Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Pengaturan satu kali aplikasi federasi IAM langsung di Okta 1. Masuk ke Okta akun Anda sebagai pengguna dengan izin administratif. 1. Di Konsol Okta Admin, di bawah **Aplikasi**, pilih **Aplikasi.** 1. Pilih **Jelajahi Katalog Aplikasi**. Cari dan pilih **Federasi AWS Akun**. Kemudian pilih **Tambahkan integrasi**. 1. Siapkan federasi IAM langsung AWS dengan mengikuti langkah-langkah di [Cara Mengkonfigurasi SAMP 2.0 untuk Federasi AWS Akun](https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Amazon-Web-Service.html). Untuk menangani skenario kegagalan regional, saat Anda mengonfigurasi titik akhir masuk, kami menyarankan Anda mengaktifkan titik akhir non-regional dan beberapa titik akhir regional untuk semua Wilayah tempat Anda beroperasi untuk meningkatkan ketahanan federasi. Saat mengonfigurasi URL ACS untuk akses darurat ini, kami sarankan Anda menggunakan titik akhir regional Wilayah yang berbeda dari yang digunakan Pusat Identitas IAM Anda. Lihat [titik akhir Masuk](https://docs.aws.amazon.com/general/latest/gr/signin-service.html) di *Referensi AWS Umum* untuk daftar titik akhir regional. 1. Pada tab **Sign-On Options**, pilih SAMP 2.0 dan masukkan pengaturan **Group Filter** dan **Role Value Pattern**. Nama grup untuk direktori pengguna tergantung pada filter yang Anda konfigurasikan. ![\[Dua opsi: accountid dan peran dalam filter grup atau pola nilai peran.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/emergency-access-group-filter-role-value-pattern.png) Pada gambar di atas, `role` variabelnya adalah untuk peran operasi darurat di akun akses darurat Anda. Misalnya, jika Anda membuat `EmergencyAccess_Role1_RO` peran (seperti yang dijelaskan dalam tabel pemetaan) di Akun AWS `123456789012`, dan jika setelan filter grup Anda dikonfigurasi seperti yang ditunjukkan pada gambar di atas, nama grup Anda seharusnya`aws#EmergencyAccess_Role1_RO#123456789012`. 1. Di direktori Anda (misalnya, direktori Anda di Active Directory), buat grup akses darurat dan tentukan nama untuk direktori (misalnya,`aws#EmergencyAccess_Role1_RO#123456789012`). Tetapkan pengguna Anda ke grup ini dengan menggunakan mekanisme penyediaan yang ada. 1. Di akun akses darurat, [konfigurasikan kebijakan kepercayaan khusus](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) yang memberikan izin yang diperlukan untuk peran akses darurat yang akan diasumsikan selama gangguan. Berikut ini adalah contoh pernyataan untuk **kebijakan kepercayaan** khusus yang dilampirkan pada `EmergencyAccess_Role1_RO` peran. Untuk ilustrasi, lihat akun darurat pada diagram di bawah[Bagaimana merancang peran darurat, akun, dan pemetaan grup](emergency-access-mapping-design.md). Ganti contoh penyedia SAMP ARN dengan yang benar yang telah Anda buat di akun akses darurat. Ganti titik akhir regional dalam contoh dengan wilayah pilihan Anda. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect":"Allow", "Principal":{ "Federated":"arn:aws:iam::123456789012:saml-provider/[SAML PROVIDER NAME]" }, "Action":[ "sts:AssumeRoleWithSAML", "sts:TagSession" ], "Condition":{ "StringEquals":{ "SAML:aud": [ "https://signin.aws.amazon.com/saml", "https://us-west-2.signin.aws.amazon.com/saml", "https://us-west-1.signin.aws.amazon.com/saml", "https://us-east-2.signin.aws.amazon.com/saml" ] } } }, { "Effect":"Allow", "Principal":{ "Federated":"arn:aws:iam::123456789012:saml-provider/Okta" }, "Action":"sts:SetSourceIdentity" } ] } ``` ------ 1. Berikut ini adalah pernyataan contoh untuk **kebijakan izin** yang dilampirkan ke `EmergencyAccess_Role1_RO` peran. Untuk ilustrasi, lihat akun darurat pada diagram di bawah[Bagaimana merancang peran darurat, akun, dan pemetaan grup](emergency-access-mapping-design.md). ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::111122223333:role/EmergencyAccess_RO", "arn:aws:iam::444455556666:role/EmergencyAccess_RO" ] } ] } ``` ------ 1. Pada akun beban kerja, konfigurasikan kebijakan kepercayaan khusus. Berikut ini adalah contoh pernyataan untuk **kebijakan kepercayaan** yang melekat pada `EmergencyAccess_RO` peran tersebut. Dalam contoh ini, akun `123456789012` adalah akun akses darurat. Untuk ilustrasi, lihat akun beban kerja dalam diagram di bawah. [Bagaimana merancang peran darurat, akun, dan pemetaan grup](emergency-access-mapping-design.md) ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::123456789012:root" }, "Action":"sts:AssumeRole" } ] } ``` ------ **catatan** Sebagian besar IdPs memungkinkan Anda untuk menjaga integrasi aplikasi dinonaktifkan sampai diperlukan. Kami menyarankan agar Anda tetap menonaktifkan aplikasi federasi IAM langsung di IDP Anda hingga diperlukan untuk akses darurat.