Sign-on tunggal - AWS Directory Service
IE/ChromeFirefox

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sign-on tunggal

AWS Directory Service menyediakan kemampuan untuk memungkinkan pengguna Anda mengakses Amazon WorkDocs dari komputer yang bergabung ke direktori tanpa harus memasukkan kredensialnya secara terpisah.

Sebelum mengaktifkan sing-on tunggal, Anda perlu mengambil langkah tambahan agar peramban web pengguna dapat mendukung sign-on tunggal. Pengguna mungkin perlu memodifikasi pengaturan peramban web mereka untuk mengaktifkan sign-on tunggal.

catatan

Sign-on tunggal hanya bekerja bila digunakan pada komputer yang digabungkan ke direktori AWS Directory Service . Ini tidak dapat digunakan pada komputer yang tidak bergabung ke direktori.

Jika direktori Anda adalah direktori AD Connector dan akun layanan AD Connector tidak memiliki izin untuk menambahkan atau menghapus atribut nama utama layanannya, maka untuk Langkah 5 dan 6 di bawah ini, Anda memiliki dua pilihan:

  1. Anda dapat melanjutkan dan akan diminta untuk nama pengguna dan kata sandi untuk pengguna direktori yang memiliki izin ini untuk menambah atau menghapus atribut nama utama layanan pada akun layanan AD Connector. Kredensial ini hanya digunakan untuk mengaktifkan sign-on tunggal dan tidak disimpan oleh layanan. Izin akun layanan AD Connector tidak berubah.

  2. Anda dapat mendelegasikan izin untuk mengizinkan akun layanan AD Connector menambah atau menghapus atribut nama utama layanan itu sendiri, Anda dapat menjalankan PowerShell perintah di bawah ini dari komputer yang bergabung dengan domain menggunakan akun yang memiliki izin untuk mengubah izin pada akun layanan AD Connector. Perintah di bawah ini akan memberikan akun layanan AD Connector kemampuan untuk menambah dan menghapus atribut nama utama layanan hanya untuk dirinya sendiri.

$AccountName = 'ConnectorAccountName'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$RootDse = Get-ADRootDSE 
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting AD Connector service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AclPath = $AccountProperties.DistinguishedName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for AD Connector service account.
$ObjectAcl = Get-ACL -Path "AD:\$AclPath" 
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
Untuk mengaktifkan atau menonaktifkan sistem masuk tunggal dengan Amazon WorkDocs

  1. Di panel navigasi konsol AWS Directory Service, pilih Direktori.

  2. Pada halaman Direktori, pilih ID direktori Anda.

  3. Pada halaman Detail direktori, pilih tab Pengelolaan aplikasi.

  4. Di bagian URL akses aplikasi, pilih Aktifkan untuk mengaktifkan sistem masuk tunggal untuk Amazon. WorkDocs

    Jika Anda tidak melihat tombol Aktifkan, Anda mungkin harus terlebih dahulu membuat URL Akses sebelum opsi ini akan ditampilkan. Untuk informasi selengkapnya tentang cara membuat URL akses, lihat Membuat URL akses.

  5. Di kotak dialog Aktifkan Sign-On Tunggal untuk direktori ini,, pilih Aktifkan. Sign-on tunggal diaktifkan untuk direktori.

  6. Jika nanti Anda ingin menonaktifkan sistem masuk tunggal dengan Amazon WorkDocs, pilih Nonaktifkan, lalu di kotak dialog Nonaktifkan Single Sign-On untuk direktori ini, pilih Nonaktifkan lagi.

Sign-on tunggal untuk IE dan Chrome

Untuk mengizinkan peramban Microsoft Internet Explorer (IE) dan Google Chrome untuk mendukung sign-on tunggal, tugas berikut harus dilakukan pada komputer klien:

  • Tambahkan URL akses Anda (misalnya, https://<alias>.awsapps.com) ke daftar situs yang disetujui untuk sign-on tunggal.

  • Aktifkan skrip aktif (JavaScript).

  • Izinkan masuk otomatis.

  • Aktifkan autentikasi terintegrasi.

Anda atau pengguna Anda dapat melakukan tugas-tugas ini secara manual, atau Anda dapat mengubah pengaturan ini menggunakan pengaturan Kebijakan Grup.

Pembaruan manual untuk sign-on tunggal pada Windows

Untuk mengaktifkan sign-on tunggal secara manual pada komputer Windows, lakukan langkah-langkah berikut pada komputer klien. Beberapa pengaturan ini mungkin sudah diatur dengan benar.

Cara mengaktifkan sign-on tunggal untuk Internet Explorer dan Chrome secara manual di Windows

  1. Untuk membuka kotak dialog Properti internet, pilih menu Start, ketik Internet Options di kotak pencarian, lalu pilih Opsi Internet.

  2. Tambahkan URL akses Anda ke daftar situs yang disetujui untuk sign-on tunggal dengan melakukan langkah-langkah berikut:

    1. Di kotak dialog Properti internet, pilih tab Keamanan.

    2. Pilih Intranet lokal dan pilih Situs.

    3. Di kotak dialog Intranet lokal, pilih Advanced.

    4. Tambahkan URL akses Anda ke daftar situs web dan pilih tutup.

    5. Di dialog box Intranet lokal, pilih OK.

  3. Untuk mengaktifkan penulisan aktif, lakukan langkah-langkah berikut ini:

    1. Di tab Keamanan dari kotak dialog Properti internet, pilih Tingkat kustom.

    2. Di kotak dialog Pengaturan Keamanan - Zona Intranet Lokal, gulir ke bawah untuk Penulisan dan pilih Aktifkan di bawah Penulisan aktif.

    3. Di kotak dialog Pengaturan Keamanan - Zona Intranet Lokal, pilih OK.

  4. Untuk mengaktifkan masuk otomatis, lakukan langkah-langkah berikut ini:

    1. Di tab Keamanan dari kotak dialog Properti internet, pilih Tingkat kustom.

    2. Di kotak dialog Pengaturan Keamanan - Zona Intranet Lokal, gulir ke bawah untuk Autentikasi Pengguna dan pilih Masuk otomatis hanya di zona Intranet di bawah Masuk.

    3. Di kotak dialog Pengaturan Keamanan - Zona Intranet Lokal, pilih OK.

    4. Di kotak dialog Pengaturan Keamanan - Zona Intranet Lokal, pilih OK.

  5. Untuk mengaktifkan autentikasi terintegrasi, lakukan langkah-langkah berikut ini:

    1. Di kotak dialog Properti internet, pilih tab Advanced.

    2. Gulir ke bawah ke Keamanan dan pilih Mengaktifkan Autentikasi Windows Terintegrasi.

    3. Di kotak dialog Properti Internet, pilih OK.

  6. Tutup dan buka kembali peramban Anda agar perubahan ini berlaku.

Pembaruan manual untuk sign-on tunggal pada OS X

Untuk mengaktifkan sign-on tunggal secara manual untuk Chrome pada OS X, lakukan langkah-langkah berikut pada komputer klien. Anda memerlukan hak administrator di komputer Anda untuk menyelesaikan langkah-langkah ini.

Cara mengaktifkan sign-on tunggal untuk Chrome di OS X secara manual

  1. Tambahkan URL akses Anda ke AuthServerAllowlistkebijakan dengan menjalankan perintah berikut:

    defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com"

  2. Buka Preferensi Sistem, buka panel Profil, dan hapus profil Chrome Kerberos Configuration.

  3. Mulai ulang Chrome dan buka chrome://policy di Chrome untuk mengonfirmasi bahwa pengaturan baru sudah terpasang.

Pengaturan kebijakan grup untuk sign-on tunggal

Administrator domain dapat menerapkan pengaturan Kebijakan Grup untuk membuat perubahan sign-on tunggal pada komputer klien yang digabungkan ke domain.

catatan

Jika Anda mengelola browser web Chrome di komputer di domain Anda dengan kebijakan Chrome, Anda harus menambahkan URL akses ke AuthServerAllowlistkebijakan. Untuk informasi selengkapnya tentang mengatur kebijakan Chrome, kunjungi Pengaturan Kebijakan di Chrome.

Cara mengaktifkan sign-on tunggal untuk Internet Explorer dan Chrome menggunakan pengaturan Kebijakan Grup

  1. Membuat objek Kebijakan Grup baru dengan melakukan langkah-langkah berikut:

    1. Buka alat Pengelolaan Kebijakan Grup, arahkan ke domain Anda, lalu pilih Objek Kebijakan Grup.

    2. Dari menu utama, pilih Tindakan dan pilih Baru.

    3. Di kotak dialog GPO baru, masukkan nama deskriptif untuk objek Kebijakan Grup, seperti IAM Identity Center Policy, dan biarkan Sumber Starter GPO diatur ke (tidak ada). Klik OK.

  2. Tambahkan URL akses ke daftar situs yang disetujui untuk sign-on tunggal dengan melakukan langkah-langkah berikut:

    1. Di alat Manajemen Kebijakan Grup, arahkan ke domain Anda, pilih Objek Kebijakan Grup, buka menu konteks (klik kanan) untuk kebijakan Pusat Identitas IAM Anda, dan pilih Edit.

    2. Di pohon kebijakan, arahkan ke Konfigurasi Pengguna > Preferensi > Pengaturan Windows.

    3. Di daftar Pengaturan Windows, buka menu konteks (klik kanan) untuk Registri dan pilih Item registri baru.

    4. Di kotak dialog Properti Registri Baru, masukkan pengaturan berikut dan pilih OK:

      Aksi

      Update

      Sarang

      HKEY_CURRENT_USER

      Jalan

      Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>

      Nilai untuk <alias> berasal dari URL akses Anda. Jika URL akses Anda adalah https://examplecorp.awsapps.com, alias adalah examplecorp, dan kunci registri akan menjadi Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp.

      Nama nilai

      https

      Jenis nilai

      REG_DWORD

      Data nilai

      1

  3. Untuk mengaktifkan penulisan aktif, lakukan langkah-langkah berikut ini:

    1. Di alat Manajemen Kebijakan Grup, arahkan ke domain Anda, pilih Objek Kebijakan Grup, buka menu konteks (klik kanan) untuk kebijakan Pusat Identitas IAM Anda, dan pilih Edit.

    2. Di pohon kebijakan, arahkan ke Konfigurasi komputer > Kebijakan > Templat Administrasi > Komponen Windows > Internet Explorer > Panel Kontrol Internet > Halaman Keamanan > Zona Intranet.

    3. Di daftar Zona Intranet, buka menu konteks (klik kanan) untuk Izinkan penulisan aktif dan pilih Edit.

    4. Di kotak dialog Izinkan penulisan aktif, masukkan pengaturan berikut dan pilih OK:

      • Pilih tombol radio Diaktifkan.

      • Di bawah Opsi atur Izinkan penulisan aktif ke Aktifkan.

  4. Untuk mengaktifkan masuk otomatis, lakukan langkah-langkah berikut ini:

    1. Pada alat Pengelolaan Kebijakan Grup, arahkan ke domain Anda, pilih Objek Kebijakan Grup, buka menu konteks (klik kanan) untuk kebijakan SSO Anda, lalu pilih Edit.

    2. Di pohon kebijakan, arahkan ke Konfigurasi komputer > Kebijakan > Templat Administrasi > Komponen Windows > Internet Explorer > Panel Kontrol Internet > Halaman Keamanan > Zona Intranet.

    3. Di daftar Zona Intranet, buka menu konteks (klik kanan) untuk Opsi masuk dan pilih Edit.

    4. Di kotak dialog Opsi masuk, masukkan pengaturan berikut dan pilih OK:

      • Pilih tombol radio Diaktifkan.

      • Di bawah Opsi atur Opsi masuk ke Masuk otomatis hanya di zona Intranet.

  5. Untuk mengaktifkan autentikasi terintegrasi, lakukan langkah-langkah berikut ini:

    1. Di alat Manajemen Kebijakan Grup, arahkan ke domain Anda, pilih Objek Kebijakan Grup, buka menu konteks (klik kanan) untuk kebijakan Pusat Identitas IAM Anda, dan pilih Edit.

    2. Di pohon kebijakan, arahkan ke Konfigurasi Pengguna > Preferensi > Pengaturan Windows.

    3. Di daftar Pengaturan Windows, buka menu konteks (klik kanan) untuk Registri dan pilih Item registri baru.

    4. Di kotak dialog Properti Registri Baru, masukkan pengaturan berikut dan pilih OK:

      Aksi

      Update

      Sarang

      HKEY_CURRENT_USER

      Jalan

      Software\Microsoft\Windows\CurrentVersion\Internet Settings

      Nama nilai

      EnableNegotiate

      Jenis nilai

      REG_DWORD

      Data nilai

      1

  6. Tutup jendela Editor Pengelolaan Kebijakan Grup jika masih terbuka.

  7. Tetapkan kebijakan baru ke domain Anda dengan mengikuti langkah-langkah berikut:

    1. Di pohon Pengelolaan Kebijakan Grup, buka menu konteks (klik kanan) untuk domain Anda, lalu pilih Menautkan GPO yang Ada.

    2. Dalam daftar Objek Kebijakan Grup, pilih kebijakan Pusat Identitas IAM Anda dan pilih OK.

Perubahan ini akan berlaku setelah pembaruan Kebijakan Grup berikutnya pada klien, atau waktu berikutnya pengguna masuk.

Sign-on tunggal untuk Firefox

Untuk mengizinkan peramban Mozilla Firefox untuk mendukung sign-on tunggal, tambahkan URL akses Anda (misalnya, https://<alias>.awsapps.com) ke daftar situs yang disetujui untuk sign-on tunggal. Ini bisa dilakukan secara manual, atau otomatis dengan skrip.

Pembaruan manual untuk sign-on tunggal

Untuk menambahkan URL akses Anda ke daftar situs yang disetujui di Firefox secara manual, lakukan langkah-langkah berikut pada komputer klien.

Untuk menambahkan URL akses Anda secara manual ke daftar situs yang disetujui di Firefox

  1. Buka Firefox dan buka halaman about:config.

  2. Buka preferensi network.negotiate-auth.trusted-uris dan tambahkan URL akses Anda ke daftar situs. Gunakan koma (,) untuk memisahkan beberapa entri.

Pembaruan otomatis untuk sign-on tunggal

Sebagai administrator domain, Anda dapat menggunakan skrip untuk menambahkan URL akses ke preferensi pengguna network.negotiate-auth.trusted-uris Firefox pada semua komputer di jaringan Anda. Untuk informasi selengkapnya, kunjungi https://support.mozilla.org/en-US/questions/939037.