1. Pilih **Aplikasi**.
1. Pilih **Tambahkan aplikasi**.
1. Di bawah **preferensi Pengaturan**, pilih **Saya memiliki aplikasi yang ingin saya atur**.
1. Di bawah **Jenis aplikasi**, pilih **SAMP 2.0**.
1. Pilih **Berikutnya**.
1. Masukkan nama tampilan dan deskripsi yang ingin Anda gunakan.
1. Di bawah **metadata IAM Identity Center, salin tautan untuk file metadata** **SAM Identity Center IAM**. Anda akan memerlukan ini saat mengonfigurasi Pusat Identitas IAM dengan portal RES.
1. Di bawah **Properti aplikasi**, masukkan **URL mulai Aplikasi** Anda. Misalnya, `/sso`.
1. Di bawah **URL ACS Aplikasi**, masukkan URL pengalihan dari portal RES. Untuk menemukan ini:
1. Di bawah **Manajemen lingkungan**, pilih **Pengaturan umum**.
1. Pilih tab **Penyedia identitas**.
1. Di bawah **Single Sign-On**, Anda akan menemukan URL Pengalihan **SAMP**.
1. Di bawah **Audiens SAMP Aplikasi**, masukkan Amazon Cognito URN.
Untuk membuat guci:
1. Dari portal RES, buka **Pengaturan Umum**.
1. Di bawah tab **Penyedia identitas**, cari **ID Kumpulan Pengguna**.
1. Tambahkan **ID User Pool** ke string ini:
```
urn:amazon:cognito:sp:
```
1. **Setelah Anda memasukkan Amazon Cognito URN, pilih Kirim.**
### Mengkonfigurasi pemetaan atribut untuk aplikasi
1. Dari **Pusat Identitas**, buka detail untuk aplikasi yang Anda buat.
1. Pilih **Tindakan**, lalu pilih **Edit pemetaan atribut**.
1. Di bawah **Subjek**, masukkan**\$1\$1user:email\$1**.
1. Di bawah **Format**, pilih **EmailAddress**.
1. Pilih **Tambahkan pemetaan atribut baru**.
1. Di bawah **atribut Pengguna dalam aplikasi**, masukkan 'email'.
1. Di bawah **Peta ke nilai string ini atau atribut pengguna di Pusat Identitas IAM**, masukkan**\$1\$1user:email\$1**.
1. Di bawah **Format**, masukkan 'tidak ditentukan'.
1. Pilih **Simpan perubahan**.
### Menambahkan pengguna ke aplikasi di IAM Identity Center
1. Dari Pusat Identitas, buka **Pengguna yang Ditugaskan** untuk aplikasi yang Anda buat dan pilih **Tetapkan pengguna**.
1. Pilih pengguna yang ingin Anda tetapkan akses aplikasi.
1. Pilih **Tetapkan pengguna**.
### Menyiapkan Pusat Identitas IAM dalam lingkungan RES
1. Dari lingkungan Studio Penelitian dan Teknik, di bawah **manajemen Lingkungan**, buka **Pengaturan umum**.
1. Buka tab **Penyedia identitas**.
1. Di bawah **Single Sign-On**, pilih **Edit** (di samping **Status**).
1. Lengkapi formulir dengan informasi berikut:
1. Pilih **SAML**.
1. Di bawah **nama Penyedia**, masukkan nama yang ramah pengguna.
1. Pilih **Masukkan URL titik akhir dokumen metadata**.
1. Masukkan URL yang Anda salin selama[Menyiapkan aplikasi di IAM Identity Center](#setup-application-identity-center).
1. Di bawah **atribut email Penyedia**, masukkan 'email'.
1. Pilih **Kirim**.
1. Segarkan halaman dan periksa apakah **Status** ditampilkan sebagai diaktifkan.
# Mengkonfigurasi penyedia identitas Anda untuk single sign-on (SSO)
Research and Engineering Studio terintegrasi dengan penyedia identitas SAMP 2.0 untuk mengautentikasi akses pengguna ke portal RES. Langkah-langkah ini memberikan petunjuk untuk berintegrasi dengan penyedia identitas SAMP 2.0 pilihan Anda. Jika Anda berniat menggunakan IAM Identity Center, lihat[Menyiapkan sistem masuk tunggal (SSO) dengan IAM Identity Center](sso-idc.md).
**catatan**
Email pengguna harus cocok dengan pernyataan IDP SAMP dan Active Directory. Anda harus menghubungkan penyedia identitas Anda dengan Active Directory Anda dan menyinkronkan pengguna secara berkala.
**Topics**
+ [Konfigurasikan penyedia identitas Anda](#configure-id-federation_config-idp)
+ [Konfigurasikan RES untuk menggunakan penyedia identitas Anda](#configure-id-federation_config-res)
+ [Mengkonfigurasi penyedia identitas Anda di lingkungan non-produksi](#configure-id-federation-demo-env)
+ [Debugging masalah SAMP iDP](#configure-id-federation_debug)
## Konfigurasikan penyedia identitas Anda
Bagian ini menyediakan langkah-langkah untuk mengonfigurasi penyedia identitas Anda dengan informasi dari kumpulan pengguna Amazon Cognito RES.
1. RES mengasumsikan bahwa Anda memiliki AD (AWS Managed AD atau iklan yang disediakan sendiri) dengan identitas pengguna yang diizinkan untuk mengakses portal dan proyek RES. Hubungkan iklan Anda ke penyedia layanan identitas Anda dan sinkronkan identitas pengguna. Periksa dokumentasi penyedia identitas Anda untuk mempelajari cara menghubungkan AD dan menyinkronkan identitas pengguna. Misalnya, lihat [Menggunakan Active Directory sebagai sumber identitas](https://docs.aws.amazon.com/singlesignon/latest/userguide/gs-ad.html) di *Panduan AWS IAM Identity Center Pengguna*.
1. Konfigurasikan aplikasi SAMP 2.0 untuk RES di penyedia identitas Anda (iDP). Konfigurasi ini membutuhkan parameter berikut:
+ **URL Pengalihan SAMP — URL** yang digunakan IDP Anda untuk mengirim respons SAMP 2.0 ke penyedia layanan.
**catatan**
Bergantung pada IDP, URL Pengalihan SAMP mungkin memiliki nama yang berbeda:
URL Aplikasi
URL Pernyataan Layanan Konsumen (ACS)
URL Pengikatan POST ACS
**Untuk mendapatkan URL**
1. Masuk ke RES sebagai **admin** atau **clusteradmin**.
1. Arahkan ke **Manajemen Lingkungan** ⇒ **Pengaturan Umum** ⇒ **Penyedia Identitas**.
1. Pilih URL **Pengalihan SAMP**.
+ **SAMP Audience URI** — ID unik dari entitas audiens SAMP di sisi penyedia layanan.
**catatan**
Bergantung pada IDP, URI Audiens SAMP mungkin memiliki nama yang berbeda:
ClientID
Aplikasi SAMP Audiens
ID entitas SP
Berikan masukan dalam format berikut.
```
urn:amazon:cognito:sp:user-pool-id
```
**Untuk menemukan URI Audiens SAMP Anda**
1. Masuk ke RES sebagai **admin** atau **clusteradmin**.
1. Arahkan ke **Manajemen Lingkungan** ⇒ **Pengaturan Umum** ⇒ **Penyedia Identitas**.
1. Pilih **User Pool Id**.
1. Pernyataan SAMP yang diposting ke RES harus memiliki fields/claims set berikut ke alamat email pengguna:
+ Subjek SAMP atau NameID
+ Email SAMP
1. IDP Anda fields/claims menambah pernyataan SAMP, berdasarkan konfigurasi. RES membutuhkan bidang ini. Sebagian besar penyedia secara otomatis mengisi bidang ini secara default. Lihat input dan nilai bidang berikut jika Anda harus mengonfigurasinya.
+ **AudienceRestriction** — Atur ke `urn:amazon:cognito:sp:user-pool-id`. Ganti *user-pool-id* dengan ID kumpulan pengguna Amazon Cognito Anda.
```
urn:amazon:cognito:sp:user-pool-id
```
+ **Respons** - Setel `InResponseTo` ke`https://user-pool-domain/saml2/idpresponse`. Ganti *user-pool-domain* dengan nama domain kumpulan pengguna Amazon Cognito Anda.
```
```
+ **SubjectConfirmationData**— Setel `Recipient` ke `saml2/idpresponse` titik akhir kumpulan pengguna Anda dan `InResponseTo` ke ID permintaan SAMP asli.
```
```
+ **AuthnStatement**— Konfigurasikan sebagai berikut:
```
urn:oasis:names:tc:SAML:2.0:ac:classes:Password
```
1. Jika aplikasi SAMP Anda memiliki bidang URL logout, atur ke:. `/saml2/logout`
**Untuk mendapatkan URL domain**
1. Masuk ke RES sebagai **admin** atau **clusteradmin**.
1. Arahkan ke **Manajemen Lingkungan** ⇒ **Pengaturan Umum** ⇒ **Penyedia Identitas**.
1. Pilih **URL Domain**.
1. Jika IDP Anda menerima sertifikat penandatanganan untuk membangun kepercayaan dengan Amazon Cognito, unduh sertifikat penandatanganan Amazon Cognito dan unggah di IDP Anda.
**Untuk mendapatkan sertifikat penandatanganan**
1. Buka Amazon Cognito [konsol](https://console.aws.amazon.com/cognito/v2/idp/user-pools/).
1. Pilih kumpulan pengguna Anda. Kumpulan pengguna Anda seharusnya`res--user-pool`.
1. Pilih tab **Pengalaman masuk**.
1. Di bagian **login penyedia identitas terfederasi**, pilih **Lihat sertifikat penandatanganan**.
![\[Konsol Amazon Cognito dengan tombol Lihat sertifikat penandatanganan di bagian login penyedia identitas Federasi untuk kumpulan pengguna yang dipilih.\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/cognito-user-pool-signing-cert.png)
Anda dapat menggunakan sertifikat ini untuk menyiapkan IDP Direktori Aktif, menambahkan`relying party trust`, dan mengaktifkan dukungan SAMP pada pihak yang mengandalkan ini.
**catatan**
Ini tidak berlaku untuk Keycloak dan IDC.
1. Setelah pengaturan aplikasi selesai, unduh metadata aplikasi SAMP 2.0 XML/URL. Anda menggunakannya di bagian selanjutnya.
## Konfigurasikan RES untuk menggunakan penyedia identitas Anda
**Untuk menyelesaikan pengaturan masuk tunggal untuk RES**
1. Masuk ke RES sebagai **admin** atau **clusteradmin**.
1. Arahkan ke **Manajemen Lingkungan** ⇒ **Pengaturan Umum** ⇒ **Penyedia Identitas**.
![\[Antarmuka pengguna Pengaturan Lingkungan di RES, termasuk bagian untuk Single Sign-On.\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/environment-settings.png)
1. Di bawah **Single Sign-On**, pilih ikon edit di sebelah indikator status untuk membuka halaman **Single Sign On Configuration**.
![\[Antarmuka pengguna Konfigurasi Masuk Tunggal di RES.\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/sso-config.png)
1. Untuk **Penyedia Identitas**, pilih **SAMP**.
1. Untuk **Nama Penyedia**, masukkan nama unik untuk penyedia identitas Anda.
**catatan**
Nama-nama berikut tidak diperbolehkan:
Cognito
IdentityCenter
1. Di bawah **Sumber Dokumen Metadata**, pilih opsi yang sesuai dan unggah dokumen XMLmetadata atau berikan URL dari penyedia identitas.
1. Untuk **Atribut Email Penyedia**, masukkan nilai teks`email`.
1. Pilih **Kirim**.
1. Muat ulang halaman **Pengaturan Lingkungan**. Single sign-on diaktifkan jika konfigurasi sudah benar.
## Mengkonfigurasi penyedia identitas Anda di lingkungan non-produksi
Jika Anda menggunakan [sumber daya eksternal](prerequisites.md#external-resources) yang disediakan untuk membuat lingkungan RES non-produksi dan mengonfigurasi Pusat Identitas IAM sebagai penyedia identitas Anda, Anda mungkin ingin mengonfigurasi penyedia identitas yang berbeda seperti Okta. Formulir pemberdayaan RES SSO meminta tiga parameter konfigurasi:
1. Nama penyedia - Tidak dapat diubah
1. Dokumen metadata atau URL — Dapat dimodifikasi
1. Atribut email penyedia - Dapat dimodifikasi
**Untuk mengubah dokumen metadata dan atribut email penyedia, lakukan hal berikut:**
1. Masuk ke Konsol Amazon Cognito.
1. Dari navigasi, pilih **Kumpulan pengguna**.
1. Pilih kumpulan pengguna Anda untuk melihat **ikhtisar kumpulan Pengguna**.
1. Dari tab **Pengalaman masuk**, buka **login penyedia identitas Federasi dan buka penyedia identitas** Anda yang dikonfigurasi.
1. Umumnya, Anda hanya akan diminta untuk mengubah metadata dan membiarkan pemetaan atribut tidak berubah. Untuk memperbarui **pemetaan Atribut**, pilih **Edit**. Untuk memperbarui **dokumen Metadata**, pilih **Ganti** metadata.
![\[Ikhtisar kumpulan Pengguna Amazon Cognito.\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-attributemetadata.png)
1. Jika Anda mengedit pemetaan atribut, Anda perlu memperbarui `.cluster-settings` tabel di DynamoDB.
1. Buka konsol DynamoDB dan **pilih** Tabel dari navigasi.
1. Temukan dan pilih `.cluster-settings` tabel, dan dari menu **Tindakan** pilih **Jelajahi item**.
1. Di bawah **Pindai atau kueri item**, buka **Filter** dan masukkan parameter berikut:
+ **Nama atribut** — `key`
+ **Nilai** - `identity-provider.cognito.sso_idp_provider_email_attribute`
1. Pilih **Jalankan**.
1. Di bawah **Item yang dikembalikan**, temukan `identity-provider.cognito.sso_idp_provider_email_attribute` string dan pilih **Edit** untuk memodifikasi string agar sesuai dengan perubahan Anda di Amazon Cognito.
![\[Amazon Cognito Memperbarui Filter dan Item yang dikembalikan di DynamoDB.\]](http://docs.aws.amazon.com/id_id/res/latest/ug/images/res-scanqueryitems.png)
## Debugging masalah SAMP iDP
**SAML-tracer** - Anda dapat menggunakan ekstensi ini untuk browser Chrome untuk melacak permintaan SAMP dan memeriksa nilai pernyataan SAMP. Untuk informasi selengkapnya, lihat [SAML-tracer](https://chromewebstore.google.com/detail/saml-tracer/mpdajninpobndbfcldcmbpnnbhibjmch?pli=1) di toko web Chrome.
**Alat pengembang SAMP** - OneLogin menyediakan alat yang dapat Anda gunakan untuk memecahkan kode nilai yang dikodekan SAMP dan memeriksa bidang yang diperlukan dalam pernyataan SAMP. Untuk informasi lebih lanjut, lihat [Base 64 Decode\$1Inflate](https://www.samltool.com/decode.php) di OneLogin situs web.
**Amazon CloudWatch Logs** — Anda dapat memeriksa log RES Anda di CloudWatch Log untuk kesalahan atau peringatan. Log Anda berada dalam grup log dengan format nama`/res-environment-name/cluster-manager`.
**Dokumentasi Amazon Cognito** *— Untuk informasi selengkapnya tentang integrasi SAMP dengan Amazon Cognito, lihat [Menambahkan penyedia identitas SAMP ke kumpulan pengguna di Panduan Pengembang](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-saml-idp.html) Amazon Cognito.*
# Mengatur kata sandi untuk pengguna
1. Dari [Directory Service konsol,](https://console.aws.amazon.com/directoryservicev2/) pilih direktori untuk tumpukan yang dibuat.
1. Di bawah menu **Tindakan**, pilih **Setel ulang kata sandi pengguna**.
1. Pilih pengguna dan masukkan kata sandi baru.
1. Pilih **Setel ulang kata sandi**.