Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione del provider di identità per il Single Sign-On (SSO)
Research and Engineering Studio si integra con qualsiasi provider di identità SAML 2.0 per autenticare l'accesso degli utenti al portale RES. Questi passaggi forniscono indicazioni per l'integrazione con il provider di identità SAML 2.0 scelto. Se intendi utilizzare IAM Identity Center, consulta[Configurazione del single sign-on (SSO) con IAM Identity Center](sso-idc.md).
**Nota**
L'e-mail dell'utente deve corrispondere nell'asserzione IDP SAML e in Active Directory. Dovrai connettere il tuo provider di identità con Active Directory e sincronizzare periodicamente gli utenti.
**Topics**
+ [Configura il tuo provider di identità](#configure-id-federation_config-idp)
+ [Configura RES per utilizzare il tuo provider di identità](#configure-id-federation_config-res)
+ [Configurazione del provider di identità in un ambiente non di produzione](#configure-id-federation-demo-env)
+ [Eseguire il debug dei problemi di SAML IdP](#configure-id-federation_debug)
## Configura il tuo provider di identità
Questa sezione illustra i passaggi per configurare il tuo provider di identità con le informazioni del pool di utenti RES Amazon Cognito.
1. RES presuppone che tu disponga di un AD (AWS Managed AD o un AD autofornito) con identità utente autorizzate ad accedere al portale e ai progetti RES. Collega il tuo AD al tuo provider di servizi di identità e sincronizza le identità degli utenti. Consulta la documentazione del tuo provider di identità per scoprire come connettere AD e sincronizzare le identità degli utenti. Ad esempio, vedi [Utilizzo di Active Directory come fonte di identità](https://docs.aws.amazon.com/singlesignon/latest/userguide/gs-ad.html) nella *Guida per l'AWS IAM Identity Center utente*.
1. Configura un'applicazione SAML 2.0 per RES nel tuo provider di identità (IdP). Questa configurazione richiede i seguenti parametri:
+ **URL di reindirizzamento SAML**: l'URL utilizzato dal tuo IdP per inviare la risposta SAML 2.0 al provider di servizi.
**Nota**
A seconda dell'IdP, l'URL di reindirizzamento SAML potrebbe avere un nome diverso:
URL dell'applicazione
URL dell'Assertion Consumer Service (ACS)
URL vincolante POST ACS
**Per ottenere l'URL**
1. Accedi a RES come amministratore o **amministratore** del **cluster**.
1. Vai a **Gestione dell'ambiente** ⇒ **Impostazioni generali** ⇒ **Identity** Provider.
1. Scegli **SAML Redirect** URL.
+ **URI SAML Audience**: l'ID univoco dell'entità di audience SAML sul lato del fornitore di servizi.
**Nota**
A seconda dell'IdP, l'URI SAML Audience potrebbe avere un nome diverso:
ClientID
Applicazione SAML Audience
ID dell'entità SP
Fornisci l'input nel seguente formato.
```
urn:amazon:cognito:sp:{{user-pool-id}}
```
**Per trovare il tuo URI SAML Audience**
1. Accedi a RES come **amministratore o amministratore** del **cluster**.
1. Vai a **Gestione dell'ambiente** ⇒ **Impostazioni generali** ⇒ **Identity** Provider.
1. Scegli **User Pool Id**.
1. L'asserzione SAML pubblicata su RES deve avere quanto segue fields/claims impostato sull'indirizzo e-mail dell'utente:
+ Oggetto o NameID SAML
+ Posta elettronica SAML
1. Il tuo IdP si aggiunge fields/claims all'asserzione SAML, in base alla configurazione. RES richiede questi campi. La maggior parte dei provider compila automaticamente questi campi per impostazione predefinita. Fai riferimento ai seguenti input e valori dei campi se devi configurarli.
+ **AudienceRestriction**— Impostato su. `urn:amazon:cognito:sp:{{user-pool-id}}` Sostituiscilo {{user-pool-id}} con l'ID del tuo pool di utenti Amazon Cognito.
```
urn:amazon:cognito:sp:{{user-pool-id}}
```
+ **Risposta**: imposta su`InResponseTo`. `https://{{user-pool-domain}}/saml2/idpresponse` Sostituiscilo {{user-pool-domain}} con il nome di dominio del tuo pool di utenti Amazon Cognito.
```
```
+ **SubjectConfirmationData**— Imposta `Recipient` sull'`saml2/idpresponse`endpoint del pool di utenti e sull'`InResponseTo`ID della richiesta SAML originale.
```
```
+ **AuthnStatement**— Configura come segue:
```
urn:oasis:names:tc:SAML:2.0:ac:classes:Password
```
1. Se la tua applicazione SAML ha un campo URL di disconnessione, impostalo su:. `{{}}/saml2/logout`
**Per ottenere l'URL del dominio**
1. Accedi a RES come amministratore o **amministratore** del **cluster**.
1. Vai a **Gestione dell'ambiente** ⇒ **Impostazioni generali** ⇒ **Identity** Provider.
1. Scegli **l'URL del dominio**.
1. Se il tuo IdP accetta un certificato di firma per stabilire un rapporto di fiducia con Amazon Cognito, scarica il certificato di firma Amazon Cognito e caricalo nel tuo IdP.
**Per ottenere il certificato di firma**
1. Apri la [console Amazon Cognito](https://console.aws.amazon.com/cognito/v2/idp/user-pools/).
1. Seleziona il tuo pool di utenti. Il tuo pool di utenti dovrebbe essere`res-{{}}-user-pool`.
1. Seleziona la scheda **Sign-in esperienza**.
1. Nella sezione di **accesso al Federated Identity Provider**, scegli **Visualizza certificato di firma**.
Puoi utilizzare questo certificato per configurare Active Directory IDP, aggiungere un `relying party trust` e abilitare il supporto SAML su questo relying party.
**Nota**
Questo non si applica a Keycloak e IDC.
1. Una volta completata la configurazione dell'applicazione, scarica l'XML o l'URL dei metadati dell'applicazione SAML 2.0. Lo utilizzerai nella sezione successiva.
## Configura RES per utilizzare il tuo provider di identità
**Per completare la configurazione Single Sign-On per RES**
1. **Accedi a RES come **amministratore o amministratore** del cluster.**
1. Vai a **Gestione dell'ambiente** ⇒ **Impostazioni generali** ⇒ **Identity** Provider.
1. In **Single** Sign On Sign-On, scegli l'icona di modifica accanto all'indicatore di stato per aprire la pagina di **configurazione Single Sign On**.
1. Per **Identity Provider**, scegli **SAML.**
1. Per **Provider Name**, inserisci un nome univoco per il tuo provider di identità.
**Nota**
I seguenti nomi non sono consentiti:
Cognito
IdentityCenter
1. In **Origine documento di metadati**, scegli l'opzione appropriata e carica il documento XML con metadati o fornisci l'URL dal provider di identità.
1. Per **Provider Email Attribute**, inserisci il valore di testo. `email`
1. Seleziona **Invia**.
1. Ricarica la pagina delle **impostazioni dell'ambiente**. Il Single Sign-On è abilitato se la configurazione è corretta.
## Configurazione del provider di identità in un ambiente non di produzione
Se hai utilizzato le [risorse esterne](prerequisites.md#external-resources) fornite per creare un ambiente RES non di produzione e hai configurato IAM Identity Center come provider di identità, potresti voler configurare un provider di identità diverso come Okta. Il modulo di abilitazione RES SSO richiede tre parametri di configurazione:
1. Nome del provider: non può essere modificato
1. Documento o URL di metadati: può essere modificato
1. Attributo email del provider: può essere modificato
**Per modificare il documento di metadati e l'attributo email del provider, procedi come segue:**
1. Passa alla console Amazon Cognito.
1. Dalla navigazione, scegli **Pool di utenti**.
1. Seleziona il tuo pool di utenti per visualizzare la **panoramica del pool di utenti**.
1. Dalla scheda **Sign-in esperienza**, vai a **Federated Identity Provider Sign-in e apri il provider** di identità configurato.
1. In genere, ti verrà richiesto solo di modificare i metadati e lasciare invariata la mappatura degli attributi. **Per aggiornare la **mappatura degli attributi**, scegliete Modifica.** Per aggiornare il **documento di metadati**, scegliete **Sostituisci** metadati.
1. Se hai modificato la mappatura degli attributi, dovrai aggiornare la `.cluster-settings` tabella in DynamoDB.
1. Apri la console DynamoDB e **scegli** Tabelle dalla navigazione.
1. Trova e seleziona la `.cluster-settings` tabella e dal menu **Azioni** seleziona **Esplora** elementi.
1. In **Elementi di scansione o interrogazione**, vai su **Filtri** e inserisci i seguenti parametri:
+ **Nome dell'attributo**: `key`
+ **Valore** — `identity-provider.cognito.sso_idp_provider_email_attribute`
1. Scegli **Esegui**.
1. In **Articoli restituiti**, trova la `identity-provider.cognito.sso_idp_provider_email_attribute` stringa e scegli **Modifica per modificare** la stringa in modo che corrisponda alle modifiche apportate in Amazon Cognito.
## Eseguire il debug dei problemi di SAML IdP
**SAML-tracer**— Puoi utilizzare questa estensione per il browser Chrome per tenere traccia delle richieste SAML e controllare i valori delle asserzioni SAML. Per ulteriori informazioni, consulta [ SAML-tracer](https://chromewebstore.google.com/detail/saml-tracer/mpdajninpobndbfcldcmbpnnbhibjmch?pli=1)il Chrome Web Store.
**Strumenti per sviluppatori SAML**: OneLogin forniscono strumenti che puoi utilizzare per decodificare il valore codificato SAML e controllare i campi obbligatori nell'asserzione SAML. Per ulteriori informazioni, consulta [Base 64 Decode](https://www.samltool.com/decode.php) \+ Inflate sul sito Web. OneLogin
**Amazon CloudWatch Logs**: puoi controllare i tuoi log RES in CloudWatch Logs per eventuali errori o avvisi. I tuoi log si trovano in un gruppo di log con il formato del nome. `/{{res-environment-name}}/cluster-manager`
**Documentazione di Amazon Cognito***: per ulteriori informazioni sull'integrazione SAML con Amazon Cognito, consulta [Aggiungere provider di identità SAML a un pool di utenti nella Amazon Cognito Developer Guide](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-saml-idp.html).*