Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kelola sumber identitas Anda
Sumber identitas Anda di IAM Identity Center menentukan di mana pengguna dan grup Anda dikelola. Setelah mengonfigurasi sumber identitas, Anda dapat mencari pengguna atau grup untuk memberi mereka akses masuk tunggal Akun AWS, aplikasi, atau keduanya.
Anda hanya dapat memiliki satu sumber identitas per organisasi di AWS Organizations. Anda dapat memilih salah satu dari berikut ini sebagai sumber identitas Anda:
+ **[Penyedia identitas eksternal](manage-your-identity-source-idp.md) —** Pilih opsi ini jika Anda ingin mengelola pengguna di penyedia identitas eksternal (iDP) seperti Okta atau. Microsoft Entra ID
+ **[Direktori Aktif Anda di tempat atau AWS terkelola](manage-your-identity-source-ad.md) —** Pilih opsi ini jika Anda ingin menghubungkanActive Directory (AD).
+ **[Direktori Pusat Identitas](manage-your-identity-source-sso.md) -** Ketika Anda mengaktifkan Pusat Identitas IAM untuk pertama kalinya, secara otomatis dikonfigurasi dengan direktori Pusat Identitas sebagai sumber identitas default Anda kecuali Anda memilih sumber identitas yang berbeda. Dengan direktori Pusat Identitas, Anda membuat pengguna dan grup, dan menetapkan tingkat akses mereka ke aplikasi Akun AWS dan Anda.
**catatan**
IAM Identity Center tidak mendukung Simple AD SAMBA4 berbasis sebagai sumber identitas.
**Topics**
+ [Pertimbangan untuk mengubah sumber identitas Anda](manage-your-identity-source-considerations.md)
+ [Ubah sumber identitas Anda](manage-your-identity-source-change.md)
+ [Atribut pengguna dan grup yang didukung di Pusat Identitas IAM](manage-your-identity-source-attribute-use.md)
+ [Penyedia identitas eksternal](manage-your-identity-source-idp.md)
+ [Microsoft ADdirektori](manage-your-identity-source-ad.md)
# Pertimbangan untuk mengubah sumber identitas Anda
Meskipun Anda dapat mengubah sumber identitas kapan saja, kami sarankan Anda mempertimbangkan bagaimana perubahan ini dapat memengaruhi penerapan Anda saat ini.
Jika Anda sudah mengelola pengguna dan grup dalam satu sumber identitas, mengubah ke sumber identitas yang berbeda dapat menghapus semua penetapan pengguna dan grup yang Anda konfigurasikan di Pusat Identitas IAM. Jika ini terjadi, semua pengguna, termasuk pengguna administratif di IAM Identity Center, akan kehilangan akses masuk tunggal ke aplikasi dan aplikasi mereka Akun AWS .
Sebelum Anda mengubah sumber identitas untuk IAM Identity Center, tinjau pertimbangan berikut sebelum Anda melanjutkan. Jika Anda ingin melanjutkan dengan mengubah sumber identitas Anda, lihat [Ubah sumber identitas Anda](manage-your-identity-source-change.md) untuk informasi lebih lanjut.
## Mengubah antara direktori IAM Identity Center dan Active Directory
Jika Anda sudah mengelola pengguna dan grup di Active Directory, kami sarankan Anda mempertimbangkan untuk menghubungkan direktori Anda ketika Anda mengaktifkan IAM Identity Center dan memilih sumber identitas Anda. Lakukan ini sebelum Anda membuat pengguna dan grup apa pun di direktori Pusat Identitas default dan buat tugas apa pun.
**penting**
Saat mengubah tipe sumber identitas Anda di IAM Identity Center ke atau dari Active Directory, ketahuilah bahwa ID Toko Identitas akan berubah. Ini dapat memiliki implikasi berikut:
URL portal AWS akses default Anda akan berubah. Anda perlu mengomunikasikan URL baru ke tenaga kerja Anda dan memperbarui bookmark, gatewall atau firewall allow-list, dan konfigurasi tempat URL ini direferensikan. Kami menyarankan Anda melakukan perubahan ini di jendela pemeliharaan terjadwal untuk meminimalkan gangguan pada pengguna Anda.
Jika Anda menggunakan kunci KMS yang dikelola pelanggan untuk enkripsi saat istirahat di IAM Identity Center, dan telah mengonfigurasi kebijakan kunci KMS dengan konteks enkripsi, ketahuilah bahwa konteks enkripsi untuk Identity Store akan berubah. Misalnya, di Identity Store ARN “arn:aws:identitystore: :123456789012:identitystore/d-922763e9b3", “d-922763e9b3" adalah ID Toko Identitas. Untuk mencegah gangguan layanan selama transisi ini, ubah sementara kebijakan kunci KMS Anda untuk menggunakan pola wildcard: “arn:aws:identitystore: :123456789012:identitystore/\$1”.
Jika Anda sudah mengelola pengguna dan grup di direktori Pusat Identitas default, pertimbangkan hal berikut:
+ **Penugasan dihapus dan pengguna dan grup dihapus** — Mengubah sumber identitas Anda ke Active Directory menghapus pengguna dan grup Anda dari direktori Pusat Identitas. Perubahan ini juga menghapus tugas Anda. Dalam hal ini, setelah Anda mengubah ke Active Directory, Anda harus menyinkronkan pengguna dan grup dari Active Directory ke direktori Pusat Identitas, dan kemudian menerapkan kembali tugas mereka.
Jika Anda memilih untuk tidak menggunakan Active Directory, Anda harus membuat pengguna dan grup di direktori Pusat Identitas, dan kemudian membuat tugas.
+ **Penugasan tidak dihapus saat identitas dihapus — Saat identitas dihapus** di direktori Pusat Identitas, tugas yang sesuai juga akan dihapus di Pusat Identitas IAM. Namun di Active Directory, ketika identitas dihapus (baik di Active Directory atau identitas yang disinkronkan), tugas yang sesuai tidak akan dihapus.
+ **Tidak ada sinkronisasi keluar untuk APIs** — Jika Anda menggunakan Active Directory sebagai sumber identitas Anda, kami sarankan Anda menggunakan [Buat, Perbarui, dan Hapus APIs dengan hati-hati](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html). Pusat Identitas IAM tidak mendukung sinkronisasi keluar, sehingga sumber identitas Anda tidak diperbarui secara otomatis dengan perubahan yang Anda buat pada pengguna atau grup yang menggunakan ini. APIs
+ **URL portal akses akan berubah** — Mengubah sumber identitas Anda antara IAM Identity Center dan Active Directory juga mengubah URL untuk portal AWS akses.
+ Jika pengguna dihapus atau dinonaktifkan di konsol IAM Identity Center menggunakan Identity Store APIs, pengguna dengan sesi aktif dapat terus mengakses aplikasi dan akun terintegrasi. Untuk informasi tentang durasi sesi otentikasi dan perilaku pengguna, lihat[Memahami sesi otentikasi di IAM Identity Center](authconcept.md).
Untuk informasi tentang cara IAM Identity Center menyediakan pengguna dan grup, lihat[Microsoft ADdirektori](manage-your-identity-source-ad.md).
## Mengubah dari IAM Identity Center ke iDP eksternal
Jika Anda mengubah sumber identitas dari IAM Identity Center ke penyedia identitas eksternal (iDP), pertimbangkan hal berikut:
+ **Penugasan dan keanggotaan berfungsi dengan pernyataan yang benar** — tugas pengguna, penugasan grup, dan keanggotaan grup Anda terus berfungsi selama iDP baru mengirimkan pernyataan yang benar (misalnya, nama SAMP). IDs Pernyataan ini harus cocok dengan nama pengguna dan grup di Pusat Identitas IAM.
+ **Tidak ada sinkronisasi keluar** - Pusat Identitas IAM tidak mendukung sinkronisasi keluar, sehingga IDP eksternal Anda tidak akan diperbarui secara otomatis dengan perubahan pada pengguna dan grup yang Anda buat di IAM Identity Center.
+ **Penyediaan SCIM - jika Anda menggunakan penyediaan** SCIM, perubahan pada pengguna dan grup di penyedia identitas Anda hanya tercermin di Pusat Identitas IAM setelah penyedia identitas Anda mengirimkan perubahan tersebut ke Pusat Identitas IAM. Lihat [Pertimbangan untuk menggunakan penyediaan otomatis](provision-automatically.md#auto-provisioning-considerations).
+ **Rollback** — Anda dapat mengembalikan sumber identitas Anda kembali menggunakan IAM Identity Center kapan saja. Lihat [Mengubah dari iDP eksternal ke IAM Identity Center](#changing-from-idp-and-idc).
+ **Sesi pengguna yang ada dicabut pada durasi sesi kedaluwarsa** — Setelah Anda mengubah sumber identitas Anda menjadi penyedia identitas eksternal, sesi pengguna aktif tetap ada selama sisa durasi sesi maksimum yang dikonfigurasi di konsol. Misalnya, jika durasi sesi portal AWS akses disetel ke delapan jam, dan Anda mengubah sumber identitas di jam keempat, sesi pengguna aktif akan bertahan selama empat jam tambahan. Untuk mencabut sesi pengguna, lihat. [Melihat dan mengakhiri sesi aktif untuk pengguna tenaga kerja Anda](end-active-sessions.md)
Jika pengguna dihapus atau dinonaktifkan di konsol IAM Identity Center menggunakan Identity Store APIs, pengguna dengan sesi aktif dapat terus mengakses aplikasi dan akun terintegrasi. Untuk informasi tentang durasi sesi otentikasi dan perilaku pengguna, lihat[Memahami sesi otentikasi di IAM Identity Center](authconcept.md).
**catatan**
Anda tidak dapat mencabut sesi pengguna dari konsol Pusat Identitas IAM setelah Anda menghapus pengguna.
Untuk informasi tentang cara IAM Identity Center menyediakan pengguna dan grup, lihat[Penyedia identitas eksternal](manage-your-identity-source-idp.md).
## Mengubah dari iDP eksternal ke IAM Identity Center
Jika Anda mengubah sumber identitas dari penyedia identitas eksternal (iDP) menjadi IAM Identity Center, pertimbangkan hal berikut:
+ IAM Identity Center mempertahankan semua tugas Anda.
+ **Reset paksa kata sandi** — Pengguna yang memiliki kata sandi di Pusat Identitas IAM dapat melanjutkan masuk dengan kata sandi lama mereka. Untuk pengguna yang berada di IDP eksternal dan tidak berada di Pusat Identitas IAM, administrator harus memaksa pengaturan ulang kata sandi.
+ **Sesi pengguna yang ada dicabut pada durasi sesi kedaluwarsa** — Setelah Anda mengubah sumber identitas Anda ke Pusat Identitas IAM, sesi pengguna aktif tetap ada selama durasi sesi maksimum yang dikonfigurasi di konsol. Misalnya, jika durasi sesi portal AWS akses adalah delapan jam, dan Anda mengubah sumber identitas pada jam keempat, sesi pengguna aktif terus berjalan selama empat jam tambahan. Untuk mencabut sesi pengguna, lihat. [Melihat dan mengakhiri sesi aktif untuk pengguna tenaga kerja Anda](end-active-sessions.md)
Jika pengguna dihapus atau dinonaktifkan di konsol IAM Identity Center menggunakan Identity Store APIs, pengguna dengan sesi aktif dapat terus mengakses aplikasi dan akun terintegrasi. Untuk informasi tentang durasi sesi otentikasi dan perilaku pengguna, lihat[Memahami sesi otentikasi di IAM Identity Center](authconcept.md).
**catatan**
Anda tidak akan dapat mencabut sesi pengguna dari konsol Pusat Identitas IAM setelah Anda menghapus pengguna.
+ **Dukungan Multi-Wilayah** — Jika Anda telah mereplikasi Pusat Identitas IAM ke Wilayah tambahan atau berencana melakukannya, Anda harus menggunakan penyedia identitas eksternal sebagai sumber identitas. Untuk informasi lebih lanjut termasuk prasyarat lainnya, lihat. [Menggunakan Pusat Identitas IAM di beberapa Wilayah AWS](multi-region-iam-identity-center.md)
Untuk informasi tentang cara IAM Identity Center menyediakan pengguna dan grup, lihat[Mengelola pengguna di direktori Pusat Identitas](manage-your-identity-source-sso.md).
## Mengubah dari satu iDP eksternal ke iDP eksternal lainnya
Jika Anda sudah menggunakan iDP eksternal sebagai sumber identitas untuk IAM Identity Center dan Anda mengubah ke IDP eksternal yang berbeda, pertimbangkan hal berikut:
+ **Tugas dan keanggotaan bekerja dengan pernyataan yang benar** - IAM Identity Center mempertahankan semua tugas Anda. Tugas pengguna, penugasan grup, dan keanggotaan grup terus berfungsi selama iDP baru mengirimkan pernyataan yang benar (misalnya, nama SAMP). IDs
Pernyataan ini harus cocok dengan nama pengguna di Pusat Identitas IAM saat pengguna Anda mengautentikasi melalui iDP eksternal yang baru.
+ **Penyediaan SCIM** - Jika Anda menggunakan SCIM untuk penyediaan ke IAM Identity Center, kami sarankan Anda meninjau informasi khusus IDP dalam panduan ini dan dokumentasi yang disediakan oleh IDP untuk memastikan bahwa penyedia baru cocok dengan pengguna dan grup dengan benar saat SCIM diaktifkan.
+ **Sesi pengguna yang ada dicabut pada durasi sesi kedaluwarsa** — Setelah Anda mengubah sumber identitas Anda ke penyedia identitas eksternal yang berbeda, sesi pengguna aktif tetap ada selama durasi sesi maksimum yang dikonfigurasi di konsol. Misalnya, jika durasi sesi portal AWS akses adalah delapan jam, dan Anda mengubah sumber identitas pada jam keempat, sesi pengguna aktif bertahan selama empat jam tambahan. Untuk mencabut sesi pengguna, lihat. [Melihat dan mengakhiri sesi aktif untuk pengguna tenaga kerja Anda](end-active-sessions.md)
Jika pengguna dihapus atau dinonaktifkan di konsol IAM Identity Center menggunakan Identity Store APIs, pengguna dengan sesi aktif dapat terus mengakses aplikasi dan akun terintegrasi. Untuk informasi tentang durasi sesi otentikasi dan perilaku pengguna, lihat[Memahami sesi otentikasi di IAM Identity Center](authconcept.md).
**catatan**
Anda tidak dapat mencabut sesi pengguna dari konsol Pusat Identitas IAM setelah Anda menghapus pengguna.
Untuk informasi tentang cara IAM Identity Center menyediakan pengguna dan grup, lihat[Penyedia identitas eksternal](manage-your-identity-source-idp.md).
## Mengubah antara Active Directory dan iDP eksternal
Jika Anda mengubah sumber identitas dari iDP eksternal ke Active Directory, atau dari Active Directory ke iDP eksternal, pertimbangkan hal berikut:
+ **Pengguna, grup, dan tugas dihapus** - Semua pengguna, grup, dan tugas dihapus dari Pusat Identitas IAM. Tidak ada informasi pengguna atau grup yang terpengaruh baik di IDP eksternal atau Direktori Aktif.
+ **Menyediakan pengguna** — Jika Anda mengubah ke iDP eksternal, Anda harus mengonfigurasi Pusat Identitas IAM untuk menyediakan pengguna Anda. Atau, Anda harus secara manual menyediakan pengguna dan grup untuk iDP eksternal sebelum Anda dapat mengonfigurasi tugas.
+ **Buat tugas dan grup** — Jika Anda mengubah ke Active Directory, Anda harus membuat tugas dengan pengguna dan grup yang ada di direktori Anda di Active Directory.
+ Jika pengguna dihapus atau dinonaktifkan di konsol IAM Identity Center menggunakan Identity Store APIs, pengguna dengan sesi aktif dapat terus mengakses aplikasi dan akun terintegrasi. Untuk informasi tentang durasi sesi otentikasi dan perilaku pengguna, lihat[Memahami sesi otentikasi di IAM Identity Center](authconcept.md).
+ **Dukungan Multi-Wilayah** — Jika Anda telah mereplikasi Pusat Identitas IAM ke Wilayah tambahan atau berencana melakukannya, Anda harus menggunakan penyedia identitas eksternal sebagai sumber identitas. Untuk informasi lebih lanjut termasuk prasyarat lainnya, lihat. [Menggunakan Pusat Identitas IAM di beberapa Wilayah AWS](multi-region-iam-identity-center.md)
Untuk informasi tentang cara IAM Identity Center menyediakan pengguna dan grup, lihat[Microsoft ADdirektori](manage-your-identity-source-ad.md).
# Ubah sumber identitas Anda
Prosedur berikut menjelaskan cara mengubah dari direktori yang disediakan IAM Identity Center (direktori Pusat Identitas default) ke Active Directory atau penyedia identitas eksternal, atau sebaliknya. Sebelum Anda melanjutkan, tinjau informasi di[Pertimbangan untuk mengubah sumber identitas Anda](manage-your-identity-source-considerations.md). Untuk menyelesaikan prosedur ini, Anda memerlukan instance Organisasi dari IAM Identity Center. Untuk informasi selengkapnya, lihat [Organisasi dan instans akun Pusat Identitas IAM](identity-center-instances.md).
**Awas**
Bergantung pada penerapan Anda saat ini, perubahan ini menghapus setiap penetapan pengguna dan grup yang Anda konfigurasikan di Pusat Identitas IAM. Perubahan ini juga akan menghapus izin set peran IAM dari Anda Akun AWS. Akibatnya, Anda mungkin perlu memperbarui kebijakan sumber daya Anda, dan harus memastikan ini tidak akan mengganggu akses Anda ke AWS KMS kunci dan kluster Amazon EKS. Untuk mempelajari selengkapnya, lihat [Mereferensikan set izin dalam kebijakan sumber daya, peta konfigurasi Amazon EKS Cluster, dan AWS KMS kebijakan utama](referencingpermissionsets.md).
Ketika ini terjadi, semua pengguna dan grup, termasuk pengguna administratif di IAM Identity Center, akan kehilangan akses masuk tunggal ke aplikasi dan aplikasi mereka Akun AWS .
**Untuk Mengubah Sumber Identitas**
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**. Pilih **Tindakan**, lalu pilih **Ubah sumber identitas**.
1. Di bawah **Pilih sumber identitas**, pilih sumber yang ingin Anda ubah, lalu pilih **Berikutnya**.
Jika Anda mengubah ke Active Directory, pilih direktori yang tersedia dari menu di halaman berikutnya.
**penting**
Mengubah sumber identitas Anda ke atau dari Active Directory akan menghapus pengguna dan grup dari direktori Pusat Identitas. Perubahan ini juga menghapus tugas apa pun yang Anda konfigurasikan di Pusat Identitas IAM.
**catatan**
Jika Anda mereplikasi Pusat Identitas IAM ke Wilayah tambahan, Anda tidak akan dapat mengubah jenis sumber identitas Anda. Anda hanya dapat mengganti IDP eksternal saat ini dengan yang lain. Untuk mengubah tipe sumber identitas, Anda harus menghapus semua Wilayah tambahan terlebih dahulu. Untuk informasi selengkapnya, lihat [Menggunakan Pusat Identitas IAM di beberapa Wilayah AWS](multi-region-iam-identity-center.md)
Jika Anda beralih ke penyedia identitas eksternal, kami sarankan Anda mengikuti langkah-langkahnya[Cara terhubung ke penyedia identitas eksternal](how-to-connect-idp.md).
1. **Setelah Anda membaca disclaimer dan siap untuk melanjutkan, ketik ACCEPT.**
1. Pilih **Ubah sumber identitas**. Jika Anda mengubah sumber identitas Anda ke Active Directory, lanjutkan ke langkah berikutnya.
1. Mengubah sumber identitas Anda ke Active Directory akan membawa Anda ke halaman **Pengaturan**. Pada halaman **Pengaturan**, lakukan salah satu hal berikut:
+ Pilih **Mulai pengaturan yang dipandu**. Untuk informasi tentang cara menyelesaikan proses penyiapan terpandu, lihat[Pengaturan terpandu](manage-sync-configurable-ADsync.md#manage-sync-guided-setup-configurable-ADsync).
+ Di bagian **Sumber identitas**, pilih **Tindakan**, lalu pilih **Kelola sinkronisasi** untuk mengonfigurasi *cakupan sinkronisasi* Anda, daftar pengguna dan grup yang akan disinkronkan.
# Atribut pengguna dan grup yang didukung di Pusat Identitas IAM
Panduan ini memberikan referensi untuk dukungan atribut SCIM di IAM Identity Center. Ini mencantumkan atribut pengguna dan grup mana dari spesifikasi SCIM yang didukung di penyimpanan identitas Pusat Identitas IAM, dan mengidentifikasi atribut dan sub-atribut tertentu yang tidak didukung.
Atribut adalah potongan informasi yang membantu Anda menentukan dan mengidentifikasi pengguna individu atau objek grup, seperti`name`,`email`, atau`members`. IAM Identity Center mendukung atribut yang paling umum digunakan melalui entri manual dan penyediaan SCIM otomatis.
+ [Untuk informasi tentang spesifikasi Sistem untuk Manajemen Identitas Lintas Domain (SCIM), lihat https://tools.ietf.org/html /rfc7642.](https://tools.ietf.org/html/rfc7642)
+ Untuk informasi tentang penyediaan manual dan otomatis, lihat. [Penyediaan saat pengguna berasal dari iDP eksternal](manage-your-identity-source-idp.md#provisioning-when-external-idp)
+ Untuk informasi tentang pemetaan atribut, lihat[Pemetaan atribut antara Pusat Identitas IAM dan direktori Penyedia Identitas Eksternal](attributemappingsconcept.md).
Karena IAM Identity Center mendukung SCIM untuk kasus penggunaan penyediaan otomatis, direktori Identity Center mendukung semua atribut pengguna dan grup yang sama yang tercantum dalam spesifikasi SCIM, dengan beberapa pengecualian. Bagian berikut menjelaskan atribut mana yang tidak didukung oleh IAM Identity Center.
## Objek pengguna tidak didukung
Semua atribut dari skema pengguna SCIM ([https://tools.ietf.org/html/rfc7643 \$1section -8.3](https://tools.ietf.org/html/rfc7643#section-8.3)) didukung di penyimpanan identitas Pusat Identitas IAM, kecuali yang berikut ini:
+ `password`
+ `ims`
+ `photos`
+ `entitlements`
+ `x509Certificates`
Semua sub-atribut untuk pengguna didukung, kecuali yang berikut ini:
+ `'display'`sub-atribut dari setiap atribut multi-nilai (Misalnya, `emails` atau) `phoneNumbers`
+ `'version'`sub-atribut atribut `'meta'`
## Objek grup tidak didukung
Semua atribut dari skema grup SCIM ([https://tools.ietf.org/html/rfc7643](https://tools.ietf.org/html/rfc7643#section-8.4) \$1section -8.4) didukung.
Semua sub-atribut untuk grup didukung, kecuali yang berikut ini:
+ `'display'`sub-atribut dari setiap atribut multi-nilai (Misalnya, anggota).
# Penyedia identitas eksternal
Dengan IAM Identity Center, Anda dapat menghubungkan identitas tenaga kerja yang ada dari penyedia identitas eksternal (IdPs) melalui protokol Security Assertion Markup Language (SAMP) 2.0 dan System for Cross-Domain Identity Management (SCIM). Hal ini memungkinkan pengguna Anda untuk masuk ke portal AWS akses dengan kredensi perusahaan mereka. Mereka kemudian dapat menavigasi ke akun, peran, dan aplikasi yang ditetapkan yang dihosting di eksternal IdPs.
Misalnya, Anda dapat menghubungkan IDP eksternal seperti Okta atauMicrosoft Entra ID, ke IAM Identity Center. Pengguna Anda kemudian dapat masuk ke portal AWS akses dengan kredensialnya yang ada Okta atau Microsoft Entra ID kredensialnya. Untuk mengontrol apa yang dapat dilakukan pengguna setelah mereka masuk, Anda dapat menetapkan izin akses secara terpusat di semua akun dan aplikasi di organisasi Anda. AWS Selain itu, pengembang cukup masuk ke AWS Command Line Interface (AWS CLI) menggunakan kredensialnya yang ada, dan mendapat manfaat dari pembuatan dan rotasi kredenal jangka pendek otomatis.
Jika Anda menggunakan direktori yang dikelola sendiri di Direktori Aktif atau direktori AWS Managed Microsoft AD, lihat[Microsoft ADdirektori](manage-your-identity-source-ad.md).
**catatan**
Protokol SAMP tidak menyediakan cara untuk menanyakan IDP untuk mempelajari tentang pengguna dan grup. Oleh karena itu, Anda harus membuat Pusat Identitas IAM mengetahui pengguna dan grup tersebut dengan menyediakannya ke Pusat Identitas IAM.
## Penyediaan saat pengguna berasal dari iDP eksternal
Saat menggunakan iDP eksternal, Anda harus menyediakan semua pengguna dan grup yang berlaku ke Pusat Identitas IAM sebelum Anda dapat membuat tugas atau aplikasi apa pun. Akun AWS Untuk melakukan ini, Anda dapat mengonfigurasi [Menyediakan pengguna dan grup dari penyedia identitas eksternal menggunakan SCIM](provision-automatically.md) untuk pengguna dan grup Anda, atau gunakan[Penyediaan manual](provision-automatically.md#provision-manually). Terlepas dari bagaimana Anda menyediakan pengguna, IAM Identity Center mengalihkan, antarmuka baris perintah Konsol Manajemen AWS, dan otentikasi aplikasi ke iDP eksternal Anda. IAM Identity Center kemudian memberikan akses ke sumber daya tersebut berdasarkan kebijakan yang Anda buat di IAM Identity Center. Untuk informasi selengkapnya tentang penyediaan, lihat. [Penyediaan pengguna dan grup](users-groups-provisioning.md#user-group-provision)
**Topics**
+ [Penyediaan saat pengguna berasal dari iDP eksternal](#provisioning-when-external-idp)
+ [Cara terhubung ke penyedia identitas eksternal](how-to-connect-idp.md)
+ [Cara mengubah metadata penyedia identitas eksternal di IAM Identity Center](how-to-change-idp-metadata.md)
+ [Menggunakan federasi identitas SAMP dan SCIM dengan penyedia identitas eksternal](other-idps.md)
+ [Profil SCIM dan implementasi SAMP 2.0](scim-profile-saml.md)
# Cara terhubung ke penyedia identitas eksternal
Ada berbagai prasyarat, pertimbangan, dan prosedur penyediaan untuk eksternal yang didukung. IdPs Ada step-by-step tutorial yang tersedia untuk beberapa IdPs:
+ [CyberArk](cyberark-idp.md)
+ [Google Workspace](gs-gwp.md)
+ [JumpCloud](jumpcloud-idp.md)
+ [Microsoft Entra ID](idp-microsoft-entra.md)
+ [Okta](gs-okta.md)
+ [OneLogin](onelogin-idp.md)
+ [Identitas Ping](pingidentity.md)
Untuk informasi lebih lanjut tentang pertimbangan eksternal IdPs yang didukung IAM Identity Center, lihat. [Menggunakan federasi identitas SAMP dan SCIM dengan penyedia identitas eksternal](other-idps.md)
Prosedur berikut memberikan gambaran umum tentang prosedur yang digunakan dengan semua penyedia identitas eksternal.
**Untuk terhubung ke penyedia identitas eksternal**
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, lalu pilih **Tindakan > Ubah sumber identitas**.
1. Di bawah **Pilih sumber identitas**, pilih **Penyedia identitas eksternal**, lalu pilih **Berikutnya**.
1. Di bawah **Konfigurasi penyedia identitas eksternal**, lakukan hal berikut:
1. Di bawah **metadata penyedia layanan**, pilih **Unduh file metadata untuk mengunduh file** metadata dan menyimpannya di sistem Anda. File metadata SAMP Pusat Identitas IAM diperlukan oleh penyedia identitas eksternal Anda.
**catatan**
File metadata SAMP yang Anda unduh berisi layanan konsumen pernyataan IPv4 -only dan dual-stack assertion (ACS). URLs Selanjutnya, jika Pusat Identitas IAM Anda direplikasi ke Wilayah tambahan, file metadata berisi ACS URLs untuk setiap Wilayah tambahan. Jika IDP eksternal Anda memiliki batas jumlah ACS URLs, Anda harus menghapus ACS yang tidak perlu. URLs Misalnya, jika organisasi Anda telah sepenuhnya mengadopsi titik akhir dual-stack dan tidak lagi menggunakan IP4v -only, Anda dapat menghapus yang terakhir. Pendekatan alternatif adalah tidak menggunakan file metadata tetapi untuk menyalin dan menempelkan ACS URLs ke iDP eksternal.
1. Di bawah **Metadata penyedia identitas**, pilih **Pilih file**, dan temukan file metadata yang Anda unduh dari penyedia identitas eksternal Anda. Kemudian unggah file tersebut. File metadata ini berisi sertifikat x509 publik yang diperlukan yang digunakan untuk mempercayai pesan yang dikirim dari iDP.
1. Pilih **Berikutnya**.
**penting**
Mengubah sumber Anda ke atau dari Active Directory menghapus semua penetapan pengguna dan grup yang ada. Anda harus mengajukan kembali tugas secara manual setelah Anda berhasil mengubah sumber Anda.
1. **Setelah Anda membaca disclaimer dan siap untuk melanjutkan, masukkan ACCEPT.**
1. Pilih **Ubah sumber identitas**. Pesan status memberi tahu Anda bahwa Anda berhasil mengubah sumber identitas.
# Cara mengubah metadata penyedia identitas eksternal di IAM Identity Center
Anda dapat mengubah metadata penyedia identitas eksternal yang sebelumnya Anda berikan ke Pusat Identitas IAM. Perubahan ini memengaruhi kemampuan pengguna Anda untuk masuk dan mengakses AWS sumber daya melalui Pusat Identitas IAM. Prosedur berikut menjelaskan cara memperbarui metadata eksternal IDP Anda yang disimpan di IAM Identity Center. Untuk menyelesaikan prosedur ini, Anda memerlukan instance Organisasi dari IAM Identity Center. Untuk informasi selengkapnya, lihat [Organisasi dan instans akun Pusat Identitas IAM](identity-center-instances.md).
**Untuk mengubah metadata penyedia identitas eksternal**
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**. Pilih **Tindakan** dan kemudian pilih **Kelola Otentikasi.**
1. Di bagian metadata **penyedia identitas, pilih Edit metadata** **iDP**. Anda dapat membuat perubahan pada URL masuk IDP dan atau URL penerbit iDP untuk iDP eksternal Anda di halaman ini. Pilih **Simpan perubahan** ketika Anda telah membuat semua perubahan yang diperlukan.
# Menggunakan federasi identitas SAMP dan SCIM dengan penyedia identitas eksternal
IAM Identity Center mengimplementasikan protokol berbasis standar berikut untuk federasi identitas:
+ SAMP 2.0 untuk otentikasi pengguna
+ SCIM untuk penyediaan
Setiap penyedia identitas (IDP) yang mengimplementasikan protokol standar ini diharapkan dapat berhasil beroperasi dengan IAM Identity Center, dengan pertimbangan khusus berikut:
+ **SAM**
+ IAM Identity Center memerlukan format alamat email SAMP NameID (yaitu,). `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`
+ [Nilai bidang NameID dalam pernyataan harus berupa string RFC 2822 ([https://tools.ietf.org/html/rfc2822) yang sesuai dengan spesifikasi (“”) (/rfc2822 \$1section](https://tools.ietf.org/html/rfc2822) -3.4.1). `name@domain.com` https://tools.ietf.org/html](https://tools.ietf.org/html/rfc2822#section-3.4.1)
+ File metadata tidak boleh lebih dari 75000 karakter.
+ Metadata harus berisi EntityID, sertifikat X509, dan SingleSignOnService sebagai bagian dari URL masuk.
+ Kunci enkripsi tidak didukung.
+ IAM Identity Center tidak mendukung penandatanganan permintaan otentikasi SAMP yang dikirim ke eksternal. IdPs
+ IDP harus mendukung layanan konsumen pernyataan ganda (ACS) URLs jika Anda berencana untuk mereplikasi Pusat Identitas IAM ke Wilayah tambahan, dan sepenuhnya memanfaatkan manfaat Pusat Identitas IAM Multi-wilayah. Untuk informasi selengkapnya, lihat [Menggunakan Pusat Identitas IAM di beberapa Wilayah AWS](multi-region-iam-identity-center.md). Menggunakan satu URL ACS dapat memengaruhi pengalaman pengguna di Wilayah tambahan. Wilayah utama Anda akan terus berfungsi secara normal. Untuk informasi selengkapnya tentang pengalaman pengguna di Wilayah tambahan dengan satu URL ACS, lihat [Menggunakan aplikasi AWS terkelola tanpa beberapa ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) dan[Akun AWS ketahanan akses tanpa beberapa ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
+ **SCIM**
+ [Implementasi IAM Identity Center SCIM didasarkan pada SCIM RFCs 7642 ([https://tools.ietf.org/html/rfc7642), 7643 (/rfc7643](https://tools.ietf.org/html/rfc7642)), dan 7644 ([https://tools.ietf.org/html/rfc7644), dan persyaratan interoperabilitas](https://tools.ietf.org/html/rfc7643) yang tercantum dalam [https://tools.ietf.org/htmldraf Maret 2020 dari Profil SCIM Dasar 1.0 (\$1rfc .section.4](https://tools.ietf.org/html/rfc7644)). FastFed https://openid.net/specs/fastfed-scim-1\$10-02.html](https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4) Perbedaan apa pun antara dokumen ini dan implementasi saat ini di Pusat Identitas IAM dijelaskan di bagian [Operasi API yang Didukung](https://docs.aws.amazon.com/singlesignon/latest/developerguide/supported-apis.html) dari Panduan Pengembang *Implementasi SCIM Pusat Identitas IAM*.
IdPs yang tidak sesuai dengan standar dan pertimbangan yang disebutkan di atas tidak didukung. Silakan hubungi IDP Anda untuk pertanyaan atau klarifikasi mengenai kesesuaian produk mereka dengan standar dan pertimbangan ini.
Jika Anda memiliki masalah dalam menghubungkan IDP Anda ke IAM Identity Center, kami sarankan Anda memeriksa:
+ AWS CloudTrail **log dengan memfilter pada nama ExternalId PDirectory acara Login**
+ Log and/or debug khusus IDP
+ [Memecahkan masalah Pusat Identitas IAM](troubleshooting.md)
**catatan**
Beberapa IdPs, seperti yang ada di[Tutorial sumber identitas Pusat Identitas IAM](tutorials.md), menawarkan pengalaman konfigurasi yang disederhanakan untuk IAM Identity Center dalam bentuk “aplikasi” atau “konektor” yang dibangun khusus untuk IAM Identity Center. Jika IDP Anda menyediakan opsi ini, kami sarankan Anda menggunakannya, berhati-hati untuk memilih item yang dibuat khusus untuk IAM Identity Center. Item lain yang disebut “AWS”, “AWS federasi”, atau nama generik serupa "AWS" dapat menggunakan and/or titik akhir pendekatan federasi lainnya, dan mungkin tidak berfungsi seperti yang diharapkan dengan IAM Identity Center.
# Profil SCIM dan implementasi SAMP 2.0
Baik SCIM dan SAMP merupakan pertimbangan penting untuk mengkonfigurasi IAM Identity Center.
## Implementasi SAMP 2.0
IAM Identity Center mendukung federasi identitas dengan [SAMP (Security Assertion Markup](https://wiki.oasis-open.org/security) Language) 2.0. Hal ini memungkinkan IAM Identity Center untuk mengautentikasi identitas dari penyedia identitas eksternal (). IdPs SAMP 2.0 adalah standar terbuka yang digunakan untuk bertukar pernyataan SAMP dengan aman. SAMP 2.0 meneruskan informasi tentang pengguna antara otoritas SAMP (disebut penyedia identitas atau IDP), dan konsumen SAMP (disebut penyedia layanan atau SP). Layanan IAM Identity Center menggunakan informasi ini untuk menyediakan sistem masuk tunggal federasi. Single sign-on memungkinkan pengguna untuk mengakses Akun AWS dan mengkonfigurasi aplikasi berdasarkan kredensi penyedia identitas yang ada.
IAM Identity Center menambahkan kemampuan SAMP iDP ke toko IAM Identity Center Anda, AWS Managed Microsoft AD, atau ke penyedia identitas eksternal. Pengguna kemudian dapat masuk tunggal ke layanan yang mendukung SAMP, termasuk aplikasi Konsol Manajemen AWS dan pihak ketiga sepertiMicrosoft 365,, Concur dan. Salesforce
Namun protokol SAMP tidak menyediakan cara untuk menanyakan IDP untuk mempelajari tentang pengguna dan grup. Oleh karena itu, Anda harus membuat Pusat Identitas IAM mengetahui pengguna dan grup tersebut dengan menyediakannya ke Pusat Identitas IAM.
## Profil SCIM
IAM Identity Center menyediakan dukungan untuk standar System for Cross-domain Identity Management (SCIM) v2.0. SCIM menjaga identitas IAM Identity Center Anda tetap sinkron dengan identitas dari IDP Anda. Ini termasuk penyediaan, pembaruan, dan penonaktifan pengguna antara IDP dan Pusat Identitas IAM Anda.
Untuk informasi selengkapnya tentang cara menerapkan SCIM, lihat[Menyediakan pengguna dan grup dari penyedia identitas eksternal menggunakan SCIM](provision-automatically.md). Untuk detail tambahan tentang implementasi SCIM IAM Identity Center, lihat Panduan Pengembang Implementasi [SCIM Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html).
**Topics**
+ [Implementasi SAMP 2.0](#samlfederationconcept)
+ [Profil SCIM](#scim-profile)
+ [Menyediakan pengguna dan grup dari penyedia identitas eksternal menggunakan SCIM](provision-automatically.md)
+ [Putar sertifikat SAMP 2.0](managesamlcerts.md)
# Menyediakan pengguna dan grup dari penyedia identitas eksternal menggunakan SCIM
IAM Identity Center mendukung penyediaan otomatis (sinkronisasi) informasi pengguna dan grup dari penyedia identitas Anda (IDP) ke Pusat Identitas IAM menggunakan protokol System for Cross-domain Identity Management (SCIM) v2.0. Saat mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna penyedia identitas (iDP) Anda ke atribut bernama di Pusat Identitas IAM. Hal ini menyebabkan atribut yang diharapkan cocok antara IAM Identity Center dan IDP Anda. Anda mengonfigurasi koneksi ini di IDP Anda menggunakan endpoint SCIM Anda untuk IAM Identity Center dan token pembawa yang Anda buat di IAM Identity Center.
**Topics**
+ [Pertimbangan untuk menggunakan penyediaan otomatis](#auto-provisioning-considerations)
+ [Cara memantau kedaluwarsa token akses](#access-token-expiry)
+ [Hasilkan token akses](generate-token.md)
+ [Aktifkan penyediaan otomatis](how-to-with-scim.md)
+ [Hapus token akses](delete-token.md)
+ [Nonaktifkan penyediaan otomatis](disable-provisioning.md)
+ [Putar token akses](rotate-token.md)
+ [Audit dan rekonsiliasi sumber daya yang disediakan secara otomatis](reconcile-auto-provisioning.md)
+ [Penyediaan manual](#provision-manually)
## Pertimbangan untuk menggunakan penyediaan otomatis
Sebelum Anda mulai menerapkan SCIM, kami sarankan Anda terlebih dahulu meninjau pertimbangan penting berikut tentang cara kerjanya dengan IAM Identity Center. Untuk pertimbangan penyediaan tambahan, lihat yang [Tutorial sumber identitas Pusat Identitas IAM](tutorials.md) berlaku untuk IDP Anda.
+ Jika Anda menyediakan alamat email utama, nilai atribut ini harus unik untuk setiap pengguna. Dalam beberapa IdPs, alamat email utama mungkin bukan alamat email asli. Misalnya, itu mungkin Universal Principal Name (UPN) yang hanya terlihat seperti email. Ini IdPs mungkin memiliki alamat email sekunder atau “lain” yang berisi alamat email asli pengguna. Anda harus mengonfigurasi SCIM di IDP Anda untuk memetakan alamat email unik non-Null ke atribut alamat email utama IAM Identity Center. Dan Anda harus memetakan pengenal masuk unik non-Null pengguna ke atribut nama pengguna IAM Identity Center. Periksa untuk melihat apakah IDP Anda memiliki nilai tunggal yang merupakan pengenal masuk dan nama email pengguna. Jika demikian, Anda dapat memetakan bidang IDP tersebut ke email utama IAM Identity Center dan nama pengguna IAM Identity Center.
+ Agar sinkronisasi SCIM berfungsi, setiap pengguna harus memiliki nilai Nama Depan, **Nama belakang**, **Nama** **Pengguna**, dan **Nama tampilan** yang ditentukan. Jika salah satu dari nilai-nilai ini hilang dari pengguna, pengguna tersebut tidak akan disediakan.
+ Jika Anda perlu menggunakan aplikasi pihak ketiga, Anda harus terlebih dahulu memetakan atribut subjek SAMP keluar ke atribut nama pengguna. Jika aplikasi pihak ketiga memerlukan alamat email yang dapat dirutekan, Anda harus memberikan atribut email ke IDP Anda.
+ Penyediaan SCIM dan interval pembaruan dikendalikan oleh penyedia identitas Anda. Perubahan pada pengguna dan grup di penyedia identitas Anda hanya tercermin di Pusat Identitas IAM setelah penyedia identitas Anda mengirimkan perubahan tersebut ke Pusat Identitas IAM. Periksa dengan penyedia identitas Anda untuk detail tentang frekuensi pembaruan pengguna dan grup.
+ Saat ini, atribut multivalue (seperti beberapa email atau nomor telepon untuk pengguna tertentu) tidak disediakan dengan SCIM. Upaya untuk menyinkronkan atribut multivalue ke IAM Identity Center dengan SCIM akan gagal. Untuk menghindari kegagalan, pastikan bahwa hanya satu nilai yang dilewatkan untuk setiap atribut. Jika Anda memiliki pengguna dengan atribut multivalue, hapus atau modifikasi pemetaan atribut duplikat di SCIM di idP Anda untuk koneksi ke IAM Identity Center.
+ Verifikasi bahwa pemetaan `externalId` SCIM di IDP Anda sesuai dengan nilai yang unik, selalu ada, dan paling tidak mungkin berubah untuk pengguna Anda. Misalnya, IDP Anda mungkin memberikan jaminan `objectId` atau pengenal lain yang tidak terpengaruh oleh perubahan atribut pengguna seperti nama dan email. Jika demikian, Anda dapat memetakan nilai itu ke `externalId` bidang SCIM. Ini memastikan bahwa pengguna Anda tidak akan kehilangan AWS hak, penetapan, atau izin jika Anda perlu mengubah nama atau email mereka.
+ Pengguna yang belum ditugaskan ke aplikasi atau Akun AWS tidak dapat disediakan ke Pusat Identitas IAM. Untuk menyinkronkan pengguna dan grup, pastikan bahwa mereka ditetapkan ke aplikasi atau pengaturan lain yang mewakili koneksi IDP Anda ke IAM Identity Center.
+ Perilaku deprovisioning pengguna dikelola oleh penyedia identitas dan dapat bervariasi menurut implementasinya. Periksa dengan penyedia identitas Anda untuk detail tentang deprovisioning pengguna.
+ Setelah menyiapkan penyediaan otomatis dengan SCIM untuk IDP Anda, Anda tidak dapat lagi menambahkan atau mengedit pengguna di konsol Pusat Identitas IAM. Jika Anda perlu menambahkan atau memodifikasi pengguna, Anda harus melakukannya dari IDP eksternal atau sumber identitas Anda.
Untuk informasi selengkapnya tentang implementasi SCIM IAM Identity Center, lihat Panduan Pengembang Implementasi [IAM Identity Center SCIM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html).
## Cara memantau kedaluwarsa token akses
Token akses SCIM dihasilkan dengan validitas satu tahun. Ketika token akses SCIM Anda diatur untuk kedaluwarsa dalam 90 hari atau kurang, AWS mengirimkan pengingat di konsol Pusat Identitas IAM dan melalui AWS Health Dasbor untuk membantu Anda memutar token. Dengan memutar token akses SCIM sebelum kedaluwarsa, Anda terus mengamankan penyediaan otomatis informasi pengguna dan grup. Jika token akses SCIM kedaluwarsa, sinkronisasi informasi pengguna dan grup dari penyedia identitas Anda ke Pusat Identitas IAM berhenti, sehingga penyediaan otomatis tidak dapat lagi membuat pembaruan atau membuat dan menghapus informasi. Gangguan terhadap penyediaan otomatis dapat menimbulkan peningkatan risiko keamanan dan berdampak pada akses ke layanan Anda.
Pengingat konsol Pusat Identitas tetap ada hingga Anda memutar token akses SCIM dan menghapus token akses yang tidak digunakan atau kedaluwarsa. Acara AWS Health Dasbor diperbarui setiap minggu antara 90 hingga 60 hari, dua kali per minggu dari 60 hingga 30 hari, tiga kali per minggu dari 30 hingga 15 hari, dan setiap hari dari 15 hari hingga token akses SCIM kedaluwarsa.
# Hasilkan token akses
Gunakan prosedur berikut untuk menghasilkan token akses baru di konsol Pusat Identitas IAM.
**catatan**
Prosedur ini mengharuskan Anda sebelumnya mengaktifkan penyediaan otomatis. Untuk informasi selengkapnya, lihat [Aktifkan penyediaan otomatis](how-to-with-scim.md).
**Untuk menghasilkan token akses baru**
1. Di [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), pilih **Pengaturan** di panel navigasi kiri.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, lalu pilih **Tindakan > Kelola penyediaan**.
1. Pada halaman **Penyediaan otomatis**, di bawah **Token akses, pilih **Hasilkan** token**.
1. Di kotak dialog **Generate new access token**, salin token akses baru dan simpan di tempat yang aman.
1. Pilih **Tutup**.
# Aktifkan penyediaan otomatis
Gunakan prosedur berikut untuk mengaktifkan penyediaan otomatis pengguna dan grup dari IDP Anda ke Pusat Identitas IAM menggunakan protokol SCIM.
**catatan**
Sebelum Anda memulai prosedur ini, kami sarankan Anda terlebih dahulu meninjau pertimbangan penyediaan yang berlaku untuk IDP Anda. Untuk informasi selengkapnya, lihat [Tutorial sumber identitas Pusat Identitas IAM](tutorials.md) untuk IDP Anda.
**Untuk mengaktifkan penyediaan otomatis di Pusat Identitas IAM**
1. Setelah Anda menyelesaikan prasyarat, buka konsol Pusat Identitas [IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan** di panel navigasi kiri.
1. **Pada halaman **Pengaturan**, cari kotak Informasi **penyediaan otomatis, lalu pilih Aktifkan**.** Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.
1. Di kotak dialog **Inbound automatic provisioning**, salin endpoint SCIM dan token akses. Anda harus menempelkannya nanti saat mengonfigurasi penyediaan di iDP Anda.
1. **Titik akhir SCIM** - Misalnya, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token akses** - Pilih **Tampilkan token** untuk menyalin nilainya.
**Awas**
Ini adalah satu-satunya waktu di mana Anda dapat memperoleh titik akhir SCIM dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju. Anda akan memasukkan nilai-nilai ini untuk mengkonfigurasi penyediaan otomatis di IDP Anda nanti dalam tutorial ini.
1. Pilih **Tutup**.
Setelah Anda menyelesaikan prosedur ini, Anda harus mengonfigurasi penyediaan otomatis di IDP Anda. Untuk informasi selengkapnya, lihat [Tutorial sumber identitas Pusat Identitas IAM](tutorials.md) untuk IDP Anda.
# Hapus token akses
Gunakan prosedur berikut untuk menghapus token akses yang ada di konsol Pusat Identitas IAM.
**Untuk menghapus token akses yang ada**
1. Di [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), pilih **Pengaturan** di panel navigasi kiri.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, lalu pilih **Tindakan > Kelola penyediaan**.
1. **Pada halaman **Penyediaan otomatis**, di bawah **Token akses, pilih token** akses yang ingin Anda hapus, lalu pilih Hapus.**
1. Di kotak dialog **Hapus akses token**, tinjau informasi, ketik **DELETE**, lalu pilih **Hapus token akses**.
# Nonaktifkan penyediaan otomatis
Gunakan prosedur berikut untuk menonaktifkan penyediaan otomatis di konsol Pusat Identitas IAM.
**penting**
Anda harus menghapus token akses sebelum memulai prosedur ini. Untuk informasi selengkapnya, lihat [Hapus token akses](delete-token.md).
**Untuk menonaktifkan penyediaan otomatis di konsol Pusat Identitas IAM**
1. Di [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), pilih **Pengaturan** di panel navigasi kiri.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, lalu pilih **Tindakan > Kelola penyediaan**.
1. **Pada halaman **Penyediaan otomatis, pilih Nonaktifkan**.**
1. Di kotak dialog **Nonaktifkan penyediaan otomatis**, tinjau informasi, ketik **DISABLE**, lalu pilih **Nonaktifkan penyediaan otomatis**.
# Putar token akses
Direktori IAM Identity Center mendukung hingga dua token akses sekaligus. Untuk menghasilkan token akses tambahan sebelum rotasi apa pun, hapus token akses yang kedaluwarsa atau tidak terpakai.
Jika token akses SCIM Anda hampir kedaluwarsa, Anda dapat menggunakan prosedur berikut untuk memutar token akses yang ada di konsol Pusat Identitas IAM.
**Untuk memutar token akses**
1. Di [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), pilih **Pengaturan** di panel navigasi kiri.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, lalu pilih **Tindakan > Kelola penyediaan**.
1. Pada halaman **Penyediaan otomatis**, di bawah **Token akses**, catat ID token token yang ingin Anda putar.
1. Ikuti langkah-langkah [Hasilkan token akses](generate-token.md) untuk membuat token baru. Jika Anda telah membuat jumlah maksimum token akses SCIM, Anda harus terlebih dahulu menghapus salah satu token yang ada.
1. Buka situs web penyedia identitas Anda dan konfigurasikan token akses baru untuk penyediaan SCIM, lalu uji konektivitas ke Pusat Identitas IAM menggunakan token akses SCIM baru. Setelah Anda mengonfirmasi bahwa penyediaan berhasil menggunakan token baru, lanjutkan ke langkah berikutnya dalam prosedur ini.
1. Ikuti langkah-langkah [Hapus token akses](delete-token.md) untuk menghapus token akses lama yang Anda catat sebelumnya. Anda juga dapat menggunakan tanggal pembuatan token sebagai petunjuk token mana yang akan dihapus.
# Audit dan rekonsiliasi sumber daya yang disediakan secara otomatis
SCIM memungkinkan Anda untuk secara otomatis menyediakan pengguna, grup, dan keanggotaan grup dari sumber identitas Anda ke IAM Identity Center. Panduan ini membantu Anda memverifikasi dan mendamaikan sumber daya ini untuk mempertahankan sinkronisasi yang akurat.
## Mengapa mengaudit sumber daya Anda?
Audit rutin membantu memastikan kontrol akses Anda tetap akurat dan penyedia identitas (IDP) Anda tetap disinkronkan dengan Pusat Identitas IAM dengan benar. Ini sangat penting untuk kepatuhan keamanan dan manajemen akses.
Sumber daya yang dapat Anda audit:
+ Pengguna
+ Grup
+ Keanggotaan grup
Anda dapat menggunakan [perintah AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)atau CLI](https://docs.aws.amazon.com/cli/latest/reference/identitystore/) untuk melakukan audit dan rekonsiliasi. Contoh berikut menggunakan AWS CLI perintah. Untuk alternatif API, lihat [operasi terkait](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) dalam *referensi Identity Store API*.
## Cara mengaudit sumber daya
Berikut adalah contoh cara mengaudit sumber daya ini menggunakan AWS CLI perintah.
Sebelum Anda mulai, pastikan Anda memiliki:
+ Akses administrator ke Pusat Identitas IAM.
+ AWS CLI diinstal dan dikonfigurasi. Untuk selengkapnya, lihat [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
+ Izin IAM yang diperlukan untuk perintah Identity Store.
### Langkah 1: Daftar sumber daya saat ini
Anda dapat melihat sumber daya Anda saat ini menggunakan AWS CLI.
**catatan**
Saat menggunakan AWS CLI, pagination ditangani secara otomatis kecuali Anda menentukan. `--no-paginate` Jika Anda memanggil API secara langsung (misalnya, dengan SDK atau skrip khusus), tangani `NextToken` respons tersebut. Ini memastikan Anda mengambil semua hasil di beberapa halaman.
**Example untuk pengguna**
```
aws identitystore list-users \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example untuk kelompok**
```
aws identitystore list-groups \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example untuk keanggotaan grup**
```
aws identitystore list-group-memberships \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
--group-id GROUP_ID
```
### Langkah 2: Bandingkan dengan sumber identitas Anda
Bandingkan sumber daya yang terdaftar dengan sumber identitas Anda untuk mengidentifikasi perbedaan apa pun, seperti:
+ Sumber daya yang hilang yang harus disediakan di Pusat Identitas IAM.
+ Sumber daya tambahan yang harus dihapus dari IAM Identity Center.
**Example untuk pengguna**
```
# Create missing users
aws identitystore create-user \
--identity-store-id IDENTITY_STORE_ID \
--user-name USERNAME \
--display-name DISPLAY_NAME \
--name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
--emails Value=EMAIL,Primary=true
# Delete extra users
aws identitystore delete-user \
--identity-store-id IDENTITY_STORE_ID \
--user-id USER_ID
```
**Example untuk kelompok**
```
# Create missing groups
aws identitystore create-group \
--identity-store-id IDENTITY_STORE_ID \
[group attributes]
# Delete extra groups
aws identitystore delete-group \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID
```
**Example untuk keanggotaan grup**
```
# Add missing members
aws identitystore create-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID \
--member-id '{"UserId": "USER_ID"}'
# Remove extra members
aws identitystore delete-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--membership-id MEMBERSHIP_ID
```
## Pertimbangan-pertimbangan
+ Perintah tunduk pada [kuota layanan dan pembatasan API](limits.md#ssothrottlelimits).
+ Ketika Anda menemukan banyak perbedaan selama rekonsiliasi, buat perubahan kecil dan bertahap ke Identity Store. AWS Ini membantu Anda menghindari kesalahan yang memengaruhi banyak pengguna.
+ Sinkronisasi SCIM dapat mengganti perubahan manual Anda. Periksa pengaturan IDP Anda untuk memahami perilaku ini.
## Penyediaan manual
Beberapa IdPs tidak memiliki dukungan System for Cross-domain Identity Management (SCIM) atau memiliki implementasi SCIM yang tidak kompatibel. Dalam kasus tersebut, Anda dapat menyediakan pengguna secara manual melalui konsol Pusat Identitas IAM. Saat Anda menambahkan pengguna ke IAM Identity Center, pastikan bahwa Anda menetapkan nama pengguna agar identik dengan nama pengguna yang Anda miliki di iDP Anda. Minimal, Anda harus memiliki alamat email dan nama pengguna yang unik. Untuk informasi selengkapnya, lihat [Keunikan nama pengguna dan alamat email](users-groups-provisioning.md#username-email-unique).
Anda juga harus mengelola semua grup secara manual di Pusat Identitas IAM. Untuk melakukan ini, Anda membuat grup dan menambahkannya menggunakan konsol Pusat Identitas IAM. Grup ini tidak perlu mencocokkan apa yang ada di IDP Anda. Untuk informasi selengkapnya, lihat [Grup](users-groups-provisioning.md#groups-concept).
# Putar sertifikat SAMP 2.0
IAM Identity Center menggunakan sertifikat untuk mengatur hubungan kepercayaan SAMP antara IAM Identity Center dan penyedia identitas eksternal (iDP) Anda. Ketika Anda menambahkan IDP eksternal di IAM Identity Center, Anda juga harus mendapatkan setidaknya satu sertifikat SAMP 2.0 X.509 publik dari iDP eksternal. Sertifikat itu biasanya diinstal secara otomatis selama pertukaran metadata IDP SAMP selama pembuatan kepercayaan.
Sebagai administrator Pusat Identitas IAM, Anda kadang-kadang perlu mengganti sertifikat iDP yang lebih lama dengan yang lebih baru. Misalnya, Anda mungkin perlu mengganti sertifikat IDP saat tanggal kedaluwarsa sertifikat mendekati. Proses penggantian sertifikat yang lebih lama dengan yang lebih baru disebut sebagai rotasi sertifikat.
**Topics**
+ [Putar sertifikat SAMP 2.0](rotatesamlcert.md)
+ [Indikator status kedaluwarsa sertifikat](samlcertexpirationindicators.md)
# Putar sertifikat SAMP 2.0
Anda mungkin perlu mengimpor sertifikat secara berkala untuk memutar sertifikat yang tidak valid atau kedaluwarsa yang dikeluarkan oleh penyedia identitas Anda. Ini membantu mencegah gangguan otentikasi atau downtime. Semua sertifikat yang diimpor aktif secara otomatis. Sertifikat hanya boleh dihapus setelah memastikan bahwa mereka tidak lagi digunakan dengan penyedia identitas terkait.
Anda juga harus mempertimbangkan bahwa beberapa IdPs mungkin tidak mendukung beberapa sertifikat. Dalam hal ini, tindakan memutar sertifikat dengan ini IdPs mungkin berarti gangguan layanan sementara bagi pengguna Anda. Layanan dipulihkan ketika kepercayaan dengan IDP telah berhasil dibangun kembali. Rencanakan operasi ini dengan hati-hati selama jam sibuk di luar jika memungkinkan.
**catatan**
Sebagai praktik terbaik keamanan, jika ada tanda-tanda kompromi atau kesalahan penanganan sertifikat SAMP yang ada, Anda harus segera menghapus dan memutar sertifikat.
Memutar sertifikat IAM Identity Center adalah proses multistep yang melibatkan hal-hal berikut:
+ Memperoleh sertifikat baru dari IDP
+ Mengimpor sertifikat baru ke IAM Identity Center
+ Mengaktifkan sertifikat baru di IDP
+ Menghapus sertifikat lama
Gunakan semua prosedur berikut untuk menyelesaikan proses rotasi sertifikat sambil menghindari downtime otentikasi.
**Langkah 1: Dapatkan sertifikat baru dari IDP**
Kunjungi situs web iDP dan unduh sertifikat SAMP 2.0 mereka. Pastikan file sertifikat diunduh dalam format yang dikodekan PEM. Sebagian besar penyedia memungkinkan Anda membuat beberapa sertifikat SAMP 2.0 di IDP. Kemungkinan ini akan ditandai sebagai dinonaktifkan atau tidak aktif.
**Langkah 2: Impor sertifikat baru ke IAM Identity Center**
Gunakan prosedur berikut untuk mengimpor sertifikat baru menggunakan konsol IAM Identity Center.
1. Di [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, lalu pilih **Tindakan > Kelola otentikasi.**
1. Pada halaman **Kelola sertifikat SAMP 2.0**, pilih **Impor sertifikat**.
1. Pada dialog **Impor sertifikat SAMP 2.0**, pilih **Pilih file**, navigasikan ke file sertifikat Anda dan pilih, lalu pilih **Impor sertifikat**.
Pada titik ini, IAM Identity Center akan mempercayai semua pesan SAMP masuk yang ditandatangani dari kedua sertifikat yang telah Anda impor.
**Langkah 3: Aktifkan sertifikat baru di IDP**
Kembali ke situs web iDP dan tandai sertifikat baru yang Anda buat sebelumnya sebagai primer atau aktif. Pada titik ini semua pesan SAMP yang ditandatangani oleh iDP harus menggunakan sertifikat baru.
**Langkah 4: Hapus sertifikat lama**
Gunakan prosedur berikut untuk menyelesaikan proses rotasi sertifikat untuk IDP Anda. Harus selalu ada setidaknya satu sertifikat yang valid yang terdaftar, dan tidak dapat dihapus.
**catatan**
Pastikan penyedia identitas Anda tidak lagi menandatangani tanggapan SAMP dengan sertifikat ini sebelum menghapusnya.
1. Pada halaman **Kelola sertifikat SAMP 2.0**, pilih sertifikat yang ingin Anda hapus. Pilih **Hapus**.
1. Dalam kotak dialog **Hapus sertifikat SAMP 2.0**, ketik **DELETE** untuk mengonfirmasi, lalu pilih **Hapus**.
1. Kembali ke situs web IDP dan lakukan langkah-langkah yang diperlukan untuk menghapus sertifikat tidak aktif yang lebih lama.
# Indikator status kedaluwarsa sertifikat
Halaman **Kelola sertifikat SAMP 2.0** menampilkan ikon indikator status berwarna di kolom **Kedaluwarsa pada di** samping setiap sertifikat dalam daftar. Berikut ini menjelaskan kriteria yang digunakan IAM Identity Center untuk menentukan ikon mana yang ditampilkan untuk setiap sertifikat.
+ **Merah** - Menunjukkan bahwa sertifikat kedaluwarsa.
+ **Kuning** - Menunjukkan bahwa sertifikat kedaluwarsa dalam 90 hari atau kurang.
+ **Hijau** - Menunjukkan bahwa sertifikat valid dan tetap berlaku setidaknya selama 90 hari lagi.
**Untuk memeriksa status sertifikat saat ini**
1. Di [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, lalu pilih **Tindakan > Kelola otentikasi.**
1. Pada halaman **Kelola otentikasi SAMP 2.0**, di bawah **Kelola sertifikat SAMP 2.0**, tinjau status sertifikat dalam daftar seperti yang ditunjukkan dalam kolom **Kedaluwarsa** pada.
# Microsoft ADdirektori
Dengan AWS IAM Identity Center, Anda dapat menghubungkan direktori yang dikelola sendiri di Active Directory (AD) atau direktori AWS Managed Microsoft AD dengan menggunakan AWS Directory Service. Direktori Microsoft AD ini mendefinisikan kumpulan identitas yang dapat diambil administrator saat menggunakan konsol Pusat Identitas IAM untuk menetapkan akses masuk tunggal. Setelah menghubungkan direktori perusahaan Anda ke IAM Identity Center, Anda kemudian dapat memberikan pengguna AD atau grup akses ke Akun AWS, aplikasi, atau keduanya.
AWS Directory Service membantu Anda mengatur dan menjalankan AWS Managed Microsoft AD direktori mandiri yang dihosting di. AWS Cloud Anda juga dapat menggunakan Directory Service untuk menghubungkan AWS sumber daya Anda dengan iklan yang dikelola sendiri yang ada. Untuk mengonfigurasi AWS Directory Service agar berfungsi dengan AD yang dikelola sendiri, Anda harus terlebih dahulu menyiapkan hubungan kepercayaan untuk memperluas autentikasi ke cloud.
IAM Identity Center menggunakan koneksi yang disediakan oleh Directory Service untuk melakukan otentikasi pass-through ke instance AD sumber. Saat Anda menggunakan AWS Managed Microsoft AD sebagai sumber identitas, IAM Identity Center dapat bekerja dengan pengguna dari AWS Managed Microsoft AD atau dari domain apa pun yang terhubung melalui kepercayaan AD. Jika Anda ingin menemukan pengguna Anda di empat domain atau lebih, pengguna harus menggunakan `DOMAIN\user` sintaks sebagai nama pengguna mereka saat melakukan login ke IAM Identity Center.
**Catatan**
Sebagai langkah prasyarat, pastikan AD Connector atau direktori in Directory Service berada di AWS Managed Microsoft AD dalam akun manajemen Anda. AWS Organizations
IAM Identity Center tidak mendukung Simple AD berbasis SAMBA 4 sebagai direktori yang terhubung.
Pusat Identitas IAM tidak dapat menyinkronkan Prinsipal Keamanan Asing (). FSPs Jika grup AWS Managed Microsoft AD berisi anggota dari domain tepercaya sebagai FSPs, anggota tersebut tidak akan disinkronkan.
Untuk demonstrasi tentang proses menggunakan Active Directory sebagai sumber identitas untuk IAM Identity Center, lihat video berikut: YouTube
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n)
## Pertimbangan untuk menggunakan Active Directory
Jika Anda ingin menggunakan Active Directory sebagai sumber identitas Anda, konfigurasi Anda harus memenuhi prasyarat berikut:
+ Jika Anda menggunakan AWS Managed Microsoft AD, Anda harus mengaktifkan IAM Identity Center di tempat yang sama Wilayah AWS di mana AWS Managed Microsoft AD direktori Anda diatur. IAM Identity Center menyimpan data penugasan di Wilayah yang sama dengan direktori. Untuk mengelola Pusat Identitas IAM, Anda mungkin perlu beralih ke Wilayah tempat Pusat Identitas IAM dikonfigurasi. Juga, perhatikan bahwa portal AWS akses menggunakan URL akses yang sama dengan direktori Anda.
+ Gunakan Active Directory yang berada di akun manajemen:
Anda harus memiliki AD Connector atau AWS Managed Microsoft AD direktori yang sudah ada AWS Directory Service, dan direktori tersebut harus berada di dalam akun AWS Organizations manajemen Anda. Anda hanya dapat menghubungkan satu direktori AD Connector atau satu direktori sekaligus. AWS Managed Microsoft AD Jika Anda perlu mendukung beberapa domain atau hutan, gunakan AWS Managed Microsoft AD. Untuk informasi lebih lanjut, lihat:
+ [Connect direktori AWS Managed Microsoft AD ke IAM Identity Center](connectawsad.md)
+ [Connect direktori yang dikelola sendiri di Active Directory ke IAM Identity Center](connectonpremad.md)
+ Gunakan Active Directory yang berada di akun admin yang didelegasikan:
Jika Anda berencana untuk mengaktifkan admin yang didelegasikan IAM Identity Center dan menggunakan Active Directory sebagai sumber identitas Pusat Identitas IAM, Anda dapat menggunakan AD Connector atau AWS Managed Microsoft AD direktori yang sudah ada di Direktori yang berada di AWS akun admin yang didelegasikan.
Jika Anda memutuskan untuk mengubah sumber identitas IAM Identity Center dari sumber lain ke Active Directory, atau mengubahnya dari Active Directory ke sumber lain, direktori harus berada di (dimiliki oleh) akun anggota administrator yang didelegasikan IAM Identity Center jika ada; jika tidak, itu harus berada di akun manajemen.
# Connect Active Directory dan tentukan pengguna
Jika Anda sudah menggunakan Active Directory, topik berikut akan membantu Anda mempersiapkan untuk menghubungkan direktori Anda ke IAM Identity Center.
Anda dapat menghubungkan AWS Managed Microsoft AD direktori atau direktori yang dikelola sendiri di Active Directory dengan IAM Identity Center.
**catatan**
IAM Identity Center tidak mendukung Simple AD SAMBA4 berbasis sebagai sumber identitas.
**AWS Managed Microsoft AD**
1. Tinjau panduan di[Microsoft ADdirektori](manage-your-identity-source-ad.md).
1. Ikuti langkah-langkah di [Connect direktori AWS Managed Microsoft AD ke IAM Identity Center](connectawsad.md).
1. Konfigurasikan Active Directory untuk menyinkronkan pengguna yang ingin Anda berikan izin administratif ke IAM Identity Center. Untuk informasi selengkapnya, lihat [Sinkronisasi pengguna administratif ke IAM Identity Center](#sync-admin-user-from-ad).
**Direktori yang dikelola sendiri di Direktori Aktif**
1. Tinjau panduan di[Microsoft ADdirektori](manage-your-identity-source-ad.md).
1. Ikuti langkah-langkah di [Connect direktori yang dikelola sendiri di Active Directory ke IAM Identity Center](connectonpremad.md).
1. Konfigurasikan Active Directory untuk menyinkronkan pengguna yang ingin Anda berikan izin administratif ke IAM Identity Center. Untuk informasi selengkapnya, lihat [Sinkronisasi pengguna administratif ke IAM Identity Center](#sync-admin-user-from-ad).
**IDP Eksternal**
1. Tinjau panduan di[Penyedia identitas eksternal](manage-your-identity-source-idp.md).
1. Ikuti langkah-langkah di [Cara terhubung ke penyedia identitas eksternal](how-to-connect-idp.md).
1.
Konfigurasikan IDP Anda untuk menyediakan pengguna ke Pusat Identitas IAM.
**catatan**
Sebelum Anda mengatur penyediaan otomatis berbasis grup untuk semua identitas tenaga kerja Anda dari IDP Anda ke IAM Identity Center, kami sarankan Anda menyinkronkan satu pengguna yang ingin Anda berikan izin administratif ke IAM Identity Center.
## Sinkronisasi pengguna administratif ke IAM Identity Center
Setelah Anda menghubungkan Active Directory ke IAM Identity Center, Anda dapat menentukan pengguna kepada siapa Anda ingin memberikan izin administratif, dan kemudian menyinkronkan pengguna tersebut dari direktori Anda ke IAM Identity Center.
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, pilih **Tindakan**, lalu pilih **Kelola Sinkronisasi**.
1. Pada halaman **Kelola Sinkronisasi**, pilih tab **Pengguna**, lalu pilih **Tambahkan pengguna dan grup**.
1. Pada tab **Pengguna**, di bawah **Pengguna**, masukkan nama pengguna yang tepat dan pilih **Tambah**.
1. Di bawah **Pengguna dan Grup yang Ditambahkan**, lakukan hal berikut:
1. Konfirmasikan bahwa pengguna yang ingin Anda berikan izin administratif ditentukan.
1. Pilih kotak centang di sebelah kiri nama pengguna.
1. Pilih **Kirim**.
1. Di halaman **Kelola sinkronisasi**, pengguna yang Anda tentukan muncul di daftar **cakupan pengguna dalam sinkronisasi**.
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Pada halaman **Pengguna**, mungkin diperlukan beberapa waktu bagi pengguna yang Anda tentukan untuk muncul dalam daftar. Pilih ikon penyegaran untuk memperbarui daftar pengguna.
Pada titik ini, pengguna Anda tidak memiliki akses ke akun manajemen. Anda akan mengatur akses administratif ke akun ini dengan membuat set izin administratif dan menetapkan pengguna ke set izin tersebut. Untuk informasi selengkapnya, lihat [Buat set izin](howtocreatepermissionset.md).
## Penyediaan saat pengguna berasal dari Active Directory
IAM Identity Center menggunakan koneksi yang disediakan oleh Directory Service untuk menyinkronkan informasi pengguna, grup, dan keanggotaan dari direktori sumber Anda di Active Directory ke toko identitas IAM Identity Center. Tidak ada informasi kata sandi yang disinkronkan ke IAM Identity Center, karena otentikasi pengguna berlangsung langsung dari direktori sumber di Active Directory. Data identitas ini digunakan oleh aplikasi untuk memfasilitasi pencarian dalam aplikasi, otorisasi, dan skenario kolaborasi tanpa meneruskan aktivitas LDAP kembali ke direktori sumber di Active Directory.
Untuk informasi lebih lanjut di atas penyediaan, lihat. [Penyediaan pengguna dan grup](users-groups-provisioning.md#user-group-provision)
**Topics**
+ [Pertimbangan untuk menggunakan Active Directory](#considerations-ad-identitysource)
+ [Connect Active Directory dan tentukan pengguna](get-started-connect-id-source-ad-idp-specify-user.md)
+ [Penyediaan saat pengguna berasal dari Active Directory](#provision-users-from-ad)
+ [Connect direktori AWS Managed Microsoft AD ke IAM Identity Center](connectawsad.md)
+ [Connect direktori yang dikelola sendiri di Active Directory ke IAM Identity Center](connectonpremad.md)
+ [Pemetaan atribut antara Pusat Identitas IAM dan direktori Penyedia Identitas Eksternal](attributemappingsconcept.md)
+ [Pusat Identitas IAM sinkronisasi AD yang dapat dikonfigurasi](provision-users-from-ad-configurable-ADsync.md)
# Connect direktori AWS Managed Microsoft AD ke IAM Identity Center
Gunakan prosedur berikut untuk menghubungkan direktori yang dikelola oleh AWS Directory Service IAM Identity Center. AWS Managed Microsoft AD
**Untuk terhubung AWS Managed Microsoft AD ke Pusat Identitas IAM**
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
**catatan**
Pastikan konsol IAM Identity Center menggunakan salah satu Wilayah tempat AWS Managed Microsoft AD direktori Anda berada sebelum Anda pindah ke langkah berikutnya.
1. Pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, lalu pilih **Tindakan > Ubah sumber identitas**.
1. Di bawah **Pilih sumber identitas**, pilih **Active Directory**, lalu pilih **Berikutnya**.
1. Di bawah **Connect Active Directory**, pilih direktori AWS Managed Microsoft AD dari daftar, lalu pilih **Berikutnya**.
1. Di bawah **Konfirmasi perubahan**, tinjau informasi dan saat siap ketik **TERIMA**, lalu pilih **Ubah sumber identitas**.
**penting**
Untuk menentukan pengguna di Active Directory sebagai pengguna administratif di IAM Identity Center, Anda harus terlebih dahulu menyinkronkan pengguna yang ingin Anda berikan izin administratif dari Active Directory ke IAM Identity Center. Untuk melakukannya, ikuti langkah yang ada di [Sinkronisasi pengguna administratif ke IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).
# Connect direktori yang dikelola sendiri di Active Directory ke IAM Identity Center
Pengguna di direktori yang dikelola sendiri di Active Directory (AD) juga dapat memiliki akses masuk tunggal Akun AWS dan aplikasi di portal akses. AWS Untuk mengonfigurasi akses masuk tunggal bagi pengguna ini, Anda dapat melakukan salah satu hal berikut:
+ **Buat hubungan kepercayaan dua arah — Ketika hubungan** kepercayaan dua arah dibuat antara AWS Managed Microsoft AD dan direktori yang dikelola sendiri di AD, pengguna di direktori yang dikelola sendiri di AD dapat masuk dengan kredenal perusahaan mereka ke berbagai layanan dan aplikasi bisnis. AWS Perwalian satu arah tidak bekerja dengan IAM Identity Center.
AWS IAM Identity Center memerlukan kepercayaan dua arah sehingga memiliki izin untuk membaca informasi pengguna dan grup dari domain Anda untuk menyinkronkan metadata pengguna dan grup. IAM Identity Center menggunakan metadata ini saat menetapkan akses ke set izin atau aplikasi. Metadata pengguna dan grup juga digunakan oleh aplikasi untuk kolaborasi, seperti ketika Anda berbagi dasbor dengan pengguna atau grup lain. Kepercayaan dari Directory Service Microsoft Active Directory ke domain Anda memungkinkan IAM Identity Center untuk mempercayai domain Anda untuk otentikasi. Kepercayaan pada arah yang berlawanan memberikan AWS izin untuk membaca metadata pengguna dan grup.
Untuk informasi selengkapnya tentang menyiapkan kepercayaan dua arah, lihat [Kapan Membuat Hubungan Kepercayaan](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html) dalam *Panduan AWS Directory Service Administrasi*.
**catatan**
Untuk menggunakan AWS aplikasi, seperti IAM Identity Center untuk membaca pengguna Directory Service direktori dari domain tepercaya, Directory Service akun memerlukan izin ke userAccountControl atribut pada pengguna tepercaya. Tanpa izin baca untuk atribut ini, AWS aplikasi tidak dapat menentukan apakah akun diaktifkan atau dinonaktifkan.
Akses baca ke atribut ini disediakan secara default saat trust dibuat. Jika Anda menolak akses ke atribut ini (tidak disarankan), Anda akan merusak aplikasi seperti Identity Center agar tidak dapat membaca pengguna tepercaya. Solusinya adalah dengan secara khusus mengizinkan akses Baca ke `userAccountControl` atribut pada akun AWS layanan di bawah OU AWS Cadangan (diawali dengan AWS\$1).
+ **Buat Konektor AD** — AD Connector adalah gateway direktori yang dapat mengarahkan permintaan direktori ke AD yang dikelola sendiri tanpa menyimpan informasi apa pun di cloud. Untuk informasi selengkapnya, lihat [Connect to a Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) di *Panduan AWS Directory Service Administrasi*. Berikut ini adalah pertimbangan saat menggunakan AD Connector:
+ Jika Anda menghubungkan IAM Identity Center ke direktori AD Connector, pengaturan ulang kata sandi pengguna di masa mendatang harus dilakukan dari dalam AD. Ini berarti bahwa pengguna tidak akan dapat mengatur ulang kata sandi mereka dari portal AWS akses.
+ Jika Anda menggunakan AD Connector untuk menghubungkan Layanan Domain Direktori Aktif ke Pusat Identitas IAM, Pusat Identitas IAM hanya memiliki akses ke pengguna dan grup domain tunggal yang dilampirkan oleh AD Connector. Jika Anda perlu mendukung beberapa domain atau hutan, gunakan Directory Service untuk Microsoft Active Directory.
**catatan**
IAM Identity Center tidak bekerja dengan direktori Simple AD SAMBA4 berbasis.
# Pemetaan atribut antara Pusat Identitas IAM dan direktori Penyedia Identitas Eksternal
Pemetaan atribut digunakan untuk memetakan tipe atribut yang ada di Pusat Identitas IAM dengan atribut serupa di sumber identitas eksternal Anda sepertiGoogle Workspace,, Microsoft Active Directory (AD) dan. Okta IAM Identity Center mengambil atribut pengguna dari sumber identitas Anda dan memetakannya ke atribut pengguna IAM Identity Center.
Jika Pusat Identitas IAM Anda disinkronkan untuk menggunakan **penyedia identitas eksternal** (iDP), sepertiGoogle Workspace,Okta, atau Ping sebagai sumber identitas, Anda harus memetakan atribut Anda di IDP Anda.
IAM Identity Center mengisi ulang sekumpulan atribut untuk Anda di bawah tab **pemetaan Atribut** yang ditemukan di halaman konfigurasinya. IAM Identity Center menggunakan atribut pengguna ini untuk mengisi pernyataan SAMP (sebagai atribut SAMP) yang dikirim ke aplikasi. Atribut pengguna ini pada gilirannya diambil dari sumber identitas Anda. Setiap aplikasi menentukan daftar atribut SAMP 2.0 yang dibutuhkan untuk proses masuk tunggal yang berhasil. Untuk informasi selengkapnya, lihat [Atribut petakan dalam aplikasi Anda ke atribut IAM Identity Center](mapawsssoattributestoapp.md).
IAM Identity Center juga mengelola serangkaian atribut untuk Anda di bawah bagian **pemetaan Atribut** dari **halaman konfigurasi Active Directory** jika Anda menggunakan Active Directory sebagai sumber identitas. Untuk informasi selengkapnya, lihat [Memetakan atribut pengguna antara IAM Identity Center dan direktori Microsoft AD](mapssoattributestocdattributes.md).
## Atribut penyedia identitas eksternal yang didukung
Tabel berikut mencantumkan semua atribut penyedia identitas eksternal (iDP) yang didukung dan dapat dipetakan ke atribut yang dapat Anda gunakan saat mengonfigurasi [Atribut untuk kontrol akses](attributesforaccesscontrol.md) di Pusat Identitas IAM. Saat menggunakan pernyataan SAMP, Anda dapat menggunakan atribut apa pun yang didukung idP Anda.
****
| Atribut yang didukung di IDP |
| --- |
| \$1\$1path:userName\$1 |
| \$1\$1path:name.familyName\$1 |
| \$1\$1path:name.givenName\$1 |
| \$1\$1path:displayName\$1 |
| \$1\$1path:nickName\$1 |
| \$1\$1path:emails[primary eq true].value\$1 |
| \$1\$1path:addresses[type eq "work"].streetAddress\$1 |
| \$1\$1path:addresses[type eq "work"].locality\$1 |
| \$1\$1path:addresses[type eq "work"].region\$1 |
| \$1\$1path:addresses[type eq "work"].postalCode\$1 |
| \$1\$1path:addresses[type eq "work"].country\$1 |
| \$1\$1path:addresses[type eq "work"].formatted\$1 |
| \$1\$1path:phoneNumbers[type eq "work"].value\$1 |
| \$1\$1path:userType\$1 |
| \$1\$1path:title\$1 |
| \$1\$1path:locale\$1 |
| \$1\$1path:timezone\$1 |
| \$1\$1path:enterprise.employeeNumber\$1 |
| \$1\$1path:enterprise.costCenter\$1 |
| \$1\$1path:enterprise.organization\$1 |
| \$1\$1path:enterprise.division\$1 |
| \$1\$1path:enterprise.department\$1 |
| \$1\$1path:enterprise.manager.value\$1 |
## Pemetaan default antara IAM Identity Center dan Microsoft AD
Tabel berikut mencantumkan pemetaan default untuk atribut pengguna di Pusat Identitas IAM ke atribut pengguna di direktori Anda. Microsoft AD IAM Identity Center hanya mendukung daftar atribut dalam **atribut User di kolom IAM Identity Center**.
****
| Atribut pengguna di Pusat Identitas IAM | Peta ke atribut ini di Active Directory |
| --- | --- |
| displayname | \$1\$1displayname\$1 |
| emails[?primary].value \$1 | \$1\$1mail\$1 |
| externalid | \$1\$1objectguid\$1 |
| name.givenname | \$1\$1givenname\$1 |
| name.familyname | \$1\$1sn\$1 |
| name.middlename | \$1\$1initials\$1 |
| sid | \$1\$1objectsid\$1 |
| username | \$1\$1userprincipalname\$1 |
\$1 Atribut email di IAM Identity Center harus unik dalam direktori.
****
| Atribut grup di Pusat Identitas IAM | Peta ke atribut ini di Active Directory |
| --- | --- |
| externalid | \$1\$1objectguid\$1 |
| description | \$1\$1description\$1 |
| displayname | \$1\$1samaccountname\$1@\$1associateddomain\$1 |
**Pertimbangan-pertimbangan**
+ Jika Anda tidak memiliki tugas untuk pengguna dan grup di Pusat Identitas IAM saat Anda mengaktifkan sinkronisasi AD yang dapat dikonfigurasi, pemetaan default di tabel sebelumnya akan digunakan. Untuk informasi tentang cara menyesuaikan pemetaan ini, lihat. [Konfigurasikan pemetaan atribut untuk sinkronisasi Anda](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ Atribut Pusat Identitas IAM tertentu tidak dapat dimodifikasi karena tidak dapat diubah dan dipetakan secara default ke atribut direktori Microsoft AD tertentu.
Misalnya, “nama pengguna” adalah atribut wajib di IAM Identity Center. Jika Anda memetakan “nama pengguna” ke atribut direktori AD dengan nilai kosong, Pusat Identitas IAM akan mempertimbangkan `windowsUpn` nilai sebagai nilai default untuk “nama pengguna”. Jika Anda ingin mengubah pemetaan atribut untuk “nama pengguna” dari pemetaan Anda saat ini, konfirmasikan alur Pusat Identitas IAM dengan ketergantungan pada “nama pengguna” akan terus berfungsi seperti yang diharapkan, sebelum melakukan perubahan.
## Microsoft ADAtribut yang didukung untuk IAM Identity Center
Tabel berikut mencantumkan semua atribut Microsoft AD direktori yang didukung dan yang dapat dipetakan ke atribut pengguna di IAM Identity Center.
****
| Atribut yang didukung di direktori Microsoft AD |
| --- |
| \$1\$1samaccountname\$1 |
| \$1\$1description\$1 |
| \$1\$1objectguid\$1 |
| \$1\$1objectsid\$1 |
| \$1\$1givenname\$1 |
| \$1\$1sn\$1 |
| \$1\$1initials\$1 |
| \$1\$1mail\$1 |
| \$1\$1userprincipalname\$1 |
| \$1\$1displayname\$1 |
| \$1\$1distinguishedname\$1 |
| \$1\$1proxyaddresses[?type == "SMTP"].value\$1 |
| \$1\$1proxyaddresses[?type == "smtp"].value\$1 |
| \$1\$1useraccountcontrol\$1 |
| \$1\$1associateddomain\$1 |
**Pertimbangan-pertimbangan**
+ Anda dapat menentukan kombinasi atribut Microsoft AD direktori yang didukung untuk dipetakan ke atribut tunggal yang dapat berubah di Pusat Identitas IAM.
## Atribut Pusat Identitas IAM yang didukung untuk Microsoft AD
Tabel berikut mencantumkan semua atribut IAM Identity Center yang didukung dan yang dapat dipetakan ke atribut pengguna di direktori AndaMicrosoft AD. Setelah Anda mengatur pemetaan atribut aplikasi Anda, Anda dapat menggunakan atribut Pusat Identitas IAM yang sama ini untuk memetakan ke atribut aktual yang digunakan oleh aplikasi tersebut.
****
| Atribut yang didukung di Pusat Identitas IAM untuk Direktori Aktif |
| --- |
| \$1\$1user:AD\$1GUID\$1 |
| \$1\$1user:AD\$1SID\$1 |
| \$1\$1user:email\$1 |
| \$1\$1user:familyName\$1 |
| \$1\$1user:givenName\$1 |
| \$1\$1user:middleName\$1 |
| \$1\$1user:name\$1 |
| \$1\$1user:preferredUsername\$1 |
| \$1\$1user:subject\$1 |
# Memetakan atribut pengguna antara IAM Identity Center dan direktori Microsoft AD
Anda dapat menggunakan prosedur berikut untuk menentukan bagaimana atribut pengguna Anda di Pusat Identitas IAM harus dipetakan ke atribut yang sesuai di Microsoft AD direktori Anda.
**Untuk memetakan atribut di Pusat Identitas IAM ke atribut di direktori Anda**
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Atribut untuk kontrol akses**, lalu pilih **Kelola Atribut**.
1. Pada halaman **Kelola atribut untuk kontrol akses**, temukan atribut di Pusat Identitas IAM yang ingin Anda petakan, lalu ketik nilai di kotak teks. Misalnya, Anda mungkin ingin memetakan atribut pengguna IAM Identity Center **`email`**ke atribut **`${mail}`**direktori Microsoft AD.
1. Pilih **Simpan perubahan**.
# Pusat Identitas IAM sinkronisasi AD yang dapat dikonfigurasi
Sinkronisasi Active Directory (AD) IAM Identity Center yang dapat dikonfigurasi memungkinkan Anda untuk secara eksplisit mengonfigurasi identitas di Microsoft Active Directory yang secara otomatis disinkronkan ke Pusat Identitas IAM dan mengontrol proses sinkronisasi.
+ Dengan metode sinkronisasi ini, Anda dapat melakukan hal berikut:
+ Kontrol batas data dengan secara eksplisit mendefinisikan pengguna dan grup di Microsoft Active Directory yang secara otomatis disinkronkan ke IAM Identity Center. Anda dapat [menambahkan pengguna dan grup](manage-sync-add-users-groups-configurable-ADsync.md) atau [menghapus pengguna dan grup](manage-sync-remove-users-groups-configurable-ADsync.md) untuk mengubah cakupan sinkronisasi kapan saja.
+ [Tetapkan pengguna yang disinkronkan dan kelompokkan akses masuk tunggal ke Akun AWS atau [akses ke aplikasi](useraccess.md).](assignuserstoapp.md) Aplikasi dapat berupa aplikasi yang AWS dikelola atau aplikasi yang dikelola pelanggan.
+ Kontrol proses sinkronisasi dengan [menjeda dan melanjutkan sinkronisasi sesuai kebutuhan.](manage-sync-pause-resume-sync-configurable-ADsync.md) Ini membantu Anda mengatur beban pada sistem produksi.
## Prasyarat dan pertimbangan
Sebelum Anda menggunakan sinkronisasi AD yang dapat dikonfigurasi, perhatikan prasyarat dan pertimbangan berikut:
+ **Menentukan pengguna dan grup di Active Directory untuk disinkronkan**
Sebelum Anda dapat menggunakan IAM Identity Center untuk menetapkan akses pengguna dan grup baru ke Akun AWS dan ke aplikasi terkelola atau aplikasi yang AWS dikelola pelanggan, Anda harus menentukan pengguna dan grup di Active Directory untuk disinkronkan, dan kemudian menyinkronkannya ke Pusat Identitas IAM.
+ **Sinkronisasi AD yang dapat dikonfigurasi** — Pusat Identitas IAM tidak mencari pengontrol domain Anda secara langsung untuk pengguna dan grup. Sebagai gantinya, Anda harus terlebih dahulu menentukan daftar pengguna dan grup untuk disinkronkan. Anda dapat mengonfigurasi daftar ini, juga dikenal sebagai *cakupan sinkronisasi*, dengan salah satu cara berikut, tergantung pada apakah Anda memiliki pengguna dan grup yang sudah disinkronkan ke Pusat Identitas IAM, atau Anda memiliki pengguna dan grup baru yang Anda sinkronkan untuk pertama kalinya dengan menggunakan sinkronisasi AD yang dapat dikonfigurasi.
+ Pengguna dan grup yang ada: Jika Anda memiliki pengguna dan grup yang sudah disinkronkan ke Pusat Identitas IAM, cakupan sinkronisasi dalam sinkronisasi AD yang dapat dikonfigurasi akan diisi sebelumnya dengan daftar pengguna dan grup tersebut. Untuk menetapkan pengguna atau grup baru, Anda harus secara khusus menambahkannya ke lingkup sinkronisasi. Untuk informasi selengkapnya, lihat [Menambahkan pengguna dan grup ke cakupan sinkronisasi Anda](manage-sync-add-users-groups-configurable-ADsync.md).
+ Pengguna dan grup baru: Jika Anda ingin menetapkan akses pengguna dan grup baru ke dan ke aplikasi, Anda harus menentukan pengguna Akun AWS dan grup mana yang akan ditambahkan ke cakupan sinkronisasi dalam sinkronisasi AD yang dapat dikonfigurasi sebelum Anda dapat menggunakan Pusat Identitas IAM untuk membuat penetapan. Untuk informasi selengkapnya, lihat [Menambahkan pengguna dan grup ke cakupan sinkronisasi Anda](manage-sync-add-users-groups-configurable-ADsync.md).
+ **Membuat tugas ke grup bersarang di Active Directory**
Grup yang merupakan anggota kelompok lain disebut kelompok *bersarang (atau kelompok* anak).
+ **Sinkronisasi AD** yang dapat dikonfigurasi — Menggunakan sinkronisasi AD yang dapat dikonfigurasi untuk membuat penetapan ke grup di Direktori Aktif yang berisi grup bersarang dapat meningkatkan cakupan pengguna yang memiliki akses ke atau ke Akun AWS aplikasi. Dalam hal ini, penugasan berlaku untuk semua pengguna, termasuk yang berada di grup bersarang. Misalnya, jika Anda menetapkan akses ke Grup A, dan Grup B adalah anggota Grup A, anggota Grup B juga mewarisi akses ini.
+ **Memperbarui alur kerja otomatis**
Jika Anda memiliki alur kerja otomatis yang menggunakan tindakan API penyimpanan identitas Pusat Identitas IAM dan tindakan API penetapan Pusat Identitas IAM untuk menetapkan akses pengguna dan grup baru ke akun dan aplikasi, dan untuk menyinkronkannya ke Pusat Identitas IAM, Anda harus menyesuaikan alur kerja tersebut sebelum 15 April 2022 agar berfungsi seperti yang diharapkan dengan sinkronisasi AD yang dapat dikonfigurasi. Sinkronisasi AD yang dapat dikonfigurasi mengubah urutan penetapan dan penyediaan pengguna dan grup, serta cara kueri dilakukan.
+ **Sinkronisasi AD yang dapat dikonfigurasi** — Penyediaan terjadi terlebih dahulu, dan tidak dilakukan secara otomatis. Sebagai gantinya, Anda harus terlebih dahulu menambahkan pengguna dan grup secara eksplisit ke toko identitas dengan menambahkannya ke lingkup sinkronisasi Anda. Untuk informasi tentang langkah-langkah yang disarankan untuk mengotomatiskan konfigurasi sinkronisasi untuk sinkronisasi AD yang dapat dikonfigurasi, lihat. [Otomatiskan konfigurasi sinkronisasi Anda untuk sinkronisasi AD yang dapat dikonfigurasi](automate-sync-configuration-configurable-ADsync.md)
**Topics**
+ [Prasyarat dan pertimbangan](#prerequisites-configurable-ADsync)
+ [Cara kerja sinkronisasi AD yang dapat dikonfigurasi](how-it-works-configurable-ADsync.md)
+ [Konfigurasikan pemetaan atribut untuk sinkronisasi Anda](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [Pengaturan sinkronisasi Direktori Aktif pertama kali ke Pusat Identitas IAM](manage-sync-configurable-ADsync.md)
+ [Menambahkan pengguna dan grup ke cakupan sinkronisasi Anda](manage-sync-add-users-groups-configurable-ADsync.md)
+ [Hapus pengguna dan grup dari cakupan sinkronisasi Anda](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [Jeda dan lanjutkan sinkronisasi](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [Otomatiskan konfigurasi sinkronisasi Anda untuk sinkronisasi AD yang dapat dikonfigurasi](automate-sync-configuration-configurable-ADsync.md)
# Cara kerja sinkronisasi AD yang dapat dikonfigurasi
IAM Identity Center menyegarkan data identitas berbasis iklan di toko identitas dengan menggunakan proses berikut. Untuk mempelajari lebih lanjut tentang prasyarat, lihat. [Prasyarat dan pertimbangan](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync)
## Pembuatan
Setelah menghubungkan direktori yang dikelola sendiri di Active Directory atau AWS Managed Microsoft AD direktori yang dikelola oleh Directory Service IAM Identity Center, Anda dapat secara eksplisit mengonfigurasi pengguna dan grup Active Directory yang ingin Anda sinkronkan ke dalam penyimpanan identitas IAM Identity Center. Identitas yang Anda pilih akan disinkronkan setiap tiga jam atau lebih ke toko identitas IAM Identity Center. Bergantung pada ukuran direktori Anda, proses sinkronisasi mungkin memakan waktu lebih lama.
Grup yang merupakan anggota kelompok lain (disebut *grup bersarang* atau *kelompok anak*) juga ditulis ke toko identitas.
Anda hanya dapat menetapkan akses ke pengguna atau grup baru setelah mereka disinkronkan ke dalam toko identitas Pusat Identitas IAM.
## Perbarui
Data identitas di toko identitas IAM Identity Center tetap segar dengan membaca data secara berkala dari direktori sumber di Active Directory. IAM Identity Center menyinkronkan data dari Active Directory Anda setiap jam dalam siklus sinkronisasi secara default. Mungkin diperlukan waktu 30 menit hingga 2 jam agar data disinkronkan ke Pusat Identitas IAM, berdasarkan ukuran Direktori Aktif Anda.
Objek pengguna dan grup yang berada dalam lingkup sinkronisasi dan keanggotaannya dibuat atau diperbarui di Pusat Identitas IAM untuk dipetakan ke objek yang sesuai di direktori sumber di Active Directory. Untuk atribut pengguna, hanya subset atribut yang tercantum di bagian **Atribut untuk kontrol akses** konsol Pusat Identitas IAM yang diperbarui di Pusat Identitas IAM. Mungkin diperlukan satu siklus sinkronisasi untuk pembaruan atribut apa pun yang Anda buat di Active Directory untuk tercermin di Pusat Identitas IAM.
Anda juga dapat memperbarui subset pengguna dan grup yang Anda sinkronkan ke toko identitas IAM Identity Center. Anda dapat memilih untuk menambahkan pengguna atau grup baru ke subset ini, atau menghapusnya. Identitas apa pun yang Anda tambahkan disinkronkan pada sinkronisasi terjadwal berikutnya. Identitas yang Anda hapus dari subset akan berhenti diperbarui di toko identitas Pusat Identitas IAM. Setiap pengguna yang tidak disinkronkan selama lebih dari 28 hari akan dinonaktifkan di toko identitas IAM Identity Center. Objek pengguna yang sesuai akan dinonaktifkan secara otomatis di penyimpanan identitas Pusat Identitas IAM selama siklus sinkronisasi berikutnya, kecuali mereka adalah bagian dari grup lain yang masih merupakan bagian dari lingkup sinkronisasi.
## Penghapusan
Pengguna dan grup dihapus dari penyimpanan identitas IAM Identity Center ketika objek pengguna atau grup yang sesuai dihapus dari direktori sumber di Active Directory. Atau, Anda dapat secara eksplisit menghapus objek pengguna dari penyimpanan identitas Pusat Identitas IAM dengan menggunakan konsol Pusat Identitas IAM. Jika Anda menggunakan konsol Pusat Identitas IAM, Anda juga harus menghapus pengguna dari lingkup sinkronisasi untuk memastikan bahwa mereka tidak disinkronkan kembali ke Pusat Identitas IAM selama siklus sinkronisasi berikutnya.
Anda juga dapat menjeda dan memulai ulang sinkronisasi kapan saja. Jika Anda menjeda sinkronisasi selama lebih dari 28 hari, semua pengguna Anda akan dinonaktifkan.
# Konfigurasikan pemetaan atribut untuk sinkronisasi Anda
Untuk informasi selengkapnya tentang atribut yang tersedia, lihat[Pemetaan atribut antara Pusat Identitas IAM dan direktori Penyedia Identitas Eksternal](attributemappingsconcept.md).
**Untuk mengonfigurasi pemetaan atribut di Pusat Identitas IAM ke direktori Anda**
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, pilih **Tindakan**, lalu pilih **Kelola Sinkronisasi**.
1. Di bawah **Kelola Sinkronisasi**, pilih **Lihat pemetaan atribut**.
1. Di bawah **atribut pengguna Active Directory**, konfigurasikan atribut **penyimpanan identitas IAM Identity Center dan atribut** **pengguna Active Directory**. Misalnya, Anda mungkin ingin memetakan atribut penyimpanan identitas Pusat Identitas IAM `email` ke atribut `${objectguid}` direktori pengguna Active Directory.
**catatan**
Di bawah **atribut Grup, atribut** **penyimpanan identitas Pusat Identitas IAM dan atribut** **grup Direktori Aktif** tidak dapat diubah.
1. Pilih **Simpan perubahan**. Ini mengembalikan Anda ke halaman **Kelola Sinkronisasi**.
# Pengaturan sinkronisasi Direktori Aktif pertama kali ke Pusat Identitas IAM
Jika Anda menyinkronkan pengguna dan grup dari Active Directory ke IAM Identity Center untuk pertama kalinya, ikuti langkah-langkah ini. Atau, Anda dapat mengikuti langkah-langkah yang diuraikan [Ubah sumber identitas Anda](manage-your-identity-source-change.md) untuk mengubah sumber identitas Anda dari IAM Identity Center ke Active Directory.
## Pengaturan terpandu
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
**catatan**
Pastikan bahwa konsol IAM Identity Center menggunakan salah satu Wilayah AWS tempat AWS Managed Microsoft AD direktori Anda berada sebelum Anda pindah ke langkah berikutnya.
1. Pilih **Pengaturan**.
1. Di bagian atas halaman, dalam pesan notifikasi, pilih **Mulai penyiapan yang dipandu**.
1. Pada **Langkah 1 - *opsional*: Konfigurasikan pemetaan atribut**, tinjau pemetaan atribut pengguna dan grup default. Jika tidak ada perubahan yang diperlukan, pilih **Berikutnya**. Jika perubahan diperlukan, buat perubahan, lalu pilih **Simpan perubahan**.
1. Pada **Langkah 2 — *opsional*: Konfigurasikan lingkup sinkronisasi**, pilih tab **Pengguna**. Kemudian, masukkan nama pengguna yang tepat dari pengguna yang ingin Anda tambahkan ke lingkup sinkronisasi Anda dan pilih **Tambah**. Selanjutnya, pilih tab **Grup**. Masukkan nama grup yang tepat dari grup yang ingin Anda tambahkan ke cakupan sinkronisasi Anda dan pilih **Tambah**. Lalu, pilih **Selanjutnya**. Jika Anda ingin menambahkan pengguna dan grup ke cakupan sinkronisasi nanti, jangan buat perubahan dan pilih **Berikutnya**.
1. Pada **Langkah 3: Tinjau dan simpan konfigurasi, konfirmasikan** **pemetaan Atribut** Anda di **Langkah 1: Pemetaan atribut** **dan Pengguna serta grup** Anda di **Langkah 2**: Lingkup sinkronisasi. Pilih **Simpan konfigurasi**. Ini akan membawa Anda ke halaman **Kelola Sinkronisasi**.
# Menambahkan pengguna dan grup ke cakupan sinkronisasi Anda
**catatan**
Saat menambahkan grup ke cakupan sinkronisasi Anda, sinkronkan grup langsung dari domain lokal tepercaya, bukan dari grup di AWS Managed Microsoft AD domain. Grup yang disinkronkan langsung dari domain tepercaya berisi objek pengguna aktual yang dapat diakses dan disinkronkan oleh IAM Identity Center dengan sukses.
Tambahkan pengguna dan grup Active Directory Anda ke IAM Identity Center dengan mengikuti langkah-langkah ini.
**Untuk menambahkan pengguna**
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, pilih **Tindakan**, lalu pilih **Kelola Sinkronisasi**.
1. Pada halaman **Kelola Sinkronisasi**, pilih tab **Pengguna**, lalu pilih **Tambahkan pengguna dan grup**.
1. Pada tab **Pengguna**, di bawah **Pengguna**, masukkan nama pengguna yang tepat dan pilih **Tambah**.
1. Di bawah **Pengguna dan Grup yang Ditambahkan**, tinjau pengguna yang ingin Anda tambahkan.
1. Pilih **Kirim**.
1. Di panel navigasi, pilih **Users** (Pengguna). Jika pengguna yang Anda tentukan tidak ditampilkan dalam daftar, pilih ikon penyegaran untuk memperbarui daftar pengguna.
**Untuk menambahkan grup**
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, pilih **Tindakan**, lalu pilih **Kelola Sinkronisasi**.
1. Pada halaman **Kelola Sinkronisasi**, pilih tab **Grup**, lalu pilih **Tambahkan pengguna dan grup**.
1. Pilih tab **Grup**. Di bawah **Grup**, masukkan nama grup yang tepat dan pilih **Tambah**.
1. Di bawah **Pengguna dan Grup yang Ditambahkan**, tinjau grup yang ingin Anda tambahkan.
1. Pilih **Kirim**.
1. Di panel navigasi, pilih **Grup**. Jika grup yang Anda tentukan tidak ditampilkan dalam daftar, pilih ikon penyegaran untuk memperbarui daftar grup.
# Hapus pengguna dan grup dari cakupan sinkronisasi Anda
Untuk informasi selengkapnya tentang apa yang terjadi saat Anda menghapus pengguna dan grup dari cakupan sinkronisasi, lihat[Cara kerja sinkronisasi AD yang dapat dikonfigurasi](how-it-works-configurable-ADsync.md).
**Untuk menghapus pengguna**
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, pilih **Tindakan**, lalu pilih **Kelola Sinkronisasi**.
1. Pilih tab **Pengguna**.
1. Di bawah **Pengguna dalam lingkup sinkronisasi**, pilih kotak centang di samping pengguna yang ingin Anda hapus. Untuk menghapus semua pengguna, pilih kotak centang di samping **Nama Pengguna**.
1. Pilih **Hapus**.
**Untuk menghapus grup**
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, pilih **Tindakan**, lalu pilih **Kelola Sinkronisasi**.
1. Pilih tab **Grup**.
1. Di bawah **Grup dalam lingkup sinkronisasi**, pilih kotak centang di samping pengguna yang ingin Anda hapus. Untuk menghapus semua grup, pilih kotak centang di samping **Nama grup**.
1. Pilih **Hapus**.
# Jeda dan lanjutkan sinkronisasi
Menjeda sinkronisasi akan menjeda semua siklus sinkronisasi di masa mendatang dan mencegah perubahan apa pun yang Anda buat pada pengguna dan grup di Active Directory agar tidak tercermin di IAM Identity Center. Setelah Anda melanjutkan sinkronisasi, siklus sinkronisasi mengambil perubahan ini dari sinkronisasi terjadwal berikutnya.
**Untuk menjeda sinkronisasi**
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, pilih **Tindakan**, lalu pilih **Kelola Sinkronisasi**.
1. Di bawah **Kelola Sinkronisasi**, pilih **Jeda sinkronisasi**.
**Untuk melanjutkan sinkronisasi**
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, pilih **Tindakan**, lalu pilih **Kelola Sinkronisasi**.
1. Di bawah **Kelola Sinkronisasi**, pilih **Lanjutkan sinkronisasi**.
**catatan**
Jika Anda melihat **Jeda sinkronisasi** bukan **Lanjutkan sinkronisasi, sinkronisasi** dari Active Directory ke IAM Identity Center telah dilanjutkan.
# Otomatiskan konfigurasi sinkronisasi Anda untuk sinkronisasi AD yang dapat dikonfigurasi
Untuk memastikan alur kerja otomatis Anda berfungsi seperti yang diharapkan dengan sinkronisasi AD yang dapat dikonfigurasi, sebaiknya Anda melakukan langkah-langkah berikut untuk mengotomatiskan konfigurasi sinkronisasi Anda.
**Untuk mengotomatiskan konfigurasi sinkronisasi Anda untuk sinkronisasi AD yang dapat dikonfigurasi**
1. Di Active Directory, buat *grup sinkronisasi induk* untuk memuat semua pengguna dan grup yang ingin Anda sinkronkan ke Pusat Identitas IAM. Misalnya, Anda dapat memberi nama grup *IAMIdentityCenterAllUsersAndGroups*.
1. Di Pusat Identitas IAM, tambahkan grup sinkronisasi induk ke daftar sinkronisasi yang dapat dikonfigurasi. IAM Identity Center akan menyinkronkan semua pengguna, grup, sub-grup, dan anggota dari semua grup yang terdapat dalam grup sinkronisasi induk.
1. Gunakan tindakan API manajemen pengguna dan grup Active Directory yang disediakan oleh Microsoft untuk menambah atau menghapus pengguna dan grup dari grup sinkronisasi induk.