本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 IAM Identity Center 設定單一登入 (SSO)
<a name="sso-idc"></a>

如果您還沒有連接到受管 Active Directory 的身分中心，請從 開始[步驟 1：設定身分中心](#set-up-identity-center)。如果您已有與受管 Active Directory 連線的身分中心，請從 開始[步驟 2：連線至身分中心](#connect-identity-center)。

**注意**  
如果您要部署至 GovCloud 區域，請在 AWS GovCloud (US) 部署 Research and Engineering Studio 的分割區帳戶中設定 SSO。

## 步驟 1：設定身分中心
<a name="set-up-identity-center"></a>

### 啟用 IAM Identity Center
<a name="enabling-identity-center"></a>

1. 登入 [AWS Identity and Access Management 主控台](https://console.aws.amazon.com/iam)。

1. 開啟 **Identity Center**。

1. 選擇**啟用**。

1. 選擇**使用 啟用 AWS Organizations**。

1. 選擇**繼續**。

**注意**  
請確定您位於擁有受管 Active Directory 的相同區域。

### 將 IAM Identity Center 連線至受管 Active Directory
<a name="connecting-identity-center-ad"></a>

啟用 IAM Identity Center 之後，請完成以下建議的設定步驟：

1. 在導覽窗格中，選擇**設定**。

1. 在**身分來源**下，選擇**動作**，然後選擇**變更身分來源**。

1. 在**現有目錄**下，選取您的目錄。

1. 選擇**下一步**。

1. 檢閱您的變更**ACCEPT**，然後在確認方塊中輸入 。

1. 選擇**變更身分來源**。

### 將使用者和群組同步到身分中心
<a name="syncing-identity-center"></a>

在 中所做的變更[將 IAM Identity Center 連線至受管 Active Directory](#connecting-identity-center-ad)完成後，會出現綠色確認橫幅。

1. 在確認橫幅中，選擇**開始引導設定**。

1. 從**設定屬性映射**中，選擇**下一步**。

1. 在**使用者**區段下，輸入您要同步的使用者。

1. 選擇**新增**。

1. 選擇**下一步**。

1. 檢閱您的變更，然後選擇**儲存組態**。

1. 同步程序可能需要幾分鐘的時間。如果您收到有關使用者未同步的警告訊息，請選擇**繼續同步**。

### 啟用使用者
<a name="enabling-users"></a>

1. 從功能表中，選擇**使用者**。

1. 選取您要為其啟用存取權的 （使用者）。

1. 選擇**啟用使用者存取**。

## 步驟 2：連線至身分中心
<a name="connect-identity-center"></a>

### 在 IAM Identity Center 中設定應用程式
<a name="setup-application-identity-center"></a>

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon/)。

1. 選擇 **Applications (應用程式)**。

1. 選擇**新增應用程式**。

1. 在**設定偏好設定**下，選擇**我有想要設定的應用程式**。

1. 在**應用程式類型**下，選擇 **SAML 2.0。**

1. 選擇**下一步**。

1. 輸入您要使用的顯示名稱和描述。

1. 在 **IAM Identity Center 中繼資料**下，複製 **IAM Identity Center SAML 中繼資料**檔案的連結。使用 RES 入口網站設定 IAM Identity Center 時，您將需要此項目。

1. 在**應用程式屬性**下，輸入您的**應用程式啟動 URL**。例如 `<your-portal-domain>/sso`。

1. 在**應用程式 ACS URL** 下，從 RES 入口網站輸入重新導向 URL。若要尋找此項目：

   1. 在**環境管理**下，選擇**一般設定**。

   1. 選取**身分提供者**索引標籤。

   1. 在**單一登入**下，您會找到 **SAML 重新導向 URL**。

1. 在**應用程式 SAML 對象**下，輸入 Amazon Cognito URN。

   若要建立 urn：

   1. 從 RES 入口網站開啟**一般設定**。

   1. 在**身分提供者**索引標籤下，找到**使用者集區 ID**。

   1. 將**使用者集區 ID** 新增至此字串：

      ```
      urn:amazon:cognito:sp:{{<user_pool_id>}}
      ```

1. 輸入 Amazon Cognito URN 之後，請選擇**提交**。

### 設定應用程式的屬性映射
<a name="configure-attribute-mappings"></a>

1. 從 **Identity Center** 開啟所建立應用程式的詳細資訊。

1. 選擇**動作**，然後選擇**編輯屬性映射**。

1. 在**主旨**下，輸入 **${user:email}**。

1. 在**格式**下，選擇 **emailAddress**。

1. 選擇**新增屬性映射**。

1. **在應用程式中的使用者屬性**下，輸入「電子郵件」。

1. 在 **IAM Identity Center 中此字串值或使用者屬性的映射**下，輸入 **${user:email}**。

1. 在**格式**下，輸入「未指定」。

1. 選擇**儲存變更**。

### 在 IAM Identity Center 中將使用者新增至應用程式
<a name="add-users-to-application"></a>

1. 從 Identity Center 開啟所建立應用程式的**指派使用者**，然後選擇**指派使用者**。

1. 選取您要指派應用程式存取權的使用者。

1. 選擇 **Assign users (指派使用者)**。

### 在 RES 環境中設定 IAM Identity Center
<a name="setup-sso-environment"></a>

1. 在環境**管理**下的研究和工程 Studio 環境中，開啟**一般設定**。

1. 開啟**身分提供者**索引標籤。

1. 在**單一登入**下，選擇**編輯** (**狀態**旁邊）。

1. 使用下列資訊填寫表單：

   1. 選擇 **SAML**。

   1. 在**提供者名稱**下，輸入使用者易記的名稱。

   1. 選擇**輸入中繼資料文件端點 URL**。

   1. 輸入您在 期間複製的 URL[在 IAM Identity Center 中設定應用程式](#setup-application-identity-center)。

   1. 在**提供者電子郵件屬性**下，輸入「電子郵件」。

   1. 選擇**提交**。

1. 重新整理頁面並檢查**狀態**是否顯示為已啟用。