Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Buat penyedia identitas SAMP di IAM
Penyedia identitas IAM SAML 2.0 adalah entitas di IAM yang menggambarkan layanan penyedia identitas eksternal (IdP) yang mendukung standar SAML 2.0 (Security Assertion Markup Language 2.0)
Untuk informasi selengkapnya tentang skenario ini, lihat Federasi SAML 2.0.
Anda dapat membuat dan mengelola penyedia identitas IAM di AWS Management Console atau dengan AWS CLI, Alat untuk Windows PowerShell, atau panggilan AWS API.
Setelah Anda membuat penyedia identitas SAML, Anda harus membuat satu atau lebih peran IAM. Peran adalah identitas AWS yang tidak memiliki kredensialnya sendiri (seperti yang dilakukan pengguna). Namun dalam konteks ini, peran ditetapkan secara dinamis ke pengguna gabungan yang diautentikasi oleh IdP organisasi Anda. Peran mengizinkan IdP organisasi Anda meminta kredensial keamanan sementara untuk akses ke AWS. Kebijakan yang ditetapkan untuk peran menentukan apa yang diizinkan dilakukan oleh pengguna federasi. AWS Untuk menciptakan peran bagi federasi SAML, lihat Membuat peran untuk Penyedia Identitas pihak ketiga (federasi).
Terakhir, setelah Anda membuat peran, Anda menyelesaikan kepercayaan SAMP dengan mengonfigurasi IDP Anda dengan informasi tentang AWS dan peran yang Anda inginkan untuk digunakan oleh pengguna federasi Anda. Ini disebut sebagai mengonfigurasi kepercayaan pihak pengandal antara IdP dan AWS. Untuk mengkonfigurasi kepercayaan pihak yang bergantung, lihat Konfigurasikan IDP SAMP 2.0 Anda dengan mengandalkan kepercayaan pihak dan menambahkan klaim.
Topik
Prasyarat
Sebelum Anda dapat membuat penyedia identitas SAMP, Anda harus memiliki informasi berikut dari IDP Anda.
-
Dapatkan dokumen metadata SAMP dari IDP Anda. Dokumen ini mencakup nama penerbit, informasi kedaluwarsa, dan kunci yang dapat digunakan untuk memvalidasi respons autentikasi SAML (penegasan) yang diterima dari IdP. Untuk menghasilkan dokumen metadata, gunakan perangkat lunak manajemen identitas yang disediakan oleh iDP eksternal Anda.
penting
File metadata ini mencakup nama penerbit, informasi kedaluwarsa, dan kunci yang dapat digunakan untuk memvalidasi respons otentikasi SAMP (pernyataan) yang diterima dari iDP. File metadata harus dienkode dalam format UTF-8 tanpa tanda urutan byte (BOM). Untuk menghapus BOM, Anda dapat mengkode file sebagai UTF-8 menggunakan alat bantu edit teks, seperti Notepad++.
Sertifikat x.509 yang disertakan sebagai bagian dari dokumen metadata SAMP harus menggunakan ukuran kunci minimal 1024 bit. Selain itu, sertifikat x.509 juga harus bebas dari ekstensi berulang. Anda dapat menggunakan ekstensi, tetapi ekstensi hanya dapat muncul sekali dalam sertifikat. Jika sertifikat x.509 tidak memenuhi salah satu kondisi, pembuatan IDP gagal dan mengembalikan kesalahan “Tidak dapat mengurai metadata”.
Seperti yang didefinisikan oleh SAMP V2.0 Metadata Interoperability Profile Versi 1.0
, IAM tidak mengevaluasi atau mengambil tindakan terkait berakhirnya sertifikat X.509 dokumen metadata.
Untuk petunjuk tentang cara mengonfigurasi banyak yang tersedia IdPs untuk dikerjakan AWS, termasuk cara membuat dokumen metadata SAMP yang diperlukan, lihat. Integrasikan penyedia solusi SAMP pihak ketiga dengan AWS
Untuk bantuan dengan federasi SAMP, lihat Memecahkan masalah federasi SAMP.
Membuat dan mengelola penyedia identitas SAMP IAM (konsol)
Anda dapat menggunakan AWS Management Console untuk membuat, memperbarui, dan menghapus penyedia identitas IAM SAMP. Untuk bantuan dengan federasi SAMP, lihat Memecahkan masalah federasi SAMP.
Untuk membuat penyedia identitas IAM SAML (konsol)
Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
-
Di panel navigasi, pilih Penyedia identitas lalu pilih Tambahkan penyedia.
-
Untuk Konfigurasi penyedia, pilih SAML.
-
Ketikkan nama untuk penyedia identitas.
-
Untuk Dokumen metadata, pilih Pilih file, tentukan dokumen metadata SAML yang Anda unduh di Prasyarat.
-
(Opsional) Untuk Tambahkan tag, Anda dapat menambahkan pasangan kunci-nilai untuk membantu Anda mengidentifikasi dan mengatur. IdPs Anda juga dapat menggunakan tanda untuk mengontrol akses ke sumber daya AWS . Untuk mempelajari selengkapnya tentang penandaan penyedia identitas, lihat Menandai penyedia identitas IAM SALL.
Pilih Tambahkan tanda. Masukkan nilai untuk setiap pasangan nilai-kunci tanda.
-
Verifikasi informasi yang telah Anda berikan. Setelah selesai, pilih Tambahkan penyedia.
-
Tetapkan peran IAM ke penyedia identitas Anda untuk memberikan identitas pengguna eksternal yang dikelola oleh penyedia identitas Anda izin untuk mengakses AWS sumber daya di akun Anda. Untuk mempelajari lebih lanjut tentang menciptakan peran untuk federasi identitas, lihat Membuat peran untuk Penyedia Identitas pihak ketiga (federasi).
catatan
IDP SAMP yang digunakan dalam kebijakan kepercayaan peran harus berada dalam akun yang sama dengan peran tersebut.
Untuk menghapus penyedia SAML (konsol)
Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
-
Di panel navigasi, pilih Penyedia identitas.
-
Pilih tombol radio di samping penyedia identitas yang ingin Anda hapus.
-
Pilih Hapus. Jendela baru terbuka.
-
Konfirmasikan bahwa Anda ingin menghapus penyedia dengan mengetik kata
delete
di bidangnya. Lalu, pilih Hapus.
Membuat dan mengelola Penyedia Identitas SAMP IAM ()AWS CLI
Anda dapat menggunakan AWS CLI untuk membuat, memperbarui, dan menghapus penyedia SAMP. Untuk bantuan dengan federasi SAMP, lihat Memecahkan masalah federasi SAMP.
Untuk membuat penyedia identitas IAM dan mengunggah dokumen metadata ()AWS CLI
-
Jalankan perintah ini:
aws iam create-saml-provider
Untuk memperbarui penyedia identitas SAMP IAM ()AWS CLI
-
Jalankan perintah ini:
aws iam update-saml-provider
Untuk menandai penyedia identitas IAM yang ada ()AWS CLI
-
Jalankan perintah ini:
aws iam tag-saml-provider
Untuk mencantumkan tag untuk penyedia identitas IAM yang ada ()AWS CLI
-
Jalankan perintah ini:
aws iam list-saml-provider-tags
Untuk menghapus tag pada penyedia identitas IAM yang ada ()AWS CLI
-
Jalankan perintah ini:
aws iam untag-saml-provider
Untuk menghapus penyedia identitas SAMP IAM ()AWS CLI
-
(Opsional) Untuk mencantumkan informasi untuk semua penyedia, seperti ARN, tanggal pembuatan, dan kedaluwarsa, jalankan perintah berikut:
-
(Opsional) Untuk mendapatkan informasi tentang penyedia tertentu, seperti ARN, tanggal pembuatan, tanggal kedaluwarsa, pengaturan enkripsi, dan informasi kunci pribadi, jalankan perintah berikut:
-
Untuk menghapus penyedia identitas IAM, jalankan perintah berikut:
Membuat dan mengelola penyedia identitas SAMP IAM (API)AWS
Anda dapat menggunakan AWS API untuk membuat, memperbarui, dan menghapus penyedia SAMP. Untuk bantuan dengan federasi SAMP, lihat Memecahkan masalah federasi SAMP.
Untuk membuat penyedia identitas IAM dan mengunggah dokumen metadata (API)AWS
-
Hubungi operasi ini:
CreateSAMLProvider
Untuk memperbarui penyedia identitas SAMP IAM (API)AWS
-
Hubungi operasi ini:
UpdateSAMLProvider
Untuk menandai penyedia identitas IAM (AWS API) yang ada
-
Hubungi operasi ini:
TagSAMLProvider
Untuk mencantumkan tag untuk penyedia identitas IAM (AWS API) yang ada
-
Hubungi operasi ini:
ListSAMLProviderTags
Untuk menghapus tag pada penyedia identitas IAM (AWS API) yang ada
-
Hubungi operasi ini:
UntagSAMLProvider
Untuk menghapus penyedia identitas IAM (AWS API)
-
(Opsional) Untuk mencantumkan informasi untuk semua IdPs, seperti ARN, tanggal pembuatan, dan kedaluwarsa, hubungi operasi berikut:
-
(Opsional) Untuk mendapatkan informasi tentang penyedia tertentu, seperti ARN, tanggal pembuatan, tanggal kedaluwarsa, pengaturan enkripsi, dan informasi kunci pribadi, hubungi operasi berikut:
-
Untuk menghapus IdP, panggil operasi berikut: