Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengaktifkan sistem masuk tunggal untuk Microsoft AD yang Dikelola AWS
AWS Directory Service menyediakan kemampuan untuk memungkinkan pengguna Anda mengakses Amazon WorkDocs dari komputer yang bergabung ke direktori tanpa harus memasukkan kredensialnya secara terpisah.
Sebelum mengaktifkan sing-on tunggal, Anda perlu mengambil langkah tambahan agar peramban web pengguna dapat mendukung sign-on tunggal. Pengguna mungkin perlu memodifikasi pengaturan peramban web mereka untuk mengaktifkan sign-on tunggal.
catatan
Sign-on tunggal hanya bekerja bila digunakan pada komputer yang digabungkan ke direktori AWS Directory Service . Ini tidak dapat digunakan pada komputer yang tidak bergabung ke direktori.
Jika direktori Anda adalah direktori AD Connector dan akun layanan AD Connector tidak memiliki izin untuk menambahkan atau menghapus atribut nama utama layanannya, maka untuk Langkah 5 dan 6 di bawah ini, Anda memiliki dua pilihan:
Anda dapat melanjutkan dan akan diminta untuk nama pengguna dan kata sandi untuk pengguna direktori yang memiliki izin ini untuk menambah atau menghapus atribut nama utama layanan pada akun layanan AD Connector. Kredensial ini hanya digunakan untuk mengaktifkan sign-on tunggal dan tidak disimpan oleh layanan. Izin akun layanan AD Connector tidak berubah.
Anda dapat mendelegasikan izin untuk mengizinkan akun layanan AD Connector menambah atau menghapus atribut nama utama layanan itu sendiri, Anda dapat menjalankan PowerShell perintah di bawah ini dari komputer yang bergabung dengan domain menggunakan akun yang memiliki izin untuk mengubah izin pada akun layanan AD Connector. Perintah di bawah ini akan memberikan akun layanan AD Connector kemampuan untuk menambah dan menghapus atribut nama utama layanan hanya untuk dirinya sendiri.
$AccountName = 'ConnectorAccountName' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module 'ActiveDirectory' $RootDse = Get-ADRootDSE [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID # Getting AD Connector service account Information. $AccountProperties = Get-ADUser -Identity $AccountName $AclPath = $AccountProperties.DistinguishedName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value # Getting ACL settings for AD Connector service account. $ObjectAcl = Get-ACL -Path "AD:\$AclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself $AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None' $ObjectAcl.AddAccessRule($AddAccessRule) Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
Untuk mengaktifkan atau menonaktifkan sistem masuk tunggal dengan Amazon WorkDocs
-
Di panel navigasi konsol AWS Directory Service
, pilih Direktori. -
Pada halaman Direktori, pilih ID direktori Anda.
-
Pada halaman Detail direktori, pilih tab Pengelolaan aplikasi.
Di URL bagian Akses aplikasi, pilih Aktifkan untuk mengaktifkan sistem masuk tunggal untuk Amazon. WorkDocs
Jika Anda tidak melihat tombol Aktifkan, Anda mungkin perlu terlebih dahulu membuat Akses URL sebelum opsi ini akan ditampilkan. Untuk informasi selengkapnya tentang cara membuat aksesURL, lihatMembuat akses URL untuk Microsoft AD yang AWS Dikelola.
-
Di kotak dialog Aktifkan Sign-On Tunggal untuk direktori ini,, pilih Aktifkan. Sign-on tunggal diaktifkan untuk direktori.
-
Jika nanti Anda ingin menonaktifkan sistem masuk tunggal dengan Amazon WorkDocs, pilih Nonaktifkan, lalu di kotak dialog Nonaktifkan Single Sign-On untuk direktori ini, pilih Nonaktifkan lagi.
Sign-on tunggal untuk IE dan Chrome
Untuk mengizinkan peramban Microsoft Internet Explorer (IE) dan Google Chrome untuk mendukung sign-on tunggal, tugas berikut harus dilakukan pada komputer klien:
-
Tambahkan akses Anda URL (misalnya, https://
<alias>
.awsapps.com) ke daftar situs yang disetujui untuk sistem masuk tunggal. -
Aktifkan skrip aktif (JavaScript).
-
Izinkan masuk otomatis.
-
Aktifkan autentikasi terintegrasi.
Anda atau pengguna Anda dapat melakukan tugas-tugas ini secara manual, atau Anda dapat mengubah pengaturan ini menggunakan pengaturan Kebijakan Grup.
Topik
Pembaruan manual untuk sign-on tunggal pada Windows
Untuk mengaktifkan sign-on tunggal secara manual pada komputer Windows, lakukan langkah-langkah berikut pada komputer klien. Beberapa pengaturan ini mungkin sudah diatur dengan benar.
Cara mengaktifkan sign-on tunggal untuk Internet Explorer dan Chrome secara manual di Windows
-
Untuk membuka kotak dialog Properti internet, pilih menu Start, ketik
Internet Options
di kotak pencarian, lalu pilih Opsi Internet. -
Tambahkan akses Anda URL ke daftar situs yang disetujui untuk single sign-on dengan melakukan langkah-langkah berikut:
-
Di kotak dialog Properti internet, pilih tab Keamanan.
-
Pilih Intranet lokal dan pilih Situs.
-
Di kotak dialog Intranet lokal, pilih Advanced.
-
Tambahkan akses Anda URL ke daftar situs web dan pilih Tutup.
-
Di dialog box Intranet lokal, pilih OK.
-
-
Untuk mengaktifkan penulisan aktif, lakukan langkah-langkah berikut ini:
-
Di tab Keamanan dari kotak dialog Properti internet, pilih Tingkat kustom.
-
Di kotak dialog Pengaturan Keamanan - Zona Intranet Lokal, gulir ke bawah untuk Penulisan dan pilih Aktifkan di bawah Penulisan aktif.
-
Di kotak dialog Pengaturan Keamanan - Zona Intranet Lokal, pilih OK.
-
-
Untuk mengaktifkan masuk otomatis, lakukan langkah-langkah berikut ini:
-
Di tab Keamanan dari kotak dialog Properti internet, pilih Tingkat kustom.
-
Di kotak dialog Pengaturan Keamanan - Zona Intranet Lokal, gulir ke bawah untuk Autentikasi Pengguna dan pilih Masuk otomatis hanya di zona Intranet di bawah Masuk.
-
Di kotak dialog Pengaturan Keamanan - Zona Intranet Lokal, pilih OK.
-
Di kotak dialog Pengaturan Keamanan - Zona Intranet Lokal, pilih OK.
-
-
Untuk mengaktifkan autentikasi terintegrasi, lakukan langkah-langkah berikut ini:
-
Di kotak dialog Properti internet, pilih tab Advanced.
-
Gulir ke bawah ke Keamanan dan pilih Mengaktifkan Autentikasi Windows Terintegrasi.
-
Di kotak dialog Properti Internet, pilih OK.
-
-
Tutup dan buka kembali peramban Anda agar perubahan ini berlaku.
Pembaruan manual untuk sign-on tunggal pada OS X
Untuk mengaktifkan sign-on tunggal secara manual untuk Chrome pada OS X, lakukan langkah-langkah berikut pada komputer klien. Anda memerlukan hak administrator di komputer Anda untuk menyelesaikan langkah-langkah ini.
Cara mengaktifkan sign-on tunggal untuk Chrome di OS X secara manual
-
Tambahkan akses Anda URL ke AuthServerAllowlist
kebijakan dengan menjalankan perintah berikut: defaults write com.google.Chrome AuthServerAllowlist "https://
<alias>
.awsapps.com" -
Buka Preferensi Sistem, buka panel Profil, dan hapus profil
Chrome Kerberos Configuration
. -
Mulai ulang Chrome dan buka chrome://policy di Chrome untuk mengonfirmasi bahwa pengaturan baru sudah terpasang.
Pengaturan kebijakan grup untuk sign-on tunggal
Administrator domain dapat menerapkan pengaturan Kebijakan Grup untuk membuat perubahan sign-on tunggal pada komputer klien yang digabungkan ke domain.
catatan
Jika Anda mengelola browser web Chrome di komputer di domain Anda dengan kebijakan Chrome, Anda harus menambahkan akses URL ke AuthServerAllowlist
Cara mengaktifkan sign-on tunggal untuk Internet Explorer dan Chrome menggunakan pengaturan Kebijakan Grup
-
Membuat objek Kebijakan Grup baru dengan melakukan langkah-langkah berikut:
-
Buka alat Pengelolaan Kebijakan Grup, arahkan ke domain Anda, lalu pilih Objek Kebijakan Grup.
-
Dari menu utama, pilih Tindakan dan pilih Baru.
-
Di kotak GPO dialog Baru, masukkan nama deskriptif untuk objek Kebijakan Grup, seperti
IAM Identity Center Policy
, dan biarkan Pemula Sumber GPO diatur ke (tidak ada). Klik OK.
-
-
Tambahkan akses URL ke daftar situs yang disetujui untuk sistem masuk tunggal dengan melakukan langkah-langkah berikut:
-
Di alat Manajemen Kebijakan Grup, arahkan ke domain Anda, pilih Objek Kebijakan Grup, buka menu konteks (klik kanan) untuk kebijakan Pusat IAM Identitas Anda, dan pilih Edit.
-
Di pohon kebijakan, arahkan ke Konfigurasi Pengguna > Preferensi > Pengaturan Windows.
-
Di daftar Pengaturan Windows, buka menu konteks (klik kanan) untuk Registri dan pilih Item registri baru.
-
Di kotak dialog Properti Registri Baru, masukkan pengaturan berikut dan pilih OK:
- Tindakan
-
Update
- Sarang
-
HKEY_CURRENT_USER
- Jalan
-
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\
<alias>
Nilai untuk
<alias>
berasal dari akses AndaURL. Jika akses URL Andahttps://examplecorp.awsapps.com
, alias adalahexamplecorp
, dan kunci registri akan menjadiSoftware\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp
. - Nama nilai
-
https
- Jenis nilai
-
REG_DWORD
- Data nilai
-
1
-
-
Untuk mengaktifkan penulisan aktif, lakukan langkah-langkah berikut ini:
-
Di alat Manajemen Kebijakan Grup, arahkan ke domain Anda, pilih Objek Kebijakan Grup, buka menu konteks (klik kanan) untuk kebijakan Pusat IAM Identitas Anda, dan pilih Edit.
-
Di pohon kebijakan, arahkan ke Konfigurasi komputer > Kebijakan > Templat Administrasi > Komponen Windows > Internet Explorer > Panel Kontrol Internet > Halaman Keamanan > Zona Intranet.
-
Di daftar Zona Intranet, buka menu konteks (klik kanan) untuk Izinkan penulisan aktif dan pilih Edit.
-
Di kotak dialog Izinkan penulisan aktif, masukkan pengaturan berikut dan pilih OK:
-
Pilih tombol radio Diaktifkan.
-
Di bawah Opsi atur Izinkan penulisan aktif ke Aktifkan.
-
-
-
Untuk mengaktifkan masuk otomatis, lakukan langkah-langkah berikut ini:
-
Di alat Manajemen Kebijakan Grup, navigasikan ke domain Anda, pilih Objek Kebijakan Grup, buka menu konteks (klik kanan) untuk SSO kebijakan Anda, dan pilih Edit.
-
Di pohon kebijakan, arahkan ke Konfigurasi komputer > Kebijakan > Templat Administrasi > Komponen Windows > Internet Explorer > Panel Kontrol Internet > Halaman Keamanan > Zona Intranet.
-
Di daftar Zona Intranet, buka menu konteks (klik kanan) untuk Opsi masuk dan pilih Edit.
-
Di kotak dialog Opsi masuk, masukkan pengaturan berikut dan pilih OK:
-
Pilih tombol radio Diaktifkan.
-
Di bawah Opsi atur Opsi masuk ke Masuk otomatis hanya di zona Intranet.
-
-
-
Untuk mengaktifkan autentikasi terintegrasi, lakukan langkah-langkah berikut ini:
-
Di alat Manajemen Kebijakan Grup, arahkan ke domain Anda, pilih Objek Kebijakan Grup, buka menu konteks (klik kanan) untuk kebijakan Pusat IAM Identitas Anda, dan pilih Edit.
-
Di pohon kebijakan, arahkan ke Konfigurasi Pengguna > Preferensi > Pengaturan Windows.
-
Di daftar Pengaturan Windows, buka menu konteks (klik kanan) untuk Registri dan pilih Item registri baru.
-
Di kotak dialog Properti Registri Baru, masukkan pengaturan berikut dan pilih OK:
- Tindakan
-
Update
- Sarang
-
HKEY_CURRENT_USER
- Jalan
-
Software\Microsoft\Windows\CurrentVersion\Internet Settings
- Nama nilai
-
EnableNegotiate
- Jenis nilai
-
REG_DWORD
- Data nilai
-
1
-
-
Tutup jendela Editor Pengelolaan Kebijakan Grup jika masih terbuka.
-
Tetapkan kebijakan baru ke domain Anda dengan mengikuti langkah-langkah berikut:
-
Di pohon Manajemen Kebijakan Grup, buka menu konteks (klik kanan) untuk domain Anda dan pilih Tautkan yang Ada. GPO
-
Dalam daftar Objek Kebijakan Grup, pilih kebijakan Pusat IAM Identitas Anda dan pilih OK.
-
Perubahan ini akan berlaku setelah pembaruan Kebijakan Grup berikutnya pada klien, atau waktu berikutnya pengguna masuk.
Sign-on tunggal untuk Firefox
Untuk mengizinkan browser Mozilla Firefox mendukung sistem masuk tunggal, tambahkan akses Anda URL (mis., https://<alias>
.awsapps.com) ke daftar situs yang disetujui untuk sistem masuk tunggal. Ini bisa dilakukan secara manual, atau otomatis dengan skrip.
Pembaruan manual untuk sign-on tunggal
Untuk menambahkan akses Anda secara manual URL ke daftar situs yang disetujui di Firefox, lakukan langkah-langkah berikut di komputer klien.
Untuk menambahkan akses Anda secara manual URL ke daftar situs yang disetujui di Firefox
-
Buka Firefox dan buka halaman
about:config
. -
Buka
network.negotiate-auth.trusted-uris
preferensi dan tambahkan akses Anda URL ke daftar situs. Gunakan koma (,) untuk memisahkan beberapa entri.
Pembaruan otomatis untuk sign-on tunggal
Sebagai administrator domain, Anda dapat menggunakan skrip untuk menambahkan akses URL ke preferensi network.negotiate-auth.trusted-uris
pengguna Firefox di semua komputer di jaringan Anda. Untuk informasi lebih lanjut, kunjungi https://support.mozilla. org/en-US/questions/939037