Buat penyedia identitas SAMP di IAM - AWS Identity and Access Management
PrasyaratMembuat dan mengelola penyedia identitas SAMP IAM (konsol)Membuat dan mengelola Penyedia Identitas SAMP IAM ()AWS CLIMembuat dan mengelola penyedia identitas SAMP IAM (API)AWS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat penyedia identitas SAMP di IAM

Penyedia identitas IAM SAML 2.0 adalah entitas di IAM yang menggambarkan layanan penyedia identitas eksternal (IdP) yang mendukung standar SAML 2.0 (Security Assertion Markup Language 2.0). Anda menggunakan penyedia identitas IAM saat ingin membangun kepercayaan antara IDP yang kompatibel dengan SAMP seperti Shibboleth atau Layanan Federasi Direktori Aktif AWS dan, sehingga pengguna di organisasi Anda dapat mengakses sumber daya. AWS Penyedia identitas IAM SAML digunakan sebagai prinsipal dalam kebijakan kepercayaan IAM.

Untuk informasi selengkapnya tentang skenario ini, lihat Federasi SAML 2.0.

Anda dapat membuat dan mengelola penyedia identitas IAM di AWS Management Console atau dengan AWS CLI, Alat untuk Windows PowerShell, atau panggilan AWS API.

Setelah Anda membuat penyedia identitas SAML, Anda harus membuat satu atau lebih peran IAM. Peran adalah identitas AWS yang tidak memiliki kredensialnya sendiri (seperti yang dilakukan pengguna). Namun dalam konteks ini, peran ditetapkan secara dinamis ke pengguna gabungan yang diautentikasi oleh IdP organisasi Anda. Peran mengizinkan IdP organisasi Anda meminta kredensial keamanan sementara untuk akses ke AWS. Kebijakan yang ditetapkan untuk peran menentukan apa yang diizinkan dilakukan oleh pengguna federasi. AWS Untuk menciptakan peran bagi federasi SAML, lihat Membuat peran untuk Penyedia Identitas pihak ketiga (federasi).

Terakhir, setelah Anda membuat peran, Anda menyelesaikan kepercayaan SAMP dengan mengonfigurasi IDP Anda dengan informasi tentang AWS dan peran yang Anda inginkan untuk digunakan oleh pengguna federasi Anda. Ini disebut sebagai mengonfigurasi kepercayaan pihak pengandal antara IdP dan AWS. Untuk mengkonfigurasi kepercayaan pihak yang bergantung, lihat Konfigurasikan IDP SAMP 2.0 Anda dengan mengandalkan kepercayaan pihak dan menambahkan klaim.

Prasyarat

Sebelum Anda dapat membuat penyedia identitas SAMP, Anda harus memiliki informasi berikut dari IDP Anda.

  • Dapatkan dokumen metadata SAMP dari IDP Anda. Dokumen ini mencakup nama penerbit, informasi kedaluwarsa, dan kunci yang dapat digunakan untuk memvalidasi respons autentikasi SAML (penegasan) yang diterima dari IdP. Untuk menghasilkan dokumen metadata, gunakan perangkat lunak manajemen identitas yang disediakan oleh iDP eksternal Anda.

    penting

    File metadata ini mencakup nama penerbit, informasi kedaluwarsa, dan kunci yang dapat digunakan untuk memvalidasi respons otentikasi SAMP (pernyataan) yang diterima dari iDP. File metadata harus dienkode dalam format UTF-8 tanpa tanda urutan byte (BOM). Untuk menghapus BOM, Anda dapat mengkode file sebagai UTF-8 menggunakan alat bantu edit teks, seperti Notepad++.

    Sertifikat x.509 yang disertakan sebagai bagian dari dokumen metadata SAMP harus menggunakan ukuran kunci minimal 1024 bit. Selain itu, sertifikat x.509 juga harus bebas dari ekstensi berulang. Anda dapat menggunakan ekstensi, tetapi ekstensi hanya dapat muncul sekali dalam sertifikat. Jika sertifikat x.509 tidak memenuhi salah satu kondisi, pembuatan IDP gagal dan mengembalikan kesalahan “Tidak dapat mengurai metadata”.

    Seperti yang didefinisikan oleh SAMP V2.0 Metadata Interoperability Profile Versi 1.0, IAM tidak mengevaluasi atau mengambil tindakan terkait berakhirnya sertifikat X.509 dokumen metadata.

Untuk petunjuk tentang cara mengonfigurasi banyak yang tersedia IdPs untuk dikerjakan AWS, termasuk cara membuat dokumen metadata SAMP yang diperlukan, lihat. Integrasikan penyedia solusi SAMP pihak ketiga dengan AWS

Untuk bantuan dengan federasi SAMP, lihat Memecahkan masalah federasi SAMP.

Membuat dan mengelola penyedia identitas SAMP IAM (konsol)

Anda dapat menggunakan AWS Management Console untuk membuat, memperbarui, dan menghapus penyedia identitas IAM SAMP. Untuk bantuan dengan federasi SAMP, lihat Memecahkan masalah federasi SAMP.

Untuk membuat penyedia identitas IAM SAML (konsol)

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Penyedia identitas lalu pilih Tambahkan penyedia.

  3. Untuk Konfigurasi penyedia, pilih SAML.

  4. Ketikkan nama untuk penyedia identitas.

  5. Untuk Dokumen metadata, pilih Pilih file, tentukan dokumen metadata SAML yang Anda unduh di Prasyarat.

  6. (Opsional) Untuk Tambahkan tag, Anda dapat menambahkan pasangan kunci-nilai untuk membantu Anda mengidentifikasi dan mengatur. IdPs Anda juga dapat menggunakan tanda untuk mengontrol akses ke sumber daya AWS . Untuk mempelajari selengkapnya tentang penandaan penyedia identitas, lihat Menandai penyedia identitas IAM SALL.

    Pilih Tambahkan tanda. Masukkan nilai untuk setiap pasangan nilai-kunci tanda.

  7. Verifikasi informasi yang telah Anda berikan. Setelah selesai, pilih Tambahkan penyedia.

  8. Tetapkan peran IAM ke penyedia identitas Anda untuk memberikan identitas pengguna eksternal yang dikelola oleh penyedia identitas Anda izin untuk mengakses AWS sumber daya di akun Anda. Untuk mempelajari lebih lanjut tentang menciptakan peran untuk federasi identitas, lihat Membuat peran untuk Penyedia Identitas pihak ketiga (federasi).

    catatan

    IDP SAMP yang digunakan dalam kebijakan kepercayaan peran harus berada dalam akun yang sama dengan peran tersebut.

Untuk menghapus penyedia SAML (konsol)

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Penyedia identitas.

  3. Pilih tombol radio di samping penyedia identitas yang ingin Anda hapus.

  4. Pilih Hapus. Jendela baru terbuka.

  5. Konfirmasikan bahwa Anda ingin menghapus penyedia dengan mengetik kata delete di bidangnya. Lalu, pilih Hapus.

Membuat dan mengelola Penyedia Identitas SAMP IAM ()AWS CLI

Anda dapat menggunakan AWS CLI untuk membuat, memperbarui, dan menghapus penyedia SAMP. Untuk bantuan dengan federasi SAMP, lihat Memecahkan masalah federasi SAMP.

Untuk membuat penyedia identitas IAM dan mengunggah dokumen metadata ()AWS CLI
Untuk memperbarui penyedia identitas SAMP IAM ()AWS CLI
Untuk menandai penyedia identitas IAM yang ada ()AWS CLI
Untuk mencantumkan tag untuk penyedia identitas IAM yang ada ()AWS CLI
Untuk menghapus tag pada penyedia identitas IAM yang ada ()AWS CLI
Untuk menghapus penyedia identitas SAMP IAM ()AWS CLI

  1. (Opsional) Untuk mencantumkan informasi untuk semua penyedia, seperti ARN, tanggal pembuatan, dan kedaluwarsa, jalankan perintah berikut:

  2. (Opsional) Untuk mendapatkan informasi tentang penyedia tertentu, seperti ARN, tanggal pembuatan, tanggal kedaluwarsa, pengaturan enkripsi, dan informasi kunci pribadi, jalankan perintah berikut:

  3. Untuk menghapus penyedia identitas IAM, jalankan perintah berikut:

Membuat dan mengelola penyedia identitas SAMP IAM (API)AWS

Anda dapat menggunakan AWS API untuk membuat, memperbarui, dan menghapus penyedia SAMP. Untuk bantuan dengan federasi SAMP, lihat Memecahkan masalah federasi SAMP.

Untuk membuat penyedia identitas IAM dan mengunggah dokumen metadata (API)AWS
Untuk memperbarui penyedia identitas SAMP IAM (API)AWS
Untuk menandai penyedia identitas IAM (AWS API) yang ada
Untuk mencantumkan tag untuk penyedia identitas IAM (AWS API) yang ada
Untuk menghapus tag pada penyedia identitas IAM (AWS API) yang ada
Untuk menghapus penyedia identitas IAM (AWS API)

  1. (Opsional) Untuk mencantumkan informasi untuk semua IdPs, seperti ARN, tanggal pembuatan, dan kedaluwarsa, hubungi operasi berikut:

  2. (Opsional) Untuk mendapatkan informasi tentang penyedia tertentu, seperti ARN, tanggal pembuatan, tanggal kedaluwarsa, pengaturan enkripsi, dan informasi kunci pribadi, hubungi operasi berikut:

  3. Untuk menghapus IdP, panggil operasi berikut: