Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Tutorial sumber identitas Pusat Identitas IAM
Anda dapat menghubungkan sumber identitas yang ada di akun AWS Organizations manajemen Anda ke [instans organisasi Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). Jika Anda tidak memiliki penyedia identitas yang ada, Anda dapat membuat dan mengelola pengguna secara langsung di direktori Pusat Identitas IAM default. Anda dapat memiliki satu sumber identitas per organisasi.
Tutorial di bagian ini menjelaskan cara mengatur instance organisasi IAM Identity Center dengan sumber identitas yang umum digunakan, membuat pengguna administratif, dan jika Anda menggunakan IAM Identity Center untuk mengelola akses ke Akun AWS, membuat dan mengkonfigurasi set izin. Jika Anda menggunakan IAM Identity Center untuk akses aplikasi saja, Anda tidak perlu menggunakan set izin.
Tutorial ini tidak menjelaskan cara mengatur instance akun IAM Identity Center. Anda dapat menggunakan instans akun untuk menetapkan pengguna dan grup ke aplikasi, tetapi Anda tidak dapat menggunakan jenis instans ini untuk mengelola akses pengguna. Akun AWS Untuk informasi selengkapnya, lihat [Instans akun Pusat Identitas IAM](account-instances-identity-center.md).
**catatan**
Sebelum memulai salah satu tutorial ini, aktifkan IAM Identity Center. Untuk informasi selengkapnya, lihat [Aktifkan Pusat Identitas IAM](enable-identity-center.md).
**Topics**
+ [Menggunakan Active Directory sebagai sumber identitas](gs-ad.md)
+ [Setting up SCIM provisioning between CyberArk and IAM Identity Center](cyberark-idp.md)
+ [Konfigurasikan SAMP dan SCIM dengan Google Workspace dan IAM Identity Center](gs-gwp.md)
+ [Menggunakan IAM Identity Center untuk terhubung dengan Platform JumpCloud Direktori](jumpcloud-idp.md)
+ [Konfigurasikan SAFL dan SCIM dengan Microsoft Entra ID dan IAM Identity Center](idp-microsoft-entra.md)
+ [Konfigurasikan SAMP dan SCIM dengan Okta dan IAM Identity Center](gs-okta.md)
+ [Menyiapkan penyediaan SCIM antara OneLogin dan IAM Identity Center](onelogin-idp.md)
+ [Menggunakan Ping Identity produk dengan IAM Identity Center](pingidentity.md)
+ [Konfigurasikan akses pengguna dengan direktori IAM Identity Center default](quick-start-default-idc.md)
+ [Tutorial video](#w2aac15c31)
# Menggunakan Active Directory sebagai sumber identitas
Jika Anda mengelola pengguna di AWS Managed Microsoft AD direktori menggunakan Directory Service atau direktori yang dikelola sendiri di Active Directory (AD), Anda dapat mengubah sumber identitas Pusat Identitas IAM agar berfungsi dengan pengguna tersebut. Kami menyarankan Anda mempertimbangkan untuk menghubungkan sumber identitas ini ketika Anda mengaktifkan IAM Identity Center dan memilih sumber identitas Anda. Melakukan hal ini sebelum Anda membuat pengguna dan grup di direktori Pusat Identitas default akan membantu Anda menghindari konfigurasi tambahan yang diperlukan jika Anda mengubah sumber identitas Anda nanti.
Untuk menggunakan Active Directory sebagai sumber identitas Anda, konfigurasi Anda harus memenuhi prasyarat berikut:
+ Jika Anda menggunakan AWS Managed Microsoft AD, Anda harus mengaktifkan IAM Identity Center di tempat yang sama Wilayah AWS di mana AWS Managed Microsoft AD direktori Anda diatur. IAM Identity Center menyimpan data penugasan di Wilayah yang sama dengan direktori. Untuk mengelola Pusat Identitas IAM, Anda mungkin perlu beralih ke Wilayah tempat Pusat Identitas IAM dikonfigurasi. Juga, perhatikan bahwa portal AWS akses menggunakan URL akses yang sama dengan direktori Anda.
+ Gunakan Active Directory yang berada di akun manajemen:
Anda harus memiliki AD Connector atau AWS Managed Microsoft AD direktori yang sudah ada AWS Directory Service, dan direktori tersebut harus berada di dalam akun AWS Organizations manajemen Anda. Anda hanya dapat menghubungkan satu direktori AD Connector atau satu direktori sekaligus. AWS Managed Microsoft AD Jika Anda perlu mendukung beberapa domain atau hutan, gunakan AWS Managed Microsoft AD. Untuk informasi lebih lanjut, lihat:
+ [Connect direktori AWS Managed Microsoft AD ke IAM Identity Center](connectawsad.md)
+ [Connect direktori yang dikelola sendiri di Active Directory ke IAM Identity Center](connectonpremad.md)
+ Gunakan Active Directory yang berada di akun administrator yang didelegasikan:
Jika Anda berencana untuk mengaktifkan administrator yang didelegasikan IAM Identity Center dan menggunakan Active Directory sebagai sumber identitas Pusat Identitas IAM, Anda dapat menggunakan AD Connector atau AWS Managed Microsoft AD direktori yang sudah ada yang disiapkan di Direktori yang berada di AWS akun admin yang didelegasikan.
Jika Anda memutuskan untuk mengubah sumber identitas IAM Identity Center dari sumber lain ke Active Directory, atau mengubahnya dari Active Directory ke sumber lain, direktori harus berada di (dimiliki oleh) akun anggota administrator yang didelegasikan IAM Identity Center jika ada; jika tidak, itu harus berada di akun manajemen.
Tutorial ini memandu Anda melalui pengaturan dasar untuk menggunakan Active Directory sebagai sumber identitas IAM Identity Center.
# Langkah 1: Connect Active Directory dan tentukan pengguna
Jika Anda sudah menggunakan Active Directory, topik berikut akan membantu Anda mempersiapkan untuk menghubungkan direktori Anda ke IAM Identity Center.
**catatan**
Jika Anda berencana untuk menghubungkan AWS Managed Microsoft AD direktori atau direktori yang dikelola sendiri di Active Directory dan Anda tidak menggunakan RADIUS MFA, aktifkan MFA di AWS Directory Service IAM Identity Center.
**AWS Managed Microsoft AD**
1. Tinjau panduan di[Microsoft ADdirektori](manage-your-identity-source-ad.md).
1. Ikuti langkah-langkah di [Connect direktori AWS Managed Microsoft AD ke IAM Identity Center](connectawsad.md).
1. Konfigurasikan Active Directory untuk menyinkronkan pengguna yang ingin Anda berikan izin administratif ke IAM Identity Center. Untuk informasi selengkapnya, lihat [Sinkronisasi pengguna administratif ke IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).
**Direktori yang dikelola sendiri di Direktori Aktif**
1. Tinjau panduan di[Microsoft ADdirektori](manage-your-identity-source-ad.md).
1. Ikuti langkah-langkah di [Connect direktori yang dikelola sendiri di Active Directory ke IAM Identity Center](connectonpremad.md).
1. Konfigurasikan Active Directory untuk menyinkronkan pengguna yang ingin Anda berikan izin administratif ke IAM Identity Center. Untuk informasi selengkapnya, lihat [Sinkronisasi pengguna administratif ke IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).
## Langkah 2: Sinkronisasi pengguna administratif ke IAM Identity Center
Setelah Anda menghubungkan direktori Anda ke IAM Identity Center, Anda dapat menentukan pengguna yang ingin Anda berikan izin administratif, dan kemudian menyinkronkan pengguna tersebut dari direktori Anda ke Pusat Identitas IAM.
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, pilih **Tindakan**, lalu pilih **Kelola Sinkronisasi**.
1. Pada halaman **Kelola Sinkronisasi**, pilih tab **Pengguna**, lalu pilih **Tambahkan pengguna dan grup**.
1. Pada tab **Pengguna**, di bawah **Pengguna**, masukkan nama pengguna yang tepat dan pilih **Tambah**.
1. Di bawah **Pengguna dan Grup yang Ditambahkan**, lakukan hal berikut:
1. Konfirmasikan bahwa pengguna yang ingin Anda berikan izin administratif ditentukan.
1. Pilih kotak centang di sebelah kiri nama pengguna.
1. Pilih **Kirim**.
1. Di halaman **Kelola sinkronisasi**, pengguna yang Anda tentukan muncul di daftar **cakupan pengguna dalam sinkronisasi**.
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Pada halaman **Pengguna**, mungkin diperlukan beberapa waktu bagi pengguna yang Anda tentukan untuk muncul dalam daftar. Pilih ikon penyegaran untuk memperbarui daftar pengguna.
Pada titik ini, pengguna Anda tidak memiliki akses ke akun manajemen. Anda akan mengatur akses administratif ke akun ini dengan membuat set izin administratif dan menetapkan pengguna ke set izin tersebut. Lihat informasi yang lebih lengkap di [Buat set izin](howtocreatepermissionset.md).
# Setting up SCIM provisioning between CyberArk and IAM Identity Center
IAM Identity Center mendukung penyediaan otomatis (sinkronisasi) informasi pengguna dari CyberArk Directory Platform ke IAM Identity Center. Penyediaan ini menggunakan protokol System for Cross-domain Identity Management (SCIM) v2.0. Untuk informasi selengkapnya, lihat [Menggunakan federasi identitas SAMP dan SCIM dengan penyedia identitas eksternal](other-idps.md).
**catatan**
CyberArksaat ini tidak mendukung layanan konsumsi pernyataan ganda SAMP (ACS) URLs dalam aplikasi. AWS IAM Identity Center Fitur SAMP ini diperlukan untuk sepenuhnya memanfaatkan [dukungan Multi-wilayah](multi-region-iam-identity-center.md) di IAM Identity Center. Jika Anda berencana untuk mereplikasi Pusat Identitas IAM ke Wilayah tambahan, ketahuilah bahwa menggunakan satu URL ACS dapat memengaruhi pengalaman pengguna di Wilayah tambahan tersebut. Wilayah utama Anda akan terus berfungsi secara normal. Kami menyarankan Anda bekerja dengan vendor IDP Anda untuk mengaktifkan fitur ini. Untuk informasi selengkapnya tentang pengalaman pengguna di Wilayah tambahan dengan satu URL ACS, lihat [Menggunakan aplikasi AWS terkelola tanpa beberapa ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) dan[Akun AWS ketahanan akses tanpa beberapa ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
Sebelum Anda mulai menerapkan SCIM, kami sarankan Anda terlebih dahulu meninjau. [Pertimbangan untuk menggunakan penyediaan otomatis](provision-automatically.md#auto-provisioning-considerations) Kemudian lanjutkan meninjau pertimbangan tambahan di bagian selanjutnya.
**Topics**
+ [Prasyarat](#cyberark-prereqs)
+ [Pertimbangan SCIM](#cyberark-considerations)
+ [Langkah 1: Aktifkan penyediaan di IAM Identity Center](#cyberark-step1)
+ [Langkah 2: Konfigurasikan penyediaan di CyberArk](#cyberark-step2)
+ [(Opsional) Langkah 3: Konfigurasikan atribut pengguna CyberArk untuk kontrol akses (ABAC) di Pusat Identitas IAM](#cyberark-step3)
+ [(Opsional) Melewati atribut untuk kontrol akses](#cyberark-passing-abac)
## Prasyarat
Anda akan memerlukan yang berikut ini sebelum Anda dapat memulai:
+ CyberArkberlangganan atau uji coba gratis. Untuk mendaftar untuk kunjungan uji coba gratis [https://www.cyberark.com/try-buy/](https://www.cyberark.com/try-buy/).
+ Akun yang diaktifkan Pusat Identitas IAM ([gratis](https://aws.amazon.com/single-sign-on/)). Untuk informasi selengkapnya, lihat [Mengaktifkan Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Sambungan SAFL dari CyberArk akun Anda ke Pusat Identitas IAM, seperti yang dijelaskan dalam [CyberArkdokumentasi untuk Pusat Identitas IAM](https://docs.cyberark.com/identity/Latest/en/Content/Applications/AppsWeb/AWS_SAML_SSO.htm#).
+ Kaitkan konektor Pusat Identitas IAM dengan peran, pengguna, dan organisasi yang ingin Anda izinkan aksesnya. Akun AWS
## Pertimbangan SCIM
Berikut ini adalah pertimbangan saat menggunakan CyberArk federasi untuk IAM Identity Center:
+ Hanya peran yang dipetakan di bagian Penyediaan aplikasi yang akan disinkronkan ke Pusat Identitas IAM.
+ Skrip penyediaan hanya didukung dalam status defaultnya, setelah diubah, penyediaan SCIM mungkin gagal.
+ Hanya satu atribut nomor telepon yang dapat disinkronkan dan defaultnya adalah “telepon kerja”.
+ Jika pemetaan peran dalam aplikasi CyberArk IAM Identity Center diubah, perilaku di bawah ini diharapkan:
+ Jika nama peran diubah - tidak ada perubahan pada nama grup di Pusat Identitas IAM.
+ Jika nama grup diubah - grup baru akan dibuat di IAM Identity Center, grup lama akan tetap ada tetapi tidak akan memiliki anggota.
+ Sinkronisasi pengguna dan perilaku de-provisioning dapat diatur dari aplikasi CyberArk IAM Identity Center, pastikan Anda mengatur perilaku yang tepat untuk organisasi Anda. Ini adalah opsi yang Anda miliki:
+ Timpa (atau tidak) pengguna di direktori Pusat Identitas dengan nama utama yang sama.
+ De-penyediaan pengguna dari Pusat Identitas IAM saat pengguna dihapus dari peran. CyberArk
+ Perilaku pengguna de-penyediaan - nonaktifkan atau hapus.
## Langkah 1: Aktifkan penyediaan di IAM Identity Center
Pada langkah pertama ini, Anda menggunakan konsol IAM Identity Center untuk mengaktifkan penyediaan otomatis.
**Untuk mengaktifkan penyediaan otomatis di Pusat Identitas IAM**
1. Setelah Anda menyelesaikan prasyarat, buka konsol Pusat Identitas [IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan** di panel navigasi kiri.
1. **Pada halaman **Pengaturan**, cari kotak Informasi **penyediaan otomatis, lalu pilih Aktifkan**.** Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.
1. Di kotak dialog **penyediaan otomatis masuk, salin titik** akhir SCIM dan token akses. Anda harus menempelkannya nanti saat mengonfigurasi penyediaan di iDP Anda.
1. **Titik akhir SCIM** - Misalnya, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token akses** - Pilih **Tampilkan token** untuk menyalin nilainya.
**Awas**
Ini adalah satu-satunya waktu di mana Anda dapat memperoleh titik akhir SCIM dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju. Anda akan memasukkan nilai-nilai ini untuk mengkonfigurasi penyediaan otomatis di IDP Anda nanti dalam tutorial ini.
1. Pilih **Tutup**.
Sekarang setelah Anda menyiapkan penyediaan di konsol Pusat Identitas IAM, Anda harus menyelesaikan tugas yang tersisa menggunakan aplikasi Pusat Identitas CyberArk IAM. Langkah-langkah ini dijelaskan dalam prosedur berikut.
## Langkah 2: Konfigurasikan penyediaan di CyberArk
Gunakan prosedur berikut dalam aplikasi CyberArk IAM Identity Center untuk mengaktifkan penyediaan dengan IAM Identity Center. Prosedur ini mengasumsikan bahwa Anda telah menambahkan aplikasi CyberArk IAM Identity Center ke konsol CyberArk admin Anda di bawah Aplikasi **Web**. Jika Anda belum melakukannya, lihat[Prasyarat](#cyberark-prereqs), dan kemudian selesaikan prosedur ini untuk mengkonfigurasi penyediaan SCIM.
**Untuk mengonfigurasi penyediaan di CyberArk**
1. Buka aplikasi CyberArk IAM Identity Center yang Anda tambahkan sebagai bagian dari konfigurasi SAFL untuk CyberArk (**Apps > Web** App). Lihat [Prasyarat](#cyberark-prereqs).
1. Pilih aplikasi **IAM Identity Center** dan buka bagian **Provisioning**.
1. Centang kotak untuk **Aktifkan penyediaan untuk aplikasi ini** dan pilih Mode **Langsung**.
1. Pada prosedur sebelumnya, Anda menyalin nilai **endpoint SCIM dari IAM** Identity Center. **Tempelkan nilai itu ke bidang **URL Layanan SCIM**, dalam aplikasi Pusat Identitas CyberArk IAM atur **Jenis Otorisasi menjadi Header Otorisasi**.**
1. Atur **Jenis Header** ke **Token Pembawa**.
1. Dari prosedur sebelumnya Anda menyalin nilai **token Access** di IAM Identity Center. Tempelkan nilai itu ke bidang **Bearer Token** di aplikasi CyberArk IAM Identity Center.
1. Klik **Verifikasi** untuk menguji dan menerapkan konfigurasi.
1. Di bawah **Opsi Sinkronisasi**, pilih perilaku yang tepat yang Anda inginkan agar CyberArk penyediaan keluar berfungsi. Anda dapat memilih untuk menimpa (atau tidak) pengguna IAM Identity Center yang ada dengan nama utama yang sama, dan perilaku de-provisioning.
1. **Di bawah **Pemetaan Peran**, atur pemetaan dari CyberArk peran, di bawah bidang **Nama** ke grup Pusat Identitas IAM, di bawah Grup Tujuan.**
1. Klik **Simpan** di bagian bawah setelah Anda selesai.
1. **Untuk memverifikasi bahwa pengguna telah berhasil disinkronkan ke Pusat Identitas IAM, kembali ke konsol Pusat Identitas IAM dan pilih Pengguna.** Pengguna yang disinkronkan dari CyberArk akan muncul di halaman **Pengguna**. Pengguna ini sekarang dapat ditugaskan ke akun dan dapat terhubung dalam Pusat Identitas IAM.
## (Opsional) Langkah 3: Konfigurasikan atribut pengguna CyberArk untuk kontrol akses (ABAC) di Pusat Identitas IAM
Ini adalah prosedur opsional jika CyberArk Anda memilih untuk mengkonfigurasi atribut untuk IAM Identity Center untuk mengelola akses ke AWS sumber daya Anda. Atribut yang Anda tentukan CyberArk diteruskan dalam pernyataan SAMP ke IAM Identity Center. Anda kemudian membuat set izin di Pusat Identitas IAM untuk mengelola akses berdasarkan atribut yang Anda lewati. CyberArk
Sebelum Anda memulai prosedur ini, Anda harus terlebih dahulu mengaktifkan [Atribut untuk kontrol akses](attributesforaccesscontrol.md) fitur tersebut. Untuk informasi selengkapnya tentang cara melakukan ini, lihat [Aktifkan dan konfigurasikan atribut untuk kontrol akses](configure-abac.md).
**Untuk mengonfigurasi atribut pengguna CyberArk untuk kontrol akses di Pusat Identitas IAM**
1. Buka aplikasi CyberArk IAM Identity Center yang Anda instal sebagai bagian dari konfigurasi SAFL untuk CyberArk (**Apps > Web Apps**).
1. Buka opsi **Saml Response**.
1. Di bawah **Atribut**, tambahkan atribut yang relevan ke tabel berikut logika di bawah ini:
1. **Nama Atribut** adalah nama atribut asli dariCyberArk.
1. **Nilai Atribut** adalah nama atribut yang dikirim dalam pernyataan SAMP ke IAM Identity Center.
1. Pilih **Simpan**.
## (Opsional) Melewati atribut untuk kontrol akses
Anda dapat menggunakan [Atribut untuk kontrol akses](attributesforaccesscontrol.md) fitur ini secara opsional di Pusat Identitas IAM untuk meneruskan `Attribute` elemen dengan `Name` atribut yang disetel ke. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tanda sesi dalam pernyataan SAML. Untuk informasi selengkapnya tentang tag sesi, lihat [Melewati tag sesi AWS STS di](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) *Panduan Pengguna IAM*.
Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen `AttributeValue` yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tag`CostCenter = blue`, gunakan atribut berikut.
```
blue
```
Jika Anda perlu menambahkan beberapa atribut, sertakan `Attribute` elemen terpisah untuk setiap tag.
# Konfigurasikan SAMP dan SCIM dengan Google Workspace dan IAM Identity Center
Jika organisasi Anda menggunakan, Google Workspace Anda dapat mengintegrasikan pengguna Anda dari Google Workspace Pusat Identitas IAM untuk memberi mereka akses ke AWS sumber daya. Anda dapat mencapai integrasi ini dengan mengubah sumber identitas Pusat Identitas IAM Anda dari sumber identitas Pusat Identitas IAM default menjadi. Google Workspace
**catatan**
Google Workspacesaat ini tidak mendukung layanan konsumsi pernyataan ganda SAMP (ACS) URLs dalam aplikasi. AWS IAM Identity Center Fitur SAMP ini diperlukan untuk sepenuhnya memanfaatkan [dukungan Multi-wilayah](multi-region-iam-identity-center.md) di IAM Identity Center. Jika Anda berencana untuk mereplikasi Pusat Identitas IAM ke Wilayah tambahan, ketahuilah bahwa menggunakan satu URL ACS dapat memengaruhi pengalaman pengguna di Wilayah tambahan tersebut. Wilayah utama Anda akan terus berfungsi secara normal. Kami menyarankan Anda bekerja dengan vendor IDP Anda untuk mengaktifkan fitur ini. Untuk informasi selengkapnya tentang pengalaman pengguna di Wilayah tambahan dengan satu URL ACS, lihat [Menggunakan aplikasi AWS terkelola tanpa beberapa ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) dan[Akun AWS ketahanan akses tanpa beberapa ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
Informasi pengguna dari Google Workspace disinkronkan ke IAM Identity Center menggunakan protokol [System for Cross-domain Identity Management (SCIM](scim-profile-saml.md#scim-profile)) 2.0. Untuk informasi selengkapnya, lihat [Menggunakan federasi identitas SAMP dan SCIM dengan penyedia identitas eksternal](other-idps.md).
Anda mengonfigurasi koneksi ini Google Workspace dengan menggunakan endpoint SCIM Anda untuk IAM Identity Center dan token pembawa IAM Identity Center. Saat mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna Google Workspace ke atribut bernama di Pusat Identitas IAM. Pemetaan ini cocok dengan atribut pengguna yang diharapkan antara IAM Identity Center dan. Google Workspace Untuk melakukan ini, Anda perlu mengatur Google Workspace sebagai penyedia identitas dan terhubung dengan Pusat Identitas IAM Anda.
**Tujuan**
Langkah-langkah dalam tutorial ini membantu memandu Anda melalui membangun koneksi SAMP antara Google Workspace dan AWS. Nanti, Anda akan menyinkronkan pengguna dari Google Workspace menggunakan SCIM. Untuk memverifikasi semuanya dikonfigurasi dengan benar, setelah menyelesaikan langkah-langkah konfigurasi Anda akan masuk sebagai Google Workspace pengguna dan memverifikasi akses ke AWS sumber daya. Perhatikan bahwa tutorial ini didasarkan pada lingkungan pengujian Google Workspace direktori kecil. Struktur direktori seperti grup dan unit organisasi tidak disertakan dalam tutorial ini. Setelah menyelesaikan tutorial ini, pengguna Anda akan dapat mengakses portal AWS akses dengan Google Workspace kredensil Anda.
**catatan**
Untuk mendaftar untuk uji coba Google Workspace kunjungan gratis [https://workspace.google.com/](https://workspace.google.com/)di situs Google's web.
Jika Anda belum mengaktifkan IAM Identity Center, lihat[Aktifkan Pusat Identitas IAM](enable-identity-center.md).
## Pertimbangan-pertimbangan
+ Sebelum Anda mengonfigurasi penyediaan SCIM antara Google Workspace dan IAM Identity Center, kami sarankan Anda meninjau terlebih dahulu. [Pertimbangan untuk menggunakan penyediaan otomatis](provision-automatically.md#auto-provisioning-considerations)
+ Sinkronisasi otomatis SCIM dari saat Google Workspace ini terbatas pada penyediaan pengguna. Penyediaan grup otomatis tidak didukung saat ini. Grup dapat dibuat secara manual dengan perintah AWS CLI Identity Store [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) atau AWS Identity and Access Management (IAM) API. [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html) Atau, Anda dapat menggunakan [ssosync untuk menyinkronkan](https://github.com/awslabs/ssosync) Google Workspace pengguna dan grup ke Pusat Identitas IAM.
+ Setiap Google Workspace pengguna harus memiliki nilai **Nama depan**, **nama belakang, nama** **pengguna** dan **nama tampilan** yang ditentukan.
+ Setiap Google Workspace pengguna hanya memiliki satu nilai per atribut data, seperti alamat email atau nomor telepon. Setiap pengguna yang memiliki banyak nilai akan gagal menyinkronkan. Jika ada pengguna yang memiliki beberapa nilai dalam atributnya, hapus atribut duplikat sebelum mencoba menyediakan pengguna di Pusat Identitas IAM. Misalnya, hanya satu atribut nomor telepon yang dapat disinkronkan, karena atribut nomor telepon default adalah “telepon kerja”, gunakan atribut “telepon kerja” untuk menyimpan nomor telepon pengguna, bahkan jika nomor telepon untuk pengguna adalah telepon rumah atau ponsel.
+ Atribut masih disinkronkan jika pengguna dinonaktifkan di Pusat Identitas IAM, tetapi masih aktif di. Google Workspace
+ Jika ada pengguna yang ada di direktori Identity Center dengan nama pengguna dan email yang sama, pengguna akan ditimpa dan disinkronkan menggunakan SCIM dari. Google Workspace
+ Ada pertimbangan tambahan saat mengubah sumber identitas Anda. Untuk informasi selengkapnya, lihat [Mengubah dari IAM Identity Center ke iDP eksternal](manage-your-identity-source-considerations.md#changing-from-idc-and-idp).
## Langkah 1:Google Workspace: Konfigurasikan aplikasi SAMP
1. Masuk ke **konsol Google Admin** Anda menggunakan akun dengan hak administrator super.
1. Di panel navigasi kiri **konsol Google Admin** Anda, pilih **Aplikasi**, lalu pilih **Aplikasi Web dan Seluler**.
1. Dalam daftar tarik-turun **Tambah aplikasi**, pilih **Cari** aplikasi.
1. Di kotak pencarian, masukkan **Amazon Web Services**, lalu pilih aplikasi **Amazon Web Services (SAMP)** dari daftar.
1. Pada **detail Penyedia Google Identitas - halaman Amazon Web Services**, Anda dapat melakukan salah satu hal berikut:
1. Unduh metadata iDP.
1. Salin URL SSO, URL ID Entitas, dan informasi Sertifikat.
Anda akan memerlukan file XHTML atau informasi URL di Langkah 2.
1. Sebelum pindah ke langkah berikutnya di konsol Google Admin, biarkan halaman ini terbuka dan pindah ke konsol Pusat Identitas IAM.
## Langkah 2: Pusat Identitas IAM danGoogle Workspace: Ubah sumber identitas Pusat Identitas IAM dan atur Google Workspace sebagai penyedia identitas SAMP
1. Masuk ke [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon) menggunakan peran dengan izin administratif.
1. Pilih **Pengaturan** di panel navigasi kiri.
1. Pada halaman **Pengaturan**, pilih **Tindakan**, lalu pilih **Ubah sumber identitas**.
+ Jika Anda belum mengaktifkan Pusat Identitas IAM, lihat [Aktifkan Pusat Identitas IAM](enable-identity-center.md) untuk informasi selengkapnya. Setelah mengaktifkan dan mengakses Pusat Identitas IAM untuk pertama kalinya, Anda akan tiba di **Dasbor** tempat Anda dapat **memilih Pilih sumber identitas Anda**.
1. Pada halaman **Pilih sumber identitas**, pilih **Penyedia identitas eksternal**, lalu pilih **Berikutnya**.
1. Halaman **Konfigurasi penyedia identitas eksternal** terbuka. Untuk melengkapi halaman ini dan Google Workspace halaman di Langkah 1, Anda harus menyelesaikan yang berikut:
1. Di bawah bagian **metadata Penyedia Identitas** di konsol **Pusat Identitas IAM**, Anda perlu melakukan salah satu hal berikut:
1. Unggah metadata **GoogleSAMP sebagai metadata** **IDP SAMP di konsol IAM Identity** Center.
1. ****Salin dan tempel URL **GoogleSSO ke kolom URL** **Masuk iDP Google****, URL Penerbit ke bidang URL penerbit** **iDP, dan unggah Sertifikat sebagai sertifikat iDP**. Google****
1. **Setelah memberikan Google metadata di bagian metadata **Penyedia Identitas** dari konsol **Pusat Identitas IAM, salin URL IAM Identity** **Assertion Consumer Service (ACS) dan URL penerbit IAM Identity** Center.** Anda harus menyediakan ini URLs di konsol Google Admin di langkah berikutnya.
1. Biarkan halaman terbuka dengan konsol IAM Identity Center dan kembali ke konsol Google Admin. Anda harus berada di halaman **detail Amazon Web Services - Penyedia Layanan**. Pilih **Lanjutkan**.
1. Pada halaman **detail penyedia layanan**, masukkan nilai **ACS URL** dan **Entity ID**. Anda menyalin nilai-nilai ini di langkah sebelumnya dan mereka dapat ditemukan di konsol Pusat Identitas IAM.
+ **Tempelkan URL **IAM Identity Center Assertion Consumer Service (ACS) ke kolom URL** ACS**
+ Rekatkan **URL penerbit Pusat Identitas IAM ke bidang** **ID Entitas**.
1. Pada halaman **detail penyedia layanan**, lengkapi kolom di bawah **ID Nama** sebagai berikut:
+ Untuk **format ID Nama**, pilih **EMAIL**
+ Untuk **ID Nama**, pilih **Informasi Dasar > Email utama**
1. Pilih **Lanjutkan**.
1. Pada halaman **Pemetaan Atribut**, di bawah **Atribut**, pilih **ADD MAPPING**, lalu konfigurasikan bidang ini di bawah atribut **GoogleDirektori**:
+ Untuk **atribut `https://aws.amazon.com/SAML/Attributes/RoleSessionName` app**, pilih bidang **Informasi Dasar, Email Utama** dari **Google Directoryatribut**.
+ Untuk **atribut `https://aws.amazon.com/SAML/Attributes/Role` app**, pilih **Google Directoryatribut** apa saja. Atribut Google Direktori bisa menjadi **Departemen**.
1. Pilih **Selesai**
1. Kembali ke konsol **Pusat Identitas IAM** dan pilih **Berikutnya**. Pada halaman **Tinjau dan Konfirmasi**, tinjau informasi dan kemudian masukkan **TERIMA** ke dalam ruang yang disediakan. Pilih **Ubah sumber identitas.**
Anda sekarang siap untuk mengaktifkan aplikasi Amazon Web Services Google Workspace sehingga pengguna Anda dapat disediakan ke IAM Identity Center.
## Langkah 3:Google Workspace: Aktifkan aplikasi
1. Kembali ke **Konsol Google Admin** dan AWS IAM Identity Center aplikasi Anda yang dapat ditemukan di bawah **Aplikasi** dan **Web dan Aplikasi Seluler**.
1. Di panel **akses Pengguna** di sebelah **Akses pengguna**, pilih panah bawah untuk memperluas **akses Pengguna** untuk menampilkan panel **status Layanan**.
1. Di panel **status Layanan**, pilih **ON untuk semua orang**, lalu pilih **SIMPAN**.
**catatan**
Untuk membantu mempertahankan prinsip hak istimewa yang paling rendah, kami sarankan setelah Anda menyelesaikan tutorial ini, Anda mengubah **status Layanan** menjadi **OFF untuk semua orang**. Hanya pengguna yang membutuhkan akses yang AWS harus mengaktifkan layanan. Anda dapat menggunakan Google Workspace grup atau unit organisasi untuk memberikan akses pengguna ke subset tertentu dari pengguna Anda.
## Langkah 4: Pusat Identitas IAM: Siapkan penyediaan otomatis Pusat Identitas IAM
1. Kembali ke konsol Pusat Identitas IAM.
1. **Pada halaman **Pengaturan**, cari kotak Informasi **penyediaan otomatis, lalu pilih Aktifkan**.** Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.
1. Dalam kotak dialog **Penyediaan otomatis masuk**, salin setiap nilai untuk opsi berikut. Pada Langkah 5 tutorial ini, Anda akan memasukkan nilai-nilai ini untuk mengonfigurasi penyediaan otomatis. Google Workspace
1. **Titik akhir SCIM** - Misalnya,
+ IPv4`https://scim.Region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ Tumpukan ganda `https://scim.Region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **Access token** - Pilih **Tampilkan token** untuk menyalin nilainya.
**Awas**
Ini adalah satu-satunya waktu di mana Anda dapat memperoleh titik akhir SCIM dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju.
1. Pilih **Tutup**.
Sekarang setelah Anda menyiapkan penyediaan di konsol Pusat Identitas IAM, pada langkah berikutnya Anda akan mengonfigurasi penyediaan otomatis. Google Workspace
## Langkah 5:Google Workspace: Konfigurasikan penyediaan otomatis
1. Kembali ke konsol Google Admin dan AWS IAM Identity Center aplikasi Anda yang dapat ditemukan di bawah **Aplikasi dan Aplikasi** **Web dan Seluler**. Di bagian **Auto provisioning**, pilih Configure **auto** provisioning.
1. Pada prosedur sebelumnya, Anda menyalin nilai **token Access** di konsol IAM Identity Center. Tempelkan nilai itu ke bidang **Access token** dan pilih **Continue**. Juga, dalam prosedur sebelumnya, Anda menyalin nilai **endpoint SCIM** di konsol IAM Identity Center. Tempelkan nilai itu ke bidang **URL Endpoint** dan pilih **Lanjutkan**.
1. Verifikasi bahwa semua atribut Pusat Identitas IAM wajib (yang ditandai dengan\$1) dipetakan ke Google Cloud Directory atribut. Jika tidak, pilih panah bawah dan petakan ke atribut yang sesuai. Pilih **Lanjutkan**.
1. Di bagian **cakupan penyediaan**, Anda dapat memilih grup dengan Google Workspace direktori Anda untuk menyediakan akses ke aplikasi Amazon Web Services. Lewati langkah ini dan pilih **Lanjutkan**.
1. Di bagian **Deprovisioning**, Anda dapat memilih cara merespons berbagai peristiwa yang menghapus akses dari pengguna. Untuk setiap situasi Anda dapat menentukan jumlah waktu sebelum deprovisioning mulai:
+ dalam waktu 24 jam
+ setelah satu hari
+ setelah tujuh hari
+ setelah 30 hari
Setiap situasi memiliki pengaturan waktu kapan harus menangguhkan akses akun dan kapan harus menghapus akun.
**Tip**
Selalu atur lebih banyak waktu sebelum menghapus akun pengguna daripada menangguhkan akun pengguna.
1. Pilih **Selesai**. Anda dikembalikan ke halaman aplikasi Amazon Web Services.
1. ****Di bagian **Penyediaan otomatis**, aktifkan sakelar sakelar untuk mengubahnya dari Tidak Aktif menjadi Aktif.****
**catatan**
Penggeser aktivasi dinonaktifkan jika IAM Identity Center tidak diaktifkan untuk pengguna. Pilih **Akses pengguna** dan nyalakan aplikasi untuk mengaktifkan penggeser.
1. Di kotak dialog konfirmasi, pilih **Aktifkan**.
1. **Untuk memverifikasi bahwa pengguna berhasil disinkronkan ke Pusat Identitas IAM, kembali ke konsol Pusat Identitas IAM dan pilih Pengguna.** Halaman **Pengguna** mencantumkan pengguna dari Google Workspace direktori Anda yang dibuat oleh SCIM. Jika pengguna belum terdaftar, mungkin penyediaan masih dalam proses. Penyediaan dapat memakan waktu hingga 24 jam, meskipun dalam banyak kasus selesai dalam beberapa menit. Pastikan untuk menyegarkan jendela browser setiap beberapa menit.
Pilih pengguna dan lihat detailnya. Informasi harus sesuai dengan informasi dalam Google Workspace direktori.
**Selamat\$1**
Anda telah berhasil mengatur koneksi SAMP antara Google Workspace dan AWS dan telah memverifikasi bahwa penyediaan otomatis berfungsi. Anda sekarang dapat menetapkan pengguna ini ke akun dan aplikasi di **IAM Identity Center**. Untuk tutorial ini, pada langkah berikutnya mari kita menunjuk salah satu pengguna sebagai administrator IAM Identity Center dengan memberikan mereka izin administratif ke akun manajemen.
## Melewati atribut untuk kontrol akses - *Opsional*
Anda dapat secara opsional menggunakan [Atribut untuk kontrol akses](attributesforaccesscontrol.md) fitur di IAM Identity Center untuk meneruskan `Attribute` elemen dengan `Name` atribut yang disetel ke. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tanda sesi dalam pernyataan SAML. Untuk informasi selengkapnya tentang tag sesi, lihat [Melewati tag sesi AWS STS di](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) *Panduan Pengguna IAM*.
Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen `AttributeValue` yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tag`CostCenter = blue`, gunakan atribut berikut.
```
blue
```
Jika Anda perlu menambahkan beberapa atribut, sertakan `Attribute` elemen terpisah untuk setiap tag.
## Tetapkan akses ke Akun AWS
Langkah-langkah berikut hanya diperlukan untuk memberikan akses ke Akun AWS saja. Langkah-langkah ini tidak diperlukan untuk memberikan akses ke AWS aplikasi.
**catatan**
Untuk menyelesaikan langkah ini, Anda memerlukan instance Organisasi dari IAM Identity Center. Untuk informasi selengkapnya, lihat [Organisasi dan instans akun Pusat Identitas IAM](identity-center-instances.md).
### Langkah 1: Pusat Identitas IAM: Berikan Google Workspace pengguna akses ke akun
1. Kembali ke konsol **Pusat Identitas IAM**. Di panel navigasi Pusat Identitas IAM, di bawah **izin Multi-akun**, pilih. **Akun AWS**
1. Pada **Akun AWS**halaman, **struktur Organisasi** menampilkan akar organisasi Anda dengan akun Anda di bawahnya dalam hierarki. Pilih kotak centang untuk akun manajemen Anda, lalu pilih **Tetapkan pengguna atau grup**.
1. Tampilan alur kerja **Tetapkan pengguna dan grup**. Ini terdiri dari tiga langkah:
1. Untuk **Langkah 1: Pilih pengguna dan grup** pilih pengguna yang akan melakukan fungsi pekerjaan administrator. Lalu pilih **Selanjutnya**.
1. Untuk **Langkah 2: Pilih set izin** pilih **Buat set izin** untuk membuka tab baru yang memandu Anda melalui tiga sub-langkah yang terlibat dalam membuat set izin.
1. Untuk **Langkah 1: Pilih jenis set izin** lengkapi yang berikut ini:
+ Dalam **Jenis set izin**, pilih **Set izin yang telah ditentukan sebelumnya**.
+ Dalam **Kebijakan untuk set izin yang telah ditentukan sebelumnya**, pilih **AdministratorAccess**.
Pilih **Berikutnya**.
1. Untuk **Langkah 2: Tentukan detail set izin**, pertahankan pengaturan default, dan pilih **Berikutnya**.
Pengaturan default membuat set izin bernama *AdministratorAccess* dengan durasi sesi diatur ke satu jam.
1. Untuk **Langkah 3: Tinjau dan buat**, verifikasi bahwa **jenis set Izin** menggunakan kebijakan AWS terkelola **AdministratorAccess**. Pilih **Buat**. Pada halaman **Set izin**, pemberitahuan muncul memberi tahu Anda bahwa set izin telah dibuat. Anda dapat menutup tab ini di browser web Anda sekarang.
1. Pada tab **Tetapkan pengguna dan grup** browser, Anda masih pada **Langkah 2: Pilih set izin** dari mana Anda memulai alur kerja set izin buat.
1. Di area **set Izin**, pilih tombol **Refresh**. Set *AdministratorAccess* izin yang Anda buat muncul dalam daftar. Pilih kotak centang untuk set izin tersebut dan kemudian pilih **Berikutnya**.
1. Untuk **Langkah 3: Tinjau dan kirimkan** ulasan pengguna dan set izin yang dipilih, lalu pilih **Kirim**.
Halaman diperbarui dengan pesan bahwa Anda Akun AWS sedang dikonfigurasi. Tunggu sampai proses selesai.
Anda dikembalikan ke Akun AWS halaman. Pesan notifikasi memberi tahu Anda bahwa pesan Anda Akun AWS telah direvisi dan set izin yang diperbarui diterapkan. Saat pengguna masuk, mereka akan memiliki opsi untuk memilih *AdministratorAccess* peran.
**catatan**
Sinkronisasi otomatis SCIM dari Google Workspace hanya mendukung penyediaan pengguna. Penyediaan grup otomatis tidak didukung saat ini. Anda tidak dapat membuat grup untuk Google Workspace pengguna Anda menggunakan Konsol Manajemen AWS. Setelah menyediakan pengguna, Anda dapat membuat grup menggunakan perintah [create-group AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) Identity Store atau IAM API. [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html)
### Langkah 2Google Workspace: Konfirmasikan akses Google Workspace pengguna ke AWS sumber daya
1. Masuk Google menggunakan akun pengguna uji. Untuk mempelajari cara menambahkan penggunaGoogle Workspace, lihat [Google Workspacedokumentasi](https://knowledge.workspace.google.com/kb/how-to-create-a-new-user-000007668).
1. Pilih ikon Google apps peluncur (wafel).
1. Gulir ke bagian bawah daftar aplikasi tempat Google Workspace aplikasi kustom Anda berada. Aplikasi **Amazon Web Services** ditampilkan.
1. Pilih aplikasi **Amazon Web Services**. Anda masuk ke portal AWS akses dan dapat melihat Akun AWS ikonnya. Perluas ikon itu untuk melihat daftar Akun AWS yang dapat diakses pengguna. Dalam tutorial ini Anda hanya bekerja dengan satu akun, jadi memperluas ikon hanya menampilkan satu akun.
1. Pilih akun untuk menampilkan set izin yang tersedia bagi pengguna. Dalam tutorial ini Anda membuat set **AdministratorAccess**izin.
1. Di samping set izin adalah tautan untuk jenis akses yang tersedia untuk set izin tersebut. Saat Anda membuat set izin, Anda menetapkan konsol manajemen dan akses terprogram diaktifkan, sehingga dua opsi tersebut ada. Pilih **Konsol manajemen** untuk membuka Konsol Manajemen AWS.
1. Pengguna masuk ke konsol.
## Langkah selanjutnya
Sekarang setelah Anda mengonfigurasi Google Workspace sebagai penyedia identitas dan pengguna yang disediakan di Pusat Identitas IAM, Anda dapat:
+ Gunakan perintah AWS CLI Identity Store [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) atau IAM API [CreateGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_CreateGroup.html)untuk membuat grup bagi pengguna Anda.
Grup berguna saat menetapkan akses ke Akun AWS dan aplikasi. Daripada menetapkan setiap pengguna satu per satu, Anda memberikan izin ke grup. Kemudian, saat Anda menambah atau menghapus pengguna dari grup, pengguna secara dinamis mendapatkan atau kehilangan akses ke akun dan aplikasi yang Anda tetapkan ke grup.
+ Mengkonfigurasi izin berdasarkan fungsi pekerjaan, lihat [Membuat set izin](howtocreatepermissionset.md).
Set izin menentukan tingkat akses yang dimiliki pengguna dan grup ke file Akun AWS. Set izin disimpan di Pusat Identitas IAM dan dapat disediakan untuk satu atau lebih. Akun AWS Anda dapat menetapkan lebih dari satu izin yang disetel ke pengguna.
**catatan**
Sebagai administrator Pusat Identitas IAM, Anda kadang-kadang perlu mengganti sertifikat iDP yang lebih lama dengan yang lebih baru. Misalnya, Anda mungkin perlu mengganti sertifikat IDP saat tanggal kedaluwarsa sertifikat mendekati. Proses penggantian sertifikat yang lebih lama dengan yang lebih baru disebut sebagai rotasi sertifikat. Pastikan untuk meninjau cara [mengelola sertifikat SAFL](managesamlcerts.md) untukGoogle Workspace.
## Pemecahan masalah
Untuk pemecahan masalah SCIM dan SAFL umum denganGoogle Workspace, lihat bagian berikut:
+ [Pengguna tertentu gagal melakukan sinkronisasi ke Pusat Identitas IAM dari penyedia SCIM eksternal](troubleshooting.md#issue2)
+ [Masalah mengenai isi pernyataan SAMP yang dibuat oleh IAM Identity Center](troubleshooting.md#issue1)
+ [Gandakan kesalahan pengguna atau grup saat menyediakan pengguna atau grup dengan penyedia identitas eksternal](troubleshooting.md#duplicate-user-group-idp)
+ [Untuk Google Workspace pemecahan masalah, lihat Google Workspace dokumentasi.](https://support.google.com/a/topic/7579248?sjid=11091727091254312767-NA)
Sumber daya berikut dapat membantu Anda memecahkan masalah saat Anda bekerja dengan: AWS
+ [AWS re:Post](https://repost.aws/)- Temukan FAQs dan tautkan ke sumber daya lain untuk membantu Anda memecahkan masalah.
+ [AWS Dukungan](https://aws.amazon.com/premiumsupport/)- Dapatkan dukungan teknis
# Menggunakan IAM Identity Center untuk terhubung dengan Platform JumpCloud Direktori
IAM Identity Center mendukung penyediaan otomatis (sinkronisasi) informasi pengguna dari JumpCloud Directory Platform ke IAM Identity Center. Penyediaan ini menggunakan protokol [Security Assertion Markup Language (](scim-profile-saml.md)SAMP) 2.0. Untuk informasi selengkapnya, lihat [Menggunakan federasi identitas SAMP dan SCIM dengan penyedia identitas eksternal](other-idps.md).
Anda mengonfigurasi koneksi ini JumpCloud menggunakan titik akhir dan token akses IAM Identity Center SCIM Anda. Saat mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna JumpCloud ke atribut bernama di Pusat Identitas IAM. Hal ini menyebabkan atribut yang diharapkan cocok antara IAM Identity Center danJumpCloud.
Panduan ini didasarkan pada pada JumpCloud Juni 2021. Langkah-langkah untuk versi yang lebih baru dapat bervariasi. Panduan ini berisi beberapa catatan mengenai konfigurasi otentikasi pengguna melalui SAMP.
Langkah-langkah berikut memandu Anda melalui cara mengaktifkan penyediaan otomatis pengguna dan grup dari JumpCloud Pusat Identitas IAM menggunakan protokol SCIM.
**catatan**
Sebelum Anda mulai menerapkan SCIM, kami sarankan Anda terlebih dahulu meninjau. [Pertimbangan untuk menggunakan penyediaan otomatis](provision-automatically.md#auto-provisioning-considerations) Kemudian lanjutkan meninjau pertimbangan tambahan di bagian selanjutnya.
**Topics**
+ [Prasyarat](#jumpcloud-prereqs)
+ [Pertimbangan SCIM](#jumpcloud-scim)
+ [Langkah 1: Aktifkan penyediaan di IAM Identity Center](#jumpcloud-step1)
+ [Langkah 2: Konfigurasikan penyediaan di JumpCloud](#jumpcloud-step2)
+ [(Opsional) Langkah 3: Konfigurasikan atribut pengguna JumpCloud untuk kontrol akses di Pusat Identitas IAM](#jumpcloud-step3)
+ [(Opsional) Melewati atribut untuk kontrol akses](#jumpcloud-passing-abac)
## Prasyarat
Anda akan memerlukan yang berikut ini sebelum Anda dapat memulai:
+ JumpCloudberlangganan atau uji coba gratis. Untuk mendaftar untuk kunjungan uji coba gratis [https://console.jumpcloud.com/signup](https://console.jumpcloud.com/signup).
+ Akun yang diaktifkan Pusat Identitas IAM ([gratis](https://aws.amazon.com/single-sign-on/)). Untuk informasi selengkapnya, lihat [Mengaktifkan Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Sambungan SAMP dari JumpCloud akun Anda ke Pusat Identitas IAM, seperti yang dijelaskan dalam [JumpClouddokumentasi untuk Pusat Identitas IAM](https://support.jumpcloud.com/support/s/article/Single-Sign-On-SSO-With-AWS-SSO).
+ Jika Anda mereplikasi Pusat Identitas IAM ke Wilayah tambahan, Anda harus memperbarui konfigurasi penyedia identitas Anda untuk mengaktifkan akses ke aplikasi AWS terkelola dan Akun AWS dari Wilayah tersebut. Untuk detail selengkapnya, lihat [Langkah 3: Perbarui pengaturan iDP eksternal](replicate-to-additional-region.md#update-external-idp-setup). Lihat JumpCloud dokumentasi untuk detail tambahan.
+ Kaitkan konektor Pusat Identitas IAM dengan grup yang ingin Anda izinkan akses ke AWS akun.
## Pertimbangan SCIM
Berikut ini adalah pertimbangan saat menggunakan JumpCloud federasi untuk IAM Identity Center.
+ Hanya grup yang terkait dengan konektor AWS Single Sign-On yang JumpCloud akan disinkronkan dengan SCIM.
+ Hanya satu atribut nomor telepon yang dapat disinkronkan dan defaultnya adalah “telepon kerja.”
+ Pengguna dalam JumpCloud direktori harus memiliki nama depan dan belakang yang dikonfigurasi untuk disinkronkan ke IAM Identity Center dengan SCIM.
+ Atribut masih disinkronkan jika pengguna dinonaktifkan di IAM Identity Center tetapi masih aktif di. JumpCloud
+ Anda dapat memilih untuk mengaktifkan sinkronisasi SCIM hanya untuk informasi pengguna dengan menghapus centang pada “Aktifkan pengelolaan Grup Pengguna dan keanggotaan Grup” di konektor.
## Langkah 1: Aktifkan penyediaan di IAM Identity Center
Pada langkah pertama ini, Anda menggunakan konsol IAM Identity Center untuk mengaktifkan penyediaan otomatis.
**Untuk mengaktifkan penyediaan otomatis di Pusat Identitas IAM**
1. Setelah Anda menyelesaikan prasyarat, buka konsol Pusat Identitas [IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan** di panel navigasi kiri.
1. **Pada halaman **Pengaturan**, cari kotak Informasi **penyediaan otomatis, lalu pilih Aktifkan**.** Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.
1. Di kotak dialog **Inbound automatic provisioning**, salin endpoint SCIM dan token akses. Anda harus menempelkannya nanti saat mengonfigurasi penyediaan di iDP Anda.
1. **Titik akhir SCIM** - Misalnya, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Access token** - Pilih **Tampilkan token** untuk menyalin nilainya.
**Awas**
Ini adalah satu-satunya waktu di mana Anda dapat memperoleh titik akhir SCIM dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju. Anda akan memasukkan nilai-nilai ini untuk mengkonfigurasi penyediaan otomatis di IDP Anda nanti dalam tutorial ini.
1. Pilih **Tutup**.
Sekarang setelah Anda menyiapkan penyediaan di konsol Pusat Identitas IAM, Anda harus menyelesaikan tugas yang tersisa menggunakan konektor JumpCloud IAM Identity Center. Langkah-langkah ini dijelaskan dalam prosedur berikut.
## Langkah 2: Konfigurasikan penyediaan di JumpCloud
Gunakan prosedur berikut di konektor JumpCloud IAM Identity Center untuk mengaktifkan penyediaan dengan IAM Identity Center. Prosedur ini mengasumsikan bahwa Anda telah menambahkan konektor JumpCloud IAM Identity Center ke portal dan grup JumpCloud admin Anda. Jika Anda belum melakukannya, lihat[Prasyarat](#jumpcloud-prereqs), dan kemudian selesaikan prosedur ini untuk mengonfigurasi penyediaan SCIM.
**Untuk mengonfigurasi penyediaan di JumpCloud**
1. Buka konektor JumpCloud IAM Identity Center yang Anda instal sebagai bagian dari konfigurasi SAMP untuk JumpCloud (**User Authentication** > **IAM Identity** Center). Lihat [Prasyarat](#jumpcloud-prereqs).
1. Pilih konektor **IAM Identity Center**, lalu pilih tab ketiga **Manajemen Identitas**.
1. Centang kotak untuk **Aktifkan pengelolaan Grup Pengguna dan keanggotaan Grup dalam aplikasi ini** jika Anda ingin grup disinkronkan SCIM.
1. Klik **Konfigurasi**.
1. Pada prosedur sebelumnya, Anda menyalin nilai **endpoint SCIM di IAM** Identity Center. Tempelkan nilai itu ke bidang **URL Dasar** di konektor JumpCloud IAM Identity Center.
1. Dari prosedur sebelumnya Anda menyalin nilai **token Access** di IAM Identity Center. Tempelkan nilai itu ke bidang **Token Key** di konektor JumpCloud IAM Identity Center.
1. Klik **Aktifkan** untuk menerapkan konfigurasi.
1. Pastikan Anda memiliki indikator hijau di sebelah **Single Sign-On** yang diaktifkan.
1. Pindah ke tab keempat **Grup Pengguna** dan periksa grup yang ingin Anda sediakan dengan SCIM.
1. Klik **Simpan** di bagian bawah setelah Anda selesai.
1. **Untuk memverifikasi bahwa pengguna telah berhasil disinkronkan ke Pusat Identitas IAM, kembali ke konsol Pusat Identitas IAM dan pilih Pengguna.** Pengguna yang disinkronkan JumpCloud muncul di halaman **Pengguna**. Pengguna ini sekarang dapat ditugaskan ke akun dalam IAM Identity Center.
## (Opsional) Langkah 3: Konfigurasikan atribut pengguna JumpCloud untuk kontrol akses di Pusat Identitas IAM
Ini adalah prosedur opsional jika JumpCloud Anda memilih untuk mengkonfigurasi atribut untuk IAM Identity Center untuk mengelola akses ke AWS sumber daya Anda. Atribut yang Anda tentukan JumpCloud diteruskan dalam pernyataan SAMP ke IAM Identity Center. Anda kemudian membuat set izin di Pusat Identitas IAM untuk mengelola akses berdasarkan atribut yang Anda lewati. JumpCloud
Sebelum Anda memulai prosedur ini, Anda harus terlebih dahulu mengaktifkan fitur [Attributes for access control](https://docs.aws.amazon.com/singlesignon/latest/userguide/attributesforaccesscontrol.html). Untuk informasi selengkapnya tentang cara melakukannya, lihat [Mengaktifkan dan mengonfigurasi atribut untuk kontrol akses](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html).
****Untuk mengonfigurasi atribut pengguna JumpCloud untuk kontrol akses di Pusat Identitas IAM****
1. Buka konektor JumpCloud IAM Identity Center yang Anda instal sebagai bagian dari konfigurasi SAMP untuk JumpCloud (**User Authentication** > **IAM Identity** Center).
1. Pilih konektor **IAM Identity Center**. Kemudian, pilih tab kedua **IAM Identity Center**.
1. Di bagian bawah tab ini Anda memiliki **Pemetaan Atribut Pengguna**, pilih **Tambahkan atribut baru**, dan kemudian lakukan hal berikut: Anda harus melakukan langkah-langkah ini untuk setiap atribut yang akan Anda tambahkan untuk digunakan di Pusat Identitas IAM untuk kontrol akses.
1. Di bidang **Service Provide Attribute Name**, masukkan `https://aws.amazon.com/SAML/Attributes/AccessControl: AttributeName.` Ganti ` AttributeName ` dengan nama atribut yang Anda harapkan di Pusat Identitas IAM. Misalnya, ` https://aws.amazon.com/SAML/Attributes/AccessControl: Email `.
1. Di bidang **Nama JumpCloud Atribut**, pilih atribut pengguna dari JumpCloud direktori Anda. Misalnya, **Email (Kerja)**.
1. Pilih **Simpan**.
## (Opsional) Melewati atribut untuk kontrol akses
Anda dapat menggunakan [Atribut untuk kontrol akses](attributesforaccesscontrol.md) fitur ini secara opsional di Pusat Identitas IAM untuk meneruskan `Attribute` elemen dengan `Name` atribut yang disetel ke. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tanda sesi dalam pernyataan SAML. Untuk informasi selengkapnya tentang tag sesi, lihat [Melewati tag sesi AWS STS di](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) *Panduan Pengguna IAM*.
Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen `AttributeValue` yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tag`CostCenter = blue`, gunakan atribut berikut.
```
blue
```
Jika Anda perlu menambahkan beberapa atribut, sertakan `Attribute` elemen terpisah untuk setiap tag.
# Konfigurasikan SAFL dan SCIM dengan Microsoft Entra ID dan IAM Identity Center
AWS IAM Identity Center mendukung integrasi dengan [Security Assertion Markup Language (SAMP) 2.0](scim-profile-saml.md) serta [penyediaan otomatis](provision-automatically.md) (sinkronisasi) informasi pengguna dan grup dari Microsoft Entra ID (sebelumnya dikenal sebagai Azure Active Directory atau) ke IAM Identity Center menggunakan protokol [System](scim-profile-saml.md#scim-profile) for Cross-domain Identity Management (SCIMAzure AD) 2.0. Untuk informasi selengkapnya, lihat [Menggunakan federasi identitas SAMP dan SCIM dengan penyedia identitas eksternal](other-idps.md).
**Objektif**
Dalam tutorial ini, Anda akan menyiapkan lab uji dan mengkonfigurasi koneksi SAMP dan penyediaan SCIM antara Microsoft Entra ID dan IAM Identity Center. Selama langkah persiapan awal, Anda akan membuat pengguna uji (Nikki Wolf) di keduanya Microsoft Entra ID dan IAM Identity Center yang akan Anda gunakan untuk menguji koneksi SAMP di kedua arah. Kemudian, sebagai bagian dari langkah-langkah SCIM, Anda akan membuat pengguna uji yang berbeda (Richard Roe) untuk memverifikasi bahwa atribut baru disinkronkan ke IAM Identity Center seperti yang diharapkan. Microsoft Entra ID
## Prasyarat
Sebelum Anda dapat memulai dengan tutorial ini, Anda harus terlebih dahulu mengatur yang berikut:
+ Microsoft Entra IDPenyewa. Untuk informasi selengkapnya, lihat [Mulai Cepat: Mengatur penyewa dalam Microsoft dokumentasi](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-create-new-tenant).
+ Akun AWS IAM Identity Center yang diaktifkan. Untuk informasi selengkapnya, lihat [Mengaktifkan Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html) di *Panduan AWS IAM Identity Center Pengguna*.
## Pertimbangan-pertimbangan
Berikut ini adalah pertimbangan penting tentang hal Microsoft Entra ID itu dapat memengaruhi cara Anda berencana untuk menerapkan [penyediaan otomatis](provision-automatically.md) dengan IAM Identity Center di lingkungan produksi Anda menggunakan protokol SCIM v2.
**Penyediaan Otomatis**
Sebelum Anda mulai menerapkan SCIM, kami sarankan Anda meninjau terlebih dahulu. [Pertimbangan untuk menggunakan penyediaan otomatis](provision-automatically.md#auto-provisioning-considerations)
**Atribut untuk kontrol akses**
Atribut untuk kontrol akses digunakan dalam kebijakan izin yang menentukan siapa di sumber identitas Anda yang dapat mengakses AWS sumber daya Anda. Jika atribut dihapus dari pengguna diMicrosoft Entra ID, atribut itu tidak akan dihapus dari pengguna terkait di Pusat Identitas IAM. Ini adalah batasan yang diketahui dalamMicrosoft Entra ID. Jika atribut diubah ke nilai yang berbeda (tidak kosong) pada pengguna, perubahan itu akan disinkronkan ke Pusat Identitas IAM.
**Grup Bersarang**
Layanan penyediaan Microsoft Entra ID pengguna tidak dapat membaca atau menyediakan pengguna dalam grup bersarang. Hanya pengguna yang merupakan anggota langsung dari grup yang ditetapkan secara eksplisit yang dapat dibaca dan disediakan. Microsoft Entra IDtidak secara rekursif membongkar keanggotaan grup dari pengguna atau grup yang ditetapkan secara tidak langsung (pengguna atau grup yang merupakan anggota grup yang ditugaskan secara langsung). Untuk informasi selengkapnya, lihat [Pelingkupan berbasis tugas dalam dokumentasi.](https://learn.microsoft.com/en-us/azure/active-directory/app-provisioning/how-provisioning-works#assignment-based-scoping) Microsoft Atau, Anda dapat menggunakan [sinkronisasi AD yang dapat dikonfigurasi IAM Identity Center](https://aws.amazon.com/blogs//security/managing-identity-source-transition-for-aws-iam-identity-center/) untuk mengintegrasikan Active Directory grup dengan IAM Identity Center.
**Grup Dinamis**
Layanan penyediaan Microsoft Entra ID pengguna dapat membaca dan menyediakan pengguna dalam grup [dinamis](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-create-rule). Lihat di bawah untuk contoh yang menunjukkan struktur pengguna dan grup saat menggunakan grup dinamis dan bagaimana mereka ditampilkan di Pusat Identitas IAM. Pengguna dan grup ini disediakan dari Microsoft Entra ID Pusat Identitas IAM melalui SCIM
Misalnya, jika Microsoft Entra ID struktur untuk grup dinamis adalah sebagai berikut:
1. Grup A dengan anggota ua1, ua2
1. Grup B dengan anggota ub1
1. Grup C dengan anggota uc1
1. Grup K dengan aturan untuk memasukkan anggota Grup A, B, C
1. Grup L dengan aturan untuk memasukkan anggota Grup B dan C
Setelah informasi pengguna dan grup disediakan dari Microsoft Entra ID Pusat Identitas IAM melalui SCIM, strukturnya adalah sebagai berikut:
1. Grup A dengan anggota ua1, ua2
1. Grup B dengan anggota ub1
1. Grup C dengan anggota uc1
1. Grup K dengan anggota ua1, ua2, ub1, uc1
1. Grup L dengan anggota ub1, uc1
Saat Anda mengonfigurasi penyediaan otomatis menggunakan grup dinamis, ingatlah pertimbangan berikut.
+ Grup dinamis dapat mencakup grup bersarang. Namun, layanan Microsoft Entra ID penyediaan tidak meratakan grup bersarang. Misalnya, jika Anda memiliki Microsoft Entra ID struktur berikut untuk grup dinamis:
+ Grup A adalah induk dari kelompok B.
+ Grup A memiliki ua1 sebagai anggota.
+ Grup B memiliki ub1 sebagai anggota.
Grup dinamis yang mencakup Grup A hanya akan mencakup anggota langsung grup A (yaitu, ua1). Ini tidak akan secara rekursif mencakup anggota grup B.
+ Grup dinamis tidak dapat berisi grup dinamis lainnya. Untuk informasi selengkapnya, lihat [Pratinjau batasan](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-dynamic-rule-member-of#preview-limitations) dalam Microsoft dokumentasi.
## Langkah 1: Siapkan penyewa Microsoft Anda
Pada langkah ini, Anda akan menelusuri cara menginstal dan mengkonfigurasi aplikasi AWS IAM Identity Center perusahaan Anda dan menetapkan akses ke pengguna Microsoft Entra ID uji yang baru dibuat.
------
#### [ Step 1.1 > ]
**Langkah 1.1: Siapkan aplikasi AWS IAM Identity Center perusahaan di Microsoft Entra ID**
Dalam prosedur ini, Anda menginstal aplikasi AWS IAM Identity Center perusahaan diMicrosoft Entra ID. Anda akan memerlukan aplikasi ini nanti untuk mengonfigurasi koneksi SAMP Anda. AWS
1. Masuk ke [pusat admin Microsoft Entra](https://entra.microsoft.com/) setidaknya sebagai Administrator Aplikasi Cloud.
1. Arahkan ke **Identity > Applications > Enterprise Applications**, lalu pilih **New application**.
1. Pada halaman **Jelajahi Galeri Microsoft Entra**, masukkan ****AWS IAM Identity Center****di kotak pencarian.
1. Pilih **AWS IAM Identity Center**dari hasilnya.
1. Pilih **Buat**.
------
#### [ Step 1.2 > ]
**Langkah 1.2: Buat pengguna uji di Microsoft Entra ID**
Nikki Wolf adalah nama pengguna Microsoft Entra ID uji Anda yang akan Anda buat dalam prosedur ini.
1. Di konsol [pusat admin Microsoft Entra](https://entra.microsoft.com/), navigasikan ke **Identity > Users > All users**.
1. Pilih **Pengguna baru**, lalu pilih **Buat pengguna baru** di bagian atas layar.
1. Di **Nama utama pengguna**, masukkan ****NikkiWolf****, lalu pilih domain dan ekstensi pilihan Anda. Misalnya, *NikkiWolf*@*example.org*.
1. Di **Nama tampilan**, masukkan ****NikkiWolf****.
1. Di **Kata Sandi**, masukkan kata sandi yang kuat atau pilih ikon mata untuk menampilkan kata sandi yang dibuat secara otomatis, dan salin atau tuliskan nilai yang ditampilkan.
1. Pilih **Properti**, di **Nama depan**, masukkan ****Nikki****. Di **Nama belakang**, masukkan ****Wolf****.
1. Pilih **Review \$1 create**, lalu pilih **Create**.
------
#### [ Step 1.3 ]
**Langkah 1.3: Uji pengalaman Nikki sebelum memberikan izinnya AWS IAM Identity Center**
Dalam prosedur ini, Anda akan memverifikasi apa yang Nikki berhasil masuk ke [portal Microsoft My Account-nya](https://myaccount.microsoft.com/).
1. Di browser yang sama, buka tab baru, buka halaman masuk [portal Akun Saya](https://myaccount.microsoft.com/), dan masukkan alamat email lengkap Nikki. Misalnya, *NikkiWolf*@*example.org*.
1. Saat diminta, masukkan kata sandi Nikki, lalu pilih **Masuk**. Jika ini adalah kata sandi yang dibuat secara otomatis, Anda akan diminta untuk mengubah kata sandi.
1. Pada halaman **Action Required**, pilih **Tanya nanti** untuk melewati prompt untuk metode keamanan tambahan.
1. Pada halaman **Akun saya**, di panel navigasi kiri, pilih **Aplikasi Saya**. Perhatikan bahwa selain **Add-in**, tidak ada aplikasi yang ditampilkan saat ini. Anda akan menambahkan **AWS IAM Identity Center**aplikasi yang akan muncul di sini di langkah selanjutnya.
------
#### [ Step 1.4 ]
**Langkah 1.4: Tetapkan izin ke Nikki di Microsoft Entra ID**
Sekarang setelah Anda memverifikasi bahwa Nikki berhasil mengakses **portal Akun saya**, gunakan prosedur ini untuk menetapkan penggunanya ke aplikasi. **AWS IAM Identity Center**
1. Di konsol [pusat admin Microsoft Entra](https://entra.microsoft.com/), navigasikan ke **Identity > Applications > Enterprise Applications** dan kemudian pilih **AWS IAM Identity Center**dari daftar.
1. Di sebelah kiri, pilih **Pengguna dan grup**.
1. Pilih **Tambahkan pengguna/grup**. Anda dapat mengabaikan pesan yang menyatakan bahwa grup tidak tersedia untuk penetapan. Tutorial ini tidak menggunakan grup untuk tugas.
1. Pada halaman **Tambahkan Penugasan**, di bawah **Pengguna**, pilih **Tidak Ada yang Dipilih**.
1. Pilih **NikkiWolf**, lalu pilih **Pilih**.
1. Pada halaman **Add Assignment**, pilih **Assign**. NikkiWolf sekarang muncul di daftar pengguna yang ditugaskan ke **AWS IAM Identity Center**aplikasi.
------
## Langkah 2: Siapkan AWS akun Anda
Pada langkah ini, Anda akan menelusuri cara menggunakan **IAM Identity Center**untuk mengonfigurasi izin akses (melalui set izin), membuat pengguna Nikki Wolf yang sesuai secara manual, dan memberinya izin yang diperlukan untuk mengelola sumber daya. AWS
------
#### [ Step 2.1 > ]
**Langkah 2.1: Buat RegionalAdmin izin yang ditetapkan IAM Identity Center**
Set izin ini akan digunakan untuk memberikan Nikki izin AWS akun yang diperlukan yang diperlukan untuk mengelola Wilayah dari halaman **Akun** di dalam. Konsol Manajemen AWS Semua izin lain untuk melihat atau mengelola informasi lain untuk akun Nikki ditolak secara default.
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Di bawah **Izin multi-akun**, pilih Set **izin**.
1. Pilih **Buat set izin**.
1. Pada halaman **Pilih jenis set izin**, pilih **Set izin khusus**, lalu pilih **Berikutnya**.
1. Pilih **Kebijakan sebaris** untuk memperluasnya, lalu buat kebijakan untuk set izin menggunakan langkah-langkah berikut:
1. Pilih **Tambahkan pernyataan baru** untuk membuat pernyataan kebijakan.
1. Di bawah **Edit pernyataan**, pilih **Akun** dari daftar, lalu pilih kotak centang berikut.
+ **`ListRegions`**
+ **`GetRegionOptStatus`**
+ **`DisableRegion`**
+ **`EnableRegion`**
1. Di samping **Tambahkan sumber daya**, pilih **Tambah**.
1. Pada halaman **Tambahkan sumber daya**, di bawah **Jenis sumber daya**, pilih **Semua Sumber Daya**, lalu pilih **Tambah sumber daya**. Verifikasi bahwa kebijakan Anda terlihat seperti berikut:
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"account:ListRegions",
"account:DisableRegion",
"account:EnableRegion",
"account:GetRegionOptStatus"
],
"Resource": [
"*"
]
}
]
}
```
1. Pilih **Berikutnya**.
1. Pada halaman **Tentukan detail set izin**, di bawah **Nama set izin ****RegionalAdmin******, masukkan, lalu pilih **Berikutnya**.
1. Pada halaman **Tinjau dan buat**, pilih **Buat**. Anda akan melihat **RegionalAdmin**ditampilkan dalam daftar set izin.
------
#### [ Step 2.2 > ]
**Langkah 2.2: Buat NikkiWolf pengguna yang sesuai di IAM Identity Center**
Karena protokol SAMP tidak menyediakan mekanisme untuk menanyakan iDP Microsoft Entra ID () dan secara otomatis membuat pengguna di sini di IAM Identity Center, gunakan prosedur berikut untuk membuat pengguna secara manual di IAM Identity Center yang mencerminkan atribut inti dari pengguna Nikki Wolfs di. Microsoft Entra ID
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengguna**, pilih **Tambahkan pengguna**, lalu berikan informasi berikut:
1. Untuk **Nama Pengguna** dan **Alamat Email** — Masukkan ****NikkiWolf**@** yang sama dengan *yourcompanydomain.extension* yang Anda gunakan saat membuat Microsoft Entra ID pengguna Anda. Misalnya, *NikkiWolf*@*example.org*.
1. **Konfirmasi alamat email** — Masukkan kembali alamat email dari langkah sebelumnya
1. **Nama depan** — Enter ****Nikki****
1. **Nama belakang** — Enter ****Wolf****
1. **Nama tampilan** - Enter ****Nikki Wolf****
1. Pilih **Berikutnya** dua kali, lalu pilih **Tambah pengguna**.
1. Pilih **Tutup**.
------
#### [ Step 2.3 ]
**Langkah 2.3: Tetapkan Nikki ke RegionalAdmin izin yang ditetapkan IAM Identity Center**
Di sini Anda menemukan tempat Nikki akan mengelola Wilayah, dan kemudian menetapkan izin yang diperlukan agar dia berhasil mengakses portal akses. Akun AWS AWS
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Di bawah **Izin multi-akun, pilih**. **Akun AWS**
1. Pilih kotak centang di sebelah nama akun (misalnya,*Sandbox*) tempat Anda ingin memberikan Nikki akses untuk mengelola Wilayah, lalu pilih **Tetapkan pengguna** dan grup.
1. **Pada halaman **Tetapkan pengguna dan grup**, pilih tab **Pengguna**, temukan dan centang kotak di sebelah Nikki, lalu pilih Berikutnya.**
1.
**Example**
1. Pada halaman **Tinjau dan kirim**, tinjau pilihan Anda, lalu pilih **Kirim**.
------
## Langkah 3: Konfigurasikan dan uji koneksi SAMP Anda
Pada langkah ini, Anda mengonfigurasi koneksi SAMP Anda menggunakan aplikasi AWS IAM Identity Center perusahaan Microsoft Entra ID bersama dengan pengaturan iDP eksternal di IAM Identity Center.
------
#### [ Step 3.1 > ]
**Langkah 3.1: Kumpulkan metadata penyedia layanan yang diperlukan dari IAM Identity Center**
Pada langkah ini, Anda akan meluncurkan panduan **Ubah sumber identitas** dari dalam konsol Pusat Identitas IAM dan mengambil file metadata dan URL masuk AWS tertentu yang harus Anda masukkan saat mengonfigurasi koneksi di langkah berikutnya. Microsoft Entra ID
1. Di [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, lalu pilih **Tindakan > Ubah sumber identitas**.
1. Pada halaman **Pilih sumber identitas**, pilih **Penyedia identitas eksternal**, lalu pilih **Berikutnya**.
1. **Pada halaman **Konfigurasi penyedia identitas eksternal**, di bawah **metadata penyedia layanan**, pilih **Default IPv4** atau Dual-stack.** Anda dapat mengunduh file metadata penyedia layanan setelah Anda menyelesaikan perubahan sumber identitas.
1. Di bagian yang sama, cari nilai **URL masuk portal AWS akses** dan salin. Anda harus memasukkan nilai ini saat diminta pada langkah berikutnya.
1. Biarkan halaman ini terbuka, dan lanjutkan ke langkah berikutnya (**`Step 3.2`**) untuk mengonfigurasi aplikasi AWS IAM Identity Center perusahaanMicrosoft Entra ID. Kemudian, Anda akan kembali ke halaman ini untuk menyelesaikan prosesnya.
------
#### [ Step 3.2 > ]
**Langkah 3.2: Konfigurasikan aplikasi AWS IAM Identity Center perusahaan di Microsoft Entra ID**
Prosedur ini menetapkan setengah dari koneksi SAMP di sisi Microsoft menggunakan nilai dari file metadata dan URL Sign-On yang Anda peroleh pada langkah terakhir.
1. Di konsol [pusat admin Microsoft Entra](https://entra.microsoft.com/), navigasikan ke **Identity > Applications > Enterprise Applications** dan kemudian pilih **AWS IAM Identity Center**.
1. Di sebelah kiri, pilih **2. Siapkan Single sign-on**.
1. **Pada halaman **Set up Single Sign-On dengan SAMP, pilih** SAMP.** **Kemudian pilih **Unggah file metadata**, pilih ikon folder, pilih file metadata penyedia layanan yang Anda unduh di langkah sebelumnya, lalu pilih Tambah.**
1. Pada halaman **Konfigurasi SAMP Dasar**, verifikasi bahwa nilai **Identifier** dan **URL Balas (Assertion Consumer Service URL)** sekarang mengarah ke titik akhir. AWS
+ **Identifier** - Ini adalah **URL Penerbit** dari IAM Identity Center. Nilai yang sama berlaku terlepas dari apakah Anda menggunakan titik akhir IPv4 -only atau dual-stack.
+ **URL Balas (URL Layanan Konsumen Pernyataan)** - Nilai di sini mencakup titik akhir IPv4 -only dan dual-stack dari semua Wilayah yang diaktifkan di Pusat Identitas IAM Anda. Anda dapat menggunakan URL ACS Wilayah utama sebagai URL default sehingga pengguna diarahkan ke Wilayah utama saat mereka meluncurkan aplikasi Amazon Web Services dariMicrosoft Entra ID. Untuk informasi lebih lanjut tentang ACS URLs, lihat[Titik akhir ACS di primer dan tambahan Wilayah AWS](multi-region-workforce-access.md#acs-endpoints).
+ (Opsional) Jika Anda mereplikasi Pusat Identitas IAM ke Wilayah tambahan, Anda juga dapat membuat aplikasi bookmark Microsoft Entra ID untuk portal AWS akses di setiap Wilayah tambahan. Ini memungkinkan pengguna Anda untuk mengakses portal AWS akses di Wilayah tambahan dariMicrosoft Entra ID. Pastikan untuk memberikan izin kepada pengguna Anda untuk mengakses aplikasi bookmark di. Microsoft Entra ID Lihat [Microsoft Entra IDdokumentasi](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) untuk lebih jelasnya. Jika Anda berencana untuk mereplikasi Pusat Identitas IAM ke Wilayah tambahan nanti, kunjungi [Microsoft Entra IDkonfigurasi untuk akses ke Wilayah tambahan](#gs-microsoft-entra-multi-region) panduan cara mengaktifkan akses ke Wilayah tambahan setelah penyiapan awal ini.
1. Di bawah **URL Masuk (Opsional)**, tempel nilai **URL masuk portal AWS akses** yang Anda salin di langkah sebelumnya (**`Step 3.1`**), pilih **Simpan**, lalu pilih **X** untuk menutup jendela.
1. Jika diminta untuk menguji sistem masuk tunggal AWS IAM Identity Center, pilih **Tidak, saya akan menguji nanti**. Anda akan melakukan verifikasi ini di langkah selanjutnya.
1. Pada halaman **Set up Single Sign-On with SAMP**, di bagian **SAMP Certificates**, di sebelah **Federation Metadata XHTML**, pilih **Download** untuk menyimpan file metadata ke sistem Anda. Anda harus mengunggah file ini saat diminta pada langkah berikutnya.
------
#### [ Step 3.3 > ]
**Langkah 3.3: Konfigurasikan iDP Microsoft Entra ID eksternal di AWS IAM Identity Center**
Di sini Anda akan kembali ke wizard **Ubah sumber identitas** di konsol Pusat Identitas IAM untuk menyelesaikan paruh kedua koneksi SAMP di. AWS
1. Kembali ke sesi browser yang Anda biarkan terbuka **`Step 3.1`**di konsol Pusat Identitas IAM.
1. **Pada halaman **Konfigurasi penyedia identitas eksternal**, di bagian **metadata penyedia identitas**, di bawah **metadata IDP SAMP**, pilih tombol Pilih file, dan **pilih file** metadata penyedia identitas yang Anda unduh dari Microsoft Entra ID langkah sebelumnya, lalu pilih Buka.**
1. Pilih **Berikutnya**.
1. Setelah Anda membaca disclaimer dan siap untuk melanjutkan, masukkan. ****ACCEPT****
1. Pilih **Ubah sumber identitas** untuk menerapkan perubahan Anda.
------
#### [ Step 3.4 > ]
**Langkah 3.4: Uji bahwa Nikki diarahkan ke portal akses AWS **
Dalam prosedur ini, Anda akan menguji koneksi SAFL dengan masuk ke **portal Akun Saya** Microsoft dengan kredensi Nikki. Setelah diautentikasi, Anda akan memilih AWS IAM Identity Center aplikasi yang akan mengarahkan Nikki ke portal akses. AWS
1. Buka halaman masuk [portal Akun Saya](https://myaccount.microsoft.com/), dan masukkan alamat email lengkap Nikki. Misalnya, ***NikkiWolf**@**example.org*.
1. Saat diminta, masukkan kata sandi Nikki, lalu pilih **Masuk**.
1. Pada halaman **Akun saya**, di panel navigasi kiri, pilih **Aplikasi Saya**.
1. Pada halaman **Aplikasi Saya**, pilih aplikasi bernama **AWS IAM Identity Center**. Ini akan meminta Anda untuk otentikasi tambahan.
1. Pada halaman masuk Microsoft, pilih NikkiWolf kredensil Anda. Jika diminta untuk kedua kalinya untuk otentikasi, pilih NikkiWolf kredensialnya lagi. Ini akan secara otomatis mengarahkan Anda ke portal AWS akses.
**Tip**
Jika Anda tidak berhasil dialihkan, periksa untuk memastikan nilai **URL masuk portal AWS akses** yang Anda masukkan **`Step 3.2`**cocok dengan nilai yang Anda salin. **`Step 3.1`**
1. Verifikasi bahwa Akun AWS tampilan Anda.
**Tip**
Jika halaman kosong dan tidak ada Akun AWS tampilan, konfirmasikan bahwa Nikki berhasil ditugaskan ke set **RegionalAdmin**izin (lihat **`Step 2.3`**).
------
#### [ Step 3.5 ]
**Langkah 3.5: Uji tingkat akses Nikki untuk mengelolanya Akun AWS**
Pada langkah ini, Anda akan memeriksa untuk menentukan tingkat akses Nikki untuk mengelola pengaturan Wilayah untuknya Akun AWS. Nikki seharusnya hanya memiliki hak administrator yang cukup untuk mengelola Wilayah dari halaman **Akun**.
1. Di portal AWS akses, pilih tab **Akun** untuk menampilkan daftar akun. Nama akun, akun IDs, dan alamat email yang terkait dengan akun mana pun yang telah Anda tetapkan set izin muncul.
1. Pilih nama akun (misalnya,*Sandbox*) tempat Anda menerapkan set izin (lihat **`Step 2.3`**). Ini akan memperluas daftar set izin yang dapat dipilih Nikki untuk mengelola akunnya.
1. Di samping **RegionalAdmin**memilih **Konsol manajemen** untuk mengambil peran yang Anda tetapkan dalam set **RegionalAdmin**izin. Ini akan mengarahkan Anda ke halaman Konsol Manajemen AWS beranda.
1. **Di sudut kanan atas konsol, pilih nama akun Anda, lalu pilih Akun.** Ini akan membawa Anda ke halaman **Akun**. Perhatikan bahwa semua bagian lain di halaman ini menampilkan pesan bahwa Anda tidak memiliki izin yang diperlukan untuk melihat atau mengubah pengaturan tersebut.
1. Pada halaman **Akun**, gulir ke bawah ke bagian **AWS Wilayah**. Pilih kotak centang untuk Wilayah yang tersedia dalam tabel. Perhatikan bahwa Nikki memang memiliki izin yang diperlukan untuk **Mengaktifkan** atau **Menonaktifkan** daftar Wilayah untuk akunnya seperti yang dimaksudkan.
**Dilakukan dengan baik\$1**
Langkah 1 hingga 3 membantu Anda untuk berhasil menerapkan dan menguji koneksi SAMP Anda. Sekarang, untuk menyelesaikan tutorial, kami mendorong Anda untuk beralih ke Langkah 4 untuk menerapkan penyediaan otomatis.
------
## Langkah 4: Konfigurasikan dan uji sinkronisasi SCIM Anda
Pada langkah ini, Anda akan [mengatur penyediaan otomatis](provision-automatically.md) (sinkronisasi) informasi pengguna dari Microsoft Entra ID ke Pusat Identitas IAM menggunakan protokol SCIM v2.0. Anda mengonfigurasi koneksi ini Microsoft Entra ID menggunakan endpoint SCIM Anda untuk IAM Identity Center dan token pembawa yang dibuat secara otomatis oleh IAM Identity Center.
Saat mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna Microsoft Entra ID ke atribut bernama di Pusat Identitas IAM. Hal ini menyebabkan atribut yang diharapkan cocok antara IAM Identity Center danMicrosoft Entra ID.
Langkah-langkah berikut memandu Anda melalui cara mengaktifkan penyediaan otomatis pengguna yang terutama berada di Microsoft Entra ID Pusat Identitas IAM menggunakan aplikasi Pusat Identitas IAM di. Microsoft Entra ID
------
#### [ Step 4.1 > ]
**Langkah 4.1: Buat pengguna uji kedua di Microsoft Entra ID**
Untuk tujuan pengujian, Anda akan membuat pengguna baru (Richard Roe) diMicrosoft Entra ID. Kemudian, setelah Anda mengatur sinkronisasi SCIM, Anda akan menguji bahwa pengguna ini dan semua atribut yang relevan berhasil disinkronkan ke IAM Identity Center.
1. Di konsol [pusat admin Microsoft Entra](https://entra.microsoft.com/), navigasikan ke **Identity > Users > All users**.
1. Pilih **Pengguna baru**, lalu pilih **Buat pengguna baru** di bagian atas layar.
1. Di **Nama utama pengguna**, masukkan ****RichRoe****, lalu pilih domain dan ekstensi pilihan Anda. Misalnya, *RichRoe*@*example.org*.
1. Di **Nama tampilan**, masukkan ****RichRoe****.
1. Di **Kata Sandi**, masukkan kata sandi yang kuat atau pilih ikon mata untuk menampilkan kata sandi yang dibuat secara otomatis, dan salin atau tuliskan nilai yang ditampilkan.
1. Pilih **Properties**, dan kemudian berikan nilai-nilai berikut:
+ **Nama depan** - Enter ****Richard****
+ **Nama belakang** - Enter ****Roe****
+ **Judul Pekerjaan** - Enter ****Marketing Lead****
+ **Departemen** - Masuk ****Sales****
+ **ID Karyawan** - Masukkan ****12345****
1. Pilih **Review \$1 create**, lalu pilih **Create**.
------
#### [ Step 4.2 > ]
**Langkah 4.2: Aktifkan penyediaan otomatis di IAM Identity Center**
Dalam prosedur ini, Anda akan menggunakan konsol Pusat Identitas IAM untuk mengaktifkan penyediaan otomatis pengguna dan grup yang berasal dari Microsoft Entra ID Pusat Identitas IAM.
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), dan pilih **Pengaturan** di panel navigasi kiri.
1. **Pada halaman **Pengaturan**, di bawah tab **Sumber identitas**, perhatikan bahwa **metode Penyediaan** diatur ke Manual.**
1. **Temukan kotak Informasi **penyediaan otomatis**, lalu pilih Aktifkan.** Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.
1. Dalam kotak dialog **Penyediaan otomatis masuk**, salin setiap nilai untuk opsi berikut. Anda harus menempelkan ini di langkah berikutnya saat Anda mengonfigurasi penyediaan. Microsoft Entra ID
1. **Titik akhir SCIM** - Misalnya,
+ IPv4: `https://scim.aws-region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ Tumpukan ganda: `https://scim.aws-region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **Token akses** - Pilih **Tampilkan token** untuk menyalin nilainya.
**Awas**
Ini adalah satu-satunya waktu di mana Anda dapat memperoleh titik akhir SCIM dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju.
1. Pilih **Tutup**.
1. **Di bawah tab **Identity source**, perhatikan bahwa **metode Provisioning** sekarang diatur ke SCIM.**
------
#### [ Step 4.3 > ]
**Langkah 4.3: Konfigurasikan penyediaan otomatis di Microsoft Entra ID**
Sekarang setelah Anda memiliki pengguna RichRoe pengujian dan telah mengaktifkan SCIM di IAM Identity Center, Anda dapat melanjutkan dengan mengonfigurasi pengaturan sinkronisasi SCIM di. Microsoft Entra ID
1. Di konsol [pusat admin Microsoft Entra](https://entra.microsoft.com/), navigasikan ke **Identity > Applications > Enterprise Applications** dan kemudian pilih **AWS IAM Identity Center**.
1. Pilih **Penyediaan**, di bawah **Kelola**, pilih **Penyediaan** lagi.
1. **Dalam **Mode Penyediaan pilih Otomatis**.**
1. Di bawah **Kredensial Admin**, di URL **Penyewa tempel di nilai URL** **titik akhir SCIM** yang Anda salin sebelumnya. **`Step 4.2`** Di **Token Rahasia**, tempel nilai **token Access**.
1. Pilih **Uji Koneksi**. Anda akan melihat pesan yang menunjukkan bahwa kredenal yang diuji berhasil diotorisasi untuk mengaktifkan penyediaan.
1. Pilih **Simpan**.
1. Di bawah **Kelola**, pilih **Pengguna dan grup**, lalu pilih **Tambahkan pengguna/grup**.
1. Pada halaman **Tambahkan Penugasan**, di bawah **Pengguna**, pilih **Tidak Ada yang Dipilih**.
1. Pilih **RichRoe**, lalu pilih **Pilih**.
1. Pada halaman **Add Assignment**, pilih **Assign**.
1. Pilih **Ikhtisar**, lalu pilih **Mulai penyediaan**.
------
#### [ Step 4.4 ]
**Langkah 4.4: Verifikasi bahwa sinkronisasi terjadi**
Di bagian ini, Anda akan memverifikasi bahwa pengguna Richard berhasil disediakan dan bahwa semua atribut ditampilkan di Pusat Identitas IAM.
1. Di [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), pilih **Pengguna**.
1. Pada halaman **Pengguna**, Anda akan melihat **RichRoe**pengguna Anda ditampilkan. Perhatikan bahwa di kolom **Dibuat oleh** nilai diatur ke **SCIM**.
1. Pilih **RichRoe**, di bawah **Profil**, verifikasi bahwa atribut berikut telah disalinMicrosoft Entra ID.
+ **Nama depan** - ****Richard****
+ **Nama belakang** - ****Roe****
+ **Departemen** - ****Sales****
+ **Judul** - ****Marketing Lead****
+ **Nomor karyawan** - ****12345****
Sekarang pengguna Richard telah dibuat di IAM Identity Center, Anda dapat menetapkannya ke set izin apa pun sehingga Anda dapat mengontrol tingkat akses yang dia miliki ke sumber daya Anda AWS . Misalnya, Anda dapat menetapkan **RichRoe**ke set **RegionalAdmin** izin yang Anda gunakan sebelumnya untuk memberikan Nikki izin untuk mengelola Wilayah (lihat **`Step 2.3`**) dan kemudian menguji tingkat aksesnya menggunakan. **`Step 3.5`**
**Selamat\$1**
Anda telah berhasil mengatur koneksi SAMP antara Microsoft dan AWS dan telah memverifikasi bahwa penyediaan otomatis berfungsi untuk menjaga semuanya tetap sinkron. Sekarang Anda dapat menerapkan apa yang telah Anda pelajari untuk mengatur lingkungan produksi Anda dengan lebih lancar.
------
## *Langkah 5: Konfigurasikan ABAC - Opsional*
Sekarang setelah Anda berhasil mengkonfigurasi SAFL dan SCIM, Anda dapat memilih untuk mengonfigurasi kontrol akses berbasis atribut (ABAC). ABAC adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut.
DenganMicrosoft Entra ID, Anda dapat menggunakan salah satu dari dua metode berikut untuk mengkonfigurasi ABAC untuk digunakan dengan IAM Identity Center.
------
#### [ Configure user attributes in ID Microsoft Entra for access control in IAM Identity Center ]
**Konfigurasikan atribut pengguna Microsoft Entra ID untuk kontrol akses di Pusat Identitas IAM**
Dalam prosedur berikut, Anda akan menentukan atribut mana yang Microsoft Entra ID harus digunakan oleh IAM Identity Center untuk mengelola akses ke AWS sumber daya Anda. Setelah ditentukan, Microsoft Entra ID kirimkan atribut ini ke IAM Identity Center melalui pernyataan SAMP. Anda kemudian perlu [Buat set izin](howtocreatepermissionset.md) di Pusat Identitas IAM untuk mengelola akses berdasarkan atribut yang Anda lewati. Microsoft Entra ID
Sebelum Anda memulai prosedur ini, Anda harus mengaktifkan [Atribut untuk kontrol akses](attributesforaccesscontrol.md) fitur terlebih dahulu. Untuk informasi selengkapnya tentang cara melakukan ini, lihat [Aktifkan dan konfigurasikan atribut untuk kontrol akses](configure-abac.md).
1. Di konsol [pusat admin Microsoft Entra](https://entra.microsoft.com/), navigasikan ke **Identity > Applications > Enterprise Applications** dan kemudian pilih **AWS IAM Identity Center**.
1. Pilih **Single sign-on**.
1. Di bagian **Atribut & Klaim**, pilih **Edit**.
1. Pada halaman **Atribut & Klaim**, lakukan hal berikut:
1. Pilih **Tambahkan klaim baru**
1. Untuk **Nama**, masukkan `AccessControl:AttributeName`. Ganti *AttributeName* dengan nama atribut yang Anda harapkan di IAM Identity Center. Misalnya, `AccessControl:Department`.
1. Untuk **Namespace**, masukkan ****https://aws.amazon.com/SAML/Attributes****.
1. Untuk **Sumber**, pilih **Atribut**.
1. Untuk **atribut Source**, gunakan daftar drop-down untuk memilih atribut Microsoft Entra ID pengguna. Misalnya, `user.department`.
1. Ulangi langkah sebelumnya untuk setiap atribut yang perlu Anda kirim ke IAM Identity Center dalam pernyataan SAFL.
1. Pilih **Simpan**.
------
#### [ Configure ABAC using IAM Identity Center ]
**Konfigurasikan ABAC menggunakan IAM Identity Center**
Dengan metode ini, Anda menggunakan [Atribut untuk kontrol akses](attributesforaccesscontrol.md) fitur di IAM Identity Center untuk meneruskan `Attribute` elemen dengan `Name` atribut yang disetel ke`https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Anda dapat menggunakan elemen ini untuk meneruskan atribut sebagai tag sesi dalam pernyataan SAMP. Untuk informasi selengkapnya tentang tag sesi, lihat [Melewati tag sesi AWS STS di](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) *Panduan Pengguna IAM*.
Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen `AttributeValue` yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tag`Department=billing`, gunakan atribut berikut:
```
billing
```
Jika Anda perlu menambahkan beberapa atribut, sertakan `Attribute` elemen terpisah untuk setiap tag.
------
## Tetapkan akses ke Akun AWS
Langkah-langkah berikut hanya diperlukan untuk memberikan akses ke Akun AWS saja. Langkah-langkah ini tidak diperlukan untuk memberikan akses ke AWS aplikasi.
**catatan**
Untuk menyelesaikan langkah ini, Anda memerlukan instance Organisasi dari IAM Identity Center. Untuk informasi selengkapnya, lihat [Organisasi dan instans akun Pusat Identitas IAM](identity-center-instances.md).
### Langkah 1: Pusat Identitas IAM: Berikan Microsoft Entra ID pengguna akses ke akun
1. Kembali ke konsol **Pusat Identitas IAM**. Di panel navigasi Pusat Identitas IAM, di bawah **izin Multi-akun**, pilih. **Akun AWS**
1. Pada **Akun AWS**halaman, **struktur Organisasi** menampilkan akar organisasi Anda dengan akun Anda di bawahnya dalam hierarki. Pilih kotak centang untuk akun manajemen Anda, lalu pilih **Tetapkan pengguna atau grup**.
1. Tampilan alur kerja **Tetapkan pengguna dan grup**. Ini terdiri dari tiga langkah:
1. Untuk **Langkah 1: Pilih pengguna dan grup** pilih pengguna yang akan melakukan fungsi pekerjaan administrator. Lalu pilih **Selanjutnya**.
1. Untuk **Langkah 2: Pilih set izin** pilih **Buat set izin** untuk membuka tab baru yang memandu Anda melalui tiga sub-langkah yang terlibat dalam membuat set izin.
1. Untuk **Langkah 1: Pilih jenis set izin** lengkapi yang berikut ini:
+ Dalam **Jenis set izin**, pilih **Set izin yang telah ditentukan sebelumnya**.
+ Dalam **Kebijakan untuk set izin yang telah ditentukan**, pilih **AdministratorAccess**.
Pilih **Berikutnya**.
1. Untuk **Langkah 2: Tentukan detail set izin**, pertahankan pengaturan default, dan pilih **Berikutnya**.
Pengaturan default membuat set izin bernama *AdministratorAccess* dengan durasi sesi diatur ke satu jam.
1. Untuk **Langkah 3: Tinjau dan buat**, verifikasi bahwa **jenis set Izin** menggunakan kebijakan AWS terkelola **AdministratorAccess**. Pilih **Buat**. Pada halaman **Set izin**, pemberitahuan muncul memberi tahu Anda bahwa set izin telah dibuat. Anda dapat menutup tab ini di browser web Anda sekarang.
1. Pada tab **Tetapkan pengguna dan grup** browser, Anda masih pada **Langkah 2: Pilih set izin** dari mana Anda memulai alur kerja set izin buat.
1. Di area **set Izin**, pilih tombol **Refresh**. Set *AdministratorAccess* izin yang Anda buat muncul dalam daftar. Pilih kotak centang untuk set izin tersebut dan kemudian pilih **Berikutnya**.
1. Untuk **Langkah 3: Tinjau dan kirimkan** ulasan pengguna dan set izin yang dipilih, lalu pilih **Kirim**.
Halaman diperbarui dengan pesan bahwa Anda Akun AWS sedang dikonfigurasi. Tunggu sampai proses selesai.
Anda dikembalikan ke Akun AWS halaman. Pesan notifikasi memberi tahu Anda bahwa pesan Anda Akun AWS telah direvisi dan set izin yang diperbarui diterapkan. Saat pengguna masuk, mereka akan memiliki opsi untuk memilih *AdministratorAccess* peran.
### Langkah 2Microsoft Entra ID: Konfirmasikan akses Microsoft Entra ID pengguna ke AWS sumber daya
1. Kembali ke **Microsoft Entra ID**konsol dan navigasikan ke aplikasi Sign-on berbasis SAML Pusat Identitas IAM Anda.
1. Pilih **Pengguna dan grup** dan pilih **Tambahkan pengguna atau grup**. Anda akan menambahkan pengguna yang Anda buat dalam tutorial ini di Langkah 4 ke Microsoft Entra ID aplikasi. Dengan menambahkan pengguna, Anda akan mengizinkan mereka untuk AWS masuk. Cari pengguna yang Anda buat di Langkah 4. Jika Anda mengikuti langkah ini, itu akan terjadi**RichardRoe**.
1. Untuk demo, lihat [Menggabungkan instans Pusat Identitas IAM Anda yang ada](https://youtu.be/iSCuTJNeN6c?si=29HSAK8DgBEhSVad) dengan Microsoft Entra ID
## Microsoft Entra IDkonfigurasi untuk akses ke Wilayah tambahan Pusat Identitas IAM - Opsional
Jika Anda mereplikasi Pusat Identitas IAM ke Wilayah tambahan, Anda harus memperbarui konfigurasi penyedia identitas Anda untuk mengaktifkan akses ke aplikasi AWS terkelola dan Akun AWS melalui Wilayah tambahan. Langkah-langkah di bawah ini memandu Anda melalui prosedur ini. Untuk detail lebih lanjut tentang topik ini termasuk prasyarat, lihat. [Menggunakan Pusat Identitas IAM di beberapa Wilayah AWS](multi-region-iam-identity-center.md)
1. Ambil ACS URLs untuk wilayah tambahan dari konsol Pusat Identitas IAM seperti yang diuraikan dalam. [Titik akhir ACS di primer dan tambahan Wilayah AWS](multi-region-workforce-access.md#acs-endpoints)
1. Di konsol [pusat admin Microsoft Entra](https://entra.microsoft.com/), navigasikan ke **Identity > Applications > Enterprise Applications** dan kemudian pilih **AWS IAM Identity Center**.
1. Di sebelah kiri, pilih **2. Siapkan Single sign-on**.
1. Pada halaman **Konfigurasi SAMP Dasar**, di bagian **URL Balas (URL Layanan Konsumen Assertion), pilih Tambahkan URL** **balasan untuk setiap URL ACS** Additiona Region. Anda dapat menyimpan URL ACS Wilayah utama sebagai URL default sehingga pengguna terus diarahkan ke Wilayah utama saat mereka meluncurkan AWS IAM Identity Center aplikasi. Microsoft Entra ID
1. Setelah selesai menambahkan ACS URLs, simpan **AWS IAM Identity Center**aplikasi.
1. Anda dapat membuat aplikasi bookmark Microsoft Entra ID untuk portal AWS akses di setiap Wilayah tambahan. Ini memungkinkan pengguna Anda untuk mengakses portal AWS akses di Wilayah tambahan dariMicrosoft Entra ID. Pastikan untuk memberikan izin kepada pengguna Anda untuk mengakses aplikasi bookmark di. Microsoft Entra ID Lihat [Microsoft Entra IDdokumentasi](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) untuk lebih jelasnya.
1. Verifikasi bahwa Anda dapat masuk ke portal AWS akses di setiap Wilayah tambahan. Arahkan ke [portal AWS akses URLs](multi-region-workforce-access.md#portal-endpoints) atau luncurkan aplikasi bookmark dariMicrosoft Entra ID.
## Pemecahan masalah
Untuk pemecahan masalah SCIM dan SAMP umum denganMicrosoft Entra ID, lihat bagian berikut:
+ [Masalah sinkronisasi dengan Microsoft Entra ID dan Pusat Identitas IAM](#entra-scim-troubleshooting)
+ [Pengguna tertentu gagal melakukan sinkronisasi ke Pusat Identitas IAM dari penyedia SCIM eksternal](troubleshooting.md#issue2)
+ [Masalah mengenai isi pernyataan SAMP yang dibuat oleh IAM Identity Center](troubleshooting.md#issue1)
+ [Gandakan kesalahan pengguna atau grup saat menyediakan pengguna atau grup dengan penyedia identitas eksternal](troubleshooting.md#duplicate-user-group-idp)
+ [Sumber daya tambahan](#entra-scim-troubleshooting-resources)
### Masalah sinkronisasi dengan Microsoft Entra ID dan Pusat Identitas IAM
Jika Anda mengalami masalah dengan Microsoft Entra ID pengguna yang tidak melakukan sinkronisasi ke Pusat Identitas IAM, mungkin karena masalah sintaks yang ditandai oleh IAM Identity Center saat pengguna baru ditambahkan ke IAM Identity Center. Anda dapat mengonfirmasi hal ini dengan memeriksa log Microsoft Entra ID audit untuk peristiwa yang gagal, seperti`'Export'`. **Alasan Status** untuk acara ini akan menyatakan:
```
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
```
Anda juga dapat memeriksa AWS CloudTrail acara yang gagal. Ini dapat dilakukan dengan mencari di konsol **Riwayat Acara** CloudTrail menggunakan filter berikut:
```
"eventName":"CreateUser"
```
Kesalahan dalam CloudTrail acara tersebut akan menyatakan sebagai berikut:
```
"errorCode": "ValidationException",
"errorMessage": "Currently list attributes only allow single item“
```
Pada akhirnya, pengecualian ini berarti bahwa salah satu nilai yang dilewatkan Microsoft Entra ID mengandung lebih banyak nilai daripada yang diantisipasi. Solusinya adalah meninjau atribut penggunaMicrosoft Entra ID, memastikan bahwa tidak ada yang mengandung nilai duplikat. Salah satu contoh umum dari nilai duplikat adalah memiliki beberapa nilai yang ada untuk nomor kontak seperti **ponsel**, **pekerjaan**, dan **faks**. Meskipun nilai terpisah, mereka semua diteruskan ke IAM Identity Center di bawah atribut induk tunggal **PhoneNumbers**.
[Untuk tips pemecahan masalah SCIM umum, lihat Pemecahan Masalah.](troubleshooting.md#issue2)
### Microsoft Entra IDSinkronisasi Akun Tamu
Jika Anda ingin menyinkronkan pengguna Microsoft Entra ID tamu Anda ke IAM Identity Center, lihat prosedur berikut.
Microsoft Entra IDEmail pengguna tamu berbeda dari Microsoft Entra ID pengguna. Perbedaan ini menyebabkan masalah saat mencoba menyinkronkan pengguna Microsoft Entra ID tamu dengan IAM Identity Center. Misalnya, lihat alamat email berikut untuk pengguna tamu:
`exampleuser_domain.com#EXT#@domain.onmicrosoft.com.`
IAM Identity Center tidak mengharapkan alamat email berisi *\$1EXT\$1@domain* format.
1. Masuk ke [pusat admin Microsoft Entra](https://entra.microsoft.com/) dan navigasikan ke **Identity** > **Applications** > **Enterprise applications** dan kemudian pilih **AWS IAM Identity Center**
1. Arahkan ke tab **Single Sign On** di panel kiri.
1. Pilih **Edit** yang muncul di sebelah **Atribut & Klaim Pengguna**.
1. Pilih **Pengenal Pengguna Unik (ID Nama)** mengikuti **Klaim yang Diperlukan**.
1. Anda akan membuat dua ketentuan klaim untuk Microsoft Entra ID pengguna dan pengguna tamu Anda:
1. Untuk Microsoft Entra ID pengguna, buat tipe pengguna untuk anggota dengan atribut sumber disetel ke` user.userprincipalname`.
1. Untuk pengguna Microsoft Entra ID tamu, buat tipe pengguna untuk tamu eksternal dengan atribut sumber yang disetel ke`user.mail`.
1. Pilih **Simpan** dan coba lagi masuk sebagai pengguna Microsoft Entra ID tamu.
### Sumber daya tambahan
+ Untuk tips pemecahan masalah SCIM umum, lihat. [Memecahkan masalah Pusat Identitas IAM](troubleshooting.md)
+ [Untuk Microsoft Entra ID pemecahan masalah, lihat Microsoft dokumentasi.](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial#troubleshooting-tips)
+ Untuk mempelajari lebih lanjut tentang federasi di beberapa Akun AWS, lihat [Mengamankan Akun AWS dengan Azure Active Directory Federation](https://aws.amazon.com//blogs/apn/securing-aws-accounts-with-azure-active-directory-federation/).
Sumber daya berikut dapat membantu Anda memecahkan masalah saat Anda bekerja dengan: AWS
+ [AWS re:Post](https://repost.aws/)- Temukan FAQs dan tautkan ke sumber daya lain untuk membantu Anda memecahkan masalah.
+ [AWS Dukungan](https://aws.amazon.com/premiumsupport/)- Dapatkan dukungan teknis
# Konfigurasikan SAMP dan SCIM dengan Okta dan IAM Identity Center
Anda dapat secara otomatis menyediakan atau menyinkronkan informasi pengguna dan grup dari Okta Pusat Identitas IAM menggunakan protokol [System for Cross-domain Identity Management (SCIM](scim-profile-saml.md#scim-profile)) 2.0. Untuk informasi selengkapnya, lihat [Menggunakan federasi identitas SAMP dan SCIM dengan penyedia identitas eksternal](other-idps.md).
Untuk mengonfigurasi koneksi iniOkta, Anda menggunakan titik akhir SCIM untuk Pusat Identitas IAM dan token pembawa yang dibuat secara otomatis oleh IAM Identity Center. Saat mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna Okta ke atribut bernama di Pusat Identitas IAM. Pemetaan ini cocok dengan atribut pengguna yang diharapkan antara IAM Identity Center dan akun AndaOkta.
Oktamendukung fitur penyediaan berikut saat terhubung ke IAM Identity Center melalui SCIM:
+ Buat pengguna - Pengguna yang ditugaskan ke aplikasi Pusat Identitas IAM di Okta disediakan di Pusat Identitas IAM.
+ Perbarui atribut pengguna - Perubahan atribut untuk pengguna yang ditugaskan ke aplikasi Pusat Identitas IAM di diperbarui di Okta Pusat Identitas IAM.
+ Nonaktifkan pengguna - Pengguna yang tidak ditugaskan dari aplikasi Pusat Identitas IAM dinonaktifkan di Okta Pusat Identitas IAM.
+ Group push — Grup (dan anggotanya) Okta disinkronkan ke IAM Identity Center.
**catatan**
Untuk meminimalkan overhead administratif di keduanya Okta dan Pusat Identitas IAM, sebaiknya Anda menetapkan dan *mendorong* grup alih-alih pengguna individu.
+ Impor pengguna - Pengguna dapat diimpor dari IAM Identity Center keOkta.
**Objektif**
Dalam tutorial ini, Anda akan berjalan melalui pengaturan koneksi SAMP dengan Okta IAM Identity Center. Nanti, Anda akan menyinkronkan pengguna dariOkta, menggunakan SCIM. Dalam skenario ini, Anda mengelola semua pengguna dan grupOkta. Pengguna masuk melalui Okta portal. Untuk memverifikasi semuanya dikonfigurasi dengan benar, setelah menyelesaikan langkah-langkah konfigurasi Anda akan masuk sebagai Okta pengguna dan memverifikasi akses ke AWS sumber daya.
Fitur-fitur berikut didukung saat menghubungkan Okta ke IAM Identity Center melalui SAMP:
+ Masuk SAMP yang diprakarsai IDP - Pengguna masuk melalui Okta portal dan mendapatkan akses ke Pusat Identitas IAM.
+ Masuk SAMP yang diprakarsai oleh SP - Pengguna mengakses portal AWS akses, yang mengarahkan mereka untuk masuk melalui portal. Okta
**catatan**
Anda dapat mendaftar untuk Okta akun ([uji coba gratis](https://www.okta.com/free-trial/)) yang telah menginstal [aplikasi Okta's IAM Identity Center](https://www.okta.com/integrations/aws-single-sign-on/). Untuk Okta produk berbayar, Anda mungkin perlu mengonfirmasi bahwa Okta lisensi mendukung *manajemen siklus hidup* atau kemampuan serupa yang memungkinkan penyediaan keluar. Fitur-fitur ini mungkin diperlukan untuk mengkonfigurasi SCIM dari Okta ke IAM Identity Center.
Jika Anda belum mengaktifkan IAM Identity Center, lihat[Aktifkan Pusat Identitas IAM](enable-identity-center.md).
## Pertimbangan-pertimbangan
+ Sebelum Anda mengonfigurasi penyediaan SCIM antara Okta dan IAM Identity Center, kami sarankan Anda meninjau terlebih dahulu. [Pertimbangan untuk menggunakan penyediaan otomatis](provision-automatically.md#auto-provisioning-considerations)
+ Setiap Okta pengguna harus memiliki nilai **Nama depan**, **nama belakang, nama** **pengguna** dan **nama tampilan** yang ditentukan.
+ Setiap Okta pengguna hanya memiliki satu nilai per atribut data, seperti alamat email atau nomor telepon. Setiap pengguna yang memiliki banyak nilai akan gagal untuk menyinkronkan. Jika ada pengguna yang memiliki beberapa nilai dalam atributnya, hapus atribut duplikat sebelum mencoba menyediakan pengguna di Pusat Identitas IAM. Misalnya, hanya satu atribut nomor telepon yang dapat disinkronkan, karena atribut nomor telepon default adalah “telepon kerja”, gunakan atribut “telepon kerja” untuk menyimpan nomor telepon pengguna, bahkan jika nomor telepon untuk pengguna adalah telepon rumah atau ponsel.
+ Saat menggunakan Okta dengan IAM Identity Center, IAM Identity Center umumnya dikonfigurasi sebagai Aplikasi di. Okta Hal ini memungkinkan Anda untuk mengkonfigurasi beberapa instance IAM Identity Center sebagai beberapa aplikasi, mendukung akses ke beberapa AWS Organizations, dalam satu instance. Okta
+ Hak dan atribut peran tidak didukung dan tidak dapat disinkronkan dengan Pusat Identitas IAM.
+ Menggunakan Okta grup yang sama untuk tugas dan push grup saat ini tidak didukung. Untuk mempertahankan keanggotaan grup yang konsisten antara Okta dan Pusat Identitas IAM, buat grup terpisah dan konfigurasikan untuk mendorong grup ke Pusat Identitas IAM.
+ Jika Anda mereplikasi Pusat Identitas IAM ke Wilayah tambahan, Anda harus memperbarui konfigurasi penyedia identitas Anda untuk mengaktifkan akses ke aplikasi AWS terkelola dan Akun AWS melalui Wilayah tambahan. Untuk detail lebih lanjut termasuk prasyarat, lihat. [Menggunakan Pusat Identitas IAM di beberapa Wilayah AWS](multi-region-iam-identity-center.md) Langkah-langkah khusus Okta dijelaskan dalam [Oktakonfigurasi untuk akses ke Wilayah tambahan](#gs-okta-multi-region)
## Langkah 1:Okta: Dapatkan metadata SAFL dari akun Anda Okta
1. Masuk keOkta admin dashboard, perluas **Aplikasi**, lalu pilih **Aplikasi**.
1. Pada halaman **Aplikasi**, pilih **Jelajahi Katalog Aplikasi**.
1. Di kotak pencarian, ketik ** AWS IAM Identity Center**, pilih aplikasi untuk menambahkan aplikasi Pusat Identitas IAM.
1. Pilih **tab Masuk**.
1. Di bawah **Sertifikat Penandatanganan SAMP**, pilih **Tindakan**, lalu pilih **Lihat Metadata IDP**. Tab browser baru terbuka menunjukkan pohon dokumen dari file XML. Pilih semua XMLnya dari `` to `` dan salin ke file teks.
1. Simpan file teks sebagai`metadata.xml`.
Biarkan Okta admin dashboard terbuka, Anda akan terus menggunakan konsol ini di langkah selanjutnya.
## Langkah 2: Pusat Identitas IAM: Konfigurasikan Okta sebagai sumber identitas untuk IAM Identity Center
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon) sebagai pengguna dengan hak administratif.
1. Pilih **Pengaturan** di panel navigasi kiri.
1. Pada halaman **Pengaturan**, pilih **Tindakan**, lalu pilih **Ubah sumber identitas**.
1. Di bawah **Pilih sumber identitas**, pilih **Penyedia identitas eksternal**, lalu pilih **Berikutnya**.
1. Di bawah **Konfigurasi penyedia identitas eksternal**, lakukan hal berikut:
1. Di bawah **metadata penyedia layanan**, salin item berikut ke file teks agar mudah diakses:
+ **URL IAM Identity Center Assertion Consumer Service (ACS)** — Anda memiliki pilihan antara IPv4 -only dan dual-stack ACS. URLs Selain itu, jika instans Pusat Identitas IAM Anda diaktifkan di beberapa Wilayah, setiap Wilayah tambahan memiliki ACS IPv4 -only dan dual-stack sendiri. URLs Untuk informasi lebih lanjut tentang ACS URLs, lihat[Titik akhir ACS di primer dan tambahan Wilayah AWS](multi-region-workforce-access.md#acs-endpoints).
+ **URL penerbit Pusat Identitas IAM**
Anda akan membutuhkan nilai-nilai ini nanti dalam tutorial ini.
1. Di bawah **Metadata penyedia identitas**, di bawah **metadata IDP SAMP**, pilih Pilih file lalu **pilih file** yang Anda buat di langkah sebelumnya`metadata.xml`.
1. Pilih **Berikutnya**.
1. **Setelah Anda membaca disclaimer dan siap untuk melanjutkan, masukkan ACCEPT.**
1. Pilih **Ubah sumber identitas**.
Biarkan AWS konsol terbuka, Anda akan terus menggunakan konsol ini di langkah berikutnya.
1. Kembali ke Okta admin dashboard dan pilih tab **Masuk** AWS IAM Identity Center aplikasi, lalu pilih **Edit**.
1. Di bawah **Pengaturan Masuk Lanjutan**, masukkan yang berikut ini:
+ Untuk **URL ACS**, masukkan nilai yang Anda salin untuk URL **IAM Identity Center Assertion Consumer Service (**ACS). Anda dapat menggunakan URL ACS Wilayah utama sebagai URL default sehingga pengguna diarahkan ke Wilayah utama saat mereka meluncurkan aplikasi Amazon Web Services dariOkta.
+ (Opsional) Jika Anda mereplikasi Pusat Identitas IAM ke Wilayah tambahan, Anda juga dapat membuat aplikasi bookmark Okta untuk portal AWS akses di setiap Wilayah tambahan. Ini memungkinkan pengguna Anda untuk mengakses portal AWS akses di Wilayah tambahan dariOkta. Pastikan untuk memberikan izin kepada pengguna Anda untuk mengakses aplikasi bookmark di. Okta Lihat [Oktadokumentasi](https://support.okta.com/help/s/article/create-a-bookmark-app) untuk lebih jelasnya. Jika Anda berencana untuk mereplikasi Pusat Identitas IAM ke Wilayah tambahan nanti, kunjungi [Oktakonfigurasi untuk akses ke Wilayah tambahan](#gs-okta-multi-region) panduan cara mengaktifkan akses ke Wilayah tambahan setelah penyiapan awal ini.
+ Untuk **URL Penerbit**, masukkan nilai yang Anda salin untuk URL penerbit **IAM Identity** Center
+ Untuk **format nama pengguna Aplikasi**, pilih salah satu opsi dari menu.
Pastikan nilai yang Anda pilih unik untuk setiap pengguna. Untuk tutorial ini, pilih nama pengguna **Okta**
1. Pilih **Simpan**.
Anda sekarang siap untuk menyediakan pengguna dari Okta Pusat Identitas IAM. Biarkan Okta admin dashboard terbuka, dan kembali ke konsol IAM Identity Center untuk langkah selanjutnya.
## Langkah 3: Pusat Identitas IAM danOkta: Penyediaan pengguna Okta
1. **Di konsol Pusat Identitas IAM di halaman **Pengaturan**, cari kotak Informasi **penyediaan otomatis, lalu pilih Aktifkan**.** Ini memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.
1. Di kotak dialog **Penyediaan otomatis masuk**, salin setiap nilai untuk opsi berikut:
1. **Endpoint SCIM** - Format endpoint tergantung pada konfigurasi Anda:
+ IPv4: https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
+ Tumpukan ganda: https://scim. *us-east-2*.api.aws/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Access token** - Pilih **Tampilkan token** untuk menyalin nilainya.
**Awas**
Ini adalah satu-satunya waktu di mana Anda dapat memperoleh titik akhir SCIM dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju. Anda akan memasukkan nilai-nilai ini untuk mengkonfigurasi penyediaan otomatis Okta nanti dalam tutorial ini.
1. Pilih **Tutup**.
1. Kembali ke Okta admin dashboard dan navigasikan ke aplikasi Pusat Identitas IAM.
1. **Pada halaman **aplikasi Pusat Identitas IAM**, pilih tab **Penyediaan**, lalu di navigasi kiri di bawah **Pengaturan**, pilih Integrasi.**
1. Pilih **Edit**, lalu pilih kotak centang di samping **Aktifkan integrasi API** untuk mengaktifkan penyediaan otomatis.
1. Konfigurasikan Okta dengan nilai penyediaan SCIM dari AWS IAM Identity Center yang Anda salin sebelumnya di langkah ini:
1. Di bidang **URL Dasar**, masukkan nilai **titik akhir SCIM**.
1. Di bidang **Token API**, masukkan nilai **token Access**.
1. Pilih **Test API Credentials** untuk memverifikasi kredensi yang dimasukkan valid.
Pesan **berhasil AWS IAM Identity Center diverifikasi\$1** menampilkan.
1. Pilih **Simpan**. Anda dipindahkan ke bagian **Pengaturan**, dengan **Integrasi** dipilih.
1. Di bawah **Pengaturan**, pilih **Ke Aplikasi**, lalu pilih kotak centang **Aktifkan** untuk setiap fitur **Penyediaan ke Aplikasi** yang ingin Anda aktifkan. Untuk tutorial ini, pilih semua opsi.
1. Pilih **Simpan**.
Anda sekarang siap untuk menyinkronkan pengguna Anda Okta dengan IAM Identity Center.
## Langkah 4:Okta: Sinkronisasi pengguna dari Okta dengan IAM Identity Center
Secara default, tidak ada grup atau pengguna yang ditetapkan ke aplikasi Pusat Okta Identitas IAM Anda. Grup penyediaan menyediakan pengguna yang menjadi anggota grup. Selesaikan langkah-langkah berikut untuk menyinkronkan grup dan pengguna dengan AWS IAM Identity Center.
1. Di halaman **aplikasi Pusat Okta Identitas IAM**, pilih tab **Penugasan.** Anda dapat menetapkan orang dan grup ke aplikasi Pusat Identitas IAM.
1. Untuk menugaskan orang:
+ Di halaman **Penugasan**, pilih **Tetapkan**, lalu pilih **Tetapkan** ke orang.
+ Pilih Okta pengguna yang ingin Anda akses ke aplikasi Pusat Identitas IAM. Pilih **Tetapkan**, pilih **Simpan dan Kembali**, lalu pilih **Selesai**.
Ini memulai proses penyediaan pengguna ke IAM Identity Center.
1. Untuk menetapkan grup:
+ Di halaman **Penugasan**, pilih **Tetapkan**, lalu pilih **Tetapkan** ke grup.
+ Pilih Okta grup yang ingin Anda akses ke aplikasi Pusat Identitas IAM. Pilih **Tetapkan**, pilih **Simpan dan Kembali**, lalu pilih **Selesai**.
Ini memulai proses penyediaan pengguna dalam grup ke IAM Identity Center.
**catatan**
Anda mungkin diminta untuk menentukan atribut tambahan untuk grup jika atribut tersebut tidak ada di semua catatan pengguna. Atribut yang ditentukan untuk grup akan mengganti nilai atribut individual apa pun.
1. Pilih tab **Push Groups**. Pilih Okta grup yang ingin disinkronkan dengan IAM Identity Center. Pilih **Simpan**.
Status grup berubah menjadi **Aktif** setelah grup dan anggotanya didorong ke Pusat Identitas IAM.
1. Kembali ke tab **Tugas.**
1. Untuk menambahkan Okta pengguna individu ke Pusat Identitas IAM, gunakan langkah-langkah berikut:
1. Di halaman **Penugasan**, pilih **Tetapkan**, lalu pilih **Tetapkan** ke Orang.
1. Pilih Okta pengguna yang ingin Anda akses ke aplikasi Pusat Identitas IAM. Pilih **Tetapkan**, pilih **Simpan dan Kembali**, lalu pilih **Selesai**.
Ini memulai proses penyediaan pengguna individu ke IAM Identity Center.
**catatan**
Anda juga dapat menetapkan pengguna dan grup ke AWS IAM Identity Center aplikasi, dari halaman **Aplikasi**. Okta admin dashboard Untuk melakukan ini pilih ikon **Pengaturan** dan kemudian pilih **Tetapkan ke Pengguna** atau **Tetapkan ke Grup** dan kemudian tentukan pengguna atau grup.
1. Kembali ke konsol Pusat Identitas IAM. Di navigasi kiri, pilih **Pengguna**, Anda akan melihat daftar pengguna yang diisi oleh Okta pengguna Anda.
**Selamat\$1**
Anda telah berhasil mengatur koneksi SAMP antara Okta dan AWS dan telah memverifikasi bahwa penyediaan otomatis berfungsi. Anda sekarang dapat menetapkan pengguna ini ke akun dan aplikasi di **IAM Identity Center**. Untuk tutorial ini, pada langkah berikutnya mari kita menunjuk salah satu pengguna sebagai administrator IAM Identity Center dengan memberikan mereka izin administratif ke akun manajemen.
## Melewati atribut untuk kontrol akses - *Opsional*
Anda dapat menggunakan [Atribut untuk kontrol akses](attributesforaccesscontrol.md) fitur ini secara opsional di Pusat Identitas IAM untuk meneruskan `Attribute` elemen dengan `Name` atribut yang disetel ke. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tanda sesi dalam pernyataan SAML. Untuk informasi selengkapnya tentang tag sesi, lihat [Melewati tag sesi AWS STS di](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) *Panduan Pengguna IAM*.
Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen `AttributeValue` yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tag`CostCenter = blue`, gunakan atribut berikut.
```
blue
```
Jika Anda perlu menambahkan beberapa atribut, sertakan `Attribute` elemen terpisah untuk setiap tag.
## Tetapkan akses ke Akun AWS
Langkah-langkah berikut hanya diperlukan untuk memberikan akses ke Akun AWS saja. Langkah-langkah ini tidak diperlukan untuk memberikan akses ke AWS aplikasi.
**catatan**
Untuk menyelesaikan langkah ini, Anda memerlukan instance Organisasi dari IAM Identity Center. Untuk informasi selengkapnya, lihat [Organisasi dan instans akun Pusat Identitas IAM](identity-center-instances.md).
### Langkah 1: Pusat Identitas IAM: Berikan Okta pengguna akses ke akun
1. Di panel navigasi Pusat Identitas IAM, di bawah **izin Multi-akun**, pilih. **Akun AWS**
1. Pada **Akun AWS**halaman, **struktur Organisasi** menampilkan akar organisasi Anda dengan akun Anda di bawahnya dalam hierarki. Pilih kotak centang untuk akun manajemen Anda, lalu pilih **Tetapkan pengguna atau grup**.
1. Tampilan alur kerja **Tetapkan pengguna dan grup**. Ini terdiri dari tiga langkah:
1. Untuk **Langkah 1: Pilih pengguna dan grup**, pilih pengguna yang akan melakukan fungsi pekerjaan administrator. Lalu pilih **Selanjutnya**.
1. Untuk **Langkah 2: Pilih set izin**, pilih **Buat set izin** untuk membuka tab baru yang memandu Anda melalui tiga sub-langkah yang terlibat dalam membuat set izin.
1. Untuk **Langkah 1: Pilih jenis set izin** lengkapi yang berikut ini:
+ Dalam **Jenis set izin**, pilih **Set izin yang telah ditentukan sebelumnya**.
+ Dalam **Kebijakan untuk set izin yang telah ditentukan sebelumnya**, pilih **AdministratorAccess**.
Pilih **Berikutnya**.
1. Untuk **Langkah 2: Tentukan detail set izin**, pertahankan pengaturan default, dan pilih **Berikutnya**.
Pengaturan default membuat set izin bernama *AdministratorAccess* dengan durasi sesi diatur ke satu jam.
1. Untuk **Langkah 3: Tinjau dan buat**, verifikasi bahwa **jenis set Izin** menggunakan kebijakan AWS terkelola **AdministratorAccess**. Pilih **Buat**. Pada halaman **Set izin**, pemberitahuan muncul memberi tahu Anda bahwa set izin telah dibuat. Anda dapat menutup tab ini di browser web Anda sekarang.
Pada tab **Tetapkan pengguna dan grup** browser, Anda masih pada **Langkah 2: Pilih set izin** dari mana Anda memulai alur kerja set izin buat.
Di area **set Izin**, pilih tombol **Refresh**. Set *AdministratorAccess* izin yang Anda buat muncul dalam daftar. Pilih kotak centang untuk set izin tersebut dan kemudian pilih **Berikutnya**.
1. Untuk **Langkah 3: Tinjau dan kirim**, tinjau pengguna yang dipilih dan set izin, lalu pilih **Kirim**.
Halaman diperbarui dengan pesan bahwa Anda Akun AWS sedang dikonfigurasi. Tunggu sampai proses selesai.
Anda dikembalikan ke Akun AWS halaman. Pesan notifikasi memberi tahu Anda bahwa pesan Anda Akun AWS telah direvisi dan set izin yang diperbarui diterapkan. Saat pengguna masuk, mereka akan memiliki opsi untuk memilih peran. *AdministratorAccess*
### Langkah 2Okta: Konfirmasikan akses Okta pengguna ke AWS sumber daya
1. Masuk menggunakan akun uji ke fileOkta dashboard.
1. Di bawah **Aplikasi Saya**, pilih AWS IAM Identity Center ikon.
1. Anda harus melihat Akun AWS ikonnya. Perluas ikon itu untuk melihat daftar Akun AWS yang dapat diakses pengguna. Dalam tutorial ini Anda hanya bekerja dengan satu akun, jadi memperluas ikon hanya menampilkan satu akun.
1. Pilih akun untuk menampilkan set izin yang tersedia bagi pengguna. Dalam tutorial ini Anda membuat set **AdministratorAccess**izin.
1. Di samping set izin adalah tautan untuk jenis akses yang tersedia untuk set izin tersebut. Saat Anda membuat set izin, Anda menentukan akses ke akses terprogram Konsol Manajemen AWS dan akses terprogram. Pilih **Konsol manajemen** untuk membuka Konsol Manajemen AWS.
1. Pengguna masuk ke Konsol Manajemen AWS.
Anda juga dapat menggunakan portal AWS akses. Ini mengarahkan Anda untuk masuk melalui Okta portal sebelum membawa Anda ke portal AWS akses. Jalur ini mengikuti alur masuk SAMP yang diprakarsai SP.
## Oktakonfigurasi untuk akses ke Wilayah tambahan Pusat Identitas IAM - Opsional
Jika Anda mereplikasi Pusat Identitas IAM ke Wilayah tambahan, Anda harus memperbarui konfigurasi penyedia identitas Anda untuk mengaktifkan akses ke aplikasi AWS terkelola dan Akun AWS melalui Wilayah tambahan. Langkah-langkah di bawah ini memandu Anda melalui prosedur ini. Untuk detail lebih lanjut tentang topik ini termasuk prasyarat, lihat. [Menggunakan Pusat Identitas IAM di beberapa Wilayah AWS](multi-region-iam-identity-center.md)
1. Ambil ACS URLs untuk wilayah tambahan dari konsol Pusat Identitas IAM seperti yang diuraikan dalam. [Titik akhir ACS di primer dan tambahan Wilayah AWS](multi-region-workforce-access.md#acs-endpoints)
1. Di panel navigasi dasbor Okta admin, pilih **Aplikasi**, lalu **Aplikasi** lagi di daftar yang diperluas.
1. Pilih **AWS IAM Identity Center**aplikasinya.
1. Pilih **tab Masuk**.
1. Di bawah **Pengaturan Masuk Lanjutan**, dan **SSO Lainnya yang Dapat Diminta URLs**, pilih **Tambahkan yang lain** untuk setiap URL ACS Wilayah tambahan, dan tempel URL ACS ke bidang teks.
1. Setelah selesai menambahkan ACS URLs, simpan **AWS IAM Identity Center**aplikasi.
1. Anda dapat membuat aplikasi bookmark Okta untuk portal AWS akses di setiap Wilayah tambahan. Ini memungkinkan pengguna Anda untuk mengakses portal AWS akses di Wilayah tambahan dariOkta. Pastikan untuk memberikan izin kepada pengguna Anda untuk mengakses aplikasi bookmark di. Okta Lihat [Oktadokumentasi](https://support.okta.com/help/s/article/create-a-bookmark-app) untuk lebih jelasnya.
1. Verifikasi bahwa Anda dapat masuk ke portal AWS akses di setiap Wilayah tambahan. Arahkan ke [portal AWS akses URLs](multi-region-workforce-access.md#portal-endpoints) atau luncurkan aplikasi bookmark dariOkta.
## Langkah selanjutnya
Sekarang setelah Anda mengonfigurasi Okta sebagai penyedia identitas dan pengguna yang disediakan di Pusat Identitas IAM, Anda dapat:
+ Berikan akses ke Akun AWS, lihat[Tetapkan akses pengguna atau grup ke Akun AWS](assignusers.md).
+ Berikan akses ke aplikasi cloud, lihat[Tetapkan akses pengguna ke aplikasi di konsol Pusat Identitas IAM](assignuserstoapp.md).
+ Mengkonfigurasi izin berdasarkan fungsi pekerjaan, lihat [Membuat set izin](howtocreatepermissionset.md).
## Pemecahan masalah
Untuk pemecahan masalah SCIM dan SAFL umum denganOkta, lihat bagian berikut:
+ [Penyediaan ulang pengguna dan grup dihapus dari IAM Identity Center](#reprovisioning-deleted-users-groups)
+ [Kesalahan Penyediaan Otomatis di Okta](#okta-auto-provisioning-error)
+ [Pengguna tertentu gagal melakukan sinkronisasi ke Pusat Identitas IAM dari penyedia SCIM eksternal](troubleshooting.md#issue2)
+ [Masalah mengenai isi pernyataan SAMP yang dibuat oleh IAM Identity Center](troubleshooting.md#issue1)
+ [Gandakan kesalahan pengguna atau grup saat menyediakan pengguna atau grup dengan penyedia identitas eksternal](troubleshooting.md#duplicate-user-group-idp)
+ [Sumber daya tambahan](#gs-okta-troubleshooting-resources)
### Penyediaan ulang pengguna dan grup dihapus dari IAM Identity Center
+ Anda dapat menerima pesan galat berikut di Okta Konsol, jika Anda mencoba mengubah pengguna atau grup yang pernah disinkronkan dan kemudian dihapus dari Pusat Identitas IAM: Okta
+ Dorongan profil otomatis pengguna *Jane Doe* ke aplikasi AWS IAM Identity Center gagal: Kesalahan saat mencoba mendorong pembaruan profil untuk*jane\$1doe@example.com*: Tidak ada pengguna yang dikembalikan untuk pengguna *xxxxx-xxxxxx-xxxxx-xxxxxxx*
+ Grup tertaut tidak ada di AWS IAM Identity Center. Ubah grup tertaut untuk melanjutkan mendorong keanggotaan grup.
+ Anda juga dapat menerima pesan galat berikut di Log Sistem untuk pengguna atau grup Pusat Identitas IAM yang disinkronkan dan dihapus: Okta
+ Kesalahan Okta: Eventfailed application.provision.user.push\$1profile: Tidak ada pengguna yang dikembalikan untuk pengguna *xxxxx-xxxxxx-xxxxx-xxxxxxx*
+ Kesalahan Okta: application.provision.group\$1push.mapping.update.or.delete.failed.with.error: Grup tertaut tidak ada di. AWS IAM Identity Center Ubah grup tertaut untuk melanjutkan mendorong keanggotaan grup.
**Awas**
Pengguna dan grup harus dihapus dari Okta bukan IAM Identity Center jika Anda telah menyinkronkan Okta dan IAM Identity Center menggunakan SCIM.
**Pemecahan masalah Pengguna Pusat Identitas IAM yang dihapus**
Untuk mengatasi masalah ini dengan pengguna Pusat Identitas IAM yang dihapus, pengguna harus dihapus dariOkta. Jika perlu, pengguna ini juga perlu dibuat ulang. Okta Ketika pengguna dibuat ulangOkta, itu juga akan direvisi ke Pusat Identitas IAM melalui SCIM. Untuk informasi selengkapnya tentang menghapus pengguna, lihat [Oktadokumentasi](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-deactivate-user-account.htm).
**catatan**
Jika Anda perlu menghapus akses Okta pengguna ke Pusat Identitas IAM, Anda harus terlebih dahulu menghapusnya dari Push Grup mereka dan kemudian Grup Penugasan mereka masuk. Okta Ini memastikan pengguna dihapus dari keanggotaan grup terkait mereka di IAM Identity Center. [Untuk informasi selengkapnya tentang pemecahan masalah Group Push, lihat Okta dokumentasi.](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm)
**Pemecahan masalah Grup Pusat Identitas IAM yang dihapus**
Untuk mengatasi masalah ini dengan grup Pusat Identitas IAM yang dihapus, grup harus dihapus dari Okta. Jika perlu, grup ini juga perlu dibuat ulang di Okta menggunakan Group Push. Ketika pengguna dibuat ulang di Okta, itu juga akan direvisi ke Pusat Identitas IAM melalui SCIM. Untuk informasi selengkapnya tentang menghapus grup, lihat dokumentasi [Okta](https://help.okta.com/oie/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm).
### Kesalahan Penyediaan Otomatis di Okta
Jika Anda menerima pesan galat berikut diOkta:
Penyediaan otomatis pengguna Jane Doe ke aplikasi AWS IAM Identity Center gagal: Pengguna yang cocok tidak ditemukan
Lihat [Oktadokumentasi](https://support.okta.com/help/s/article/aws-iam-identity-center-provisioning-error-automatic-provisioning-of-user-name-of-user-to-app-aws-iam-identity-center-failed-matching-user-not-found?language=en_US) untuk informasi lebih lanjut.
### Sumber daya tambahan
+ Untuk tips pemecahan masalah SCIM umum, lihat. [Memecahkan masalah Pusat Identitas IAM](troubleshooting.md)
Sumber daya berikut dapat membantu Anda memecahkan masalah saat Anda bekerja dengan: AWS
+ [AWS re:Post](https://repost.aws/)- Temukan FAQs dan tautkan ke sumber daya lain untuk membantu Anda memecahkan masalah.
+ [AWS Dukungan](https://aws.amazon.com/premiumsupport/)- Dapatkan dukungan teknis
# Menyiapkan penyediaan SCIM antara OneLogin dan IAM Identity Center
IAM Identity Center mendukung penyediaan otomatis (sinkronisasi) informasi pengguna dan grup dari OneLogin ke Pusat Identitas IAM menggunakan protokol System for Cross-domain Identity Management (SCIM) v2.0. Untuk informasi selengkapnya, lihat [Menggunakan federasi identitas SAMP dan SCIM dengan penyedia identitas eksternal](other-idps.md).
**catatan**
OneLoginsaat ini tidak mendukung layanan konsumsi pernyataan ganda SAMP (ACS) URLs dalam aplikasi. AWS IAM Identity Center Fitur SAMP ini diperlukan untuk sepenuhnya memanfaatkan [dukungan Multi-wilayah](multi-region-iam-identity-center.md) di IAM Identity Center. Jika Anda berencana untuk mereplikasi Pusat Identitas IAM ke Wilayah tambahan, ketahuilah bahwa menggunakan satu URL ACS dapat memengaruhi pengalaman pengguna di Wilayah tambahan tersebut. Wilayah utama Anda akan terus berfungsi secara normal. Kami menyarankan Anda bekerja dengan vendor IDP Anda untuk mengaktifkan fitur ini. Untuk informasi selengkapnya tentang pengalaman pengguna di Wilayah tambahan dengan satu URL ACS, lihat [Menggunakan aplikasi AWS terkelola tanpa beberapa ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) dan[Akun AWS ketahanan akses tanpa beberapa ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
Anda mengonfigurasi koneksi iniOneLogin, menggunakan titik akhir SCIM Anda untuk IAM Identity Center dan token pembawa yang dibuat secara otomatis oleh IAM Identity Center. Saat mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna OneLogin ke atribut bernama di Pusat Identitas IAM. Hal ini menyebabkan atribut yang diharapkan cocok antara IAM Identity Center danOneLogin.
Langkah-langkah berikut memandu Anda melalui cara mengaktifkan penyediaan otomatis pengguna dan grup dari OneLogin Pusat Identitas IAM menggunakan protokol SCIM.
**catatan**
Sebelum Anda mulai menerapkan SCIM, kami sarankan Anda terlebih dahulu meninjau. [Pertimbangan untuk menggunakan penyediaan otomatis](provision-automatically.md#auto-provisioning-considerations)
**Topics**
+ [Prasyarat](#onelogin-prereqs)
+ [Langkah 1: Aktifkan penyediaan di IAM Identity Center](#onelogin-step1)
+ [Langkah 2: Konfigurasikan penyediaan di OneLogin](#onelogin-step2)
+ [(Opsional) Langkah 3: Konfigurasikan atribut pengguna OneLogin untuk kontrol akses di Pusat Identitas IAM](#onelogin-step3)
+ [(Opsional) Melewati atribut untuk kontrol akses](#onelogin-passing-abac)
+ [Pemecahan masalah](#onelogin-troubleshooting)
## Prasyarat
Anda akan memerlukan yang berikut ini sebelum Anda dapat memulai:
+ Sebuah OneLogin akun. Jika Anda tidak memiliki akun yang ada, Anda mungkin dapat memperoleh uji coba gratis atau akun pengembang dari [OneLoginsitus web](https://www.onelogin.com/free-trial).
+ [Akun berkemampuan Pusat Identitas IAM (gratis).](https://aws.amazon.com/single-sign-on/) Untuk informasi selengkapnya, lihat [Mengaktifkan Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Koneksi SAMP dari OneLogin akun Anda ke IAM Identity Center. Untuk informasi selengkapnya, lihat [Mengaktifkan Single Sign-On Antara OneLogin dan AWS di Blog](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) Jaringan AWS Mitra.
## Langkah 1: Aktifkan penyediaan di IAM Identity Center
Pada langkah pertama ini, Anda menggunakan konsol IAM Identity Center untuk mengaktifkan penyediaan otomatis.
**Untuk mengaktifkan penyediaan otomatis di Pusat Identitas IAM**
1. Setelah Anda menyelesaikan prasyarat, buka konsol Pusat Identitas [IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan** di panel navigasi kiri.
1. **Pada halaman **Pengaturan**, cari kotak Informasi **penyediaan otomatis, lalu pilih Aktifkan**.** Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.
1. Di kotak dialog **Inbound automatic provisioning**, salin endpoint SCIM dan token akses. Anda harus menempelkannya nanti saat mengonfigurasi penyediaan di iDP Anda.
1. **Titik akhir SCIM** - Misalnya, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Access token** - Pilih **Tampilkan token** untuk menyalin nilainya.
**Awas**
Ini adalah satu-satunya waktu di mana Anda dapat memperoleh titik akhir SCIM dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju. Anda akan memasukkan nilai-nilai ini untuk mengkonfigurasi penyediaan otomatis di IDP Anda nanti dalam tutorial ini.
1. Pilih **Tutup**.
Anda sekarang telah menyiapkan penyediaan di konsol Pusat Identitas IAM. Sekarang Anda perlu melakukan tugas yang tersisa menggunakan konsol OneLogin admin seperti yang dijelaskan dalam prosedur berikut.
## Langkah 2: Konfigurasikan penyediaan di OneLogin
Gunakan prosedur berikut di konsol OneLogin admin untuk mengaktifkan integrasi antara IAM Identity Center dan aplikasi IAM Identity Center. Prosedur ini mengasumsikan Anda telah mengkonfigurasi aplikasi AWS Single Sign-On OneLogin untuk otentikasi SAMP. Jika Anda belum membuat koneksi SAMP ini, lakukan sebelum melanjutkan dan kemudian kembali ke sini untuk menyelesaikan proses penyediaan SCIM. Untuk informasi selengkapnya tentang mengonfigurasi SAMP denganOneLogin, lihat [Mengaktifkan Single Sign-On Between OneLogin dan AWS di Blog Jaringan Mitra](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/). AWS
**Untuk mengonfigurasi penyediaan di OneLogin**
1. Masuk keOneLogin, lalu arahkan ke **Applications > Applications**.
1. Pada halaman **Aplikasi**, cari aplikasi yang Anda buat sebelumnya untuk membentuk koneksi SAMP Anda dengan IAM Identity Center. Pilih dan kemudian pilih **Konfigurasi** dari panel navigasi.
1. Pada prosedur sebelumnya, Anda menyalin nilai **endpoint SCIM di IAM** Identity Center. Tempelkan nilai itu ke bidang **URL Dasar SCIM** diOneLogin. Juga, dalam prosedur sebelumnya Anda menyalin nilai **token Access** di IAM Identity Center. Tempelkan nilai itu ke bidang **Token Pembawa SCIM** di. OneLogin
1. Di samping **Koneksi API**, klik **Aktifkan**, lalu klik **Simpan** untuk menyelesaikan konfigurasi.
1. Di panel navigasi, pilih **Penyediaan**.
1. **Pilih kotak centang untuk **Aktifkan penyediaan**, **Buat pengguna**, **Hapus pengguna**, dan **Perbarui pengguna**, lalu pilih Simpan.**
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Klik **Tindakan Lainnya** dan pilih **Sinkronkan login**. Anda harus menerima pesan *Sinkronisasi pengguna dengan AWS Single Sign-On*.
1. Klik **Tindakan Lainnya** lagi, lalu pilih **Terapkan kembali pemetaan hak**. Anda akan menerima pesan *Pemetaan sedang diterapkan kembali*.
1. Pada titik ini, proses penyediaan harus dimulai. Untuk mengonfirmasi hal ini, navigasikan ke **Aktivitas > Acara**, dan pantau kemajuannya. Acara penyediaan yang berhasil, serta kesalahan, akan muncul di aliran acara.
1. **Untuk memverifikasi bahwa semua pengguna dan grup Anda telah berhasil disinkronkan ke Pusat Identitas IAM, kembali ke konsol Pusat Identitas IAM dan pilih Pengguna.** Pengguna Anda yang disinkronkan OneLogin muncul di halaman **Pengguna**. Anda juga dapat melihat grup yang disinkronkan di halaman **Grup**.
1. **Untuk menyinkronkan perubahan pengguna secara otomatis ke Pusat Identitas IAM, arahkan ke halaman **Penyediaan**, cari bagian **Memerlukan persetujuan admin sebelum tindakan ini dilakukan**, hapus pilih **Buat Pengguna, Hapus Pengguna****, and/or **Perbarui Pengguna****, dan klik Simpan.**
## (Opsional) Langkah 3: Konfigurasikan atribut pengguna OneLogin untuk kontrol akses di Pusat Identitas IAM
Ini adalah prosedur opsional OneLogin jika Anda memilih untuk mengkonfigurasi atribut yang akan Anda gunakan di IAM Identity Center untuk mengelola akses ke AWS sumber daya Anda. Atribut yang Anda tentukan OneLogin diteruskan dalam pernyataan SAMP ke IAM Identity Center. Anda kemudian akan membuat set izin di IAM Identity Center untuk mengelola akses berdasarkan atribut yang Anda lewati. OneLogin
Sebelum Anda memulai prosedur ini, Anda harus terlebih dahulu mengaktifkan [Atribut untuk kontrol akses](attributesforaccesscontrol.md) fitur tersebut. Untuk informasi selengkapnya tentang cara melakukan ini, lihat [Aktifkan dan konfigurasikan atribut untuk kontrol akses](configure-abac.md).
**Untuk mengonfigurasi atribut pengguna OneLogin untuk kontrol akses di Pusat Identitas IAM**
1. Masuk keOneLogin, lalu arahkan ke **Applications > Applications**.
1. Pada halaman **Aplikasi**, cari aplikasi yang Anda buat sebelumnya untuk membentuk koneksi SAMP Anda dengan IAM Identity Center. Pilih dan kemudian pilih **Parameter** dari panel navigasi.
1. Di bagian **Parameter yang Diperlukan**, lakukan hal berikut untuk setiap atribut yang ingin Anda gunakan di Pusat Identitas IAM:
1. Pilih **\$1**.
1. Di **Nama bidang**, masukkan`https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`, dan ganti **AttributeName** dengan nama atribut yang Anda harapkan di Pusat Identitas IAM. Misalnya, `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
1. **Di bawah **Bendera**, centang kotak di samping **Sertakan dalam pernyataan SAMP, dan pilih Simpan**.**
1. Di bidang **Nilai**, gunakan daftar drop-down untuk memilih atribut OneLogin pengguna. Misalnya, **Departemen**.
1. Pilih **Simpan**.
## (Opsional) Melewati atribut untuk kontrol akses
Anda dapat secara opsional menggunakan [Atribut untuk kontrol akses](attributesforaccesscontrol.md) fitur di IAM Identity Center untuk meneruskan `Attribute` elemen dengan `Name` atribut yang disetel ke. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tanda sesi dalam pernyataan SAML. Untuk informasi selengkapnya tentang tag sesi, lihat [Melewati tag sesi AWS STS di](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) *Panduan Pengguna IAM*.
Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen `AttributeValue` yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tag`CostCenter = blue`, gunakan atribut berikut.
```
blue
```
Jika Anda perlu menambahkan beberapa atribut, sertakan `Attribute` elemen terpisah untuk setiap tag.
## Pemecahan masalah
Berikut ini dapat membantu Anda memecahkan masalah umum yang mungkin Anda temui saat menyiapkan penyediaan otomatis. OneLogin
**Grup tidak disediakan untuk IAM Identity Center**
Secara default, grup mungkin tidak disediakan dari OneLogin Pusat Identitas IAM. Pastikan Anda telah mengaktifkan penyediaan grup untuk aplikasi Pusat Identitas IAM Anda di. OneLogin Untuk melakukannya, masuk ke konsol OneLogin admin, dan periksa untuk memastikan bahwa opsi **Sertakan dalam Penyediaan Pengguna dipilih di** bawah properti aplikasi Pusat Identitas IAM (aplikasi Pusat Identitas **IAM > Parameter> Grup**). [Untuk detail selengkapnya tentang cara membuat grupOneLogin, termasuk cara menyinkronkan OneLogin peran sebagai grup di SCIM, silakan lihat situs web. OneLogin](https://onelogin.service-now.com/support)
**Tidak ada yang OneLogin disinkronkan dari Pusat Identitas IAM, meskipun semua pengaturan sudah benar**
Selain catatan di atas mengenai persetujuan admin, Anda perlu **Menerapkan kembali pemetaan hak** agar banyak perubahan konfigurasi diterapkan. Ini dapat ditemukan di **Applications > Applications > Aplikasi IAM Identity Center > More Actions**. Anda dapat melihat detail dan log untuk sebagian besar tindakanOneLogin, termasuk peristiwa sinkronisasi, di bawah **Aktivitas > Acara**.
**Saya telah menghapus atau menonaktifkan grup diOneLogin, tetapi masih muncul di Pusat Identitas IAM**
OneLoginsaat ini tidak mendukung operasi SCIM DELETE untuk grup, yang berarti bahwa grup terus ada di IAM Identity Center. Oleh karena itu, Anda harus menghapus grup dari Pusat Identitas IAM secara langsung untuk memastikan bahwa izin yang sesuai di Pusat Identitas IAM untuk grup tersebut dihapus.
**Saya menghapus grup di Pusat Identitas IAM tanpa terlebih dahulu menghapusnya OneLogin dan sekarang saya mengalami user/group masalah sinkronisasi**
Untuk memperbaiki situasi ini, pertama-tama pastikan bahwa Anda tidak memiliki aturan atau konfigurasi penyediaan grup yang berlebihan. OneLogin Misalnya, grup yang langsung ditugaskan ke aplikasi bersama dengan aturan yang menerbitkan ke grup yang sama. Selanjutnya, hapus grup yang tidak diinginkan di Pusat Identitas IAM. Terakhir, diOneLogin, **Segarkan kembali** hak (**Aplikasi Pusat Identitas IAM > Penyediaan> Hak), lalu **Terapkan kembali pemetaan hak (Aplikasi Pusat Identitas IAM** >** Tindakan Lainnya). Untuk menghindari masalah ini di masa mendatang, pertama-tama lakukan perubahan untuk menghentikan penyediaan grupOneLogin, lalu hapus grup dari IAM Identity Center.
# Menggunakan Ping Identity produk dengan IAM Identity Center
Ping IdentityProduk-produk berikut telah diuji dengan IAM Identity Center.
**Topics**
+ [PingFederate](pingfederate-idp.md)
+ [PingOne](pingone-idp.md)
# PingFederate
IAM Identity Center mendukung penyediaan otomatis (sinkronisasi) informasi pengguna dan grup dari PingFederate produk dengan Ping Identity (selanjutnya “Ping”) ke Pusat Identitas IAM. Penyediaan ini menggunakan protokol System for Cross-domain Identity Management (SCIM) v2.0. Untuk informasi selengkapnya, lihat [Menggunakan federasi identitas SAMP dan SCIM dengan penyedia identitas eksternal](other-idps.md).
Anda mengonfigurasi koneksi ini PingFederate menggunakan titik akhir dan token akses IAM Identity Center SCIM Anda. Saat mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna PingFederate ke atribut bernama di Pusat Identitas IAM. Hal ini menyebabkan atribut yang diharapkan cocok antara IAM Identity Center danPingFederate.
Panduan ini didasarkan pada PingFederate versi 10.2. Langkah-langkah untuk versi lain dapat bervariasi. Hubungi Ping untuk informasi selengkapnya tentang cara mengonfigurasi penyediaan ke IAM Identity Center untuk versi lain. PingFederate
Langkah-langkah berikut memandu Anda melalui cara mengaktifkan penyediaan otomatis pengguna dan grup dari PingFederate Pusat Identitas IAM menggunakan protokol SCIM.
**catatan**
Sebelum Anda mulai menerapkan SCIM, kami sarankan Anda terlebih dahulu meninjau. [Pertimbangan untuk menggunakan penyediaan otomatis](provision-automatically.md#auto-provisioning-considerations) Kemudian lanjutkan meninjau pertimbangan tambahan di bagian selanjutnya.
**Topics**
+ [Prasyarat](#pingfederate-prereqs)
+ [Pertimbangan-pertimbangan](#pingfederate-considerations)
+ [Langkah 1: Aktifkan penyediaan di IAM Identity Center](#pingfederate-step1)
+ [Langkah 2: Konfigurasikan penyediaan di PingFederate](#pingfederate-step2)
+ [(Opsional) Langkah 3: Konfigurasikan atribut pengguna di PingFed erate untuk kontrol akses di IAM Identity Center](#pingfederate-step3)
+ [(Opsional) Melewati atribut untuk kontrol akses](#pingfederate-passing-abac)
+ [Pemecahan masalah](#pingfederate-troubleshooting)
## Prasyarat
Anda memerlukan yang berikut ini sebelum Anda dapat memulai:
+ PingFederateServer yang berfungsi. Jika Anda tidak memiliki PingFederate server yang ada, Anda mungkin dapat memperoleh uji coba gratis atau akun pengembang dari situs web [Ping Identity](https://www.pingidentity.com/developer/en/get-started.html#:~:text=Get%20started%20developing%20with%20open,a%20developer%20trial%20of%20PingOne.). Uji coba mencakup lisensi dan unduhan perangkat lunak dan dokumentasi terkait.
+ Salinan perangkat lunak PingFederate IAM Identity Center Connector yang diinstal pada PingFederate server Anda. Untuk informasi lebih lanjut tentang cara mendapatkan perangkat lunak ini, lihat [Konektor Pusat Identitas IAM](https://support.pingidentity.com/s/marketplace-integration/a7i1W000000TOZ1/) di Ping Identity situs web.
+ [Akun berkemampuan Pusat Identitas IAM (gratis).](https://aws.amazon.com/single-sign-on/) Untuk informasi selengkapnya, lihat [Mengaktifkan Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Koneksi SAFL dari PingFederate instans Anda ke IAM Identity Center. Untuk petunjuk tentang cara mengkonfigurasi koneksi ini, lihat PingFederate dokumentasi. Singkatnya, jalur yang disarankan adalah menggunakan Konektor Pusat Identitas IAM untuk mengonfigurasi “Browser SSO”PingFederate, menggunakan fitur metadata “unduh” dan “impor” di kedua ujungnya untuk bertukar metadata SAMP antara dan IAM Identity Center. PingFederate
+ Jika Anda mereplikasi Pusat Identitas IAM ke Wilayah tambahan, Anda harus memperbarui konfigurasi penyedia identitas Anda untuk mengaktifkan akses ke aplikasi AWS terkelola dan Akun AWS dari Wilayah tersebut. Untuk detail selengkapnya, lihat [Langkah 3: Perbarui pengaturan iDP eksternal](replicate-to-additional-region.md#update-external-idp-setup). Lihat PingFederate dokumentasi untuk detail tambahan.
## Pertimbangan-pertimbangan
Berikut ini adalah pertimbangan penting tentang hal PingFederate itu dapat memengaruhi cara Anda menerapkan penyediaan dengan IAM Identity Center.
+ Jika atribut (seperti nomor telepon) dihapus dari pengguna di penyimpanan data yang dikonfigurasiPingFederate, atribut tersebut tidak akan dihapus dari pengguna terkait di Pusat Identitas IAM. Ini adalah batasan yang diketahui dalam PingFederate’s implementasi penyedia. Jika atribut diubah ke nilai yang berbeda (tidak kosong) pada pengguna, perubahan itu akan disinkronkan ke Pusat Identitas IAM.
## Langkah 1: Aktifkan penyediaan di IAM Identity Center
Pada langkah pertama ini, Anda menggunakan konsol IAM Identity Center untuk mengaktifkan penyediaan otomatis.
**Untuk mengaktifkan penyediaan otomatis di Pusat Identitas IAM**
1. Setelah Anda menyelesaikan prasyarat, buka konsol Pusat Identitas [IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan** di panel navigasi kiri.
1. **Pada halaman **Pengaturan**, cari kotak Informasi **penyediaan otomatis, lalu pilih Aktifkan**.** Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.
1. Di kotak dialog **penyediaan otomatis masuk, salin titik** akhir SCIM dan token akses. Anda harus menempelkannya nanti saat mengonfigurasi penyediaan di iDP Anda.
1. **Titik akhir SCIM** - Misalnya, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Access token** - Pilih **Tampilkan token** untuk menyalin nilainya.
**Awas**
Ini adalah satu-satunya waktu di mana Anda dapat memperoleh titik akhir SCIM dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju. Anda akan memasukkan nilai-nilai ini untuk mengkonfigurasi penyediaan otomatis di IDP Anda nanti dalam tutorial ini.
1. Pilih **Tutup**.
Sekarang setelah Anda mengatur penyediaan di konsol Pusat Identitas IAM, Anda harus menyelesaikan tugas yang tersisa menggunakan konsol PingFederate administratif., Langkah-langkahnya dijelaskan dalam prosedur berikut.
## Langkah 2: Konfigurasikan penyediaan di PingFederate
Gunakan prosedur berikut di konsol PingFederate administratif untuk mengaktifkan integrasi antara IAM Identity Center dan IAM Identity Center Connector. Prosedur ini mengasumsikan bahwa Anda telah menginstal perangkat lunak IAM Identity Center Connector. Jika Anda belum melakukannya, lihat[Prasyarat](#pingfederate-prereqs), dan kemudian selesaikan prosedur ini untuk mengonfigurasi penyediaan SCIM.
**penting**
Jika PingFederate server Anda belum dikonfigurasi sebelumnya untuk penyediaan SCIM keluar, Anda mungkin perlu membuat perubahan file konfigurasi untuk mengaktifkan penyediaan. Untuk informasi lebih lanjut, lihat Ping dokumentasi. Singkatnya, Anda harus mengubah `pf.provisioner.mode` pengaturan dalam **pingfederate-/pingfederate/bin/run.properties**file ke nilai selain `OFF` (yang merupakan default), dan restart server jika sedang berjalan. Misalnya, Anda dapat memilih untuk menggunakan `STANDALONE` jika saat ini Anda tidak memiliki konfigurasi ketersediaan tinggi. PingFederate
**Untuk mengonfigurasi penyediaan di PingFederate**
1. Masuk ke konsol PingFederate administratif.
1. Pilih **Aplikasi** dari bagian atas halaman, lalu klik **SP Connections**.
1. Temukan aplikasi yang Anda buat sebelumnya untuk membentuk koneksi SAMP Anda dengan IAM Identity Center, dan klik pada nama koneksi.
1. Pilih **Jenis Koneksi** dari judul navigasi gelap di dekat bagian atas halaman. Anda akan melihat **Browser SSO** sudah dipilih dari konfigurasi SAMP Anda sebelumnya. Jika tidak, Anda harus menyelesaikan langkah-langkah itu terlebih dahulu sebelum Anda dapat melanjutkan.
1. **Pilih kotak centang **Outbound Provisioning**, pilih **IAM Identity Center Cloud Connector** sebagai jenisnya, dan klik Simpan.** Jika **IAM Identity Center Cloud Connector** tidak muncul sebagai opsi, pastikan Anda telah menginstal Konektor Pusat Identitas IAM dan telah memulai ulang server Anda. PingFederate
1. Klik **Berikutnya** berulang kali sampai Anda tiba di halaman **Outbound Provisioning**, dan kemudian klik tombol **Configure** Provisioning.
1. Pada prosedur sebelumnya, Anda menyalin nilai **endpoint SCIM di IAM** Identity Center. Tempelkan nilai itu ke bidang **URL SCIM** di PingFederate konsol. Juga, dalam prosedur sebelumnya Anda menyalin nilai **token Access** di IAM Identity Center. Tempelkan nilai itu ke bidang **Access Token** di PingFederate konsol. Klik **Simpan**.
1. Pada halaman **Konfigurasi Saluran (Konfigurasi Saluran)**, klik **Buat**.
1. **Masukkan **Nama Saluran** untuk saluran penyediaan baru ini (seperti**AWSIAMIdentityCenterchannel**), dan klik Berikutnya.**
1. Pada halaman **Sumber**, pilih **Active Data Store** yang ingin Anda gunakan untuk koneksi ke IAM Identity Center, dan klik **Berikutnya**.
**catatan**
Jika Anda belum mengonfigurasi sumber data, Anda harus melakukannya sekarang. Lihat dokumentasi Ping produk untuk informasi tentang cara memilih dan mengonfigurasi sumber dataPingFederate.
1. Pada halaman **Pengaturan Sumber**, konfirmasikan semua nilai sudah benar untuk instalasi Anda, lalu klik **Berikutnya**.
1. Pada halaman **Lokasi Sumber**, masukkan pengaturan yang sesuai dengan sumber data Anda, lalu klik **Berikutnya**. Misalnya, jika menggunakan Active Directory sebagai direktori LDAP:
1. Masukkan **Base DN** hutan AD Anda (seperti**DC=myforest,DC=mydomain,DC=com**).
1. Di **Users > Group DN**, tentukan satu grup yang berisi semua pengguna yang ingin Anda berikan ke IAM Identity Center. Jika tidak ada grup tunggal seperti itu, buat grup itu di AD, kembali ke pengaturan ini, lalu masukkan DN yang sesuai.
1. **Tentukan apakah akan mencari subgrup (**Pencarian Bersarang**), dan Filter LDAP yang diperlukan.**
1. Di **Grup > Grup DN**, tentukan satu grup yang berisi semua grup yang ingin Anda berikan ke Pusat Identitas IAM. Dalam banyak kasus, ini mungkin DN yang sama seperti yang Anda tentukan di bagian **Pengguna**. Masukkan nilai **Pencarian Bersarang** dan **Filter** sesuai kebutuhan.
1. Pada halaman **Pemetaan Atribut**, pastikan hal berikut, lalu klik **Berikutnya**:
1. Bidang **UserName** harus dipetakan ke **Atribut** yang diformat sebagai email (user@domain.com). Itu juga harus sesuai dengan nilai yang akan digunakan pengguna untuk masuk ke Ping. Nilai ini pada gilirannya diisi dalam `nameId` klaim SAMP selama otentikasi federasi dan digunakan untuk pencocokan dengan pengguna di Pusat Identitas IAM. Misalnya, saat menggunakan Active Directory, Anda dapat memilih untuk menentukan `UserPrincipalName` sebagai **UserName**.
1. Bidang lain yang diakhiran **dengan\$1** harus dipetakan ke atribut yang bukan null untuk pengguna Anda.
1. Pada halaman **Aktivasi & Ringkasan**, atur **Status Saluran** ke **Aktif** untuk menyebabkan sinkronisasi dimulai segera setelah konfigurasi disimpan.
1. Konfirmasikan bahwa semua nilai konfigurasi pada halaman sudah benar, dan klik **Selesai**.
1. Pada halaman **Kelola Saluran**, klik **Simpan**.
1. Pada titik ini, penyediaan dimulai. Untuk mengonfirmasi aktivitas, Anda dapat melihat file **provisioner.log**, yang terletak secara default di **pingfederate-/pingfederate/log**direktori di PingFederate server Anda.
1. **Untuk memverifikasi bahwa pengguna dan grup telah berhasil disinkronkan ke Pusat Identitas IAM, kembali ke Konsol Pusat Identitas IAM dan pilih Pengguna.** Pengguna yang disinkronkan PingFederate muncul di halaman **Pengguna**. Anda juga dapat melihat grup yang disinkronkan di halaman **Grup**.
## (Opsional) Langkah 3: Konfigurasikan atribut pengguna di PingFed erate untuk kontrol akses di IAM Identity Center
Ini adalah prosedur opsional PingFederate jika Anda memilih untuk mengkonfigurasi atribut yang akan Anda gunakan di IAM Identity Center untuk mengelola akses ke AWS sumber daya Anda. Atribut yang Anda tentukan PingFederate diteruskan dalam pernyataan SAMP ke IAM Identity Center. Anda kemudian akan membuat set izin di IAM Identity Center untuk mengelola akses berdasarkan atribut yang Anda lewati. PingFederate
Sebelum Anda memulai prosedur ini, Anda harus terlebih dahulu mengaktifkan [Atribut untuk kontrol akses](attributesforaccesscontrol.md) fitur tersebut. Untuk informasi selengkapnya tentang cara melakukan ini, lihat [Aktifkan dan konfigurasikan atribut untuk kontrol akses](configure-abac.md).
**Untuk mengonfigurasi atribut pengguna PingFederate untuk kontrol akses di Pusat Identitas IAM**
1. Masuk ke konsol PingFederate administratif.
1. Pilih **Aplikasi** dari bagian atas halaman, lalu klik **SP Connections**.
1. Temukan aplikasi yang Anda buat sebelumnya untuk membentuk koneksi SAMP Anda dengan IAM Identity Center, dan klik pada nama koneksi.
1. Pilih **Browser SSO** dari judul navigasi gelap di dekat bagian atas halaman. Kemudian klik **Konfigurasi Browser SSO**.
1. Pada halaman **Configure Browser SSO**, pilih **Assertion Creation**, dan kemudian klik **Configure** Assertion Creation.
1. Pada halaman **Configure Assertion Creation**, pilih **Attribute** Contract.
1. Pada halaman **Kontrak Atribut**, di bawah bagian **Perpanjang Kontrak**, tambahkan atribut baru dengan melakukan langkah-langkah berikut:
1. Di kotak teks, masukkan`https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`, ganti **AttributeName** dengan nama atribut yang Anda harapkan di Pusat Identitas IAM. Misalnya, `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
1. Untuk **Format Nama Atribut**, pilih **urn:oasis:names:tc:SAML:2.0:attrname-format:uri**.
1. Pilih **Tambah**, lalu pilih **Berikutnya**.
1. Pada halaman **Pemetaan Sumber Otentikasi**, pilih Instans Adaptor yang dikonfigurasi dengan aplikasi Anda.
1. Pada halaman **Pemenuhan Kontrak Atribut**, pilih **Sumber** (*penyimpanan data*) dan **Nilai** (*atribut penyimpanan data*) untuk **Kontrak `https://aws.amazon.com/SAML/Attributes/AccessControl:Department` Atribut**.
**catatan**
Jika Anda belum mengonfigurasi sumber data, Anda harus melakukannya sekarang. Lihat dokumentasi Ping produk untuk informasi tentang cara memilih dan mengonfigurasi sumber dataPingFederate.
1. Klik **Berikutnya** berulang kali sampai Anda tiba di halaman **Aktivasi & Ringkasan**, lalu klik **Simpan**.
## (Opsional) Melewati atribut untuk kontrol akses
Anda dapat menggunakan [Atribut untuk kontrol akses](attributesforaccesscontrol.md) fitur ini secara opsional di Pusat Identitas IAM untuk meneruskan `Attribute` elemen dengan `Name` atribut yang disetel ke. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tanda sesi dalam pernyataan SAML. Untuk informasi selengkapnya tentang tag sesi, lihat [Melewati tag sesi AWS STS di](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) *Panduan Pengguna IAM*.
Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen `AttributeValue` yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tag`CostCenter = blue`, gunakan atribut berikut.
```
blue
```
Jika Anda perlu menambahkan beberapa atribut, sertakan `Attribute` elemen terpisah untuk setiap tag.
## Pemecahan masalah
Untuk pemecahan masalah SCIM dan SAMP umum denganPingFederate, lihat bagian berikut:
+ [Pengguna tertentu gagal melakukan sinkronisasi ke Pusat Identitas IAM dari penyedia SCIM eksternal](troubleshooting.md#issue2)
+ [Masalah mengenai isi pernyataan SAMP yang dibuat oleh IAM Identity Center](troubleshooting.md#issue1)
+ [Gandakan kesalahan pengguna atau grup saat menyediakan pengguna atau grup dengan penyedia identitas eksternal](troubleshooting.md#duplicate-user-group-idp)
+ Untuk informasi lebih lanjut tentangPingFederate, lihat [PingFederatedokumentasi](https://docs.pingidentity.com/pingfederate/latest/pf_pf_landing_page.html).
Sumber daya berikut dapat membantu Anda memecahkan masalah saat Anda bekerja dengan: AWS
+ [AWS re:Post](https://repost.aws/)- Temukan FAQs dan tautkan ke sumber daya lain untuk membantu Anda memecahkan masalah.
+ [AWS Dukungan](https://aws.amazon.com/premiumsupport/)- Dapatkan dukungan teknis
# PingOne
IAM Identity Center mendukung penyediaan otomatis (sinkronisasi) informasi pengguna dari PingOne produk dengan Ping Identity (selanjutnya “Ping”) ke Pusat Identitas IAM. Penyediaan ini menggunakan protokol System for Cross-domain Identity Management (SCIM) v2.0. Anda mengonfigurasi koneksi ini PingOne menggunakan titik akhir dan token akses IAM Identity Center SCIM Anda. Saat mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna PingOne ke atribut bernama di Pusat Identitas IAM. Hal ini menyebabkan atribut yang diharapkan cocok antara IAM Identity Center danPingOne.
Langkah-langkah berikut memandu Anda melalui cara mengaktifkan penyediaan otomatis pengguna dari PingOne Pusat Identitas IAM menggunakan protokol SCIM.
**catatan**
Sebelum Anda mulai menerapkan SCIM, kami sarankan Anda terlebih dahulu meninjau. [Pertimbangan untuk menggunakan penyediaan otomatis](provision-automatically.md#auto-provisioning-considerations) Kemudian lanjutkan meninjau pertimbangan tambahan di bagian selanjutnya.
**Topics**
+ [Prasyarat](#pingone-prereqs)
+ [Pertimbangan-pertimbangan](#pingone-considerations)
+ [Langkah 1: Aktifkan penyediaan di IAM Identity Center](#pingone-step1)
+ [Langkah 2: Konfigurasikan penyediaan di PingOne](#pingone-step2)
+ [(Opsional) Langkah 3: Konfigurasikan atribut pengguna PingOne untuk kontrol akses di Pusat Identitas IAM](#pingone-step3)
+ [(Opsional) Melewati atribut untuk kontrol akses](#pingone-passing-abac)
+ [Pemecahan masalah](#pingone-troubleshooting)
## Prasyarat
Anda memerlukan yang berikut ini sebelum Anda dapat memulai:
+ PingOneLangganan atau uji coba gratis, dengan otentikasi federasi dan kemampuan penyediaan. Untuk informasi lebih lanjut tentang cara mendapatkan uji coba gratis, lihat situs [https://www.pingidentity.com/en/trials.html](https://www.pingidentity.com/en/trials.html)web.
+ [Akun berkemampuan Pusat Identitas IAM (gratis).](https://aws.amazon.com/single-sign-on/) Untuk informasi selengkapnya, lihat [Mengaktifkan Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Aplikasi PingOne IAM Identity Center ditambahkan ke portal PingOne admin Anda. Anda dapat memperoleh aplikasi PingOne IAM Identity Center dari Katalog PingOne Aplikasi. Untuk informasi umum, lihat [Menambahkan aplikasi dari Katalog Aplikasi](https://docs.pingidentity.com/pingone/applications/p1_applicationcatalog.html) di Ping Identity situs web.
+ Koneksi SAFL dari PingOne instans Anda ke IAM Identity Center. Setelah aplikasi PingOne IAM Identity Center ditambahkan ke portal PingOne admin Anda, Anda harus menggunakannya untuk mengonfigurasi koneksi SAMP dari PingOne instans Anda ke IAM Identity Center. Gunakan fitur metadata “unduh” dan “impor” di kedua ujungnya untuk bertukar metadata SAMP antara PingOne dan IAM Identity Center. Untuk petunjuk tentang cara mengkonfigurasi koneksi ini, lihat PingOne dokumentasi.
+ Jika Anda mereplikasi Pusat Identitas IAM ke Wilayah tambahan, Anda harus memperbarui konfigurasi penyedia identitas Anda untuk mengaktifkan akses ke aplikasi AWS terkelola dan Akun AWS dari Wilayah tersebut. Untuk detail selengkapnya, lihat [Langkah 3: Perbarui pengaturan iDP eksternal](replicate-to-additional-region.md#update-external-idp-setup). Lihat PingOne dokumentasi untuk detail tambahan.
## Pertimbangan-pertimbangan
Berikut ini adalah pertimbangan penting tentang hal PingOne itu dapat memengaruhi cara Anda menerapkan penyediaan dengan IAM Identity Center.
+ PingOnetidak mendukung penyediaan kelompok melalui SCIM. Hubungi Ping untuk informasi terbaru tentang dukungan grup di SCIM untukPingOne.
+ Pengguna dapat terus disediakan PingOne setelah menonaktifkan penyediaan di portal admin. PingOne Jika Anda perlu segera menghentikan penyediaan, hapus token pembawa SCIM yang relevan, and/or nonaktifkan [Menyediakan pengguna dan grup dari penyedia identitas eksternal menggunakan SCIM](provision-automatically.md) di Pusat Identitas IAM.
+ Jika atribut untuk pengguna dihapus dari penyimpanan data yang dikonfigurasiPingOne, atribut tersebut tidak akan dihapus dari pengguna terkait di Pusat Identitas IAM. Ini adalah batasan yang diketahui dalam PingOne’s implementasi penyedia. Jika atribut diubah, perubahan akan disinkronkan ke IAM Identity Center.
+ Berikut ini adalah catatan penting mengenai konfigurasi SAMP Anda diPingOne:
+ IAM Identity Center hanya mendukung `emailaddress` sebagai `NameId` format. Ini berarti Anda harus memilih atribut pengguna yang unik dalam direktori Anda diPingOne, non-null, dan diformat sebagai email/UPN (misalnya, user@domain.com) untuk pemetaan **SAML\$1SUBJECT** Anda di. PingOne **Email (Work)** adalah nilai yang wajar untuk digunakan untuk konfigurasi pengujian dengan direktori PingOne bawaan.
+ Pengguna PingOne dengan alamat email yang berisi karakter **\$1** mungkin tidak dapat masuk ke Pusat Identitas IAM, dengan kesalahan seperti `'SAML_215'` atau`'Invalid input'`. **Untuk memperbaikinya, diPingOne, pilih opsi **Lanjutan** untuk pemetaan **SAML\$1SUBJECT** di Pemetaan Atribut.** Kemudian atur **Format ID Nama untuk dikirim ke SP:** ke **urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress**dalam menu drop-down.
## Langkah 1: Aktifkan penyediaan di IAM Identity Center
Pada langkah pertama ini, Anda menggunakan konsol IAM Identity Center untuk mengaktifkan penyediaan otomatis.
**Untuk mengaktifkan penyediaan otomatis di Pusat Identitas IAM**
1. Setelah Anda menyelesaikan prasyarat, buka konsol Pusat Identitas [IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan** di panel navigasi kiri.
1. **Pada halaman **Pengaturan**, cari kotak Informasi **penyediaan otomatis, lalu pilih Aktifkan**.** Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.
1. Di kotak dialog **penyediaan otomatis masuk, salin titik** akhir SCIM dan token akses. Anda harus menempelkannya nanti saat mengonfigurasi penyediaan di iDP Anda.
1. **Titik akhir SCIM** - Misalnya, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Access token** - Pilih **Tampilkan token** untuk menyalin nilainya.
**Awas**
Ini adalah satu-satunya waktu di mana Anda dapat memperoleh titik akhir SCIM dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju. Anda akan memasukkan nilai-nilai ini untuk mengkonfigurasi penyediaan otomatis di IDP Anda nanti dalam tutorial ini.
1. Pilih **Tutup**.
Sekarang setelah Anda menyiapkan penyediaan di konsol Pusat Identitas IAM, Anda harus menyelesaikan tugas yang tersisa menggunakan aplikasi Pusat Identitas PingOne IAM. Langkah-langkah ini dijelaskan dalam prosedur berikut.
## Langkah 2: Konfigurasikan penyediaan di PingOne
Gunakan prosedur berikut dalam aplikasi PingOne IAM Identity Center untuk mengaktifkan penyediaan dengan IAM Identity Center. Prosedur ini mengasumsikan bahwa Anda telah menambahkan aplikasi PingOne IAM Identity Center ke portal PingOne admin Anda. Jika Anda belum melakukannya, lihat[Prasyarat](#pingone-prereqs), dan kemudian selesaikan prosedur ini untuk mengonfigurasi penyediaan SCIM.
**Untuk mengonfigurasi penyediaan di PingOne**
1. Buka aplikasi PingOne IAM Identity Center yang Anda instal sebagai bagian dari konfigurasi SAMP untuk PingOne (**Applications > **My** Applications**). Lihat [Prasyarat](#pingone-prereqs).
1. Gulir ke bagian bawah halaman. Di bawah **Penyediaan Pengguna**, pilih tautan **lengkap** untuk menavigasi ke konfigurasi penyediaan pengguna koneksi Anda.
1. Pada halaman **Petunjuk Penyediaan**, pilih **Lanjutkan ke Langkah Berikutnya**.
1. Pada prosedur sebelumnya, Anda menyalin nilai **endpoint SCIM di IAM** Identity Center. Tempelkan nilai itu ke bidang **URL SCIM** di aplikasi PingOne IAM Identity Center. Juga, dalam prosedur sebelumnya Anda menyalin nilai **token Access** di IAM Identity Center. Tempelkan nilai itu ke bidang **ACCESS\$1TOKEN** di aplikasi PingOne IAM Identity Center.
1. Untuk **REMOVE\$1ACTION**, pilih salah satu **Dinonaktifkan** atau **Dihapus** (lihat teks deskripsi di halaman untuk detail selengkapnya).
1. Pada halaman **Pemetaan Atribut**, pilih nilai yang akan digunakan untuk pernyataan **SAML\$1SUBJECT** (`NameId`), mengikuti panduan dari sebelumnya di halaman ini. [Pertimbangan-pertimbangan](#pingone-considerations) Kemudian pilih **Lanjutkan ke Langkah Berikutnya**.
1. Pada halaman **Kustomisasi PingOne Aplikasi - Pusat Identitas IAM**, buat perubahan penyesuaian yang diinginkan (opsional), dan klik **Lanjutkan ke Langkah Berikutnya**.
1. Pada halaman **Akses Grup**, pilih grup yang berisi pengguna yang ingin Anda aktifkan untuk penyediaan dan masuk tunggal ke Pusat Identitas IAM. Pilih **Lanjutkan ke Langkah Berikutnya**.
1. Gulir ke bagian bawah halaman, dan pilih **Selesai** untuk memulai penyediaan.
1. **Untuk memverifikasi bahwa pengguna telah berhasil disinkronkan ke Pusat Identitas IAM, kembali ke konsol Pusat Identitas IAM dan pilih Pengguna.** Pengguna yang disinkronkan dari PingOne akan muncul di halaman **Pengguna**. Pengguna ini sekarang dapat ditugaskan ke akun dan aplikasi dalam IAM Identity Center.
Ingat bahwa PingOne tidak mendukung penyediaan kelompok atau keanggotaan kelompok melalui SCIM. Hubungi Ping untuk informasi lebih lanjut.
## (Opsional) Langkah 3: Konfigurasikan atribut pengguna PingOne untuk kontrol akses di Pusat Identitas IAM
Ini adalah prosedur opsional PingOne jika Anda memilih untuk mengkonfigurasi atribut untuk IAM Identity Center untuk mengelola akses ke AWS sumber daya Anda. Atribut yang Anda tentukan PingOne diteruskan dalam pernyataan SAMP ke IAM Identity Center. Anda kemudian membuat set izin di Pusat Identitas IAM untuk mengelola akses berdasarkan atribut yang Anda lewati. PingOne
Sebelum Anda memulai prosedur ini, Anda harus terlebih dahulu mengaktifkan [Atribut untuk kontrol akses](attributesforaccesscontrol.md) fitur tersebut. Untuk informasi selengkapnya tentang cara melakukan ini, lihat [Aktifkan dan konfigurasikan atribut untuk kontrol akses](configure-abac.md).
**Untuk mengonfigurasi atribut pengguna PingOne untuk kontrol akses di Pusat Identitas IAM**
1. Buka aplikasi PingOne IAM Identity Center yang Anda instal sebagai bagian dari konfigurasi SAMP untuk PingOne (**Applications > My Applications**).
1. Pilih **Edit**, lalu pilih **Lanjutkan ke Langkah Berikutnya** hingga Anda masuk ke halaman **Pemetaan Atribut**.
1. Pada halaman **Pemetaan Atribut**, pilih **Tambahkan atribut baru**, lalu lakukan hal berikut. Anda harus melakukan langkah-langkah ini untuk setiap atribut yang akan Anda tambahkan untuk digunakan di Pusat Identitas IAM untuk kontrol akses.
1. Di bidang **Atribut Aplikasi**, masukkan`https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`. Ganti *AttributeName* dengan nama atribut yang Anda harapkan di IAM Identity Center. Misalnya, `https://aws.amazon.com/SAML/Attributes/AccessControl:Email`.
1. Di bidang **Atribut Jembatan Identitas atau Nilai Literal**, pilih atribut pengguna dari PingOne direktori Anda. Misalnya, **Email (Kerja)**.
1. Pilih **Berikutnya** beberapa kali, lalu pilih **Selesai**.
## (Opsional) Melewati atribut untuk kontrol akses
Anda dapat menggunakan [Atribut untuk kontrol akses](attributesforaccesscontrol.md) fitur ini secara opsional di Pusat Identitas IAM untuk meneruskan `Attribute` elemen dengan `Name` atribut yang disetel ke. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tanda sesi dalam pernyataan SAML. Untuk informasi selengkapnya tentang tag sesi, lihat [Melewati tag sesi AWS STS di](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) *Panduan Pengguna IAM*.
Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen `AttributeValue` yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tag`CostCenter = blue`, gunakan atribut berikut.
```
blue
```
Jika Anda perlu menambahkan beberapa atribut, sertakan `Attribute` elemen terpisah untuk setiap tag.
## Pemecahan masalah
Untuk pemecahan masalah SCIM dan SAMP umum denganPingOne, lihat bagian berikut:
+ [Pengguna tertentu gagal melakukan sinkronisasi ke Pusat Identitas IAM dari penyedia SCIM eksternal](troubleshooting.md#issue2)
+ [Masalah mengenai isi pernyataan SAMP yang dibuat oleh IAM Identity Center](troubleshooting.md#issue1)
+ [Gandakan kesalahan pengguna atau grup saat menyediakan pengguna atau grup dengan penyedia identitas eksternal](troubleshooting.md#duplicate-user-group-idp)
+ Untuk informasi lebih lanjut tentangPingOne, lihat [PingOnedokumentasi](https://docs.pingidentity.com/pingone/p1_cloud__platform_main_landing_page.html).
Sumber daya berikut dapat membantu Anda memecahkan masalah saat Anda bekerja dengan: AWS
+ [AWS re:Post](https://repost.aws/)- Temukan FAQs dan tautkan ke sumber daya lain untuk membantu Anda memecahkan masalah.
+ [AWS Dukungan](https://aws.amazon.com/premiumsupport/)- Dapatkan dukungan teknis
# Konfigurasikan akses pengguna dengan direktori IAM Identity Center default
Ketika Anda mengaktifkan IAM Identity Center untuk pertama kalinya, secara otomatis dikonfigurasi dengan direktori Pusat Identitas sebagai sumber identitas default Anda, sehingga Anda tidak perlu memilih sumber identitas. Jika organisasi Anda menggunakan penyedia identitas lain sepertiMicrosoft Active Directory,Microsoft Entra ID, atau Okta pertimbangkan untuk mengintegrasikan sumber identitas tersebut dengan IAM Identity Center alih-alih menggunakan konfigurasi default.
**Objektif**
Dalam tutorial ini, Anda akan menggunakan direktori default sebagai sumber identitas Anda dan instance organisasi IAM Identity Center untuk menyiapkan dan menguji pengguna administratif. Pengguna administratif ini membuat dan mengelola pengguna dan grup dan memberikan AWS akses dengan set izin. Pada langkah selanjutnya, Anda akan membuat yang berikut:
+ Pengguna administratif bernama *Nikki Wolf*
+ Sebuah kelompok bernama *Admin team*
+ Sebuah set izin bernama *AdminAccess*
Untuk memverifikasi semuanya dibuat dengan benar, Anda akan masuk dan menyetel kata sandi pengguna administratif. Setelah menyelesaikan tutorial ini, Anda dapat menggunakan pengguna administratif untuk menambahkan lebih banyak pengguna di IAM Identity Center, membuat set izin tambahan, dan mengatur akses organisasi ke aplikasi. Atau, jika Anda ingin memberi pengguna akses ke aplikasi, Anda dapat mengikuti [langkah 1](#gs-qs-step1) dari prosedur ini dan [mengonfigurasi akses aplikasi](manage-your-applications.md).
## Prasyarat
Prasyarat berikut diperlukan untuk menyelesaikan tutorial ini:
+ [Aktifkan Pusat Identitas IAM](enable-identity-center.md)dan memiliki [contoh organisasi dari IAM Identity Center](organization-instances-identity-center.md).
+ Jika Anda memiliki [instance akun](account-instances-identity-center.md) IAM Identity Center, Anda dapat membuat pengguna dan grup serta memberi mereka akses ke aplikasi. Untuk informasi selengkapnya, lihat [Akses aplikasi](manage-your-applications.md).
+ Masuk ke Konsol Manajemen AWS dan akses konsol Pusat Identitas IAM baik sebagai:
+ **Baru di AWS (pengguna root)** - Masuk sebagai pemilik akun dengan memilih **pengguna Akun AWS root** dan memasukkan alamat Akun AWS email Anda. Di laman berikutnya, masukkan kata sandi.
+ **Sudah menggunakan AWS (kredensi IAM) - Masuk menggunakan kredenal** IAM Anda dengan izin administratif.
+ Untuk bantuan selengkapnya saat masuk Konsol Manajemen AWS, lihat [AWS Sign-In Panduan.](https://docs.aws.amazon.com//signin/latest/userguide/how-to-sign-in.html)
+ Anda dapat mengonfigurasi otentikasi multi-faktor untuk pengguna Pusat Identitas IAM Anda. Untuk informasi selengkapnya, lihat [Konfigurasikan MFA di Pusat Identitas IAM](mfa-configure.md).
## Langkah 1: Tambahkan pengguna
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Di panel navigasi Pusat Identitas IAM, pilih **Pengguna**, lalu pilih **Tambah** pengguna.
1. Pada halaman **Tentukan detail pengguna**, lengkapi informasi berikut:
+ **Nama pengguna** - Untuk tutorial ini, masukkan*nikkiw*.
Saat membuat pengguna, pilih nama pengguna yang mudah diingat. Pengguna Anda harus mengingat nama pengguna untuk masuk ke portal AWS akses dan Anda tidak dapat mengubahnya nanti.
+ **Kata Sandi** - Pilih **Kirim email ke pengguna ini dengan instruksi pengaturan kata sandi (Disarankan)**.
Opsi ini mengirimkan email kepada pengguna yang dialamatkan dari Amazon Web Services, dengan baris subjek **Undangan untuk bergabung dengan Pusat Identitas IAM**. Email berasal dari salah satu `no-reply@signin.aws` atau`no-reply@login.awsapps.com`. Tambahkan alamat email ini ke daftar pengirim yang disetujui.
+ **Alamat email** - Masukkan alamat email untuk pengguna tempat Anda dapat menerima email. Kemudian, masukkan lagi untuk mengonfirmasinya. Setiap pengguna harus memiliki alamat email yang unik.
+ **Nama depan** - Masukkan nama depan untuk pengguna. Untuk tutorial ini, masukkan *Nikki*.
+ **Nama belakang** - Masukkan nama belakang untuk pengguna. Untuk tutorial ini, masukkan *Wolf*.
+ **Nama tampilan** - Nilai default adalah nama depan dan belakang pengguna. Jika Anda ingin mengubah nama tampilan, Anda dapat memasukkan sesuatu yang berbeda. Nama tampilan terlihat di portal masuk dan daftar pengguna.
+ Lengkapi informasi opsional jika diinginkan. Ini tidak digunakan selama tutorial ini dan Anda dapat mengubahnya nanti.
1. Pilih **Berikutnya**. Halaman **Tambahkan pengguna ke grup** muncul. Kita akan membuat grup untuk menetapkan izin administratif alih-alih memberikannya langsung. *Nikki*
Pilih **Buat grup**
Tab browser baru terbuka untuk menampilkan halaman **Buat grup**.
1. Di bawah **Detail grup****, di Nama grup** masukkan nama untuk grup. Kami merekomendasikan nama grup yang mengidentifikasi peran grup. Untuk tutorial ini, masukkan *Admin team*.
1. Pilih **Buat grup**
1. Tutup tab Browser **Grup** untuk kembali ke tab **Tambah browser pengguna**
1. Di area **Grup**, pilih tombol **Refresh**. *Admin team*Grup muncul dalam daftar.
Pilih kotak centang di sebelah*Admin team*, lalu pilih **Berikutnya**.
1. Pada halaman **Tinjau dan tambahkan pengguna**, konfirmasikan hal berikut:
+ Informasi utama muncul seperti yang Anda inginkan
+ Grup menunjukkan pengguna yang ditambahkan ke grup yang Anda buat
Jika Anda ingin membuat perubahan, pilih **Edit**. Ketika semua detail sudah benar pilih **Tambahkan pengguna**.
Pesan notifikasi memberi tahu Anda bahwa pengguna telah ditambahkan.
Selanjutnya, Anda akan menambahkan izin administratif untuk *Admin team* grup sehingga *Nikki* memiliki akses ke sumber daya.
## Langkah 2: Tambahkan izin administratif
**penting**
Ikuti langkah-langkah ini hanya jika Anda mengaktifkan [instans organisasi Pusat Identitas IAM](identity-center-instances.md).
1. Di panel navigasi Pusat Identitas IAM, di bawah **izin Multi-akun**, pilih. **Akun AWS**
1. Pada **Akun AWS**halaman, **struktur Organisasi** menampilkan organisasi Anda dengan akun Anda di bawahnya dalam hierarki. Pilih kotak centang untuk akun manajemen Anda, lalu pilih **Tetapkan pengguna atau grup**.
1. Tampilan alur kerja **Tetapkan pengguna dan grup**. Ini terdiri dari tiga langkah:
1. Untuk **Langkah 1: Pilih pengguna dan grup** pilih *Admin team* grup yang Anda buat. Lalu pilih **Selanjutnya**.
1. Untuk **Langkah 2: Pilih set izin** pilih **Buat set izin** untuk membuka tab baru yang memandu Anda melalui tiga sub-langkah yang terlibat dalam membuat set izin.
1. Untuk **Langkah 1: Pilih jenis set izin** lengkapi yang berikut ini:
+ Dalam **Jenis set izin**, pilih **Set izin yang telah ditentukan sebelumnya**.
+ Dalam **Kebijakan untuk set izin yang telah ditentukan sebelumnya**, pilih **AdministratorAccess**.
Pilih **Berikutnya**.
1. Untuk **Langkah 2: Tentukan detail set izin**, pertahankan pengaturan default, dan pilih **Berikutnya**.
Pengaturan default membuat set izin bernama *AdministratorAccess* dengan durasi sesi diatur ke satu jam. Anda dapat mengubah nama set izin dengan memasukkan nama baru di bidang **Nama set izin**.
1. Untuk **Langkah 3: Tinjau dan buat**, verifikasi bahwa **jenis set Izin** menggunakan kebijakan AWS terkelola **AdministratorAccess**. Pilih **Buat**. Pada halaman **Set izin**, pemberitahuan muncul memberi tahu Anda bahwa set izin telah dibuat. Anda dapat menutup tab ini di browser web Anda sekarang.
Pada tab **Tetapkan pengguna dan grup** browser, Anda masih pada **Langkah 2: Pilih set izin** dari mana Anda memulai alur kerja set izin buat.
Di area **set Izin**, pilih tombol **Refresh**. Set *AdministratorAccess* izin yang Anda buat muncul dalam daftar. Pilih kotak centang untuk set izin tersebut dan kemudian pilih **Berikutnya**.
1. Pada **Langkah 3: Tinjau dan kirimkan halaman tugas**, konfirmasikan bahwa *Admin team* grup dipilih dan set *AdministratorAccess* izin dipilih, lalu pilih **Kirim**.
Halaman diperbarui dengan pesan bahwa Anda Akun AWS sedang dikonfigurasi. Tunggu sampai proses selesai.
Anda dikembalikan ke Akun AWS halaman. Pesan notifikasi memberi tahu Anda bahwa pesan Anda Akun AWS telah direvisi dan set izin yang diperbarui diterapkan.
**Selamat\$1**
Anda telah berhasil mengatur set pengguna, grup, dan izin pertama Anda.
Di bagian berikutnya dari tutorial ini Anda akan menguji *Nikki's* akses dengan masuk ke portal AWS akses dengan kredensi administratif mereka dan mengatur kata sandi mereka. Keluar dari konsol sekarang.
## Langkah 3: Uji akses pengguna
Sekarang *Nikki Wolf* pengguna di organisasi Anda, mereka dapat masuk dan mengakses sumber daya yang mereka berikan izin sesuai dengan set izin mereka. Untuk memverifikasi bahwa pengguna telah dikonfigurasi dengan benar, pada langkah berikutnya Anda akan menggunakan *Nikki's* kredensional untuk masuk dan mengatur kata sandi mereka. Ketika Anda menambahkan pengguna *Nikki Wolf* di Langkah 1 Anda memilih untuk *Nikki* menerima email dengan instruksi pengaturan kata sandi. Saatnya membuka email itu dan melakukan hal berikut:
1. Di email, pilih tautan **Terima undangan** untuk menerima undangan.
**catatan**
Email tersebut juga menyertakan nama *Nikki's* pengguna dan URL portal AWS akses yang akan mereka gunakan untuk masuk ke organisasi. Catat informasi ini untuk digunakan di masa mendatang.
Anda dibawa ke halaman **pendaftaran pengguna baru** di mana Anda dapat mengatur *Nikki's* kata sandi dan [mendaftarkan perangkat MFA mereka](enable-mfa.md).
1. Setelah menyetel *Nikki's* kata sandi, Anda akan dinavigasi ke halaman **Masuk**. Masuk *nikkiw* dan pilih **Berikutnya**, lalu masukkan *Nikki's* kata sandi dan pilih **Masuk**.
1. Portal AWS akses terbuka menampilkan organisasi dan aplikasi yang dapat Anda akses.
Pilih organisasi untuk memperluasnya ke dalam daftar Akun AWS lalu pilih akun untuk menampilkan peran yang dapat Anda gunakan untuk mengakses sumber daya di akun.
Setiap set izin memiliki dua metode manajemen yang dapat Anda gunakan, **kunci **Peran** atau Akses**.
+ **Peran**, misalnya *AdministratorAccess* - Membuka AWS Console Home.
+ **Kunci akses** - Menyediakan kredenal yang dapat Anda gunakan dengan AWS CLI atau dan AWS SDK. Termasuk informasi untuk menggunakan kredensi jangka pendek yang secara otomatis menyegarkan atau kunci akses jangka pendek. Untuk informasi selengkapnya, lihat [Mendapatkan kredensi pengguna IAM Identity Center untuk atau AWS CLI AWS SDKs](howtogetcredentials.md).
1. Pilih tautan **Peran** untuk masuk ke AWS Console Home.
Anda masuk dan dinavigasi ke AWS Console Home halaman. Jelajahi konsol dan konfirmasikan bahwa Anda memiliki akses yang Anda harapkan.
## Langkah selanjutnya
Sekarang setelah Anda membuat pengguna administratif di IAM Identity Center, Anda dapat:
+ [Tetapkan aplikasi](manage-your-applications.md)
+ [Tambahkan pengguna lain](addusers.md)
+ [Tetapkan pengguna ke akun](assignusers.md)
+ [Konfigurasikan set izin tambahan](howtocreatepermissionset.md)
**catatan**
Anda dapat menetapkan beberapa set izin ke pengguna yang sama. Untuk mengikuti praktik terbaik menerapkan izin hak istimewa paling sedikit, setelah Anda membuat pengguna administratif, buat set izin yang lebih ketat dan tetapkan ke pengguna yang sama. Dengan begitu, Anda dapat mengakses Anda hanya Akun AWS dengan izin yang Anda butuhkan, bukan izin administratif.
Setelah pengguna Anda [menerima undangan mereka](howtoactivateaccount.md) untuk mengaktifkan akun mereka dan mereka masuk ke portal AWS akses, satu-satunya item yang muncul di portal adalah untuk Akun AWS, peran, dan aplikasi tempat mereka ditugaskan.
## Tutorial video
Sebagai sumber daya tambahan, Anda dapat menggunakan tutorial video ini untuk mempelajari lebih lanjut tentang pengaturan penyedia identitas eksternal:
+ [Migrasi antar penyedia identitas eksternal di AWS IAM Identity Center](https://www.youtube.com/watch?v=A87tSiBdSnU)
+ [Menggabungkan AWS IAM Identity Center instance Anda yang ada dengan Microsoft Entra ID](https://www.youtube.com/watch?v=iSCuTJNeN6c)