As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciamento de identidades
O Research and Engineering Studio pode usar qualquer provedor de identidade compatível com SAML 2.0. Para usar o Amazon Cognito como um diretório de usuário nativo que permite que os usuários façam login no portal da web e no Linux com base nas identidades de usuário do VDIs Cognito, consulte. [Configurando usuários do Amazon Cognito](setting-up-cognito-users.md) Se você implantou o RES usando recursos externos ou planeja usar o IAM Identity Center, consulte[Configurando o login único (SSO) com o IAM Identity Center](sso-idc.md). Se você tiver seu próprio provedor de identidade compatível com SAML 2.0, consulte. [Configurando seu provedor de identidade para login único (SSO)](configure-id-federation.md)
**Topics**
+ [
# Configurando usuários do Amazon Cognito
](setting-up-cognito-users.md)
+ [
# Sincronização do Active Directory
](active-directory-sync.md)
+ [
# Configurando o login único (SSO) com o IAM Identity Center
](sso-idc.md)
+ [
# Configurando seu provedor de identidade para login único (SSO)
](configure-id-federation.md)
+ [
# Definindo senhas para usuários
](setting-user-passwords.md)
# Configurando usuários do Amazon Cognito
O Research and Engineering Studio (RES) permite que você configure o Amazon Cognito como um diretório de usuários nativo. Isso permite que os usuários façam login no portal da web e no Linux com identidades de usuário do Amazon VDIs Cognito. Os administradores podem importar vários usuários para o grupo de usuários usando um arquivo csv do AWS console. Para obter mais detalhes sobre a importação em massa de usuários, consulte [Importação de usuários para grupos de usuários a partir de um arquivo CSV no Guia do Desenvolvedor](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-using-import-tool.html) do *Amazon Cognito*. O RES suporta o uso de um diretório de usuário nativo baseado no Amazon Cognito e SSO juntos.
## Configuração administrativa
**Como administrador do RES, para configurar o ambiente do RES para usar o Amazon Cognito como um diretório de usuários, ative o botão Usar o Amazon **Cognito como diretório de usuários** na página de gerenciamento de **identidades, que pode ser acessada na página Gerenciamento** do ambiente.** Para permitir que os usuários se registrem automaticamente, ative o botão de **autorregistro do usuário** na mesma página.
![\[Página de gerenciamento de identidades mostrando as configurações do diretório cognito\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/id-management-cognito-directory.png)
## Fluxo de up/sign login do usuário
Se **o autorregistro do usuário** estiver ativado, você poderá fornecer aos usuários o URL do seu aplicativo web. Lá, os usuários encontrarão uma opção que diz **Ainda não é usuário? Cadastre-se aqui**.
![\[Página de login do usuário com opção de autorregistro\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/user-sign-up.png)
## Fluxo de inscrição
Usuários que escolhem **Ainda não é usuário? Ao se inscrever aqui**, será solicitado que você insira seu e-mail e senha para criar uma conta.
![\[Crie uma página de conta para o autorregistro do usuário\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/create-account.png)
Como parte do fluxo de inscrição, os usuários deverão inserir o código de verificação recebido no e-mail para concluir o processo de inscrição.
![\[Página de entrada do código de verificação\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/verify-email.png)
Se a autoinscrição estiver desativada, os usuários não verão o link de inscrição. Os administradores devem configurar os usuários no Amazon Cognito fora do RES. (Consulte [Criação de contas de usuário como administrador](https://docs.aws.amazon.com/cognito/latest/developerguide/how-to-create-user-accounts.html) no *Guia do Desenvolvedor do Amazon Cognito*.)
![\[Página de entrada do código de verificação\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/user-sign-in.png)
## Opções da página de login
Se o SSO e o Amazon Cognito estiverem habilitados, uma opção **para entrar com o SSO da organização será exibida**. Quando os usuários clicarem nessa opção, eles serão redirecionados para a página de login do SSO. Por padrão, os usuários se autenticarão com o Amazon Cognito se ele estiver ativado.
![\[Página de login do usuário com opções para se inscrever, verificar a conta ou fazer login com o SSO da organização\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/org-sso-sign-in.png)
## Restrições
+ Seu **nome do Grupo** Amazon Cognito pode ter no máximo seis letras; somente letras minúsculas são aceitas.
+ A inscrição no Amazon Cognito não permitirá dois endereços de e-mail com o mesmo nome de usuário, mas com um endereço de domínio diferente.
+ Se o Active Directory e o Amazon Cognito estiverem habilitados e o sistema detectar um nome de usuário duplicado, somente os usuários do Active Directory poderão se autenticar. Os administradores devem tomar medidas para não configurar nomes de usuário duplicados entre o Amazon Cognito e seu Active Directory.
+ Os usuários do Cognito não poderão iniciar com base no Windows, VDIs pois o RES não oferece suporte à autenticação baseada no Amazon Cognito para instâncias do Windows.
## Grupo de administradores para usuários do Amazon Cognito
Por padrão, o RES concede aos usuários do Cognito dentro do privilégio de administrador do `admins` grupo. Para adicionar usuários ao grupo Cognito`admins`:
1. Navegue até o [console do Amazon Cognito](https://console.aws.amazon.com/cognito/home) e escolha o grupo de usuários existente usado para RES.
1. Navegue até **Grupos** em **Gerenciamento de usuários** e escolha **Criar um grupo.**
1. Na página **Criar um grupo**, em **Nome do grupo,** insira`admins`.
1. Selecione o `admins` grupo que você criou e escolha **Adicionar usuário ao grupo para** adicionar usuários do Cognito.
1. Inicie a sincronização do Cognito manualmente seguindo. [Sincronização](#setting-up-cognito-users-sync)
Depois de uma sincronização bem-sucedida do Amazon Cognito, os usuários adicionados ao `admins` grupo receberão privilégios de administrador.
## Sincronização
O RES sincroniza seu banco de dados com informações de usuários e grupos do Amazon Cognito a cada hora. Todos os usuários que pertencerem ao grupo “administradores” receberão o privilégio sudo em seus. VDIs
Você também pode iniciar a sincronização manualmente no console Lambda.
**Inicie o processo de sincronização manualmente:**
1. Abra o [console do lambda](https://console.aws.amazon.com/lambda).
1. Pesquise o Cognito sync Lambda. Este Lambda segue esta convenção de nomenclatura:. `{RES_ENVIRONMENT_NAME}_cognito-sync-lambda`
1. Selecione **Testar**.
1. Na seção **Evento de teste**, escolha o botão **Testar** no canto superior direito. O formato do corpo do evento não importa.
## Considerações de segurança para o Cognito
Antes da versão 2024.12, o [registro de atividades do usuário](https://docs.aws.amazon.com/cognito/latest/developerguide/feature-plans-features-plus.html), que faz parte do recurso do plano Amazon Cognito Plus, era ativado por padrão. Esse recurso foi removido da implantação básica para economizar custos para clientes que desejam experimentar o RES. Você pode reativar esse recurso conforme necessário para se alinhar às configurações de segurança na nuvem da sua organização.
# Sincronização do Active Directory
## Configuração de tempo de execução
Todos os AWS CloudFormation parâmetros relacionados ao Active Directory (AD) são opcionais durante a instalação.
![\[Detalhes opcionais do Active Directory\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/active-directory-details.png)
Para qualquer ARN secreto fornecido em tempo de execução (por exemplo, `ServiceAccountCredentialsSecretArn` ou`DomainTLSCertificateSecretArn`), certifique-se de adicionar as seguintes tags ao segredo para RES para obter permissões para ler o valor secreto:
+ chave: `res:EnvironmentName`, valor: ``
+ chave: `res:ModuleName`, valor: `directoryservice`
Todas as atualizações de configuração do AD no portal da web serão coletadas automaticamente durante a próxima sincronização agendada do AD (de hora em hora). Talvez os usuários precisem reconfigurar o SSO depois de alterar a configuração do AD (por exemplo, se mudarem para um AD diferente).
Após a instalação inicial, os administradores podem visualizar ou editar a configuração do AD no portal web RES, na página de **gerenciamento de identidade**:
![\[Detalhes das configurações de domínio do Active Directory\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-active-directory-domain.png)
![\[Pop-out de sincronização do Active Directory\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/active-directory-synchronization.png)
### Ingressar automaticamente no Active Directory
Os administradores podem definir a configuração **Ingressar automaticamente no Active Directory** para controlar o comportamento de associação ao domínio do diretório durante a inicialização da VDI.
**Opções de configuração:**
+ **Ativado** - une automaticamente o Windows e o Linux VDIs ao seu domínio de diretório durante a inicialização.
+ **Desativado** - desativa a adesão automática ao domínio. As instâncias Linux podem ser executadas com ou sem a associação de domínios. As instâncias do Windows exigem a associação de domínios para serem iniciadas com êxito, portanto, os administradores devem incluir a lógica de associação de domínio em seus scripts de lançamento personalizados.
**Importante**
Se você desabilitar essa configuração, verifique se os scripts de execução personalizados da sua instância do Windows incluem a lógica de junção de domínio necessária.
### Configurações adicionais
**Filtros**
Os administradores podem filtrar os usuários ou grupos a serem sincronizados usando as opções **Filtro de usuários e Filtro** **de grupos**. Os filtros devem seguir a sintaxe do [filtro LDAP](https://ldap.com/ldap-filters/). Um exemplo de filtro é:
```
(sAMAccountname=)
```
**Parâmetros SSSD personalizados**
Os administradores podem fornecer um dicionário de pares de valores-chave contendo parâmetros e valores SSSD para gravar na `[domain_type/DOMAIN_NAME]` seção do arquivo de configuração SSSD em instâncias de cluster. O RES aplica as atualizações do SSSD automaticamente — ele reinicia o serviço SSSD nas instâncias do cluster e aciona o processo de sincronização do AD.
Algumas configurações SSSD personalizadas comuns são:
+ `enumerate`- Defina como 'true' para armazenar em cache todas as entradas de usuários e grupos do serviço de diretório. Desativar isso pode adicionar um pequeno atraso ao primeiro login dos usuários.
+ `ldap_id_mapping`- Defina como 'true' para mapear o LDAP/AD usuário e IDs o grupo para locais UIDs e GIDs no sistema Linux. Ativar isso pode melhorar a compatibilidade com scripts e aplicativos POSIX existentes.
Para obter uma descrição completa do arquivo de configuração SSSD, consulte as páginas do manual do Linux para`SSSD`.
![\[Configurações adicionais de SSSD\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-additional-sssd-config1.png)
Os parâmetros e valores do SSSD devem ser compatíveis com a configuração do RES SSSD, conforme descrito aqui:
+ `id_provider`é definido internamente pelo RES e não deve ser modificado.
+ As configurações relacionadas ao AD`ldap_uri`, incluindo,`ldap_search_base`, `ldap_default_bind_dn` e, `ldap_default_authtok` são definidas com base nas outras configurações fornecidas do AD e não devem ser modificadas.
O exemplo a seguir ativa o nível de depuração para registros SSSD:
![\[Configurações SSSD adicionais mostrando o novo par de chave e valor inserido\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-additional-sssd-config2.png)
## Atualização de e-mail após a sincronização inicial do AD (versão 2025.09 e posterior)
Se o endereço de e-mail de um usuário do Active Directory tiver sido alterado, os administradores poderão iniciar manualmente a sincronização do AD ou aguardar a próxima sincronização agendada do AD para que a alteração seja coletada e sincronizada com o RES.
## Como iniciar ou interromper manualmente a sincronização (versão 2025.03 e posterior)
Navegue até a página **de gerenciamento de identidade** e escolha o botão **Iniciar sincronização do AD** no contêiner do **domínio do Active Directory** para acionar uma sincronização do AD sob demanda.
![\[Configurações de domínio do Active Directory\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-ad-directory-sync1.png)
Para interromper uma sincronização contínua do AD, selecione o botão **Parar sincronização do AD** no contêiner do **Domínio do Active Directory**.
![\[Página de configurações de domínio do Active Directory mostrando a opção de interromper a sincronização\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-ad-directory-sync2.png)
Você também pode verificar o status da sincronização do AD e a hora da sincronização mais recente no contêiner do **Domínio do Active Directory**.
![\[Página de configurações de domínio do Active Directory mostrando a hora da sincronização mais recente\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-ad-directory-sync3.png)
## Como executar manualmente a sincronização (versões 2024.12 e 2024.12.01)
O processo de sincronização do Active Directory foi movido do host infravermelho do Cluster Manager para uma tarefa única do Amazon Elastic Container Service (ECS) em segundo plano. O processo está programado para ser executado a cada hora e você pode encontrar uma tarefa do ECS em execução no console do Amazon ECS sob o `-ad-sync-cluster` cluster enquanto ela está em andamento.
**Para iniciá-lo manualmente:**
1. Navegue até o [console do Lambda](https://console.aws.amazon.com/lambda) e pesquise o lambda chamado. `-scheduled-ad-sync`
1. **Abra a função Lambda e vá para Teste**
1. No **Evento JSON**, digite o seguinte:
```
{
"detail-type": "Scheduled Event"
}
```
1. Escolha **Testar**.
1. Observe os registros da tarefa do AD Sync em execução em **CloudWatch**→ **Grupos de registros** →`//ad-sync`. Você verá os registros de cada uma das tarefas do ECS em execução. Selecione o mais recente para ver os registros.
**nota**
Se você alterar os parâmetros do AD ou adicionar filtros do AD, o RES adicionará os novos usuários com os parâmetros recém-especificados e removerá os usuários que foram sincronizados anteriormente e não estão mais incluídos no espaço de pesquisa do LDAP.
O RES não pode remover um usuário ou grupo que esteja ativamente atribuído a um projeto. Você deve remover usuários dos projetos para que o RES os remova do ambiente.
## Configuração de SSO
Depois que a configuração do AD for fornecida, os usuários devem configurar o Single Sign-On (SSO) para poderem fazer login no portal web do RES como um usuário do AD. A configuração do SSO foi movida da página **Configurações gerais** para a nova página de **gerenciamento de identidade**. Para obter mais informações sobre como configurar o SSO, consulte[Gerenciamento de identidades](manage-users.md).
# Configurando o login único (SSO) com o IAM Identity Center
Se você ainda não tiver uma central de identidade conectada ao Active Directory gerenciado, comece com[Etapa 1: configurar uma central de identidade](#set-up-identity-center). Se você já tem uma central de identidade conectada ao Active Directory gerenciado, comece com[Etapa 2: conectar-se a uma central de identidade](#connect-identity-center).
**nota**
Se você estiver implantando em uma GovCloud região, configure o SSO na conta de AWS GovCloud (US) partição em que você implantou o Research and Engineering Studio.
## Etapa 1: configurar uma central de identidade
### Habilitar o IAM Identity Center
1. Faça login no [console do AWS Identity and Access Management](https://console.aws.amazon.com/iam).
1. Abra o **Identity Center**.
1. Escolha **Habilitar**.
1. Escolha **Ativar com AWS Organizations**.
1. Escolha **Continuar**.
**nota**
Verifique se você está na mesma região em que gerenciou o Active Directory.
### Conectando o IAM Identity Center a um Active Directory gerenciado
Depois de habilitar o IAM Identity Center, conclua estas etapas de configuração recomendadas:
1. No painel de navegação, selecione **Configurações**.
1. Em **Fonte de identidade**, escolha **Ações** e escolha **Alterar fonte de identidade**.
1. Em **Diretórios existentes**, selecione seu diretório.
1. Escolha **Próximo**.
1. Revise suas alterações e insira **ACCEPT** na caixa de confirmação.
1. Escolha **Alterar origem de identidade**.
### Sincronização de usuários e grupos com o centro de identidade
Depois que as alterações feitas [Conectando o IAM Identity Center a um Active Directory gerenciado](#connecting-identity-center-ad) forem concluídas, um banner verde de confirmação será exibido.
1. No banner de confirmação, escolha **Iniciar configuração guiada**.
1. **Em **Configurar mapeamentos de atributos**, escolha Avançar.**
1. Na seção **Usuário**, insira os usuários que você deseja sincronizar.
1. Escolha **Adicionar**.
1. Escolha **Próximo**.
1. Revise suas alterações e escolha **Salvar configuração**.
1. O processo de sincronização pode levar alguns minutos. Se você receber uma mensagem de aviso sobre usuários que não estão sincronizando, escolha **Retomar sincronização**.
### Como habilitar usuários
1. No menu, escolha **Usuários**.
1. Selecione o (s) usuário (s) para quem você deseja habilitar o acesso.
1. Escolha **Habilitar acesso do usuário**.
## Etapa 2: conectar-se a uma central de identidade
### Configurando o aplicativo no IAM Identity Center
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon/).
1. Selecione **Aplicações**.
1. Escolha **Adicionar aplicação**.
1. Em **Preferências de configuração**, escolha **Eu tenho um aplicativo que eu quero configurar**.
1. Em **Tipo de aplicação**, escolha **SAML 2.0**.
1. Escolha **Próximo**.
1. Insira o nome de exibição e a descrição que você gostaria de usar.
1. Em **Metadados do IAM Identity Center**, copie o link para o arquivo de **metadados SAML do IAM Identity Center**. Você precisará disso ao configurar o IAM Identity Center com o portal RES.
1. Em **Propriedades do aplicativo**, insira o **URL inicial do aplicativo**. Por exemplo, .`/sso`
1. Em **URL do ACS do aplicativo**, insira o URL de redirecionamento do portal RES. Para encontrar isso:
1. Em **Gerenciamento do ambiente**, escolha **Configurações gerais**.
1. Selecione a guia **Provedor de identidade**.
1. Em **Single Sign-On**, você encontrará o URL de redirecionamento do **SAML.**
1. Em **Público do Application SAML**, insira o URN do Amazon Cognito.
Para criar a urna:
1. No portal RES, abra **Configurações gerais**.
1. Na guia **Provedor de identidade**, localize o **ID do grupo de usuários**.
1. Adicione o **ID do grupo de usuários** a essa string:
```
urn:amazon:cognito:sp:
```
1. **Depois de inserir o URN do Amazon Cognito, escolha Enviar.**
### Configurando mapeamentos de atributos para o aplicativo
1. No **Identity Center**, abra os detalhes do aplicativo criado.
1. Escolha **Ações** e, em seguida, escolha **Editar mapeamentos de atributos**.
1. Em **Assunto**, insira **\$1\$1user:email\$1**.
1. Em **Formato**, escolha Endereço de **e-mail**.
1. Escolha **Adicionar novo mapeamento de atributo**.
1. Em **Atributo do usuário no aplicativo**, insira “e-mail”.
1. Em **Mapear para esse valor de string ou atributo de usuário no IAM Identity Center**, insira**\$1\$1user:email\$1**.
1. Em **Formato**, insira 'não especificado'.
1. Escolha **Salvar alterações**.
### Adicionar usuários ao aplicativo no IAM Identity Center
1. No Identity Center, abra **Usuários atribuídos** para seu aplicativo criado e escolha **Atribuir usuários**.
1. Selecione os usuários aos quais você deseja atribuir acesso ao aplicativo.
1. Escolha **Atribuir usuários**.
### Configurando o IAM Identity Center no ambiente RES
1. No ambiente do Research and Engineering Studio, em **Gerenciamento do ambiente**, abra **Configurações gerais**.
1. Abra a guia **Provedor de identidade**.
1. Em **Logon único**, escolha **Editar** (ao lado de **Status**).
1. Preencha o formulário com as seguintes informações:
1. Escolha **SAML**.
1. Em **Nome do provedor**, insira um nome amigável.
1. Escolha **Inserir URL do endpoint do documento de metadados**.
1. Insira o URL que você copiou durante[Configurando o aplicativo no IAM Identity Center](#setup-application-identity-center).
1. Em **Atributo de e-mail do provedor**, insira “e-mail”.
1. Selecione **Enviar**.
1. Atualize a página e verifique se o **Status** é exibido como ativado.
# Configurando seu provedor de identidade para login único (SSO)
O Research and Engineering Studio se integra a qualquer provedor de identidade SAML 2.0 para autenticar o acesso do usuário ao portal RES. Essas etapas fornecem instruções para a integração com o provedor de identidade SAML 2.0 escolhido. Se você pretende usar o IAM Identity Center, consulte[Configurando o login único (SSO) com o IAM Identity Center](sso-idc.md).
**nota**
O e-mail do usuário deve corresponder à declaração SAML do IDP e ao Active Directory. Você precisará conectar seu provedor de identidade ao Active Directory e sincronizar os usuários periodicamente.
**Topics**
+ [
## Configure seu provedor de identidade
](#configure-id-federation_config-idp)
+ [
## Configure o RES para usar seu provedor de identidade
](#configure-id-federation_config-res)
+ [
## Configurando seu provedor de identidade em um ambiente que não seja de produção
](#configure-id-federation-demo-env)
+ [
## Depurando problemas de IdP do SAML
](#configure-id-federation_debug)
## Configure seu provedor de identidade
Esta seção fornece as etapas para configurar seu provedor de identidade com informações do grupo de usuários do RES Amazon Cognito.
1. O RES pressupõe que você tenha um AD (AD AWS gerenciado ou um AD autoprovisionado) com as identidades de usuário permitidas para acessar o portal e os projetos do RES. Conecte seu AD ao seu provedor de serviços de identidade e sincronize as identidades dos usuários. Consulte a documentação do seu provedor de identidade para saber como conectar seu AD e sincronizar identidades de usuário. Por exemplo, consulte [Usando o Active Directory como fonte de identidade](https://docs.aws.amazon.com/singlesignon/latest/userguide/gs-ad.html) no *Guia Centro de Identidade do AWS IAM do Usuário*.
1. Configure um aplicativo SAML 2.0 para RES em seu provedor de identidade (IdP). Essa configuração requer os seguintes parâmetros:
+ URL de **redirecionamento do SAML** — O URL que seu IdP usa para enviar a resposta do SAML 2.0 ao provedor de serviços.
**nota**
Dependendo do IdP, o URL de redirecionamento de SAML pode ter um nome diferente:
URL da aplicação
URL do Assertion Consumer Service (ACS)
URL de vinculação do ACS POST
**Para obter o URL**
1. Faça login no RES como administrador ou **administrador** de **cluster**.
1. Navegue até **Gerenciamento de ambiente** ⇒ **Configurações gerais** ⇒ **Provedor de identidade**.
1. Escolha o URL de **redirecionamento de SAML**.
+ **URI do público do SAML** — O ID exclusivo da entidade do público do SAML no lado do provedor de serviços.
**nota**
Dependendo do IdP, o URI do público do SAML pode ter um nome diferente:
ClientID
Público SAML do aplicativo
ID de entidade SP
Forneça a entrada no formato a seguir.
```
urn:amazon:cognito:sp:user-pool-id
```
**Para encontrar seu URI de público do SAML**
1. Faça login no RES como administrador ou **administrador** de **cluster**.
1. Navegue até **Gerenciamento de ambiente** ⇒ **Configurações gerais** ⇒ **Provedor de identidade**.
1. Escolha **ID do grupo de usuários**.
1. A declaração SAML publicada no RES deve ter o seguinte fields/claims definido como o endereço de e-mail do usuário:
+ Assunto do SAML ou NameID
+ E-mail SAML
1. Seu IdP é adicionado fields/claims à declaração do SAML, com base na configuração. O RES exige esses campos. A maioria dos provedores preenche automaticamente esses campos por padrão. Consulte as entradas e valores de campo a seguir se precisar configurá-los.
+ **AudienceRestriction**: defina como `urn:amazon:cognito:sp:user-pool-id`. *user-pool-id*Substitua pelo ID do seu grupo de usuários do Amazon Cognito.
```
urn:amazon:cognito:sp:user-pool-id
```
+ **Resposta** — `InResponseTo` Defina como`https://user-pool-domain/saml2/idpresponse`. *user-pool-domain*Substitua pelo nome de domínio do seu grupo de usuários do Amazon Cognito.
```
```
+ **SubjectConfirmationData**— `Recipient` Defina o `saml2/idpresponse` endpoint do grupo de usuários e `InResponseTo` o ID original da solicitação SAML.
```
```
+ **AuthnStatement**— Configure da seguinte forma:
```
urn:oasis:names:tc:SAML:2.0:ac:classes:Password
```
1. Se seu aplicativo SAML tiver um campo de URL de logout, defina-o como:. `/saml2/logout`
**Para obter o URL do domínio**
1. Faça login no RES como administrador ou **administrador** de **cluster**.
1. Navegue até **Gerenciamento de ambiente** ⇒ **Configurações gerais** ⇒ **Provedor de identidade**.
1. Escolha **o URL do domínio**.
1. Se o seu IdP aceitar um certificado de assinatura para estabelecer confiança com o Amazon Cognito, baixe o certificado de assinatura do Amazon Cognito e carregue-o no seu IdP.
**Para obter o certificado de assinatura**
1. Abra o [console do Amazon Cognito](https://console.aws.amazon.com/cognito/v2/idp/user-pools/).
1. Selecione seu grupo de usuários. Seu grupo de usuários deve ser`res--user-pool`.
1. Selecione a guia **Experiência de login**.
1. Na seção Login do **provedor de identidade federado, escolha **Exibir** certificado de assinatura**.
![\[O console do Amazon Cognito com o botão Exibir certificado de assinatura na seção de login do provedor de identidade federado para um grupo de usuários selecionado.\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/cognito-user-pool-signing-cert.png)
Você pode usar esse certificado para configurar o IDP do Active Directory, adicionar um `relying party trust` e habilitar o suporte ao SAML nessa parte confiável.
**nota**
Isso não se aplica ao Keycloak e ao IDC.
1. Depois que a configuração do aplicativo estiver concluída, baixe o XML ou URL dos metadados do aplicativo SAML 2.0. Você o usa na próxima seção.
## Configure o RES para usar seu provedor de identidade
**Para concluir a configuração de login único para RES**
1. Faça login no RES como administrador ou **administrador** de **cluster**.
1. Navegue até **Gerenciamento de ambiente** ⇒ **Configurações gerais** ⇒ **Provedor de identidade**.
![\[A interface do usuário de configurações de ambiente em RES, incluindo uma seção para Single Sign-On.\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/environment-settings.png)
1. Em **Single Sign-On**, escolha o ícone de edição ao lado do indicador de status para abrir a página de **Configuração de Single Sign On**.
![\[A interface de usuário da Configuração de Login Único em RES.\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/sso-config.png)
1. Em **Identity Provider**, escolha **SAML.**
1. Em **Nome do provedor**, insira um nome exclusivo para seu provedor de identidade.
**nota**
Os seguintes nomes não são permitidos:
Cognito
IdentityCenter
1. Em **Fonte do documento de metadados**, escolha a opção apropriada e carregue o documento XML de metadados ou forneça a URL do provedor de identidade.
1. Em **Atributo de e-mail do provedor**, insira o valor do texto`email`.
1. Selecione **Enviar**.
1. Recarregue a página de **configurações do ambiente**. O login único é ativado se a configuração estiver correta.
## Configurando seu provedor de identidade em um ambiente que não seja de produção
Se você usou os [recursos externos](prerequisites.md#external-resources) fornecidos para criar um ambiente RES sem produção e configurou o IAM Identity Center como seu provedor de identidade, talvez queira configurar um provedor de identidade diferente, como o Okta. O formulário de habilitação do RES SSO solicita três parâmetros de configuração:
1. Nome do provedor — Não pode ser modificado
1. Documento de metadados ou URL — Pode ser modificado
1. Atributo de e-mail do provedor — Pode ser modificado
**Para modificar o documento de metadados e o atributo de e-mail do provedor, faça o seguinte:**
1. Acesse o console do Amazon Cognito.
1. Na navegação, escolha **Grupos de usuários**.
1. Selecione seu grupo de usuários para ver a visão **geral do grupo de usuários**.
1. Na guia **Experiência de login, acesse Login** **do provedor de identidade federado e abra seu provedor de identidade configurado**.
1. Geralmente, você só precisará alterar os metadados e deixar o mapeamento de atributos inalterado. Para atualizar o **mapeamento de atributos**, escolha **Editar**. Para atualizar o **documento de metadados**, escolha **Substituir metadados**.
![\[Visão geral do grupo de usuários do Amazon Cognito.\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-attributemetadata.png)
1. Se você editou o mapeamento de atributos, precisará atualizar a `.cluster-settings` tabela no DynamoDB.
1. Abra o console do DynamoDB e **escolha** Tabelas na navegação.
1. Encontre e selecione a `.cluster-settings` tabela e, no menu **Ações**, selecione **Explorar itens**.
1. Em **Digitalizar ou consultar itens**, acesse **Filtros** e insira os seguintes parâmetros:
+ **Nome do atributo** — `key`
+ **Valor** — `identity-provider.cognito.sso_idp_provider_email_attribute`
1. Escolha **Executar**.
1. Em **Itens retornados**, encontre a `identity-provider.cognito.sso_idp_provider_email_attribute` string e escolha **Editar** para modificar a string de acordo com suas alterações no Amazon Cognito.
![\[O Amazon Cognito atualiza os filtros e itens retornados no DynamoDB.\]](http://docs.aws.amazon.com/pt_br/res/latest/ug/images/res-scanqueryitems.png)
## Depurando problemas de IdP do SAML
**SAML-Tracer** — Você pode usar essa extensão no navegador Chrome para rastrear solicitações SAML e verificar os valores de asserção SAML. Para obter mais informações, consulte [SAML-tracer na loja](https://chromewebstore.google.com/detail/saml-tracer/mpdajninpobndbfcldcmbpnnbhibjmch?pli=1) virtual do Chrome.
**Ferramentas de desenvolvedor do SAML** — OneLogin fornece ferramentas que você pode usar para decodificar o valor codificado do SAML e verificar os campos obrigatórios na declaração do SAML. Para obter mais informações, consulte [Base 64 Decode \$1 Inflate](https://www.samltool.com/decode.php) no OneLogin site.
**Amazon CloudWatch Logs** — Você pode verificar seus registros de RES em CloudWatch Logs em busca de erros ou avisos. Seus registros estão em um grupo de registros com o formato do nome`/res-environment-name/cluster-manager`.
**Documentação do Amazon Cognito** *— Para obter mais informações sobre a integração do SAML com o Amazon Cognito, consulte [Adicionar provedores de identidade do SAML a um grupo de usuários no Guia do desenvolvedor do Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-saml-idp.html).*
# Definindo senhas para usuários
1. No [Directory Service console,](https://console.aws.amazon.com/directoryservicev2/) selecione o diretório para a pilha criada.
1. No menu **Ações**, escolha **Redefinir senha do usuário**.
1. Selecione o usuário e digite uma nova senha.
1. Escolha **Redefinir senha**.