As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configurando seu provedor de identidade para login único (SSO)
<a name="configure-id-federation"></a>

O Research and Engineering Studio se integra a qualquer provedor de identidade SAML 2.0 para autenticar o acesso do usuário ao portal RES. Essas etapas fornecem instruções para a integração com o provedor de identidade SAML 2.0 escolhido. Se você pretende usar o IAM Identity Center, consulte[Configurando o login único (SSO) com o IAM Identity Center](sso-idc.md).

**nota**  
O e-mail do usuário deve corresponder à declaração SAML do IDP e ao Active Directory. Você precisará conectar seu provedor de identidade ao Active Directory e sincronizar os usuários periodicamente.

**Topics**
+ [Configure seu provedor de identidade](#configure-id-federation_config-idp)
+ [Configure o RES para usar seu provedor de identidade](#configure-id-federation_config-res)
+ [Configurando seu provedor de identidade em um ambiente que não seja de produção](#configure-id-federation-demo-env)
+ [Depurando problemas de IdP do SAML](#configure-id-federation_debug)

## Configure seu provedor de identidade
<a name="configure-id-federation_config-idp"></a>

Esta seção fornece as etapas para configurar seu provedor de identidade com informações do grupo de usuários do RES Amazon Cognito.

1. O RES pressupõe que você tenha um AD (AD AWS gerenciado ou um AD autoprovisionado) com as identidades de usuário permitidas para acessar o portal e os projetos do RES. Conecte seu AD ao seu provedor de serviços de identidade e sincronize as identidades dos usuários. Consulte a documentação do seu provedor de identidade para saber como conectar seu AD e sincronizar identidades de usuário. Por exemplo, consulte [Usando o Active Directory como fonte de identidade](https://docs.aws.amazon.com/singlesignon/latest/userguide/gs-ad.html) no *Guia Centro de Identidade do AWS IAM do Usuário*.

1. Configure um aplicativo SAML 2.0 para RES em seu provedor de identidade (IdP). Essa configuração requer os seguintes parâmetros:
   + URL de **redirecionamento do SAML** — O URL que seu IdP usa para enviar a resposta do SAML 2.0 ao provedor de serviços.
**nota**  
Dependendo do IdP, o URL de redirecionamento de SAML pode ter um nome diferente:  
URL da aplicação
URL do Assertion Consumer Service (ACS)
URL de vinculação do ACS POST

**Para obter o URL**

     1. Faça login no RES como administrador ou **administrador** de **cluster**.

     1. Navegue até **Gerenciamento de ambiente** ⇒ **Configurações gerais** ⇒ **Provedor de identidade**.

     1. Escolha o URL de **redirecionamento de SAML**.
   + **URI do público do SAML** — O ID exclusivo da entidade do público do SAML no lado do provedor de serviços.
**nota**  
Dependendo do IdP, o URI do público do SAML pode ter um nome diferente:  
ClientID
Público SAML do aplicativo
ID de entidade SP

     Forneça a entrada no formato a seguir.

     ```
     urn:amazon:cognito:sp:user-pool-id
     ```

**Para encontrar seu URI de público do SAML**

     1. Faça login no RES como administrador ou **administrador** de **cluster**.

     1. Navegue até **Gerenciamento de ambiente** ⇒ **Configurações gerais** ⇒ **Provedor de identidade**.

     1. Escolha **ID do grupo de usuários**.

1. A declaração SAML publicada no RES deve ter o seguinte fields/claims definido como o endereço de e-mail do usuário:
   + Assunto do SAML ou NameID
   + E-mail SAML

1. Seu IdP é adicionado fields/claims à declaração do SAML, com base na configuração. O RES exige esses campos. A maioria dos provedores preenche automaticamente esses campos por padrão. Consulte as entradas e valores de campo a seguir se precisar configurá-los.

   
   + **AudienceRestriction**: defina como `urn:amazon:cognito:sp:user-pool-id`. *user-pool-id*Substitua pelo ID do seu grupo de usuários do Amazon Cognito.

     ```
     <saml:AudienceRestriction>
         <saml:Audience> urn:amazon:cognito:sp:user-pool-id
     </saml:AudienceRestriction>
     ```
   + **Resposta** — `InResponseTo` Defina como`https://user-pool-domain/saml2/idpresponse`. *user-pool-domain*Substitua pelo nome de domínio do seu grupo de usuários do Amazon Cognito.

     ```
     <saml2p:Response 
       Destination="https://user-pool-domain/saml2/idpresponse"
       ID="id123" 
       InResponseTo="_dd0a3436-bc64-4679-a0c2-cb4454f04184" 
       IssueInstant="Date-time stamp" 
       Version="2.0" 
       xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" 
       xmlns:xs="http://www.w3.org/2001/XMLSchema">
     ```
   + **SubjectConfirmationData**— `Recipient` Defina o `saml2/idpresponse` endpoint do grupo de usuários e `InResponseTo` o ID original da solicitação SAML.

     ```
     <saml2:SubjectConfirmationData 
       InResponseTo="_dd0a3436-bc64-4679-a0c2-cb4454f04184" 
       NotOnOrAfter="Date-time stamp" 
       Recipient="https://user-pool-domain/saml2/idpresponse"/>
     ```
   + **AuthnStatement**— Configure da seguinte forma:

     ```
     <saml2:AuthnStatement AuthnInstant="2016-10-30T13:13:28.152TZ"
       SessionIndex="32413b2e54db89c764fb96ya2k" SessionNotOnOrAfter="2016-10-30T13:13:28">
         <saml2:SubjectLocality />
         <saml2:AuthnContext>
             <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</saml2:AuthnContextClassRef>
         </saml2:AuthnContext>
     </saml2:AuthnStatement>
     ```

1. Se seu aplicativo SAML tiver um campo de URL de logout, defina-o como:. `<domain-url>/saml2/logout`

**Para obter o URL do domínio**

   1. Faça login no RES como administrador ou **administrador** de **cluster**.

   1. Navegue até **Gerenciamento de ambiente** ⇒ **Configurações gerais** ⇒ **Provedor de identidade**.

   1. Escolha **o URL do domínio**.

1. Se o seu IdP aceitar um certificado de assinatura para estabelecer confiança com o Amazon Cognito, baixe o certificado de assinatura do Amazon Cognito e carregue-o no seu IdP.

**Para obter o certificado de assinatura**

   1. Abra o [console do Amazon Cognito](https://console.aws.amazon.com/cognito/v2/idp/user-pools/). 

   1. Selecione seu grupo de usuários. Seu grupo de usuários deve ser`res-<environment name>-user-pool`.

   1. Selecione a guia **Experiência de login**.

   1. Na seção Login do **provedor de identidade federado, escolha **Exibir** certificado de assinatura**.  
![\[O console do Amazon Cognito com o botão Exibir certificado de assinatura na seção de login do provedor de identidade federado para um grupo de usuários selecionado.\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/cognito-user-pool-signing-cert.png)

      Você pode usar esse certificado para configurar o IDP do Active Directory, adicionar um `relying party trust` e habilitar o suporte ao SAML nessa parte confiável.
**nota**  
Isso não se aplica ao Keycloak e ao IDC.

   1. Depois que a configuração do aplicativo estiver concluída, baixe o XML ou URL dos metadados do aplicativo SAML 2.0. Você o usa na próxima seção.

## Configure o RES para usar seu provedor de identidade
<a name="configure-id-federation_config-res"></a>

**Para concluir a configuração de login único para RES**

1. Faça login no RES como administrador ou **administrador** de **cluster**.

1. Navegue até **Gerenciamento de ambiente** ⇒ **Configurações gerais** ⇒ **Provedor de identidade**.  
![\[A interface do usuário de configurações de ambiente em RES, incluindo uma seção para Single Sign-On.\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/environment-settings.png)

1. Em **Single Sign-On**, escolha o ícone de edição ao lado do indicador de status para abrir a página de **Configuração de Single Sign On**.  
![\[A interface de usuário da Configuração de Login Único em RES.\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/sso-config.png)

   1. Em **Identity Provider**, escolha **SAML.**

   1. Em **Nome do provedor**, insira um nome exclusivo para seu provedor de identidade.
**nota**  
Os seguintes nomes não são permitidos:  
Cognito
IdentityCenter

   1. Em **Fonte do documento de metadados**, escolha a opção apropriada e carregue o documento XML de metadados ou forneça a URL do provedor de identidade.

   1. Em **Atributo de e-mail do provedor**, insira o valor do texto`email`.

   1. Selecione **Enviar**.

1. Recarregue a página de **configurações do ambiente**. O login único é ativado se a configuração estiver correta.

## Configurando seu provedor de identidade em um ambiente que não seja de produção
<a name="configure-id-federation-demo-env"></a>

Se você usou os [recursos externos](prerequisites.md#external-resources) fornecidos para criar um ambiente RES sem produção e configurou o IAM Identity Center como seu provedor de identidade, talvez queira configurar um provedor de identidade diferente, como o Okta. O formulário de habilitação do RES SSO solicita três parâmetros de configuração: 

1. Nome do provedor — Não pode ser modificado

1. Documento de metadados ou URL — Pode ser modificado

1. Atributo de e-mail do provedor — Pode ser modificado

**Para modificar o documento de metadados e o atributo de e-mail do provedor, faça o seguinte:**

1.  Acesse o console do Amazon Cognito. 

1. Na navegação, escolha **Grupos de usuários**.

1. Selecione seu grupo de usuários para ver a visão **geral do grupo de usuários**.

1. Na guia **Experiência de login, acesse Login** **do provedor de identidade federado e abra seu provedor de identidade configurado**. 

1. Geralmente, você só precisará alterar os metadados e deixar o mapeamento de atributos inalterado. Para atualizar o **mapeamento de atributos**, escolha **Editar**. Para atualizar o **documento de metadados**, escolha **Substituir metadados**.  
![\[Visão geral do grupo de usuários do Amazon Cognito.\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-attributemetadata.png)

1. Se você editou o mapeamento de atributos, precisará atualizar a `<environment name>.cluster-settings` tabela no DynamoDB. 

   1. Abra o console do DynamoDB e **escolha** Tabelas na navegação. 

   1. Encontre e selecione a `<environment name>.cluster-settings` tabela e, no menu **Ações**, selecione **Explorar itens**.

   1. Em **Digitalizar ou consultar itens**, acesse **Filtros** e insira os seguintes parâmetros:
      + **Nome do atributo** — `key`
      + **Valor** — `identity-provider.cognito.sso_idp_provider_email_attribute`

   1. Escolha **Executar**. 

1. Em **Itens retornados**, encontre a `identity-provider.cognito.sso_idp_provider_email_attribute` string e escolha **Editar** para modificar a string de acordo com suas alterações no Amazon Cognito.  
![\[O Amazon Cognito atualiza os filtros e itens retornados no DynamoDB.\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-scanqueryitems.png)

## Depurando problemas de IdP do SAML
<a name="configure-id-federation_debug"></a>

**SAML-Tracer** — Você pode usar essa extensão no navegador Chrome para rastrear solicitações SAML e verificar os valores de asserção SAML. Para obter mais informações, consulte [SAML-tracer na loja](https://chromewebstore.google.com/detail/saml-tracer/mpdajninpobndbfcldcmbpnnbhibjmch?pli=1) virtual do Chrome.

**Ferramentas de desenvolvedor do SAML** — OneLogin fornece ferramentas que você pode usar para decodificar o valor codificado do SAML e verificar os campos obrigatórios na declaração do SAML. Para obter mais informações, consulte [Base 64 Decode \$1 Inflate](https://www.samltool.com/decode.php) no OneLogin site.

**Amazon CloudWatch Logs** — Você pode verificar seus registros de RES em CloudWatch Logs em busca de erros ou avisos. Seus registros estão em um grupo de registros com o formato do nome`/res-environment-name/cluster-manager`.

**Documentação do Amazon Cognito** *— Para obter mais informações sobre a integração do SAML com o Amazon Cognito, consulte [Adicionar provedores de identidade do SAML a um grupo de usuários no Guia do desenvolvedor do Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-saml-idp.html).*