本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 IAM 身份中心设置单点登录 (SSO)
<a name="sso-idc"></a>

如果您还没有将身份中心连接到托管 Active Directory，请从开始[步骤 1：设置身份中心](#set-up-identity-center)。如果您已经将身份中心与托管的 Active Directory 连接在一起，请从开始[步骤 2：Connect 连接到身份中心](#connect-identity-center)。

**注意**  
如果您要部署到某个 GovCloud 区域，请在部署 Research and Engineering Studio 的 AWS GovCloud (US) 分区账户中设置 SSO。

## 步骤 1：设置身份中心
<a name="set-up-identity-center"></a>

### 启用 IAM Identity Center
<a name="enabling-identity-center"></a>

1. 登录 [AWS Identity and Access Management 控制台](https://console.aws.amazon.com/iam)。

1. 打开**身份中心**。

1. 请选择**启用**。

1. 选择 “**启用方式**” AWS Organizations。

1. 选择**继续**。

**注意**  
请确保您所在的区域与托管活动目录所在的区域相同。

### 将 IAM 身份中心连接到托管活动目录
<a name="connecting-identity-center-ad"></a>

启用 IAM Identity Center 后，请完成以下推荐的设置步骤：

1. 在导航窗格中，选择**设置**。

1. 在 “**身份来源**” 下，选择 “**操作**”，然后选择 “**更改身份来源**”。

1. 在 “**现有目录**” 下，选择您的目录。

1. 选择**下一步**。

1. 查看您的更改并在确认框**ACCEPT**中输入。

1. 选择**更改身份源**。

### 将用户和群组同步到身份中心
<a name="syncing-identity-center"></a>

所做的更改完成后，将出现一个绿色的确认横幅。[将 IAM 身份中心连接到托管活动目录](#connecting-identity-center-ad)

1. 在确认横幅中，选择**启动引导式设置**。

1. 在**配置属性映射**中，选择**下一步**。

1. 在 “**用户**” 部分下，输入要同步的用户。

1. 选择**添加**。

1. 选择**下一步**。

1. 查看您的更改，然后选择**保存配置**。

1. 同步过程可能需要几分钟。如果您收到有关用户未同步的警告消息，请选择**恢复同步**。

### 启用用户
<a name="enabling-users"></a>

1. 从菜单中选择 “**用户**”。

1. 选择要为其启用访问权限的用户。

1. 选择**启用用户访问权限**。

## 步骤 2：Connect 连接到身份中心
<a name="connect-identity-center"></a>

### 在 IAM 身份中心设置应用程序
<a name="setup-application-identity-center"></a>

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon/)。

1. 选择**应用程序**。

1. 选择**添加应用程序**。

1. 在 “**设置” 偏好设置**下，选择 “**我有要设置的应用程序**”。

1. 在**应用程序类型**下，选择 **SAML 2.0**。

1. 选择**下一步**。

1. 输入您要使用的显示名称和描述。

1. 在 **IAM 身份中心元数据**下，复制 **IAM 身份中心 SAML 元数据**文件的链接。在使用 RES 门户配置 IAM 身份中心时，您将需要这个。

1. 在 “**应用程序属性**” 下，输入您的**应用程序起始 URL**。例如 `<your-portal-domain>/sso`。

1. 在 “**应用程序 ACS URL**” 下，输入来自 RES 门户的重定向 URL。要找到这个：

   1. 在 “**环境管理**” 下，选择 “**常规设置”**。

   1. 选择 “**身份提供商**” 选项卡。

   1. 在 “**单点登录**” 下，您将找到 **SAML 重定向网址**。

1. 在 “**应用程序 SAML 受众**” 下，输入 Amazon Cognito URN。

   要创建骨灰盒，请执行以下操作：

   1. 在 RES 门户中，打开 **“常规设置”**。

   1. 在 “**身份提供商**” 选项卡下，找到**用户池 ID**。

   1. 将**用户池 ID** 添加到以下字符串：

      ```
      urn:amazon:cognito:sp:<user_pool_id>
      ```

1. **输入亚马逊 Cognito URN 后，选择提交。**

### 为应用程序配置属性映射
<a name="configure-attribute-mappings"></a>

1. 在**身份中心**中，打开您创建的应用程序的详细信息。

1. 选择**操作**，然后选择**编辑属性映射**。

1. 在**主题**下，输入 **\$1\$1user:email\$1**。

1. 在 “**格式**” 下，选择 “**电子邮件地址**”。

1. 选择**添加新属性映射**。

1. **在应用程序的用户属性**下，输入 “电子邮件”。

1. 在 **IAM Identity Center 中映射到此字符串值或用户属性**下，输入**\$1\$1user:email\$1**。

1. 在 “**格式**” 下，输入 “未指定”。

1. 选择**保存更改**。

### 在 IAM 身份中心向应用程序添加用户
<a name="add-users-to-application"></a>

1. 在 Identity Center 中，为你创建的应用程序打开**分配的用户**，然后选择**分配用户**。

1. 选择要分配应用程序访问权限的用户。

1. 选择 **分配用户**。

### 在 RES 环境中设置 IAM 身份中心
<a name="setup-sso-environment"></a>

1. 在 “研究与工程工作室” 环境中，在 “**环境管理**” 下，打开 **“常规设置”**。

1. 打开 “**身份提供商**” 选项卡。

1. 在 “**单点登录**” 下，选择 “**编辑”（在 “****状态**” 旁边）。

1. 在表格中填写以下信息：

   1. 选择 **SAML**。

   1. 在**提供商名称**下，输入用户友好的名称。

   1. 选择**输入元数据文档端点 URL**。

   1. 输入您在期间复制的 URL [在 IAM 身份中心设置应用程序](#setup-application-identity-center)。

   1. 在**提供商电子邮件属性**下，输入 “电子邮件”。

   1. 选择**提交**。

1. 刷新页面并检查**状态**是否显示为已启用。