Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identitätsverwaltung
Research and Engineering Studio kann jeden SAML 2.0-kompatiblen Identitätsanbieter verwenden. Informationen zur Verwendung von Amazon Cognito als systemeigenem Benutzerverzeichnis, das es Benutzern ermöglicht, sich VDIs mit Cognito-Benutzeridentitäten am Webportal und unter Linux anzumelden, finden Sie unter. [Amazon Cognito Cognito-Benutzer einrichten](setting-up-cognito-users.md) Wenn Sie RES mithilfe der externen Ressourcen bereitgestellt haben oder planen, IAM Identity Center zu verwenden, finden Sie weitere Informationen unter. [Single Sign-On (SSO) mit IAM Identity Center einrichten](sso-idc.md) Wenn Sie über einen eigenen SAML 2.0-kompatiblen Identitätsanbieter verfügen, finden Sie weitere Informationen unter. [Konfiguration Ihres Identitätsanbieters für Single Sign-On (SSO)](configure-id-federation.md)
**Topics**
+ [Amazon Cognito Cognito-Benutzer einrichten](setting-up-cognito-users.md)
+ [Active Directory-Synchronisierung](active-directory-sync.md)
+ [Single Sign-On (SSO) mit IAM Identity Center einrichten](sso-idc.md)
+ [Konfiguration Ihres Identitätsanbieters für Single Sign-On (SSO)](configure-id-federation.md)
+ [Passwörter für Benutzer einrichten](setting-user-passwords.md)
# Amazon Cognito Cognito-Benutzer einrichten
Research and Engineering Studio (RES) ermöglicht es Ihnen, Amazon Cognito als systemeigenes Benutzerverzeichnis einzurichten. Auf diese Weise können sich Benutzer VDIs mit Amazon Cognito Cognito-Benutzeridentitäten im Webportal und auf Linux-Basis anmelden. Administratoren können mithilfe einer CSV-Datei aus der Konsole mehrere Benutzer in den Benutzerpool importieren. AWS Weitere Informationen zum Massenimport von Benutzern finden Sie unter [Benutzer aus einer CSV-Datei in Benutzerpools importieren](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-using-import-tool.html) im *Amazon Cognito Developer Guide*. RES unterstützt die gleichzeitige Verwendung eines auf Amazon Cognito basierenden systemeigenen Benutzerverzeichnisses und SSO.
## Administrative Einrichtung
**Um als RES-Administrator die RES-Umgebung für die Verwendung von Amazon Cognito als Benutzerverzeichnis zu konfigurieren, aktivieren **Sie die Schaltfläche Amazon Cognito als Benutzerverzeichnis verwenden** auf der **Identitätsverwaltungsseite, auf die Sie von der Seite Environment Management** aus zugreifen können.** Um Benutzern die Selbstregistrierung zu ermöglichen, klicken Sie auf derselben Seite auf die Schaltfläche **Benutzerselbstregistrierung**.
![\[Seite zur Identitätsverwaltung mit Cognito-Verzeichniseinstellungen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/id-management-cognito-directory.png)
## Ablauf der Benutzeranmeldung up/sign
Wenn die **Benutzerselbstregistrierung** aktiviert ist, können Sie Ihren Benutzern die URL Ihrer Webanwendung geben. Dort finden Benutzer eine Option mit der Aufschrift **Noch kein Benutzer? Melde dich hier** an.
![\[Benutzeranmeldeseite mit der Option zur Selbstregistrierung\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/user-sign-up.png)
## Ablauf der Registrierung
Nutzer, die wählen **Noch kein Nutzer? Wenn Sie sich hier anmelden**, werden Sie aufgefordert, ihre E-Mail-Adresse und ihr Passwort einzugeben, um ein Konto zu erstellen.
![\[Kontoseite für die Selbstregistrierung von Benutzern erstellen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/create-account.png)
Im Rahmen des Anmeldevorgangs werden die Benutzer aufgefordert, den Bestätigungscode einzugeben, den sie in ihrer E-Mail erhalten haben, um den Anmeldevorgang abzuschließen.
![\[Seite zur Eingabe des Bestätigungscodes\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/verify-email.png)
Wenn die Selbstregistrierung deaktiviert ist, wird den Benutzern der Anmeldelink nicht angezeigt. Administratoren müssen die Benutzer in Amazon Cognito außerhalb von RES konfigurieren. (Weitere Informationen finden Sie unter [Erstellen von Benutzerkonten als Administrator](https://docs.aws.amazon.com/cognito/latest/developerguide/how-to-create-user-accounts.html) im *Amazon Cognito Developer Guide*.)
![\[Seite zur Eingabe des Bestätigungscodes\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/user-sign-in.png)
## Optionen für die Anmeldeseite
Wenn sowohl SSO als auch Amazon Cognito aktiviert sind, wird eine Option zur **Anmeldung mit Organisations-SSO** angezeigt. Wenn Benutzer auf diese Option klicken, werden sie auf ihre SSO-Anmeldeseite weitergeleitet. Standardmäßig authentifizieren sich Benutzer bei Amazon Cognito, wenn es aktiviert ist.
![\[Benutzeranmeldeseite mit Optionen zur Registrierung, Kontoverifizierung oder Anmeldung mit Unternehmens-SSO\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/org-sso-sign-in.png)
## Beschränkungen
+ Ihr Amazon Cognito **Cognito-Gruppenname** darf aus maximal sechs Buchstaben bestehen. Es werden nur Kleinbuchstaben akzeptiert.
+ Die Amazon Cognito Cognito-Registrierung erlaubt nicht zwei E-Mail-Adressen mit demselben Benutzernamen, aber einer unterschiedlichen Domainadresse.
+ Wenn sowohl Active Directory als auch Amazon Cognito aktiviert sind und das System einen doppelten Benutzernamen erkennt, dürfen sich nur Active Directory-Benutzer authentifizieren. Administratoren sollten Maßnahmen ergreifen, um doppelte Benutzernamen zwischen Amazon Cognito und ihrem Active Directory nicht zu konfigurieren.
+ Cognito-Benutzer dürfen Windows-basiert nicht starten, VDIs da RES die Amazon Cognito-basierte Authentifizierung für Windows-Instances nicht unterstützt.
## Administratorgruppe für Amazon Cognito Cognito-Benutzer
Standardmäßig gewährt RES Cognito-Benutzern innerhalb der `admins` Gruppe Administratorrechte. Um Benutzer zur `admins` Cognito-Gruppe hinzuzufügen:
1. Navigieren Sie zur [Amazon Cognito Cognito-Konsole](https://console.aws.amazon.com/cognito/home) und wählen Sie den vorhandenen Benutzerpool aus, der für RES verwendet wird.
1. Navigieren Sie unter **Benutzerverwaltung** zu **Gruppen** und wählen Sie dann **Gruppe erstellen** aus.
1. Geben Sie auf der Seite **Gruppe erstellen** im Feld **Gruppenname den Wert** ein`admins`.
1. Wählen Sie die `admins` Gruppe aus, die Sie erstellt haben, und wählen **Sie Benutzer zur Gruppe** hinzufügen, um Cognito-Benutzer hinzuzufügen.
1. Starten Sie die Cognito-Synchronisierung manuell, indem Sie wie folgt vorgehen[Synchronisierung](#setting-up-cognito-users-sync).
Nach einer erfolgreichen Amazon Cognito-Synchronisierung erhalten Benutzer, die der `admins` Gruppe hinzugefügt wurden, Administratorrechte.
## Synchronisierung
RES synchronisiert seine Datenbank stündlich mit Benutzer- und Gruppeninformationen von Amazon Cognito. Allen Benutzern, die der Gruppe „Admins“ angehören, wird in ihrer Gruppe das Sudo-Recht eingeräumt. VDIs
Sie können die Synchronisierung auch manuell über die Lambda-Konsole initiieren.
**Initiieren Sie den Synchronisierungsvorgang manuell:**
1. Öffnen Sie die [Lambda-Konsole](https://console.aws.amazon.com/lambda).
1. Suchen Sie nach dem Cognito Sync Lambda. Dieses Lambda folgt dieser Namenskonvention:`{RES_ENVIRONMENT_NAME}_cognito-sync-lambda`.
1. Wählen Sie **Test** aus.
1. Wählen Sie im Abschnitt **Testereignis** oben rechts die Schaltfläche **Testen** aus. Das Format des Hauptteils des Ereignisses spielt keine Rolle.
## Sicherheitsüberlegungen für Cognito
Vor der Version 2024.12 war die [Protokollierung von Benutzeraktivitäten](https://docs.aws.amazon.com/cognito/latest/developerguide/feature-plans-features-plus.html), die Teil der Amazon Cognito Plus-Planfunktion ist, standardmäßig aktiviert. Diese Funktion wurde aus der Basisbereitstellung entfernt, um Kunden, die RES testen möchten, Kosten zu sparen. Sie können diese Funktion bei Bedarf wieder aktivieren, um sie an die Cloud-Sicherheitseinstellungen Ihres Unternehmens anzupassen.
# Active Directory-Synchronisierung
## Laufzeit-Konfiguration
Alle AWS CloudFormation Parameter, die sich auf Active Directory (AD) beziehen, sind während der Installation optional.
![\[Optionale Angaben zu Active Directory\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/active-directory-details.png)
Stellen Sie für jeden geheimen ARN, der zur Laufzeit bereitgestellt wird (z. B. `ServiceAccountCredentialsSecretArn` oder`DomainTLSCertificateSecretArn`), sicher, dass Sie dem Secret die folgenden Tags hinzufügen, damit RES Berechtigungen zum Lesen des geheimen Werts erhält:
+ Schlüssel: `res:EnvironmentName` Wert: ``
+ Schlüssel: `res:ModuleName` Wert: `directoryservice`
Alle AD-Konfigurationsaktualisierungen im Webportal werden bei der nächsten geplanten AD-Synchronisierung (stündlich) automatisch übernommen. Benutzer müssen SSO möglicherweise neu konfigurieren, nachdem sie die AD-Konfiguration geändert haben (z. B. wenn sie zu einem anderen AD wechseln).
Nach der Erstinstallation können Administratoren die AD-Konfiguration im RES-Webportal auf der **Identitätsverwaltungsseite** einsehen oder bearbeiten:
![\[Einzelheiten zu den Konfigurationseinstellungen der Active Directory-Domäne\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-active-directory-domain.png)
![\[Pop-up zur Active Directory-Synchronisierung\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/active-directory-synchronization.png)
### Automatisch Active Directory beitreten
Administratoren können die Einstellung **Automatisch Active Directory beitreten** konfigurieren, um das Verhalten beim Start von VDI-Verzeichnisdomänen zu steuern.
**Konfigurationsoptionen:**
+ **Aktiviert** — Fügt Windows und Linux VDIs beim Start automatisch Ihrer Verzeichnisdomäne hinzu.
+ **Deaktiviert — Deaktiviert** den automatischen Domänenbeitritt. Linux-Instances können mit oder ohne Domänenbeitritt gestartet werden. Für den erfolgreichen Start von Windows-Instanzen ist ein Domänenbeitritt erforderlich. Daher müssen Administratoren die Logik für den Domänenbeitritt in ihre benutzerdefinierten Startskripts einbeziehen.
**Wichtig**
Wenn Sie diese Einstellung deaktivieren, stellen Sie sicher, dass Ihre benutzerdefinierten Startskripts für Windows-Instances die erforderliche Logik für den Domänenbeitritt enthalten.
### Zusätzliche Einstellungen
**Filter**
Administratoren können die zu synchronisierenden Benutzer oder Gruppen mithilfe der Optionen **Benutzerfilter** und **Gruppenfilter filtern**. Die Filter müssen der [LDAP-Filtersyntax](https://ldap.com/ldap-filters/) folgen. Ein Beispielfilter ist:
```
(sAMAccountname=)
```
**Benutzerdefinierte SSSD-Parameter**
Administratoren können ein Wörterbuch mit Schlüssel-Wert-Paaren bereitstellen, das SSSD-Parameter und Werte enthält, um sie in den `[domain_type/DOMAIN_NAME]` Abschnitt der SSSD-Konfigurationsdatei auf Cluster-Instances zu schreiben. RES wendet die SSSD-Updates automatisch an — es startet den SSSD-Dienst auf Clusterinstanzen neu und löst den AD-Synchronisierungsprozess aus.
Einige gängige benutzerdefinierte SSSD-Einstellungen sind:
+ `enumerate`- Auf 'true' setzen, um alle Benutzer- und Gruppeneinträge aus dem Verzeichnisdienst zwischenzuspeichern. Wenn Sie dies deaktivieren, könnte es zu einer kurzen Verzögerung bei der ersten Anmeldung der Benutzer kommen.
+ `ldap_id_mapping`- Auf „true“ setzen, um LDAP/AD Benutzer und Gruppe dem lokalen System UIDs und GIDs dem Linux-System IDs zuzuordnen. Wenn Sie dies aktivieren, kann die Kompatibilität mit vorhandenen POSIX-Skripten und -Anwendungen verbessert werden.
Eine vollständige Beschreibung der SSSD-Konfigurationsdatei finden Sie in den Linux-Manpages für. `SSSD`
![\[Zusätzliche SSSD-Konfigurationen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-additional-sssd-config1.png)
Die SSSD-Parameter und -Werte müssen mit der RES-SSSD-Konfiguration kompatibel sein, wie hier beschrieben:
+ `id_provider`wird intern von RES festgelegt und darf nicht geändert werden.
+ AD-bezogene Konfigurationen`ldap_uri`, einschließlich, `ldap_default_bind_dn` und`ldap_search_base`, `ldap_default_authtok` werden auf der Grundlage der anderen bereitgestellten AD-Konfigurationen festgelegt und dürfen nicht geändert werden.
Im folgenden Beispiel wird die Debug-Ebene für SSSD-Protokolle aktiviert:
![\[Zusätzliche SSSD-Konfigurationen, die das eingegebene neue Schlüssel- und Wertepaar anzeigen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-additional-sssd-config2.png)
## E-Mail-Update nach der ersten AD-Synchronisierung (Version 2025.09 und höher)
Wenn sich die E-Mail-Adresse eines Active Directory-Benutzers geändert hat, können Administratoren die AD-Synchronisierung manuell starten oder auf die nächste geplante AD-Synchronisierung warten, bis die Änderung übernommen und mit RES synchronisiert wird.
## Wie kann die Synchronisierung manuell gestartet oder gestoppt werden (Version 2025.03 und höher)
Navigieren Sie zur **Identitätsverwaltungsseite** und klicken Sie im **Active Directory-Domänencontainer** auf die Schaltfläche **AD-Synchronisierung starten**, um bei Bedarf eine AD-Synchronisierung auszulösen.
![\[Active Directory-Domänenkonfigurationen\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-ad-directory-sync1.png)
Um eine laufende AD-Synchronisierung zu **beenden, klicken Sie im **Active Directory-Domänencontainer** auf die Schaltfläche AD-Synchronisierung** beenden.
![\[Seite mit Active Directory-Domänenkonfigurationen mit der Option zum Beenden der Synchronisation\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-ad-directory-sync2.png)
Sie können auch den AD-Synchronisierungsstatus und die letzte Synchronisierungszeit im **Active Directory-Domänencontainer** überprüfen.
![\[Seite mit den Active Directory-Domänenkonfigurationen mit der letzten Synchronisierungszeit\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-ad-directory-sync3.png)
## Wie führe ich die Synchronisierung manuell aus (Version 2024.12 und 2024.12.01)
Der Active Directory-Synchronisierungsprozess wurde vom Cluster Manager-Infrastrukturhost auf eine einmalige Amazon Elastic Container Service (ECS) -Aufgabe im Hintergrund verschoben. Der Prozess ist so geplant, dass er stündlich ausgeführt wird, und Sie können eine laufende ECS-Aufgabe in der Amazon ECS-Konsole unter dem `-ad-sync-cluster` Cluster finden, während sie in Bearbeitung ist.
**Um ihn manuell zu starten:**
1. Navigieren Sie zur [Lambda-Konsole](https://console.aws.amazon.com/lambda) und suchen Sie nach dem aufgerufenen Lambda. `-scheduled-ad-sync`
1. **Öffnen Sie die Lambda-Funktion und gehen Sie zu Test**
1. Geben Sie im **Event-JSON** Folgendes ein:
```
{
"detail-type": "Scheduled Event"
}
```
1. Wählen Sie **Test** aus.
1. Beachten Sie die Protokolle der laufenden AD Sync-Aufgabe unter **CloudWatch**→ **Protokollgruppen** →`//ad-sync`. Sie sehen die Protokolle aller laufenden ECS-Aufgaben. Wählen Sie die neueste Version aus, um die Protokolle anzuzeigen.
**Anmerkung**
Wenn Sie die AD-Parameter ändern oder AD-Filter hinzufügen, fügt RES die neuen Benutzer anhand der neu angegebenen Parameter hinzu und entfernt Benutzer, die zuvor synchronisiert wurden und nicht mehr im LDAP-Suchbereich enthalten sind.
RES kann einen Benutzer oder eine Gruppe, die aktiv einem Projekt zugewiesen ist, nicht entfernen. Sie müssen Benutzer aus Projekten entfernen, damit RES sie aus der Umgebung entfernt.
## SSO-Konfiguration
Nach der Bereitstellung der AD-Konfiguration müssen Benutzer Single Sign-On (SSO) einrichten, um sich als AD-Benutzer beim RES-Webportal anmelden zu können. Die SSO-Konfiguration wurde von der Seite **„Allgemeine Einstellungen“ auf die neue Seite „****Identitätsverwaltung**“ verschoben. Weitere Informationen zur Einrichtung von SSO finden Sie unter[Identitätsverwaltung](manage-users.md).
# Single Sign-On (SSO) mit IAM Identity Center einrichten
Wenn Sie noch kein Identity Center haben, das mit dem verwalteten Active Directory verbunden ist, beginnen Sie mit[Schritt 1: Richten Sie ein Identitätscenter ein](#set-up-identity-center). Wenn Sie bereits ein Identity Center haben, das mit dem verwalteten Active Directory verbunden ist, beginnen Sie mit[Schritt 2: Connect zu einem Identitätscenter her](#connect-identity-center).
**Anmerkung**
Wenn Sie in einer GovCloud Region bereitstellen, richten Sie SSO in dem AWS GovCloud (US) Partitionskonto ein, in dem Sie Research and Engineering Studio bereitgestellt haben.
## Schritt 1: Richten Sie ein Identitätscenter ein
### IAM Identity Center aktivieren
1. Melden Sie sich bei der [AWS Identity and Access Management -Konsole](https://console.aws.amazon.com/iam) an.
1. Öffnen Sie das **Identity Center**.
1. Wählen Sie **Enable (Aktivieren)** aus.
1. Wählen Sie **Aktivieren mit AWS Organizations**.
1. Klicken Sie auf **Weiter**.
**Anmerkung**
Stellen Sie sicher, dass Sie sich in derselben Region befinden, in der Sie Ihr verwaltetes Active Directory haben.
### IAM Identity Center mit einem verwalteten Active Directory verbinden
Nachdem Sie IAM Identity Center aktiviert haben, führen Sie die folgenden empfohlenen Einrichtungsschritte durch:
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. Wählen Sie unter **Identitätsquelle** die Option **Aktionen** und dann **Identitätsquelle ändern** aus.
1. Wählen Sie unter **Bestehende Verzeichnisse** Ihr Verzeichnis aus.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie Ihre Änderungen und geben Sie sie **ACCEPT** in das Bestätigungsfeld ein.
1. Wählen Sie **Identitätsquelle ändern**.
### Benutzer und Gruppen mit Identity Center synchronisieren
Sobald die vorgenommenen Änderungen abgeschlossen [IAM Identity Center mit einem verwalteten Active Directory verbinden](#connecting-identity-center-ad) sind, erscheint ein grünes Bestätigungsbanner.
1. Wählen Sie im Bestätigungsbanner die Option **Geführte Einrichtung starten** aus.
1. **Wählen **Sie unter Attributzuordnungen konfigurieren** die Option Weiter aus.**
1. Geben Sie im Abschnitt **Benutzer** die Benutzer ein, die Sie synchronisieren möchten.
1. Wählen Sie **Hinzufügen** aus.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie Ihre Änderungen und wählen Sie dann **Konfiguration speichern**.
1. Der Synchronisierungsvorgang kann einige Minuten dauern. Wenn Sie eine Warnmeldung darüber erhalten, dass Benutzer nicht synchronisieren, wählen Sie **Synchronisierung fortsetzen**.
### Aktivieren von Benutzern
1. Wählen Sie im Menü **Benutzer** aus.
1. Wählen Sie die Benutzer aus, für die Sie den Zugriff aktivieren möchten.
1. Wählen Sie **Benutzerzugriff aktivieren**.
## Schritt 2: Connect zu einem Identitätscenter her
### Einrichtung der Anwendung im IAM Identity Center
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon/).
1. Wählen Sie **Applications (Anwendungen)**.
1. Wählen Sie **Anwendung hinzufügen**.
1. Wählen Sie unter **Setup-Einstellungen** die Option **Ich habe eine Anwendung, die ich einrichten möchte** aus.
1. Wählen Sie unter **Anwendungstyp** die Option **SAML 2.0** aus.
1. Wählen Sie **Weiter** aus.
1. Geben Sie den Anzeigenamen und die Beschreibung ein, die Sie verwenden möchten.
1. Kopieren Sie unter **IAM Identity Center-Metadaten** den Link für die **SAML-Metadatendatei von IAM Identity Center**. Sie benötigen dies, wenn Sie IAM Identity Center mit dem RES-Portal konfigurieren.
1. Geben Sie unter **Anwendungseigenschaften** die **Start-URL Ihrer Anwendung** ein. Beispiel, `/sso`.
1. Geben Sie unter **ACS-URL der Anwendung** die Umleitungs-URL aus dem RES-Portal ein. Um das zu finden:
1. Wählen Sie unter **Umgebungsmanagement** die Option **Allgemeine Einstellungen** aus.
1. Wählen Sie die Registerkarte **Identitätsanbieter** aus.
1. Unter **Single Sign-On** finden Sie die **SAML-Umleitungs-URL**.
1. Geben Sie unter **Anwendungs-SAML-Zielgruppe** die Amazon Cognito Cognito-URN ein.
Um die Urne zu erstellen:
1. Öffnen Sie im RES-Portal **die Allgemeinen Einstellungen**.
1. Suchen Sie auf der Registerkarte **Identitätsanbieter** nach der **Benutzerpool-ID**.
1. Fügen Sie die **Benutzerpool-ID** zu dieser Zeichenfolge hinzu:
```
urn:amazon:cognito:sp:
```
1. Nachdem Sie die Amazon Cognito Cognito-URN eingegeben haben, wählen Sie **Submit**.
### Konfiguration von Attributzuordnungen für die Anwendung
1. Öffnen Sie im **Identity Center** die Details für Ihre erstellte Anwendung.
1. Wählen Sie **Aktionen** und anschließend **Attributzuordnungen bearbeiten** aus.
1. Geben Sie unter **Betreff** ein. **\$1\$1user:email\$1**
1. Wählen Sie unter **Format** die Option **E-Mail-Adresse** aus.
1. Wählen Sie **Neue Attributzuordnung hinzufügen** aus.
1. Geben Sie **in der Anwendung unter Benutzerattribut** „E-Mail“ ein.
1. Geben Sie unter **Zuordnungen zu diesem Zeichenkettenwert oder Benutzerattribut in IAM Identity Center** den folgenden Wert ein. **\$1\$1user:email\$1**
1. Geben Sie unter **Format** den Wert „nicht spezifiziert“ ein.
1. Wählen Sie **Änderungen speichern ** aus.
### Benutzer zur Anwendung in IAM Identity Center hinzufügen
1. Öffnen Sie im Identity Center die Option **Zugewiesene Benutzer** für Ihre erstellte Anwendung und wählen Sie **Benutzer zuweisen** aus.
1. Wählen Sie die Benutzer aus, denen Sie Anwendungszugriff zuweisen möchten.
1. Wählen Sie **Assign users (Benutzer zuweisen)** aus.
### Einrichtung von IAM Identity Center in der RES-Umgebung
1. Öffnen Sie in der Research and Engineering Studio-Umgebung unter **Umgebungsmanagement** die Option **Allgemeine Einstellungen**.
1. Öffnen Sie die Registerkarte **Identitätsanbieter**.
1. Wählen Sie unter **Single Sign-On** die Option **Bearbeiten** (neben **Status**) aus.
1. Füllen Sie das Formular mit den folgenden Informationen aus:
1. Wählen Sie **SAML**.
1. Geben Sie unter **Anbietername** einen benutzerfreundlichen Namen ein.
1. Wählen Sie „**Endpunkt-URL für Metadaten-Dokument eingeben**“.
1. Geben Sie die URL ein, die Sie währenddessen kopiert haben[Einrichtung der Anwendung im IAM Identity Center](#setup-application-identity-center).
1. Geben Sie unter **E-Mail-Attribut des Anbieters** „E-Mail“ ein.
1. Wählen Sie **Absenden** aus.
1. Aktualisieren Sie die Seite und überprüfen Sie, ob der **Status als aktiviert** angezeigt wird.
# Konfiguration Ihres Identitätsanbieters für Single Sign-On (SSO)
Research and Engineering Studio lässt sich in jeden SAML 2.0-Identitätsanbieter integrieren, um den Benutzerzugriff auf das RES-Portal zu authentifizieren. Diese Schritte enthalten Anweisungen zur Integration mit dem von Ihnen ausgewählten SAML 2.0-Identitätsanbieter. Wenn Sie beabsichtigen, IAM Identity Center zu verwenden, finden Sie weitere Informationen unter. [Single Sign-On (SSO) mit IAM Identity Center einrichten](sso-idc.md)
**Anmerkung**
Die E-Mail-Adresse des Benutzers muss in der IDP-SAML-Assertion und in Active Directory übereinstimmen. Sie müssen Ihren Identitätsanbieter mit Ihrem Active Directory verbinden und Benutzer regelmäßig synchronisieren.
**Topics**
+ [Konfigurieren Sie Ihren Identitätsanbieter](#configure-id-federation_config-idp)
+ [Konfigurieren Sie RES für die Verwendung Ihres Identitätsanbieters](#configure-id-federation_config-res)
+ [Konfiguration Ihres Identitätsanbieters in einer Umgebung außerhalb der Produktionsumgebung](#configure-id-federation-demo-env)
+ [Debuggen von SAML-IdP-Problemen](#configure-id-federation_debug)
## Konfigurieren Sie Ihren Identitätsanbieter
Dieser Abschnitt enthält die Schritte zur Konfiguration Ihres Identitätsanbieters mit Informationen aus dem RES Amazon Cognito Cognito-Benutzerpool.
1. RES geht davon aus, dass Sie über ein AD (AWS Managed AD oder ein selbst bereitgestelltes AD) mit den Benutzeridentitäten verfügen, die Zugriff auf das RES-Portal und die Projekte haben. Connect Sie Ihr AD mit Ihrem Identitätsdienstanbieter und synchronisieren Sie die Benutzeridentitäten. In der Dokumentation Ihres Identitätsanbieters erfahren Sie, wie Sie Ihr AD verbinden und Benutzeridentitäten synchronisieren. Weitere Informationen finden Sie beispielsweise [unter Verwenden von Active Directory als Identitätsquelle](https://docs.aws.amazon.com/singlesignon/latest/userguide/gs-ad.html) im *AWS IAM Identity Center Benutzerhandbuch*.
1. Konfigurieren Sie eine SAML 2.0-Anwendung für RES in Ihrem Identity Provider (IdP). Diese Konfiguration erfordert die folgenden Parameter:
+ **SAML-Umleitungs-URL** — Die URL, die Ihr IdP verwendet, um die SAML 2.0-Antwort an den Dienstanbieter zu senden.
**Anmerkung**
Je nach IdP kann die SAML-Umleitungs-URL einen anderen Namen haben:
URL der Anwendung
URL des Assertion Consumer Service (ACS)
ACS-POST-Bindungs-URL
**Um die URL zu erhalten**
1. Melden Sie sich bei RES als Administrator oder ****Clusteradmin**** an.
1. Navigieren Sie zu **Environment Management** ⇒ **Allgemeine Einstellungen** ⇒ **Identity** Provider.
1. Wählen Sie **SAML-Umleitungs-URL**.
+ **SAML-Zielgruppen-URI** — Die eindeutige ID der SAML-Zielgruppenentität auf der Seite des Dienstanbieters.
**Anmerkung**
Je nach IdP kann die SAML-Zielgruppen-URI einen anderen Namen haben:
ClientID
SAML-Zielgruppe der Anwendung
SP-Entitäts-ID
Geben Sie die Eingabe im folgenden Format an.
```
urn:amazon:cognito:sp:user-pool-id
```
**Um Ihre SAML-Zielgruppen-URI zu finden**
1. Melden Sie sich bei RES als Administrator oder ****Clusteradmin**** an.
1. Navigieren Sie zu **Environment Management** ⇒ **Allgemeine Einstellungen** ⇒ **Identity** Provider.
1. Wählen Sie **Benutzerpool-ID**.
1. Für die SAML-Assertion, die an RES gesendet wird, muss die E-Mail-Adresse des Benutzers wie folgt fields/claims festgelegt sein:
+ SAML-Betreff oder NameID
+ SAML-E-Mail
1. Ihr IdP trägt je fields/claims nach Konfiguration zur SAML-Assertion bei. RES benötigt diese Felder. Die meisten Anbieter füllen diese Felder standardmäßig automatisch aus. Beachten Sie die folgenden Feldeingaben und Werte, wenn Sie sie konfigurieren müssen.
+ **AudienceRestriction**— Eingestellt auf`urn:amazon:cognito:sp:user-pool-id`. *user-pool-id*Ersetzen Sie es durch die ID Ihres Amazon Cognito Cognito-Benutzerpools.
```
urn:amazon:cognito:sp:user-pool-id
```
+ **Antwort** — Eingestellt `InResponseTo` auf. `https://user-pool-domain/saml2/idpresponse` *user-pool-domain*Ersetzen Sie es durch den Domainnamen Ihres Amazon Cognito Cognito-Benutzerpools.
```
```
+ **SubjectConfirmationData**— Stellen Sie `Recipient` Ihren `saml2/idpresponse` Benutzerpool-Endpunkt und `InResponseTo` die ursprüngliche SAML-Anforderungs-ID ein.
```
```
+ **AuthnStatement**— Konfigurieren Sie wie folgt:
```
urn:oasis:names:tc:SAML:2.0:ac:classes:Password
```
1. Wenn Ihre SAML-Anwendung über ein Abmelde-URL-Feld verfügt, setzen Sie es auf:. `/saml2/logout`
**Um die Domain-URL zu erhalten**
1. Melden Sie sich bei RES als Administrator oder ****Clusteradmin**** an.
1. Navigieren Sie zu **Environment Management** ⇒ **Allgemeine Einstellungen** ⇒ **Identity** Provider.
1. Wählen Sie **Domain-URL**.
1. Wenn Ihr IdP ein Signaturzertifikat akzeptiert, um Vertrauen mit Amazon Cognito aufzubauen, laden Sie das Amazon Cognito-Signaturzertifikat herunter und laden Sie es in Ihren IdP hoch.
**Um das Signaturzertifikat zu erhalten**
1. Öffnen Sie die [Amazon-Cognito-Konsole](https://console.aws.amazon.com/cognito/v2/idp/user-pools/).
1. Wählen Sie Ihren Benutzerpool aus. Ihr Benutzerpool sollte es sein`res--user-pool`.
1. Wählen Sie die Registerkarte **Anmeldeerfahrung** aus.
1. Wählen Sie im Abschnitt **Anmeldung mit dem Federated Identity Provider die Option Signaturzertifikat** **anzeigen** aus.
![\[Die Amazon Cognito Cognito-Konsole mit der Schaltfläche Signaturzertifikat anzeigen im Anmeldebereich des Federated Identity Providers für einen ausgewählten Benutzerpool.\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/cognito-user-pool-signing-cert.png)
Sie können dieses Zertifikat verwenden, um Active Directory-IDP einzurichten`relying party trust`, einen hinzuzufügen und die SAML-Unterstützung für diese vertrauende Partei zu aktivieren.
**Anmerkung**
Dies gilt nicht für Keycloak und IDC.
1. Nachdem die Einrichtung der Anwendung abgeschlossen ist, laden Sie die SAML 2.0-Anwendungsmetadaten (XML oder URL) herunter. Sie verwenden es im nächsten Abschnitt.
## Konfigurieren Sie RES für die Verwendung Ihres Identitätsanbieters
**Um das Single Sign-On-Setup für RES abzuschließen**
1. Melden Sie sich bei RES als Administrator oder ****Clusteradmin**** an.
1. Navigieren Sie zu **Environment Management** ⇒ **Allgemeine Einstellungen** ⇒ **Identity** Provider.
![\[Die Benutzeroberfläche der Umgebungseinstellungen in RES, einschließlich eines Abschnitts für Single Sign-On.\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/environment-settings.png)
1. Wählen Sie unter **Single Sign-On** das Bearbeitungssymbol neben der Statusanzeige, um die Seite **Single Sign-On-Konfiguration zu** öffnen.
![\[Die Benutzeroberfläche für die Single Sign-On-Konfiguration in RES.\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/sso-config.png)
1. Wählen Sie als **Identity Provider** **SAML** aus.
1. Geben Sie **unter Anbietername** einen eindeutigen Namen für Ihren Identitätsanbieter ein.
**Anmerkung**
Die folgenden Namen sind nicht zulässig:
Cognito
IdentityCenter
1. Wählen Sie unter **Metadaten-Dokumentquelle** die entsprechende Option aus und laden Sie das Metadaten-XML-Dokument hoch oder geben Sie die URL vom Identitätsanbieter an.
1. Geben Sie für das **Anbieter-E-Mail-Attribut** den Textwert ein`email`.
1. Wählen Sie **Absenden** aus.
1. Laden Sie die Seite mit den **Umgebungseinstellungen** neu. Single Sign-On ist aktiviert, wenn die Konfiguration korrekt war.
## Konfiguration Ihres Identitätsanbieters in einer Umgebung außerhalb der Produktionsumgebung
Wenn Sie die bereitgestellten [externen Ressourcen](prerequisites.md#external-resources) verwendet haben, um eine RES-Umgebung außerhalb der Produktion zu erstellen, und IAM Identity Center als Ihren Identitätsanbieter konfiguriert haben, möchten Sie möglicherweise einen anderen Identitätsanbieter wie Okta konfigurieren. Das Formular zur RES-SSO-Aktivierung fragt nach drei Konfigurationsparametern:
1. Anbietername — Kann nicht geändert werden
1. Metadaten-Dokument oder URL — Kann geändert werden
1. E-Mail-Attribut des Anbieters — Kann geändert werden
**Gehen Sie wie folgt vor, um das Metadatendokument und das E-Mail-Attribut des Anbieters zu ändern:**
1. Melden Sie sich bei der Amazon-Cognito-Konsole an.
1. Wählen Sie in der Navigation **Benutzerpools** aus.
1. Wählen Sie Ihren Benutzerpool aus, um die **Übersicht über den Benutzerpool** anzuzeigen.
1. Gehen Sie auf der Registerkarte **Anmeldeerfahrung** zur **Anmeldung mit dem Federated Identity Provider** und öffnen Sie Ihren konfigurierten Identity Provider.
1. Im Allgemeinen müssen Sie nur die Metadaten ändern und die Attributzuordnung unverändert lassen. Um die **Attributzuordnung** zu aktualisieren, wählen Sie **Bearbeiten**. Um das **Metadaten-Dokument** zu aktualisieren, wählen Sie „**Metadaten ersetzen**“.
![\[Der Amazon Cognito Cognito-Benutzerpool im Überblick.\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-attributemetadata.png)
1. Wenn Sie die Attributzuordnung bearbeitet haben, müssen Sie die `.cluster-settings` Tabelle in DynamoDB aktualisieren.
1. Öffnen Sie die DynamoDB-Konsole und wählen Sie in der **Navigation Tabellen** aus.
1. Suchen Sie die `.cluster-settings` Tabelle, wählen Sie sie aus und wählen Sie im Menü **Aktionen** die Option Elemente **durchsuchen** aus.
1. Gehen **Sie unter Elemente scannen oder abfragen** zu **Filter** und geben Sie die folgenden Parameter ein:
+ **Name des Attributs** — `key`
+ **Wert** — `identity-provider.cognito.sso_idp_provider_email_attribute`
1. Klicken Sie auf **Ausführen**.
1. Suchen Sie unter **Zurückgegebene Artikel nach** der `identity-provider.cognito.sso_idp_provider_email_attribute` Zeichenfolge und wählen Sie **Bearbeiten**, um die Zeichenfolge an Ihre Änderungen in Amazon Cognito anzupassen.
![\[Das Amazon Cognito Cognito-Update der in DynamoDB zurückgegebenen Filter und Artikel.\]](http://docs.aws.amazon.com/de_de/res/latest/ug/images/res-scanqueryitems.png)
## Debuggen von SAML-IdP-Problemen
**SAML-Tracer** — Sie können diese Erweiterung für den Chrome-Browser verwenden, um SAML-Anfragen zu verfolgen und die SAML-Assertion-Werte zu überprüfen. Weitere Informationen finden Sie unter [SAML-Tracer](https://chromewebstore.google.com/detail/saml-tracer/mpdajninpobndbfcldcmbpnnbhibjmch?pli=1) im Chrome Web Store.
**SAML-Entwicklertools — OneLogin stellt Tools** bereit, mit denen Sie den SAML-codierten Wert dekodieren und die erforderlichen Felder in der SAML-Assertion überprüfen können. Weitere Informationen finden Sie auf der Website unter [Base 64 Decode](https://www.samltool.com/decode.php) \$1 Inflate. OneLogin
**Amazon CloudWatch Logs** — Sie können Ihre CloudWatch RES-Protokolle in Logs auf Fehler oder Warnungen überprüfen. Ihre Protokolle befinden sich in einer Protokollgruppe mit dem Namensformat`/res-environment-name/cluster-manager`.
**Amazon Cognito-Dokumentation** — Weitere Informationen zur SAML-Integration mit Amazon Cognito finden Sie unter [Hinzufügen von SAML-Identitätsanbietern zu einem Benutzerpool](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-saml-idp.html) im *Amazon* Cognito Developer Guide.
# Passwörter für Benutzer einrichten
1. Wählen Sie in der [Directory Service Konsole](https://console.aws.amazon.com/directoryservicev2/) das Verzeichnis für den erstellten Stack aus.
1. Wählen Sie im Menü **Aktionen** die Option **Benutzerpasswort zurücksetzen** aus.
1. Wählen Sie den Benutzer aus und geben Sie ein neues Passwort ein.
1. Wählen Sie **Passwort zurücksetzen**.