Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Tambahkan penyedia identitas SAMP 2.0
<a name="tutorial-create-user-pool-saml-idp"></a>

Pengguna aplikasi Anda dapat masuk dengan penyedia identitas SAMP 2.0 (iDP). Anda dapat memilih SAMP 2.0 IdPs daripada sosial IdPs ketika pelanggan Anda adalah pelanggan internal atau bisnis terkait organisasi Anda. Jika iDP sosial memungkinkan semua pengguna untuk mendaftar akun, IDP SAMP lebih mungkin untuk dipasangkan dengan direktori pengguna yang dikendalikan organisasi Anda. Apakah pengguna Anda masuk secara langsung atau melalui pihak ketiga, semua pengguna memiliki profil di kolam pengguna. Lewati langkah ini jika Anda tidak ingin menambahkan masuk melalui penyedia identitas SAML. 

Untuk informasi selengkapnya, lihat [Menggunakan penyedia identitas SAMP dengan kumpulan pengguna](cognito-user-pools-saml-idp.md).

Anda harus memperbarui penyedia identitas SAMP Anda dan mengonfigurasi kumpulan pengguna Anda. Untuk informasi tentang cara menambahkan kumpulan pengguna Anda sebagai pihak yang mengandalkan atau aplikasi untuk penyedia identitas SAMP 2.0 Anda, lihat dokumentasi untuk penyedia identitas SAMP Anda.

Anda juga harus memberikan titik akhir assertion consumer service (ACS) kepada penyedia identitas SALL Anda. Konfigurasikan titik akhir berikut di domain kumpulan pengguna Anda untuk pengikatan SAMP 2.0 POST di penyedia identitas SAMP Anda. Untuk informasi selengkapnya tentang domain kumpulan pengguna, lihat[Mengkonfigurasi domain kumpulan pengguna](cognito-user-pools-assign-domain.md).

```
https://Your user pool domain/saml2/idpresponse
With an Amazon Cognito domain:
https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse
With a custom domain:
https://Your custom domain/saml2/idpresponse
```

Anda dapat menemukan awalan domain dan nilai Wilayah untuk kumpulan pengguna Anda di menu **Domain** di konsol [Amazon Cognito](https://console.aws.amazon.com/cognito/home).

Untuk beberapa penyedia identitas SAMP, Anda juga perlu menyediakan penyedia layanan (SP)`urn`, juga disebut URI audiens atau ID entitas SP, dalam format:

```
urn:amazon:cognito:sp:<yourUserPoolID>
```

Anda dapat menemukan ID kumpulan pengguna di dasbor **Ikhtisar** untuk kumpulan pengguna di konsol [Amazon Cognito](https://console.aws.amazon.com/cognito/home).

Anda juga harus mengonfigurasi penyedia identitas SAML Anda untuk memberikan nilai atribut untuk atribut yang diperlukan di kolam pengguna Anda. Biasanya, `email` adalah atribut yang diperlukan untuk kolam pengguna. Dalam hal itu, penyedia identitas SAML harus memberikan nilai (klaim) `email` dalam pernyataan SAML.

Kolam pengguna Amazon Cognito mendukung federasi SAML 2.0 dengan titik akhir pasca-pengikatan. Ini menghilangkan kebutuhan aplikasi Anda untuk mengambil atau mengurai respons pernyataan SAMP karena kumpulan pengguna secara langsung menerima respons SAMP dari penyedia identitas Anda melalui agen pengguna.

**Untuk mengonfigurasi penyedia identitas SAML 2.0 di kolam pengguna Anda**

1. Masuk ke [Konsol Amazon Cognito](https://console.aws.amazon.com/cognito/home). Jika diminta, masukkan AWS kredensil Anda.

1. Pilih **Kolam Pengguna**.

1. Pilih kolam pengguna yang ada dari daftar, atau [buat kolam pengguna](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Pilih menu **penyedia sosial dan eksternal**. Cari **Masuk Federasi** dan pilih **Tambahkan penyedia identitas**.

1. Pilih penyedia identitas sosial **SALL**.

1. Masukkan **Identifier** dipisahkan dengan koma. Pengidentifikasi memberi tahu Amazon Cognito bahwa ia harus memeriksa alamat email yang dimasukkan pengguna saat mereka masuk. Kemudian mengarahkan mereka ke penyedia yang sesuai dengan domain mereka.

1. Pilih **Tambahkan alur keluar** jika Anda ingin Amazon Cognito mengirim permintaan keluar yang ditandatangani ke penyedia Anda saat pengguna keluar. Anda harus mengonfigurasi penyedia identitas SAMP 2.0 Anda untuk mengirim respons keluar ke `https://<your Amazon Cognito domain>/saml2/logout` titik akhir yang dibuat saat Anda mengonfigurasi login terkelola. `saml2/logout`Titik akhir menggunakan pengikatan POST.
**catatan**  
Jika opsi ini dipilih dan penyedia identitas SAMP Anda mengharapkan permintaan logout yang ditandatangani, Anda juga perlu mengonfigurasi sertifikat penandatanganan yang disediakan oleh Amazon Cognito dengan SAMP IDP Anda.   
SAMP iDP akan memproses permintaan logout yang ditandatangani dan akan mengeluarkan pengguna Anda dari sesi Amazon Cognito.

1. Pilih sumber **dokumen Metadata**. Jika penyedia identitas Anda menawarkan metadata SAMP di URL publik, Anda dapat memilih URL **dokumen Metadata dan memasukkan URL** publik tersebut. Jika tidak, pilih **Unggah dokumen metadata** dan pilih file metadata yang Anda unduh dari penyedia Anda sebelumnya.
**catatan**  
Kami menyarankan Anda memasukkan URL dokumen metadata jika penyedia Anda memiliki titik akhir publik, daripada mengunggah file. Ini memungkinkan Amazon Cognito menyegarkan metadata secara otomatis. Biasanya, penyegaran metadata terjadi setiap 6 jam atau sebelum metadata kedaluwarsa, mana yang lebih awal.

1. Pilih **atribut Peta antara penyedia SAMP dan aplikasi Anda** untuk memetakan atribut penyedia SAMP ke profil pengguna di kumpulan pengguna Anda. Sertakan atribut wajib kumpulan pengguna Anda di peta atribut Anda. 

   Misalnya, ketika Anda memilih atribut **User pool`email`, masukkan nama atribut** SAMP seperti yang muncul dalam pernyataan SAMP dari penyedia identitas Anda. Penyedia identitas Anda mungkin menawarkan contoh pernyataan SAMP untuk referensi. Beberapa penyedia identitas menggunakan nama sederhana, seperti`email`, sementara yang lain menggunakan nama atribut berformat URL, seperti contoh berikut:

   ```
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   ```

1. Pilih **Buat**.