Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Federasi SAMP 2.0
<a name="id_roles_providers_saml"></a>

AWS mendukung federasi identitas dengan [SAMP 2.0 (Security Assertion Markup Language 2.0)](https://wiki.oasis-open.org/security), standar terbuka yang digunakan oleh banyak penyedia identitas (). IdPs Fitur ini memungkinkan sistem masuk tunggal (SSO) federasi, sehingga pengguna dapat masuk ke Konsol Manajemen AWS atau memanggil operasi AWS API tanpa Anda harus membuat pengguna IAM untuk semua orang di organisasi Anda. Dengan menggunakan SAMP, Anda dapat menyederhanakan proses konfigurasi federasi dengan AWS, karena Anda dapat menggunakan layanan IDP alih-alih [menulis kode proxy identitas kustom](https://docs.aws.amazon.com/STS/latest/UsingSTS/CreatingFedTokens.html).

**catatan**  
Federasi identitas SAMP IAM mendukung tanggapan SAMP terenkripsi dari penyedia identitas federasi berbasis SAMP (). IdPs Pusat Identitas IAM dan Amazon Cognito tidak mendukung pernyataan SAMP terenkripsi dari penyedia identitas IAM SAMP.  
Anda dapat secara tidak langsung menambahkan dukungan untuk pernyataan SAMP terenkripsi ke federasi kumpulan identitas Amazon Cognito dengan kumpulan pengguna Amazon Cognito. Kumpulan pengguna memiliki federasi SAMP yang independen dari federasi IAM SAMP dan mendukung penandatanganan dan enkripsi [SAMP](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-SAML-signing-encryption.html). Meskipun fitur ini tidak meluas langsung ke kumpulan identitas, kumpulan pengguna dapat berupa IdPs kumpulan identitas. Untuk menggunakan enkripsi SAMP dengan kumpulan identitas, tambahkan penyedia SAMP dengan enkripsi ke kumpulan pengguna yang merupakan idP ke kumpulan identitas.  
Penyedia SALL Anda harus dapat mengenkripsi pernyataan SAMP dengan kunci yang disediakan oleh kumpulan pengguna Anda. Kumpulan pengguna tidak akan menerima pernyataan yang dienkripsi dengan sertifikat yang telah disediakan IAM.

Federasi IAM mendukung penggunaan kasus ini: 
+ [**Akses gabungan untuk memungkinkan pengguna atau aplikasi di organisasi Anda memanggil operasi AWS API**](#CreatingSAML-configuring). Kasus penggunaan ini dibahas di bagian berikut. Anda menggunakan pernyataan SAML (sebagai bagian dari tanggapan autentikasi) yang dibuat dalam organisasi Anda untuk mendapatkan kredensial keamanan sementara. Skenario ini serupa dengan skenario federasi lain yang mendukung IAM, seperti yang dijelaskan dalam [Minta kredensil keamanan sementara](id_credentials_temp_request.md) dan [Federasi OIDC](id_roles_providers_oidc.md). Namun, SAMP 2.0 yang berbasis IdPs di organisasi Anda menangani banyak detail saat dijalankan untuk melakukan pemeriksaan autentikasi dan otorisasi.
+ [**Single sign-on (SSO) berbasis web ke dari Konsol Manajemen AWS **](id_roles_providers_enable-console-saml.md) organisasi Anda. Pengguna dapat masuk ke portal di organisasi Anda yang dihosting oleh IDP yang kompatibel dengan SAMP 2.0, memilih opsi untuk pergi ke, dan diarahkan AWS ke konsol tanpa harus memberikan informasi login tambahan. Anda dapat menggunakan IdP SAML pihak ketiga untuk menetapkan akses SSO ke konsol atau Anda dapat membuat IdP kustom untuk mengaktifkan akses konsol bagi pengguna eksternal Anda. Untuk informasi selengkapnya tentang membangun IdP kustom, lihat [Aktifkan akses broker identitas khusus ke AWS konsol](id_roles_providers_enable-console-custom-url.md).

**Topics**
+ [Menggunakan federasi berbasis SAMP untuk akses API AWS](#CreatingSAML-configuring)
+ [Ikhtisar pengkonfigurasian federasi berbasis SAML 2.0](#CreatingSAML-configuring-IdP)
+ [Ikhtisar peran untuk memungkinkan akses federasi SAML ke sumber daya Anda AWS](#CreatingSAML-configuring-role)
+ [Mengidentifikasi pengguna secara unik dalam federasi berbasis SAML](#CreatingSAML-userid)
+ [Buat penyedia identitas SAMP di IAM](id_roles_providers_create_saml.md)
+ [Konfigurasikan IDP SAMP 2.0 Anda dengan mengandalkan kepercayaan pihak dan menambahkan klaim](id_roles_providers_create_saml_relying-party.md)
+ [Integrasikan penyedia solusi SAMP pihak ketiga dengan AWS](id_roles_providers_saml_3rd-party.md)
+ [Konfigurasikan pernyataan SAMP untuk respons otentikasi](id_roles_providers_create_saml_assertions.md)
+ [Mengaktifkan prinsip federasi SAMP 2.0 untuk mengakses Konsol Manajemen AWS](id_roles_providers_enable-console-saml.md)
+ [Lihat respons SAMP di browser Anda](troubleshoot_saml_view-saml-response.md)

## Menggunakan federasi berbasis SAMP untuk akses API AWS
<a name="CreatingSAML-configuring"></a>

Asumsikan bahwa Anda ingin menyediakan cara bagi karyawan untuk menyalin data dari komputer mereka ke folder cadangan. Anda membuat aplikasi yang dapat dijalankan pengguna di komputer mereka. Di bagian belakang, aplikasi membaca dan menulis objek dalam ember Amazon S3. Pengguna tidak memiliki akses langsung ke AWS Alih-alih, proses berikut ini digunakan:

![Mendapatkan kredensial keamanan sementara berdasarkan pernyataan SAML](http://docs.aws.amazon.com/id_id/IAM/latest/UserGuide/images/saml-based-federation-diagram.png)


1. Pengguna dalam organisasi Anda menggunakan aplikasi klien untuk meminta autentikasi dari IdP organisasi Anda.

1. IdP mengautentikasi pengguna menggunakan penyimpanan identitas organisasi Anda.

1. IdP menyusun pernyataan SAML dengan informasi tentang pengguna dan mengirimkan pertanyaan ke aplikasi klien. Saat Anda mengaktifkan enkripsi SAMP untuk IDP SAMP IAM Anda, pernyataan ini dienkripsi oleh iDP eksternal Anda.

1. Aplikasi klien memanggil AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)API, meneruskan ARN dari penyedia SAMP, ARN dari peran yang akan diambil, dan pernyataan SAMP dari iDP. Jika enkripsi diaktifkan, pernyataan yang diteruskan melalui aplikasi klien tetap dienkripsi saat transit.

1. (Opsional) AWS STS menggunakan kunci pribadi yang Anda unggah dari iDP eksternal Anda untuk mendekripsi pernyataan SAMP terenkripsi.

1. Tanggapan API ke aplikasi klien meliputi kredensial keamanan sementara.

1. Aplikasi klien menggunakan kredensial keamanan sementara untuk menghubungi operasi API Amazon S3. 

## Ikhtisar pengkonfigurasian federasi berbasis SAML 2.0
<a name="CreatingSAML-configuring-IdP"></a>

Sebelum Anda dapat menggunakan federasi berbasis SAMP 2.0 seperti yang dijelaskan dalam skenario dan diagram sebelumnya, Anda harus mengonfigurasi IDP organisasi Anda dan Anda untuk saling mempercayai. Akun AWS Proses umum untuk mengonfigurasikan kepercayaan ini dijelaskan dalam langkah-langkah berikut. Di dalam organisasi, Anda harus memiliki [IdP yang mendukung SAML 2.0](id_roles_providers_saml_3rd-party.md), seperti Microsoft Active Directory Federation Service (AD FS, bagian dari Windows Server), Shibboleth, atau penyedia SAML 2.0 lain yang kompatibel. 

**catatan**  
Untuk meningkatkan ketahanan federasi, kami menyarankan Anda mengonfigurasi IDP dan AWS federasi Anda untuk mendukung beberapa titik akhir masuk SAMP. Untuk detailnya, lihat artikel Blog AWS Keamanan [Cara menggunakan endpoint SAMP regional untuk](https://aws.amazon.com/blogs//security/how-to-use-regional-saml-endpoints-for-failover) failover.

**Konfigurasikan IDP organisasi Anda dan AWS saling percaya**

1. Daftar AWS sebagai penyedia layanan (SP) dengan IDP organisasi Anda. Gunakan dokumen metadata SAMP dari `https://{{region-code}}.signin.aws.amazon.com/static/saml-metadata.xml` 

   Untuk daftar {{region-code}} nilai yang mungkin, lihat kolom **Wilayah** di titik [akhir AWS Masuk](https://docs.aws.amazon.com/general/latest/gr/signin-service.html).

   Anda dapat secara opsional menggunakan dokumen metadata SAMP dari. `https://signin.aws.amazon.com/static/saml-metadata.xml` 

1. <a name="createxml"></a>Menggunakan iDP organisasi Anda, Anda menghasilkan file XHTML metadata SAMP setara yang dapat menggambarkan IDP Anda sebagai penyedia identitas IAM di. AWS Ini harus menyertakan nama penerbit, tanggal pembuatan, tanggal kedaluwarsa, dan kunci yang AWS dapat digunakan untuk memvalidasi tanggapan otentikasi (pernyataan) dari organisasi Anda. 

   Jika Anda mengizinkan pernyataan SAMP terenkripsi dikirim dari iDP eksternal, Anda harus membuat file kunci pribadi menggunakan iDP organisasi Anda, dan mengunggah file ini ke konfigurasi IAM SAMP Anda dalam format file.pem. AWS STS membutuhkan kunci pribadi ini untuk mendekripsi tanggapan SAMP yang sesuai dengan kunci publik yang diunggah ke IDP Anda.
**catatan**  
Seperti yang didefinisikan oleh [SAMP V2.0 Metadata Interoperability Profile Versi 1.0](https://docs.oasis-open.org/security/saml/Post2.0/sstc-metadata-iop-os.html), IAM tidak mengevaluasi atau mengambil tindakan pada berakhirnya sertifikat X.509 dalam dokumen metadata SAMP. Jika Anda khawatir tentang sertifikat X.509 yang kedaluwarsa, kami sarankan untuk memantau tanggal kedaluwarsa sertifikat dan sertifikat berputar sesuai dengan kebijakan tata kelola dan keamanan organisasi Anda.

1. <a name="samlovrcreateentity"></a>Di konsol IAM, Anda membuat penyedia identitas SAMP. Sebagai bagian dari proses ini, Anda mengunggah dokumen metadata SAMP dan kunci dekripsi pribadi yang dihasilkan oleh iDP di organisasi Anda. [Step 2](#createxml) Untuk informasi selengkapnya, lihat [Buat penyedia identitas SAMP di IAM](id_roles_providers_create_saml.md).

1. <a name="samlovrcreaterole"></a>Di IAM, Anda membuat satu atau lebih peran IAM. Dalam kebijakan kepercayaan peran, Anda menetapkan penyedia SAMP sebagai prinsipal, yang membangun hubungan kepercayaan antara organisasi Anda dan. AWS Kebijakan izin peran menetapkan hal yang diizinkan oleh pengguna organisasi Anda di AWS. Untuk informasi selengkapnya, lihat [Membuat peran untuk penyedia identitas pihak ketiga](id_roles_create_for-idp.md).
**catatan**  
SAMP yang IDPs digunakan dalam kebijakan kepercayaan peran harus berada dalam akun yang sama dengan peran tersebut.

1. Di iDP organisasi Anda, Anda menentukan pernyataan yang memetakan pengguna atau grup di organisasi Anda ke peran IAM. Perhatikan bahwa pengguna dan grup yang berbeda pada organisasi Anda mungkin memetakan IAM role yang berbeda. Langkah yang tepat untuk melakukan pemetaan bergantung pada IdP apa yang Anda gunakan. Di [skenario sebelumnya](#CreatingSAML-configuring) dari folder Amazon S3 untuk pengguna, mungkin semua pengguna akan memetakan peran yang sama yang memberikan izin Amazon S3. Untuk informasi selengkapnya, lihat [Konfigurasikan pernyataan SAMP untuk respons otentikasi](id_roles_providers_create_saml_assertions.md).

   Jika iDP Anda mengaktifkan SSO ke AWS konsol, maka Anda dapat mengonfigurasi durasi maksimum sesi konsol. Untuk informasi selengkapnya, lihat [Mengaktifkan prinsip federasi SAMP 2.0 untuk mengakses Konsol Manajemen AWS](id_roles_providers_enable-console-saml.md).

1. Dalam aplikasi yang Anda buat, Anda memanggil AWS Security Token Service `AssumeRoleWithSAML` API, meneruskannya ARN dari penyedia SAMP yang Anda buat, ARN peran untuk berasumsi bahwa Anda membuat[Step 4](#samlovrcreaterole), dan pernyataan SAMP tentang pengguna saat ini yang Anda dapatkan dari idP Anda. [Step 3](#samlovrcreateentity) AWS memastikan bahwa permintaan untuk mengambil peran berasal dari iDP yang direferensikan di penyedia SAMP. 

   Untuk informasi selengkapnya, lihat [AssumeRoleWithSAMP](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) di *Referensi AWS Security Token Service API*. 

1. Jika permintaan berhasil, API mengembalikan serangkaian kredensial keamanan sementara, yang dapat digunakan aplikasi Anda untuk membuat permintaan yang ditandatangani ke AWS. Aplikasi Anda memiliki informasi tentang pengguna saat ini dan dapat mengakses folder khusus pengguna di Amazon S3, seperti yang dijelaskan dalam skenario sebelumnya. 

## Ikhtisar peran untuk memungkinkan akses federasi SAML ke sumber daya Anda AWS
<a name="CreatingSAML-configuring-role"></a>

Peran yang Anda buat di IAM menentukan apa yang boleh dilakukan oleh prinsipal federasi SAMP dari organisasi Anda. AWS Saat membuat kebijakan kepercayaan untuk peran, Anda menentukan penyedia SAML yang dibuat sebelumnya sebagai `Principal`. Anda juga dapat mencakup kebijakan kepercayaan dengan `Condition` untuk hanya mengizinkan pengguna yang cocok dengan atribut SAML tertentu untuk mengakses peran. Misalnya, Anda dapat menyebutkan bahwa hanya pengguna yang afiliasi SAML-nya `staff` (sebagaimana dinyatakan oleh https://openidp.feide.no) diizinkan untuk mengakses peran tersebut, sebagaimana digambarkan oleh kebijakan sampel berikut:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"Federated": "arn:aws:iam::{{111122223333}}:saml-provider/ExampleOrgSSOProvider"},
    "Action": "sts:AssumeRoleWithSAML",
    "Condition": {
      "StringEquals": {
        "saml:aud": "https://{{us-east-1}}.signin.aws.amazon.com/saml",
        "saml:iss": "https://openidp.feide.no"
      },
      "ForAllValues:StringLike": {"saml:edupersonaffiliation": ["staff"]}
    }
  }]
}
```

------

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws-cn:iam::{{111122223333}}:saml-provider/ExampleOrgSSOProvider"
            },
            "Action": "sts:AssumeRoleWithSAML",
            "Condition": {
                "StringEquals": {
                    "saml:aud": "https://{{ap-east-1}}.signin.amazonaws.cn/saml",
                    "saml:iss": "https://openidp.feide.no"
                },
                "ForAllValues:StringLike": {
                    "saml:edupersonaffiliation": [
                        "staff"
                    ]
                }
            }
        }
    ]
}
```

------

**catatan**  
SAMP yang IDPs digunakan dalam kebijakan kepercayaan peran harus berada dalam akun yang sama dengan peran tersebut.

Kunci `saml:aud` konteks dalam kebijakan menentukan URL yang ditampilkan browser Anda saat masuk ke konsol. URL titik akhir masuk ini harus sesuai dengan atribut penerima penyedia identitas Anda. Anda dapat menyertakan login URLs dalam wilayah tertentu. AWS merekomendasikan penggunaan titik akhir Regional alih-alih titik akhir global untuk meningkatkan ketahanan federasi. Jika Anda hanya memiliki satu titik akhir yang dikonfigurasi, Anda tidak akan dapat bergabung jika titik akhir menjadi AWS tidak tersedia. Untuk daftar {{region-code}} nilai yang mungkin, lihat kolom **Wilayah** di titik [akhir AWS Masuk](https://docs.aws.amazon.com/general/latest/gr/signin-service.html).

Contoh berikut menunjukkan format URL login dengan opsional`region-code`.

`https://{{region-code}}.signin.aws.amazon.com/saml`

Jika enkripsi SAMP diperlukan, URL masuk harus menyertakan pengenal unik yang ditetapkan ke penyedia AWS SAMP Anda, yang dapat Anda temukan di halaman detail penyedia Identitas. Dalam contoh berikut, URL login menyertakan pengenal unik IDP, yang memerlukan /acs/ ditambahkan ke jalur masuk.

`https://{{region-code}}.signin.aws.amazon.com/saml/acs/{{IdP-ID}}`

Untuk kebijakan izin dalam peran tersebut, Anda menentukan izin seperti yang Anda inginkan untuk peran apa pun. **Misalnya, jika pengguna dari organisasi Anda diizinkan untuk mengelola instans Amazon Elastic Compute Cloud, Anda harus secara eksplisit mengizinkan tindakan Amazon EC2 dalam kebijakan izin, seperti yang ada dalam kebijakan terkelola Amazon. EC2 FullAccess** 

Untuk informasi selengkapnya tentang kunci SAML yang dapat Anda periksa di kebijakan, lihat [Kunci yang tersedia untuk federasi berbasis SAMP AWS STS](reference_policies_iam-condition-keys.md#condition-keys-saml).

## Mengidentifikasi pengguna secara unik dalam federasi berbasis SAML
<a name="CreatingSAML-userid"></a>

Saat Anda membuat kebijakan akses di IAM, seringkali berguna untuk dapat menentukan izin berdasarkan identitas pengguna. Misalnya, bagi pengguna yang telah difederasikan menggunakan SAML, aplikasi mungkin ingin menyimpan informasi di Amazon S3 menggunakan struktur seperti ini: 

```
amzn-s3-demo-bucket/app1/{{user1}}
amzn-s3-demo-bucket/app1/{{user2}}
amzn-s3-demo-bucket/app1/{{user3}}
```

Anda dapat membuat bucket (`amzn-s3-demo-bucket`) dan folder (`app1`) melalui konsol Amazon S3 atau AWS CLI, karena itu adalah nilai statis. Namun, folder khusus pengguna ({{user1}},{{user2}},{{user3}}, dll.) harus dibuat pada waktu berjalan menggunakan kode, karena nilai yang mengidentifikasi pengguna tidak diketahui sampai pertama kali pengguna masuk melalui proses federasi. 

Untuk menulis kebijakan yang merujuk detail spesifik pengguna sebagai bagian dari nama sumber daya, Identitas pengguna harus tersedia dalam kunci SAML yang dapat digunakan dalam ketentuan kebijakan. Kunci-kunci berikut tersedia untuk federasi berbasis SAML 2.0 untuk digunakan dalam kebijakan IAM. Anda dapat menggunakan nilai yang dikembalikan oleh kunci berikut untuk membuat pengidentifikasi pengguna unik untuk sumber daya seperti folder Amazon S3. 
+ `saml:namequalifier`. Nilai hash berdasarkan konkasi dari `Issuer` nilai tanggapan (`saml:iss`) dan string dengan ID akun `AWS` dan nama ramah (bagian terakhir ARN) penyedia SAML di IAM. Gabungan ID akun dan nama ramah penyedia SAMP tersedia untuk kebijakan IAM sebagai kuncinya. `saml:doc` ID akun dan nama penyedia harus dipisahkan dengan '/' seperti pada “123456789012/provider\_name”. Untuk informasi lebih lanjut, lihat kunci `saml:doc` di [Kunci yang tersedia untuk federasi berbasis SAMP AWS STS](reference_policies_iam-condition-keys.md#condition-keys-saml).

  Kombinasi `NameQualifier` dan `Subject` dapat digunakan untuk secara unik mengidentifikasi prinsipal federasi SAMP. Kode pseudo berikut menunjukkan bagaimana nilai ini dihitung. Dalam kode pseudo ini `+` menunjukkan kontegasi, `SHA1` mewakili fungsi yang menghasilkan rangkuman pesan menggunakan SHA-1, dan `Base64` mewakili fungsi yang menghasilkan versi yang dienkodekan Base-64 dari output hash.

   `Base64 ( SHA1 ( "https://example.com/saml" + "123456789012" + "/MySAMLIdP" ) )` 

   Untuk informasi lebih lanjut tentang kunci kebijakan yang tersedia untuk federasi SAML, lihat [Kunci yang tersedia untuk federasi berbasis SAMP AWS STS](reference_policies_iam-condition-keys.md#condition-keys-saml).
+ `saml:sub` (string). Ini adalah subjek klaim, yang mencakup nilai yang secara unik mengidentifikasi pengguna secara individu dalam organisasi (misalnya, `_cbb88bf52c2510eabe00c1642d4643f41430fe25e3`). 
+ `saml:sub_type` (string). Kunci ini dapat berupa `persistent`, `transient`, atau `Format` URI penuh dari `Subject` dan elemen `NameID` yang digunakan dalam pernyataan SAML Anda. Nilai dari `persistent` menunjukkan bahwa nilai dalam `saml:sub` sama untuk pengguna di semua sesi. Jika nilainya `transient`, pengguna memiliki nilai `saml:sub` untuk setiap sesi. Untuk informasi tentang elemen `NameID` `Format` atribut, lihat [Konfigurasikan pernyataan SAMP untuk respons otentikasi](id_roles_providers_create_saml_assertions.md). 

Contoh berikut menunjukkan kebijakan izin yang menggunakan kunci sebelumnya untuk memberikan izin ke folder khusus pengguna di Amazon S3. Kebijakan ini mengasumsikan bahwa objek Amazon S3 diidentifikasi menggunakan awalan yang menyertakan keduanya dan. `saml:namequalifier` `saml:sub` Perhatikan bahwa elemen `Condition` mencakup pengujian untuk memastikan bahwa `saml:sub_type` diatur ke `persistent`. Jika diatur ke `transient`, nilai `saml:sub` untuk pengguna dapat berbeda untuk setiap sesi, dan kombinasi nilai tidak boleh digunakan untuk mengidentifikasi folder khusus pengguna. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "s3:GetObject",
      "s3:PutObject",
      "s3:DeleteObject"
    ],
    "Resource": [
      "arn:aws:s3:::amzn-s3-demo-bucket-org-data/backup/${saml:namequalifier}/${saml:sub}",
      "arn:aws:s3:::amzn-s3-demo-bucket-org-data/backup/${saml:namequalifier}/${saml:sub}/*"
    ],
    "Condition": {"StringEquals": {"saml:sub_type": "persistent"}}
  }
}
```

------

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "s3:GetObject",
      "s3:PutObject",
      "s3:DeleteObject"
    ],
    "Resource": [
      "arn:aws-cn:s3:::amzn-s3-demo-bucket-org-data/backup/${saml:namequalifier}/${saml:sub}",
      "arn:aws-cn:s3:::amzn-s3-demo-bucket-org-data/backup/${saml:namequalifier}/${saml:sub}/*"
    ],
    "Condition": {"StringEquals": {"saml:sub_type": "persistent"}}
  }
}
```

------

Untuk informasi selengkapnya tentang pernyataan pemetaan dari IdP ke kunci kebijakan, lihat [Konfigurasikan pernyataan SAMP untuk respons otentikasi](id_roles_providers_create_saml_assertions.md).