Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Konfigurasikan SAFL dan SCIM dengan Microsoft Entra ID dan IAM Identity Center
<a name="idp-microsoft-entra"></a>

AWS IAM Identity Center mendukung integrasi dengan [Security Assertion Markup Language (SAMP) 2.0](scim-profile-saml.md) serta [penyediaan otomatis](provision-automatically.md) (sinkronisasi) informasi pengguna dan grup dari Microsoft Entra ID (sebelumnya dikenal sebagai Azure Active Directory atau) ke IAM Identity Center menggunakan protokol [System](scim-profile-saml.md#scim-profile) for Cross-domain Identity Management (SCIMAzure AD) 2.0. Untuk informasi selengkapnya, lihat [Menggunakan federasi identitas SAMP dan SCIM dengan penyedia identitas eksternal](other-idps.md).

**Objektif**

Dalam tutorial ini, Anda akan menyiapkan lab uji dan mengkonfigurasi koneksi SAMP dan penyediaan SCIM antara Microsoft Entra ID dan IAM Identity Center. Selama langkah persiapan awal, Anda akan membuat pengguna uji (Nikki Wolf) di keduanya Microsoft Entra ID dan IAM Identity Center yang akan Anda gunakan untuk menguji koneksi SAMP di kedua arah. Kemudian, sebagai bagian dari langkah-langkah SCIM, Anda akan membuat pengguna uji yang berbeda (Richard Roe) untuk memverifikasi bahwa atribut baru disinkronkan ke IAM Identity Center seperti yang diharapkan. Microsoft Entra ID

## Prasyarat
<a name="prereqs-entra"></a>

Sebelum Anda dapat memulai dengan tutorial ini, Anda harus terlebih dahulu mengatur yang berikut:
+ Microsoft Entra IDPenyewa. Untuk informasi selengkapnya, lihat [Mulai Cepat: Mengatur penyewa dalam Microsoft dokumentasi](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-create-new-tenant).
+ Akun AWS IAM Identity Center yang diaktifkan. Untuk informasi selengkapnya, lihat [Mengaktifkan Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html) di *Panduan AWS IAM Identity Center Pengguna*.

## Pertimbangan-pertimbangan
<a name="entra-scim-considerations"></a>

Berikut ini adalah pertimbangan penting tentang hal Microsoft Entra ID itu dapat memengaruhi cara Anda berencana untuk menerapkan [penyediaan otomatis](provision-automatically.md) dengan IAM Identity Center di lingkungan produksi Anda menggunakan protokol SCIM v2.

**Penyediaan Otomatis**

Sebelum Anda mulai menerapkan SCIM, kami sarankan Anda meninjau terlebih dahulu. [Pertimbangan untuk menggunakan penyediaan otomatis](provision-automatically.md#auto-provisioning-considerations)

**Atribut untuk kontrol akses**

Atribut untuk kontrol akses digunakan dalam kebijakan izin yang menentukan siapa di sumber identitas Anda yang dapat mengakses AWS sumber daya Anda. Jika atribut dihapus dari pengguna diMicrosoft Entra ID, atribut itu tidak akan dihapus dari pengguna terkait di Pusat Identitas IAM. Ini adalah batasan yang diketahui dalamMicrosoft Entra ID. Jika atribut diubah ke nilai yang berbeda (tidak kosong) pada pengguna, perubahan itu akan disinkronkan ke Pusat Identitas IAM.

**Grup Bersarang**

Layanan penyediaan Microsoft Entra ID pengguna tidak dapat membaca atau menyediakan pengguna dalam grup bersarang. Hanya pengguna yang merupakan anggota langsung dari grup yang ditetapkan secara eksplisit yang dapat dibaca dan disediakan. Microsoft Entra IDtidak secara rekursif membongkar keanggotaan grup dari pengguna atau grup yang ditetapkan secara tidak langsung (pengguna atau grup yang merupakan anggota grup yang ditugaskan secara langsung). Untuk informasi selengkapnya, lihat [Pelingkupan berbasis tugas dalam dokumentasi.](https://learn.microsoft.com/en-us/azure/active-directory/app-provisioning/how-provisioning-works#assignment-based-scoping) Microsoft Atau, Anda dapat menggunakan [sinkronisasi AD yang dapat dikonfigurasi IAM Identity Center](https://aws.amazon.com/blogs//security/managing-identity-source-transition-for-aws-iam-identity-center/) untuk mengintegrasikan Active Directory grup dengan IAM Identity Center.

**Grup Dinamis**

Layanan penyediaan Microsoft Entra ID pengguna dapat membaca dan menyediakan pengguna dalam grup [dinamis](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-create-rule). Lihat di bawah untuk contoh yang menunjukkan struktur pengguna dan grup saat menggunakan grup dinamis dan bagaimana mereka ditampilkan di Pusat Identitas IAM. Pengguna dan grup ini disediakan dari Microsoft Entra ID Pusat Identitas IAM melalui SCIM

Misalnya, jika Microsoft Entra ID struktur untuk grup dinamis adalah sebagai berikut:

1. Grup A dengan anggota ua1, ua2

1. Grup B dengan anggota ub1

1. Grup C dengan anggota uc1

1. Grup K dengan aturan untuk memasukkan anggota Grup A, B, C

1. Grup L dengan aturan untuk memasukkan anggota Grup B dan C

Setelah informasi pengguna dan grup disediakan dari Microsoft Entra ID Pusat Identitas IAM melalui SCIM, strukturnya adalah sebagai berikut:

1. Grup A dengan anggota ua1, ua2

1. Grup B dengan anggota ub1

1. Grup C dengan anggota uc1

1. Grup K dengan anggota ua1, ua2, ub1, uc1

1. Grup L dengan anggota ub1, uc1

Saat Anda mengonfigurasi penyediaan otomatis menggunakan grup dinamis, ingatlah pertimbangan berikut.
+ Grup dinamis dapat mencakup grup bersarang. Namun, layanan Microsoft Entra ID penyediaan tidak meratakan grup bersarang. Misalnya, jika Anda memiliki Microsoft Entra ID struktur berikut untuk grup dinamis:
  + Grup A adalah induk dari kelompok B.
  + Grup A memiliki ua1 sebagai anggota.
  + Grup B memiliki ub1 sebagai anggota.

Grup dinamis yang mencakup Grup A hanya akan mencakup anggota langsung grup A (yaitu, ua1). Ini tidak akan secara rekursif mencakup anggota grup B.
+ Grup dinamis tidak dapat berisi grup dinamis lainnya. Untuk informasi selengkapnya, lihat [Pratinjau batasan](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-dynamic-rule-member-of#preview-limitations) dalam Microsoft dokumentasi.

## Langkah 1: Siapkan penyewa Microsoft Anda
<a name="step1-entra-microsoft-prep"></a>

Pada langkah ini, Anda akan menelusuri cara menginstal dan mengkonfigurasi aplikasi AWS IAM Identity Center perusahaan Anda dan menetapkan akses ke pengguna Microsoft Entra ID uji yang baru dibuat.

------
#### [ Step 1.1 > ]

**Langkah 1.1: Siapkan aplikasi AWS IAM Identity Center perusahaan di Microsoft Entra ID**

Dalam prosedur ini, Anda menginstal aplikasi AWS IAM Identity Center perusahaan diMicrosoft Entra ID. Anda akan memerlukan aplikasi ini nanti untuk mengonfigurasi koneksi SAMP Anda. AWS

1. Masuk ke [pusat admin Microsoft Entra](https://entra.microsoft.com/) setidaknya sebagai Administrator Aplikasi Cloud.

1. Arahkan ke **Identity > Applications > Enterprise Applications**, lalu pilih **New application**.

1. Pada halaman **Jelajahi Galeri Microsoft Entra**, masukkan ****AWS IAM Identity Center****di kotak pencarian.

1. Pilih **AWS IAM Identity Center**dari hasilnya.

1. Pilih **Buat**.

------
#### [ Step 1.2 > ]

**Langkah 1.2: Buat pengguna uji di Microsoft Entra ID**

Nikki Wolf adalah nama pengguna Microsoft Entra ID uji Anda yang akan Anda buat dalam prosedur ini. 

1. Di konsol [pusat admin Microsoft Entra](https://entra.microsoft.com/), navigasikan ke **Identity > Users > All users**.

1. Pilih **Pengguna baru**, lalu pilih **Buat pengguna baru** di bagian atas layar.

1. Di **Nama utama pengguna**, masukkan ****NikkiWolf****, lalu pilih domain dan ekstensi pilihan Anda. Misalnya, *NikkiWolf*@*example.org*.

1. Di **Nama tampilan**, masukkan ****NikkiWolf****.

1. Di **Kata Sandi**, masukkan kata sandi yang kuat atau pilih ikon mata untuk menampilkan kata sandi yang dibuat secara otomatis, dan salin atau tuliskan nilai yang ditampilkan.

1. Pilih **Properti**, di **Nama depan**, masukkan ****Nikki****. Di **Nama belakang**, masukkan ****Wolf****.

1. Pilih **Review \$1 create**, lalu pilih **Create**.

------
#### [ Step 1.3 ]

**Langkah 1.3: Uji pengalaman Nikki sebelum memberikan izinnya AWS IAM Identity Center**

Dalam prosedur ini, Anda akan memverifikasi apa yang Nikki berhasil masuk ke [portal Microsoft My Account-nya](https://myaccount.microsoft.com/). 

1. Di browser yang sama, buka tab baru, buka halaman masuk [portal Akun Saya](https://myaccount.microsoft.com/), dan masukkan alamat email lengkap Nikki. Misalnya, *NikkiWolf*@*example.org*.

1. Saat diminta, masukkan kata sandi Nikki, lalu pilih **Masuk**. Jika ini adalah kata sandi yang dibuat secara otomatis, Anda akan diminta untuk mengubah kata sandi.

1. Pada halaman **Action Required**, pilih **Tanya nanti** untuk melewati prompt untuk metode keamanan tambahan.

1. Pada halaman **Akun saya**, di panel navigasi kiri, pilih **Aplikasi Saya**. Perhatikan bahwa selain **Add-in**, tidak ada aplikasi yang ditampilkan saat ini. Anda akan menambahkan **AWS IAM Identity Center**aplikasi yang akan muncul di sini di langkah selanjutnya. 

------
#### [ Step 1.4 ]

**Langkah 1.4: Tetapkan izin ke Nikki di Microsoft Entra ID**

Sekarang setelah Anda memverifikasi bahwa Nikki berhasil mengakses **portal Akun saya**, gunakan prosedur ini untuk menetapkan penggunanya ke aplikasi. **AWS IAM Identity Center** 

1. Di konsol [pusat admin Microsoft Entra](https://entra.microsoft.com/), navigasikan ke **Identity > Applications > Enterprise Applications** dan kemudian pilih **AWS IAM Identity Center**dari daftar.

1. Di sebelah kiri, pilih **Pengguna dan grup**.

1. Pilih **Tambahkan pengguna/grup**. Anda dapat mengabaikan pesan yang menyatakan bahwa grup tidak tersedia untuk penetapan. Tutorial ini tidak menggunakan grup untuk tugas.

1. Pada halaman **Tambahkan Penugasan**, di bawah **Pengguna**, pilih **Tidak Ada yang Dipilih**.

1. Pilih **NikkiWolf**, lalu pilih **Pilih**.

1. Pada halaman **Add Assignment**, pilih **Assign**. NikkiWolf sekarang muncul di daftar pengguna yang ditugaskan ke **AWS IAM Identity Center**aplikasi.

------

## Langkah 2: Siapkan AWS akun Anda
<a name="step2-entra-aws-prep"></a>

Pada langkah ini, Anda akan menelusuri cara menggunakan **IAM Identity Center**untuk mengonfigurasi izin akses (melalui set izin), membuat pengguna Nikki Wolf yang sesuai secara manual, dan memberinya izin yang diperlukan untuk mengelola sumber daya. AWS

------
#### [ Step 2.1 > ]

**Langkah 2.1: Buat RegionalAdmin izin yang ditetapkan IAM Identity Center**

Set izin ini akan digunakan untuk memberikan Nikki izin AWS akun yang diperlukan yang diperlukan untuk mengelola Wilayah dari halaman **Akun** di dalam. Konsol Manajemen AWS Semua izin lain untuk melihat atau mengelola informasi lain untuk akun Nikki ditolak secara default.

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Di bawah **Izin multi-akun**, pilih Set **izin**.

1. Pilih **Buat set izin**.

1. Pada halaman **Pilih jenis set izin**, pilih **Set izin khusus**, lalu pilih **Berikutnya**.

1. Pilih **Kebijakan sebaris** untuk memperluasnya, lalu buat kebijakan untuk set izin menggunakan langkah-langkah berikut:

   1. Pilih **Tambahkan pernyataan baru** untuk membuat pernyataan kebijakan.

   1. Di bawah **Edit pernyataan**, pilih **Akun** dari daftar, lalu pilih kotak centang berikut.
      + **`ListRegions`**
      + **`GetRegionOptStatus`**
      + **`DisableRegion`**
      + **`EnableRegion`**

   1. Di samping **Tambahkan sumber daya**, pilih **Tambah**.

   1. Pada halaman **Tambahkan sumber daya**, di bawah **Jenis sumber daya**, pilih **Semua Sumber Daya**, lalu pilih **Tambah sumber daya**. Verifikasi bahwa kebijakan Anda terlihat seperti berikut:

      ```
      {
          "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": [
                      "account:ListRegions",
                      "account:DisableRegion",
                      "account:EnableRegion",
                      "account:GetRegionOptStatus"
                  ],
                  "Resource": [
                      "*"
                  ]
              }
          ]
      }
      ```

1. Pilih **Berikutnya**.

1. Pada halaman **Tentukan detail set izin**, di bawah **Nama set izin ****RegionalAdmin******, masukkan, lalu pilih **Berikutnya**.

1. Pada halaman **Tinjau dan buat**, pilih **Buat**. Anda akan melihat **RegionalAdmin**ditampilkan dalam daftar set izin.

------
#### [ Step 2.2 > ]

**Langkah 2.2: Buat NikkiWolf pengguna yang sesuai di IAM Identity Center**

Karena protokol SAMP tidak menyediakan mekanisme untuk menanyakan iDP Microsoft Entra ID () dan secara otomatis membuat pengguna di sini di IAM Identity Center, gunakan prosedur berikut untuk membuat pengguna secara manual di IAM Identity Center yang mencerminkan atribut inti dari pengguna Nikki Wolfs di. Microsoft Entra ID 

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Pilih **Pengguna**, pilih **Tambahkan pengguna**, lalu berikan informasi berikut:

   1. Untuk **Nama Pengguna** dan **Alamat Email** — Masukkan ****NikkiWolf**@** yang sama dengan *yourcompanydomain.extension* yang Anda gunakan saat membuat Microsoft Entra ID pengguna Anda. Misalnya, *NikkiWolf*@*example.org*.

   1. **Konfirmasi alamat email** — Masukkan kembali alamat email dari langkah sebelumnya

   1. **Nama depan** — Enter ****Nikki****

   1. **Nama belakang** — Enter ****Wolf****

   1. **Nama tampilan** - Enter ****Nikki Wolf****

1. Pilih **Berikutnya** dua kali, lalu pilih **Tambah pengguna**.

1. Pilih **Tutup**.

------
#### [ Step 2.3 ]

**Langkah 2.3: Tetapkan Nikki ke RegionalAdmin izin yang ditetapkan IAM Identity Center**

Di sini Anda menemukan tempat Nikki akan mengelola Wilayah, dan kemudian menetapkan izin yang diperlukan agar dia berhasil mengakses portal akses. Akun AWS AWS 

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).

1. Di bawah **Izin multi-akun, pilih**. **Akun AWS**

1. Pilih kotak centang di sebelah nama akun (misalnya,*Sandbox*) tempat Anda ingin memberikan Nikki akses untuk mengelola Wilayah, lalu pilih **Tetapkan pengguna** dan grup.

1. **Pada halaman **Tetapkan pengguna dan grup**, pilih tab **Pengguna**, temukan dan centang kotak di sebelah Nikki, lalu pilih Berikutnya.**

1.   
**Example**  

1. Pada halaman **Tinjau dan kirim**, tinjau pilihan Anda, lalu pilih **Kirim**.

------

## Langkah 3: Konfigurasikan dan uji koneksi SAMP Anda
<a name="step3-entra-saml"></a>

Pada langkah ini, Anda mengonfigurasi koneksi SAMP Anda menggunakan aplikasi AWS IAM Identity Center perusahaan Microsoft Entra ID bersama dengan pengaturan iDP eksternal di IAM Identity Center.<a name="step3-1"></a>

------
#### [ Step 3.1 > ]

**Langkah 3.1: Kumpulkan metadata penyedia layanan yang diperlukan dari IAM Identity Center**

Pada langkah ini, Anda akan meluncurkan panduan **Ubah sumber identitas** dari dalam konsol Pusat Identitas IAM dan mengambil file metadata dan URL masuk AWS tertentu yang harus Anda masukkan saat mengonfigurasi koneksi di langkah berikutnya. Microsoft Entra ID

1. Di [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), pilih **Pengaturan**.

1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, lalu pilih **Tindakan > Ubah sumber identitas**.

1. Pada halaman **Pilih sumber identitas**, pilih **Penyedia identitas eksternal**, lalu pilih **Berikutnya**. 

1. **Pada halaman **Konfigurasi penyedia identitas eksternal**, di bawah **metadata penyedia layanan**, pilih **Default IPv4** atau Dual-stack.** Anda dapat mengunduh file metadata penyedia layanan setelah Anda menyelesaikan perubahan sumber identitas.

1. Di bagian yang sama, cari nilai **URL masuk portal AWS akses** dan salin. Anda harus memasukkan nilai ini saat diminta pada langkah berikutnya.

1. Biarkan halaman ini terbuka, dan lanjutkan ke langkah berikutnya (**`Step 3.2`**) untuk mengonfigurasi aplikasi AWS IAM Identity Center perusahaanMicrosoft Entra ID. Kemudian, Anda akan kembali ke halaman ini untuk menyelesaikan prosesnya.

------
#### [ Step 3.2 > ]<a name="step3-2"></a>

**Langkah 3.2: Konfigurasikan aplikasi AWS IAM Identity Center perusahaan di Microsoft Entra ID**

Prosedur ini menetapkan setengah dari koneksi SAMP di sisi Microsoft menggunakan nilai dari file metadata dan URL Sign-On yang Anda peroleh pada langkah terakhir.

1. Di konsol [pusat admin Microsoft Entra](https://entra.microsoft.com/), navigasikan ke **Identity > Applications > Enterprise Applications** dan kemudian pilih **AWS IAM Identity Center**.

1. Di sebelah kiri, pilih **2. Siapkan Single sign-on**.

1. **Pada halaman **Set up Single Sign-On dengan SAMP, pilih** SAMP.** **Kemudian pilih **Unggah file metadata**, pilih ikon folder, pilih file metadata penyedia layanan yang Anda unduh di langkah sebelumnya, lalu pilih Tambah.**

1. Pada halaman **Konfigurasi SAMP Dasar**, verifikasi bahwa nilai **Identifier** dan **URL Balas (Assertion Consumer Service URL)** sekarang mengarah ke titik akhir. AWS
   + **Identifier** - Ini adalah **URL Penerbit** dari IAM Identity Center. Nilai yang sama berlaku terlepas dari apakah Anda menggunakan titik akhir IPv4 -only atau dual-stack.
   + **URL Balas (URL Layanan Konsumen Pernyataan)** - Nilai di sini mencakup titik akhir IPv4 -only dan dual-stack dari semua Wilayah yang diaktifkan di Pusat Identitas IAM Anda. Anda dapat menggunakan URL ACS Wilayah utama sebagai URL default sehingga pengguna diarahkan ke Wilayah utama saat mereka meluncurkan aplikasi Amazon Web Services dariMicrosoft Entra ID. Untuk informasi lebih lanjut tentang ACS URLs, lihat[Titik akhir ACS di primer dan tambahan Wilayah AWS](multi-region-workforce-access.md#acs-endpoints). 
   + (Opsional) Jika Anda mereplikasi Pusat Identitas IAM ke Wilayah tambahan, Anda juga dapat membuat aplikasi bookmark Microsoft Entra ID untuk portal AWS akses di setiap Wilayah tambahan. Ini memungkinkan pengguna Anda untuk mengakses portal AWS akses di Wilayah tambahan dariMicrosoft Entra ID. Pastikan untuk memberikan izin kepada pengguna Anda untuk mengakses aplikasi bookmark di. Microsoft Entra ID Lihat [Microsoft Entra IDdokumentasi](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) untuk lebih jelasnya. Jika Anda berencana untuk mereplikasi Pusat Identitas IAM ke Wilayah tambahan nanti, kunjungi [Microsoft Entra IDkonfigurasi untuk akses ke Wilayah tambahan](#gs-microsoft-entra-multi-region) panduan cara mengaktifkan akses ke Wilayah tambahan setelah penyiapan awal ini.

1. Di bawah **URL Masuk (Opsional)**, tempel nilai **URL masuk portal AWS akses** yang Anda salin di langkah sebelumnya (**`Step 3.1`**), pilih **Simpan**, lalu pilih **X** untuk menutup jendela. 

1. Jika diminta untuk menguji sistem masuk tunggal AWS IAM Identity Center, pilih **Tidak, saya akan menguji nanti**. Anda akan melakukan verifikasi ini di langkah selanjutnya.

1. Pada halaman **Set up Single Sign-On with SAMP**, di bagian **SAMP Certificates**, di sebelah **Federation Metadata XHTML**, pilih **Download** untuk menyimpan file metadata ke sistem Anda. Anda harus mengunggah file ini saat diminta pada langkah berikutnya.

------
#### [ Step 3.3 > ]

**Langkah 3.3: Konfigurasikan iDP Microsoft Entra ID eksternal di AWS IAM Identity Center**

Di sini Anda akan kembali ke wizard **Ubah sumber identitas** di konsol Pusat Identitas IAM untuk menyelesaikan paruh kedua koneksi SAMP di. AWS

1. Kembali ke sesi browser yang Anda biarkan terbuka **`Step 3.1`**di konsol Pusat Identitas IAM.

1. **Pada halaman **Konfigurasi penyedia identitas eksternal**, di bagian **metadata penyedia identitas**, di bawah **metadata IDP SAMP**, pilih tombol Pilih file, dan **pilih file** metadata penyedia identitas yang Anda unduh dari Microsoft Entra ID langkah sebelumnya, lalu pilih Buka.**

1. Pilih **Berikutnya**.

1. Setelah Anda membaca disclaimer dan siap untuk melanjutkan, masukkan. ****ACCEPT****

1. Pilih **Ubah sumber identitas** untuk menerapkan perubahan Anda.

------
#### [ Step 3.4 > ]

**Langkah 3.4: Uji bahwa Nikki diarahkan ke portal akses AWS **

Dalam prosedur ini, Anda akan menguji koneksi SAFL dengan masuk ke **portal Akun Saya** Microsoft dengan kredensi Nikki. Setelah diautentikasi, Anda akan memilih AWS IAM Identity Center aplikasi yang akan mengarahkan Nikki ke portal akses. AWS 

1. Buka halaman masuk [portal Akun Saya](https://myaccount.microsoft.com/), dan masukkan alamat email lengkap Nikki. Misalnya, ***NikkiWolf**@**example.org*.

1. Saat diminta, masukkan kata sandi Nikki, lalu pilih **Masuk**.

1. Pada halaman **Akun saya**, di panel navigasi kiri, pilih **Aplikasi Saya**.

1. Pada halaman **Aplikasi Saya**, pilih aplikasi bernama **AWS IAM Identity Center**. Ini akan meminta Anda untuk otentikasi tambahan.

1. Pada halaman masuk Microsoft, pilih NikkiWolf kredensil Anda. Jika diminta untuk kedua kalinya untuk otentikasi, pilih NikkiWolf kredensialnya lagi. Ini akan secara otomatis mengarahkan Anda ke portal AWS akses.
**Tip**  
Jika Anda tidak berhasil dialihkan, periksa untuk memastikan nilai **URL masuk portal AWS akses** yang Anda masukkan **`Step 3.2`**cocok dengan nilai yang Anda salin. **`Step 3.1`** 

1. Verifikasi bahwa Akun AWS tampilan Anda.
**Tip**  
Jika halaman kosong dan tidak ada Akun AWS tampilan, konfirmasikan bahwa Nikki berhasil ditugaskan ke set **RegionalAdmin**izin (lihat **`Step 2.3`**).

------
#### [ Step 3.5 ]

**Langkah 3.5: Uji tingkat akses Nikki untuk mengelolanya Akun AWS**

Pada langkah ini, Anda akan memeriksa untuk menentukan tingkat akses Nikki untuk mengelola pengaturan Wilayah untuknya Akun AWS. Nikki seharusnya hanya memiliki hak administrator yang cukup untuk mengelola Wilayah dari halaman **Akun**.

1. Di portal AWS akses, pilih tab **Akun** untuk menampilkan daftar akun. Nama akun, akun IDs, dan alamat email yang terkait dengan akun mana pun yang telah Anda tetapkan set izin muncul. 

1. Pilih nama akun (misalnya,*Sandbox*) tempat Anda menerapkan set izin (lihat **`Step 2.3`**). Ini akan memperluas daftar set izin yang dapat dipilih Nikki untuk mengelola akunnya. 

1. Di samping **RegionalAdmin**memilih **Konsol manajemen** untuk mengambil peran yang Anda tetapkan dalam set **RegionalAdmin**izin. Ini akan mengarahkan Anda ke halaman Konsol Manajemen AWS beranda.

1. **Di sudut kanan atas konsol, pilih nama akun Anda, lalu pilih Akun.** Ini akan membawa Anda ke halaman **Akun**. Perhatikan bahwa semua bagian lain di halaman ini menampilkan pesan bahwa Anda tidak memiliki izin yang diperlukan untuk melihat atau mengubah pengaturan tersebut. 

1. Pada halaman **Akun**, gulir ke bawah ke bagian **AWS Wilayah**. Pilih kotak centang untuk Wilayah yang tersedia dalam tabel. Perhatikan bahwa Nikki memang memiliki izin yang diperlukan untuk **Mengaktifkan** atau **Menonaktifkan** daftar Wilayah untuk akunnya seperti yang dimaksudkan.

**Dilakukan dengan baik\$1**  
Langkah 1 hingga 3 membantu Anda untuk berhasil menerapkan dan menguji koneksi SAMP Anda. Sekarang, untuk menyelesaikan tutorial, kami mendorong Anda untuk beralih ke Langkah 4 untuk menerapkan penyediaan otomatis.

------

## Langkah 4: Konfigurasikan dan uji sinkronisasi SCIM Anda
<a name="step4-entra-scim"></a>

Pada langkah ini, Anda akan [mengatur penyediaan otomatis](provision-automatically.md) (sinkronisasi) informasi pengguna dari Microsoft Entra ID ke Pusat Identitas IAM menggunakan protokol SCIM v2.0. Anda mengonfigurasi koneksi ini Microsoft Entra ID menggunakan endpoint SCIM Anda untuk IAM Identity Center dan token pembawa yang dibuat secara otomatis oleh IAM Identity Center.

Saat mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna Microsoft Entra ID ke atribut bernama di Pusat Identitas IAM. Hal ini menyebabkan atribut yang diharapkan cocok antara IAM Identity Center danMicrosoft Entra ID. 

Langkah-langkah berikut memandu Anda melalui cara mengaktifkan penyediaan otomatis pengguna yang terutama berada di Microsoft Entra ID Pusat Identitas IAM menggunakan aplikasi Pusat Identitas IAM di. Microsoft Entra ID 

------
#### [ Step 4.1 > ]

**Langkah 4.1: Buat pengguna uji kedua di Microsoft Entra ID**

Untuk tujuan pengujian, Anda akan membuat pengguna baru (Richard Roe) diMicrosoft Entra ID. Kemudian, setelah Anda mengatur sinkronisasi SCIM, Anda akan menguji bahwa pengguna ini dan semua atribut yang relevan berhasil disinkronkan ke IAM Identity Center.

1. Di konsol [pusat admin Microsoft Entra](https://entra.microsoft.com/), navigasikan ke **Identity > Users > All users**.

1. Pilih **Pengguna baru**, lalu pilih **Buat pengguna baru** di bagian atas layar.

1. Di **Nama utama pengguna**, masukkan ****RichRoe****, lalu pilih domain dan ekstensi pilihan Anda. Misalnya, *RichRoe*@*example.org*.

1. Di **Nama tampilan**, masukkan ****RichRoe****.

1. Di **Kata Sandi**, masukkan kata sandi yang kuat atau pilih ikon mata untuk menampilkan kata sandi yang dibuat secara otomatis, dan salin atau tuliskan nilai yang ditampilkan.

1. Pilih **Properties**, dan kemudian berikan nilai-nilai berikut:
   + **Nama depan** - Enter ****Richard****
   + **Nama belakang** - Enter ****Roe****
   + **Judul Pekerjaan** - Enter ****Marketing Lead****
   + **Departemen** - Masuk ****Sales****
   + **ID Karyawan** - Masukkan ****12345****

1. Pilih **Review \$1 create**, lalu pilih **Create**.

------
#### [ Step 4.2 > ]

**Langkah 4.2: Aktifkan penyediaan otomatis di IAM Identity Center**

Dalam prosedur ini, Anda akan menggunakan konsol Pusat Identitas IAM untuk mengaktifkan penyediaan otomatis pengguna dan grup yang berasal dari Microsoft Entra ID Pusat Identitas IAM.

1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), dan pilih **Pengaturan** di panel navigasi kiri.

1. **Pada halaman **Pengaturan**, di bawah tab **Sumber identitas**, perhatikan bahwa **metode Penyediaan** diatur ke Manual.**

1. **Temukan kotak Informasi **penyediaan otomatis**, lalu pilih Aktifkan.** Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.

1. Dalam kotak dialog **Penyediaan otomatis masuk**, salin setiap nilai untuk opsi berikut. Anda harus menempelkan ini di langkah berikutnya saat Anda mengonfigurasi penyediaan. Microsoft Entra ID

   1. **Titik akhir SCIM** - Misalnya,
      + IPv4: `https://scim.aws-region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
      + Tumpukan ganda: `https://scim.aws-region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`

   1. **Token akses** - Pilih **Tampilkan token** untuk menyalin nilainya.
**Awas**  
Ini adalah satu-satunya waktu di mana Anda dapat memperoleh titik akhir SCIM dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju.

1. Pilih **Tutup**.

1. **Di bawah tab **Identity source**, perhatikan bahwa **metode Provisioning** sekarang diatur ke SCIM.**

------
#### [ Step 4.3 > ]

**Langkah 4.3: Konfigurasikan penyediaan otomatis di Microsoft Entra ID**

Sekarang setelah Anda memiliki pengguna RichRoe pengujian dan telah mengaktifkan SCIM di IAM Identity Center, Anda dapat melanjutkan dengan mengonfigurasi pengaturan sinkronisasi SCIM di. Microsoft Entra ID

1. Di konsol [pusat admin Microsoft Entra](https://entra.microsoft.com/), navigasikan ke **Identity > Applications > Enterprise Applications** dan kemudian pilih **AWS IAM Identity Center**.

1. Pilih **Penyediaan**, di bawah **Kelola**, pilih **Penyediaan** lagi. 

1. **Dalam **Mode Penyediaan pilih Otomatis**.**

1. Di bawah **Kredensial Admin**, di URL **Penyewa tempel di nilai URL** **titik akhir SCIM** yang Anda salin sebelumnya. **`Step 4.2`** Di **Token Rahasia**, tempel nilai **token Access**.

1. Pilih **Uji Koneksi**. Anda akan melihat pesan yang menunjukkan bahwa kredenal yang diuji berhasil diotorisasi untuk mengaktifkan penyediaan.

1. Pilih **Simpan**.

1. Di bawah **Kelola**, pilih **Pengguna dan grup**, lalu pilih **Tambahkan pengguna/grup**.

1. Pada halaman **Tambahkan Penugasan**, di bawah **Pengguna**, pilih **Tidak Ada yang Dipilih**.

1. Pilih **RichRoe**, lalu pilih **Pilih**.

1. Pada halaman **Add Assignment**, pilih **Assign**.

1. Pilih **Ikhtisar**, lalu pilih **Mulai penyediaan**. 

------
#### [ Step 4.4 ]

**Langkah 4.4: Verifikasi bahwa sinkronisasi terjadi**

Di bagian ini, Anda akan memverifikasi bahwa pengguna Richard berhasil disediakan dan bahwa semua atribut ditampilkan di Pusat Identitas IAM.

1. Di [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), pilih **Pengguna**.

1. Pada halaman **Pengguna**, Anda akan melihat **RichRoe**pengguna Anda ditampilkan. Perhatikan bahwa di kolom **Dibuat oleh** nilai diatur ke **SCIM**.

1. Pilih **RichRoe**, di bawah **Profil**, verifikasi bahwa atribut berikut telah disalinMicrosoft Entra ID.
   + **Nama depan** - ****Richard****
   + **Nama belakang** - ****Roe****
   + **Departemen** - ****Sales****
   + **Judul** - ****Marketing Lead****
   + **Nomor karyawan** - ****12345****

   Sekarang pengguna Richard telah dibuat di IAM Identity Center, Anda dapat menetapkannya ke set izin apa pun sehingga Anda dapat mengontrol tingkat akses yang dia miliki ke sumber daya Anda AWS . Misalnya, Anda dapat menetapkan **RichRoe**ke set **RegionalAdmin** izin yang Anda gunakan sebelumnya untuk memberikan Nikki izin untuk mengelola Wilayah (lihat **`Step 2.3`**) dan kemudian menguji tingkat aksesnya menggunakan. **`Step 3.5`**

**Selamat\$1**  
Anda telah berhasil mengatur koneksi SAMP antara Microsoft dan AWS dan telah memverifikasi bahwa penyediaan otomatis berfungsi untuk menjaga semuanya tetap sinkron. Sekarang Anda dapat menerapkan apa yang telah Anda pelajari untuk mengatur lingkungan produksi Anda dengan lebih lancar. 

------

## *Langkah 5: Konfigurasikan ABAC - Opsional*
<a name="step5-entra-abac"></a>

Sekarang setelah Anda berhasil mengkonfigurasi SAFL dan SCIM, Anda dapat memilih untuk mengonfigurasi kontrol akses berbasis atribut (ABAC). ABAC adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut.

DenganMicrosoft Entra ID, Anda dapat menggunakan salah satu dari dua metode berikut untuk mengkonfigurasi ABAC untuk digunakan dengan IAM Identity Center.

------
#### [ Configure user attributes in ID Microsoft Entra for access control in IAM Identity Center ]

**Konfigurasikan atribut pengguna Microsoft Entra ID untuk kontrol akses di Pusat Identitas IAM**

Dalam prosedur berikut, Anda akan menentukan atribut mana yang Microsoft Entra ID harus digunakan oleh IAM Identity Center untuk mengelola akses ke AWS sumber daya Anda. Setelah ditentukan, Microsoft Entra ID kirimkan atribut ini ke IAM Identity Center melalui pernyataan SAMP. Anda kemudian perlu [Buat set izin](howtocreatepermissionset.md) di Pusat Identitas IAM untuk mengelola akses berdasarkan atribut yang Anda lewati. Microsoft Entra ID

Sebelum Anda memulai prosedur ini, Anda harus mengaktifkan [Atribut untuk kontrol akses](attributesforaccesscontrol.md) fitur terlebih dahulu. Untuk informasi selengkapnya tentang cara melakukan ini, lihat [Aktifkan dan konfigurasikan atribut untuk kontrol akses](configure-abac.md).

1. Di konsol [pusat admin Microsoft Entra](https://entra.microsoft.com/), navigasikan ke **Identity > Applications > Enterprise Applications** dan kemudian pilih **AWS IAM Identity Center**.

1. Pilih **Single sign-on**. 

1. Di bagian **Atribut & Klaim**, pilih **Edit**.

1. Pada halaman **Atribut & Klaim**, lakukan hal berikut:

   1. Pilih **Tambahkan klaim baru**

   1. Untuk **Nama**, masukkan `AccessControl:AttributeName`. Ganti *AttributeName* dengan nama atribut yang Anda harapkan di IAM Identity Center. Misalnya, `AccessControl:Department`. 

   1. Untuk **Namespace**, masukkan ****https://aws.amazon.com/SAML/Attributes****. 

   1. Untuk **Sumber**, pilih **Atribut**. 

   1. Untuk **atribut Source**, gunakan daftar drop-down untuk memilih atribut Microsoft Entra ID pengguna. Misalnya, `user.department`.

1. Ulangi langkah sebelumnya untuk setiap atribut yang perlu Anda kirim ke IAM Identity Center dalam pernyataan SAFL.

1. Pilih **Simpan**.

------
#### [ Configure ABAC using IAM Identity Center ]

**Konfigurasikan ABAC menggunakan IAM Identity Center**

Dengan metode ini, Anda menggunakan [Atribut untuk kontrol akses](attributesforaccesscontrol.md) fitur di IAM Identity Center untuk meneruskan `Attribute` elemen dengan `Name` atribut yang disetel ke`https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Anda dapat menggunakan elemen ini untuk meneruskan atribut sebagai tag sesi dalam pernyataan SAMP. Untuk informasi selengkapnya tentang tag sesi, lihat [Melewati tag sesi AWS STS di](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) *Panduan Pengguna IAM*.

Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen `AttributeValue` yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tag`Department=billing`, gunakan atribut berikut:

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

Jika Anda perlu menambahkan beberapa atribut, sertakan `Attribute` elemen terpisah untuk setiap tag. 

------

## Tetapkan akses ke Akun AWS
<a name="entra-acct-access"></a>

Langkah-langkah berikut hanya diperlukan untuk memberikan akses ke Akun AWS saja. Langkah-langkah ini tidak diperlukan untuk memberikan akses ke AWS aplikasi.

**catatan**  
Untuk menyelesaikan langkah ini, Anda memerlukan instance Organisasi dari IAM Identity Center. Untuk informasi selengkapnya, lihat [Organisasi dan instans akun Pusat Identitas IAM](identity-center-instances.md).

### Langkah 1: Pusat Identitas IAM: Berikan Microsoft Entra ID pengguna akses ke akun
<a name="entra-acct-access-step1"></a>

1. Kembali ke konsol **Pusat Identitas IAM**. Di panel navigasi Pusat Identitas IAM, di bawah **izin Multi-akun**, pilih. **Akun AWS**

1. Pada **Akun AWS**halaman, **struktur Organisasi** menampilkan akar organisasi Anda dengan akun Anda di bawahnya dalam hierarki. Pilih kotak centang untuk akun manajemen Anda, lalu pilih **Tetapkan pengguna atau grup**.

1. Tampilan alur kerja **Tetapkan pengguna dan grup**. Ini terdiri dari tiga langkah:

   1. Untuk **Langkah 1: Pilih pengguna dan grup** pilih pengguna yang akan melakukan fungsi pekerjaan administrator. Lalu pilih **Selanjutnya**.

   1. Untuk **Langkah 2: Pilih set izin** pilih **Buat set izin** untuk membuka tab baru yang memandu Anda melalui tiga sub-langkah yang terlibat dalam membuat set izin.

      1. Untuk **Langkah 1: Pilih jenis set izin** lengkapi yang berikut ini:
         + Dalam **Jenis set izin**, pilih **Set izin yang telah ditentukan sebelumnya**.
         + Dalam **Kebijakan untuk set izin yang telah ditentukan**, pilih **AdministratorAccess**.

         Pilih **Berikutnya**.

      1. Untuk **Langkah 2: Tentukan detail set izin**, pertahankan pengaturan default, dan pilih **Berikutnya**.

         Pengaturan default membuat set izin bernama *AdministratorAccess* dengan durasi sesi diatur ke satu jam.

      1. Untuk **Langkah 3: Tinjau dan buat**, verifikasi bahwa **jenis set Izin** menggunakan kebijakan AWS terkelola **AdministratorAccess**. Pilih **Buat**. Pada halaman **Set izin**, pemberitahuan muncul memberi tahu Anda bahwa set izin telah dibuat. Anda dapat menutup tab ini di browser web Anda sekarang.

      1. Pada tab **Tetapkan pengguna dan grup** browser, Anda masih pada **Langkah 2: Pilih set izin** dari mana Anda memulai alur kerja set izin buat.

      1. Di area **set Izin**, pilih tombol **Refresh**. Set *AdministratorAccess* izin yang Anda buat muncul dalam daftar. Pilih kotak centang untuk set izin tersebut dan kemudian pilih **Berikutnya**.

   1. Untuk **Langkah 3: Tinjau dan kirimkan** ulasan pengguna dan set izin yang dipilih, lalu pilih **Kirim**.

      Halaman diperbarui dengan pesan bahwa Anda Akun AWS sedang dikonfigurasi. Tunggu sampai proses selesai.

      Anda dikembalikan ke Akun AWS halaman. Pesan notifikasi memberi tahu Anda bahwa pesan Anda Akun AWS telah direvisi dan set izin yang diperbarui diterapkan. Saat pengguna masuk, mereka akan memiliki opsi untuk memilih *AdministratorAccess* peran.

### Langkah 2Microsoft Entra ID: Konfirmasikan akses Microsoft Entra ID pengguna ke AWS sumber daya
<a name="entra-acct-access-step2"></a>

1. Kembali ke **Microsoft Entra ID**konsol dan navigasikan ke aplikasi Sign-on berbasis SAML Pusat Identitas IAM Anda.

1. Pilih **Pengguna dan grup** dan pilih **Tambahkan pengguna atau grup**. Anda akan menambahkan pengguna yang Anda buat dalam tutorial ini di Langkah 4 ke Microsoft Entra ID aplikasi. Dengan menambahkan pengguna, Anda akan mengizinkan mereka untuk AWS masuk. Cari pengguna yang Anda buat di Langkah 4. Jika Anda mengikuti langkah ini, itu akan terjadi**RichardRoe**.

   1. Untuk demo, lihat [Menggabungkan instans Pusat Identitas IAM Anda yang ada](https://youtu.be/iSCuTJNeN6c?si=29HSAK8DgBEhSVad) dengan Microsoft Entra ID

## Microsoft Entra IDkonfigurasi untuk akses ke Wilayah tambahan Pusat Identitas IAM - Opsional
<a name="gs-microsoft-entra-multi-region"></a>

Jika Anda mereplikasi Pusat Identitas IAM ke Wilayah tambahan, Anda harus memperbarui konfigurasi penyedia identitas Anda untuk mengaktifkan akses ke aplikasi AWS terkelola dan Akun AWS melalui Wilayah tambahan. Langkah-langkah di bawah ini memandu Anda melalui prosedur ini. Untuk detail lebih lanjut tentang topik ini termasuk prasyarat, lihat. [Menggunakan Pusat Identitas IAM di beberapa Wilayah AWS](multi-region-iam-identity-center.md) 

1. Ambil ACS URLs untuk wilayah tambahan dari konsol Pusat Identitas IAM seperti yang diuraikan dalam. [Titik akhir ACS di primer dan tambahan Wilayah AWS](multi-region-workforce-access.md#acs-endpoints)

1. Di konsol [pusat admin Microsoft Entra](https://entra.microsoft.com/), navigasikan ke **Identity > Applications > Enterprise Applications** dan kemudian pilih **AWS IAM Identity Center**.

1. Di sebelah kiri, pilih **2. Siapkan Single sign-on**.

1. Pada halaman **Konfigurasi SAMP Dasar**, di bagian **URL Balas (URL Layanan Konsumen Assertion), pilih Tambahkan URL** **balasan untuk setiap URL ACS** Additiona Region. Anda dapat menyimpan URL ACS Wilayah utama sebagai URL default sehingga pengguna terus diarahkan ke Wilayah utama saat mereka meluncurkan AWS IAM Identity Center aplikasi. Microsoft Entra ID

1. Setelah selesai menambahkan ACS URLs, simpan **AWS IAM Identity Center**aplikasi.

1. Anda dapat membuat aplikasi bookmark Microsoft Entra ID untuk portal AWS akses di setiap Wilayah tambahan. Ini memungkinkan pengguna Anda untuk mengakses portal AWS akses di Wilayah tambahan dariMicrosoft Entra ID. Pastikan untuk memberikan izin kepada pengguna Anda untuk mengakses aplikasi bookmark di. Microsoft Entra ID Lihat [Microsoft Entra IDdokumentasi](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) untuk lebih jelasnya.

1. Verifikasi bahwa Anda dapat masuk ke portal AWS akses di setiap Wilayah tambahan. Arahkan ke [portal AWS akses URLs](multi-region-workforce-access.md#portal-endpoints) atau luncurkan aplikasi bookmark dariMicrosoft Entra ID. 

## Pemecahan masalah
<a name="idp-microsoft-entra-troubleshooting"></a>

Untuk pemecahan masalah SCIM dan SAMP umum denganMicrosoft Entra ID, lihat bagian berikut:
+ [Masalah sinkronisasi dengan Microsoft Entra ID dan Pusat Identitas IAM](#entra-scim-troubleshooting)
+ [Pengguna tertentu gagal melakukan sinkronisasi ke Pusat Identitas IAM dari penyedia SCIM eksternal](troubleshooting.md#issue2)
+ [Masalah mengenai isi pernyataan SAMP yang dibuat oleh IAM Identity Center](troubleshooting.md#issue1)
+ [Gandakan kesalahan pengguna atau grup saat menyediakan pengguna atau grup dengan penyedia identitas eksternal](troubleshooting.md#duplicate-user-group-idp)
+ [Sumber daya tambahan](#entra-scim-troubleshooting-resources)

### Masalah sinkronisasi dengan Microsoft Entra ID dan Pusat Identitas IAM
<a name="entra-scim-troubleshooting"></a>

Jika Anda mengalami masalah dengan Microsoft Entra ID pengguna yang tidak melakukan sinkronisasi ke Pusat Identitas IAM, mungkin karena masalah sintaks yang ditandai oleh IAM Identity Center saat pengguna baru ditambahkan ke IAM Identity Center. Anda dapat mengonfirmasi hal ini dengan memeriksa log Microsoft Entra ID audit untuk peristiwa yang gagal, seperti`'Export'`. **Alasan Status** untuk acara ini akan menyatakan:

```
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
```

Anda juga dapat memeriksa AWS CloudTrail acara yang gagal. Ini dapat dilakukan dengan mencari di konsol **Riwayat Acara** CloudTrail menggunakan filter berikut:

```
"eventName":"CreateUser"
```

Kesalahan dalam CloudTrail acara tersebut akan menyatakan sebagai berikut:

```
"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“
```

Pada akhirnya, pengecualian ini berarti bahwa salah satu nilai yang dilewatkan Microsoft Entra ID mengandung lebih banyak nilai daripada yang diantisipasi. Solusinya adalah meninjau atribut penggunaMicrosoft Entra ID, memastikan bahwa tidak ada yang mengandung nilai duplikat. Salah satu contoh umum dari nilai duplikat adalah memiliki beberapa nilai yang ada untuk nomor kontak seperti **ponsel**, **pekerjaan**, dan **faks**. Meskipun nilai terpisah, mereka semua diteruskan ke IAM Identity Center di bawah atribut induk tunggal **PhoneNumbers**.

[Untuk tips pemecahan masalah SCIM umum, lihat Pemecahan Masalah.](troubleshooting.md#issue2)

### Microsoft Entra IDSinkronisasi Akun Tamu
<a name="entra-guest-acct-provisioning"></a>

Jika Anda ingin menyinkronkan pengguna Microsoft Entra ID tamu Anda ke IAM Identity Center, lihat prosedur berikut.

Microsoft Entra IDEmail pengguna tamu berbeda dari Microsoft Entra ID pengguna. Perbedaan ini menyebabkan masalah saat mencoba menyinkronkan pengguna Microsoft Entra ID tamu dengan IAM Identity Center. Misalnya, lihat alamat email berikut untuk pengguna tamu:

`exampleuser_domain.com#EXT#@domain.onmicrosoft.com.`

IAM Identity Center tidak mengharapkan alamat email berisi *\$1EXT\$1@domain* format.

1. Masuk ke [pusat admin Microsoft Entra](https://entra.microsoft.com/) dan navigasikan ke **Identity** > **Applications** > **Enterprise applications** dan kemudian pilih **AWS IAM Identity Center**

1. Arahkan ke tab **Single Sign On** di panel kiri.

1. Pilih **Edit** yang muncul di sebelah **Atribut & Klaim Pengguna**.

1. Pilih **Pengenal Pengguna Unik (ID Nama)** mengikuti **Klaim yang Diperlukan**.

1. Anda akan membuat dua ketentuan klaim untuk Microsoft Entra ID pengguna dan pengguna tamu Anda:

   1. Untuk Microsoft Entra ID pengguna, buat tipe pengguna untuk anggota dengan atribut sumber disetel ke` user.userprincipalname`.

   1. Untuk pengguna Microsoft Entra ID tamu, buat tipe pengguna untuk tamu eksternal dengan atribut sumber yang disetel ke`user.mail`.

   1. Pilih **Simpan** dan coba lagi masuk sebagai pengguna Microsoft Entra ID tamu.

### Sumber daya tambahan
<a name="entra-scim-troubleshooting-resources"></a>
+ Untuk tips pemecahan masalah SCIM umum, lihat. [Memecahkan masalah Pusat Identitas IAM](troubleshooting.md)
+ [Untuk Microsoft Entra ID pemecahan masalah, lihat Microsoft dokumentasi.](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial#troubleshooting-tips)
+ Untuk mempelajari lebih lanjut tentang federasi di beberapa Akun AWS, lihat [Mengamankan Akun AWS dengan Azure Active Directory Federation](https://aws.amazon.com//blogs/apn/securing-aws-accounts-with-azure-active-directory-federation/).

Sumber daya berikut dapat membantu Anda memecahkan masalah saat Anda bekerja dengan: AWS
+ [AWS re:Post](https://repost.aws/)- Temukan FAQs dan tautkan ke sumber daya lain untuk membantu Anda memecahkan masalah.
+ [AWS Dukungan](https://aws.amazon.com/premiumsupport/)- Dapatkan dukungan teknis