Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Mengaktifkan sistem masuk tunggal untuk Microsoft AD yang Dikelola AWS Mengaktifkan single sign-on AWS Directory Service memberikan kemampuan untuk memungkinkan pengguna Anda mengakses WorkDocs dari komputer yang bergabung ke direktori tanpa harus memasukkan kredensialnya secara terpisah. Sebelum mengaktifkan sing-on tunggal, Anda perlu mengambil langkah tambahan agar peramban web pengguna dapat mendukung sign-on tunggal. Pengguna mungkin perlu memodifikasi pengaturan peramban web mereka untuk mengaktifkan sign-on tunggal. **catatan** Sign-on tunggal hanya bekerja bila digunakan pada komputer yang digabungkan ke direktori Directory Service . Ini tidak dapat digunakan pada komputer yang tidak bergabung ke direktori. Jika direktori Anda adalah direktori AD Connector dan akun layanan AD Connector tidak memiliki izin untuk menambahkan atau menghapus atribut nama utama layanannya, maka untuk Langkah 5 dan 6 di bawah ini, Anda memiliki dua pilihan: 1. Anda dapat melanjutkan dan akan diminta untuk nama pengguna dan kata sandi untuk pengguna direktori yang memiliki izin ini untuk menambah atau menghapus atribut nama utama layanan pada akun layanan AD Connector. Kredensial ini hanya digunakan untuk mengaktifkan sign-on tunggal dan tidak disimpan oleh layanan. Izin akun layanan AD Connector tidak berubah. 1. Anda dapat mendelegasikan izin untuk mengizinkan akun layanan AD Connector menambah atau menghapus atribut nama utama layanan itu sendiri, Anda dapat menjalankan PowerShell perintah di bawah ini dari komputer yang bergabung dengan domain menggunakan akun yang memiliki izin untuk mengubah izin pada akun layanan AD Connector. Perintah di bawah ini akan memberikan akun layanan AD Connector kemampuan untuk menambah dan menghapus atribut nama utama layanan hanya untuk dirinya sendiri. ``` $AccountName = 'ConnectorAccountName' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module 'ActiveDirectory' $RootDse = Get-ADRootDSE [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID # Getting AD Connector service account Information. $AccountProperties = Get-ADUser -Identity $AccountName $AclPath = $AccountProperties.DistinguishedName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value # Getting ACL settings for AD Connector service account. $ObjectAcl = Get-ACL -Path "AD:\$AclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself $AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None' $ObjectAcl.AddAccessRule($AddAccessRule) Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath" ``` **Untuk mengaktifkan atau menonaktifkan sistem masuk tunggal dengan WorkDocs** 1. Di panel navigasi [konsol AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**. 1. Pada halaman **Direktori**, pilih ID direktori Anda. 1. Pada halaman **Detail direktori**, pilih tab **Pengelolaan aplikasi**. 1. Di bagian **URL akses aplikasi**, pilih **Aktifkan** untuk mengaktifkan sistem masuk tunggal. WorkDocs Jika Anda tidak melihat tombol **Aktifkan**, Anda mungkin harus terlebih dahulu membuat URL Akses sebelum opsi ini akan ditampilkan. Untuk informasi selengkapnya tentang cara membuat URL akses, lihat [Membuat URL akses untuk Microsoft AD yang AWS Dikelola](ms_ad_create_access_url.md). 1. Di kotak dialog **Aktifkan Sign-On Tunggal untuk direktori ini**,, pilih **Aktifkan**. Sign-on tunggal diaktifkan untuk direktori. 1. **Jika nanti Anda ingin menonaktifkan sistem masuk tunggal dengan WorkDocs, pilih **Nonaktifkan**, dan kemudian di kotak dialog **Nonaktifkan Single Sign-On untuk direktori ini**, pilih Nonaktifkan lagi.** **Topics** + [ ## Sign-on tunggal untuk IE dan Chrome ](#ie_sso) + [ ## Sign-on tunggal untuk Firefox ](#firefox_sso) ## Sign-on tunggal untuk IE dan Chrome IE/Chrome Untuk mengizinkan peramban Microsoft Internet Explorer (IE) dan Google Chrome untuk mendukung sign-on tunggal, tugas berikut harus dilakukan pada komputer klien: + Tambahkan URL akses Anda (mis., https://**.awsapps.com) ke daftar situs yang disetujui untuk sistem masuk tunggal. + Aktifkan skrip aktif (JavaScript). + Izinkan masuk otomatis. + Aktifkan autentikasi terintegrasi. Anda atau pengguna Anda dapat melakukan tugas-tugas ini secara manual, atau Anda dapat mengubah pengaturan ini menggunakan pengaturan Kebijakan Grup. **Topics** + [ ### Pembaruan manual untuk sign-on tunggal pada Windows ](#ie_sso_manual_windows) + [ ### Pembaruan manual untuk sign-on tunggal pada OS X ](#chrome_sso_manual_mac) + [ ### Pengaturan kebijakan grup untuk sign-on tunggal ](#ie_sso_gpo) ### Pembaruan manual untuk sign-on tunggal pada Windows Untuk mengaktifkan sign-on tunggal secara manual pada komputer Windows, lakukan langkah-langkah berikut pada komputer klien. Beberapa pengaturan ini mungkin sudah diatur dengan benar. **Cara mengaktifkan sign-on tunggal untuk Internet Explorer dan Chrome secara manual di Windows** 1. Untuk membuka kotak dialog **Properti internet**, pilih menu **Start**, ketik `Internet Options` di kotak pencarian, lalu pilih **Opsi Internet**. 1. Tambahkan URL akses Anda ke daftar situs yang disetujui untuk sign-on tunggal dengan melakukan langkah-langkah berikut: 1. Di kotak dialog **Properti internet**, pilih tab **Keamanan**. 1. Pilih **Intranet lokal** dan pilih **Situs**. 1. Di kotak dialog **Intranet lokal**, pilih **Advanced**. 1. Tambahkan URL akses Anda ke daftar situs web dan pilih **tutup**. 1. Di dialog box **Intranet lokal**, pilih **OK**. 1. Untuk mengaktifkan penulisan aktif, lakukan langkah-langkah berikut ini: 1. Di tab **Keamanan** dari kotak dialog **Properti internet**, pilih **Tingkat kustom**. 1. Di kotak dialog **Pengaturan Keamanan - Zona Intranet Lokal**, gulir ke bawah untuk **Penulisan** dan pilih **Aktifkan** di bawah **Penulisan aktif**. 1. Di kotak dialog **Pengaturan Keamanan - Zona Intranet Lokal**, pilih **OK**. 1. Untuk mengaktifkan masuk otomatis, lakukan langkah-langkah berikut ini: 1. Di tab **Keamanan** dari kotak dialog **Properti internet**, pilih **Tingkat kustom**. 1. Di kotak dialog **Pengaturan Keamanan - Zona Intranet Lokal**, gulir ke bawah untuk **Autentikasi Pengguna** dan pilih **Masuk otomatis hanya di zona Intranet** di bawah **Masuk**. 1. Di kotak dialog **Pengaturan Keamanan - Zona Intranet Lokal**, pilih **OK**. 1. Di kotak dialog **Pengaturan Keamanan - Zona Intranet Lokal**, pilih **OK**. 1. Untuk mengaktifkan autentikasi terintegrasi, lakukan langkah-langkah berikut ini: 1. Di kotak dialog **Properti internet**, pilih tab **Advanced**. 1. Gulir ke bawah ke **Keamanan** dan pilih **Mengaktifkan Autentikasi Windows Terintegrasi**. 1. Di kotak dialog **Properti Internet**, pilih **OK**. 1. Tutup dan buka kembali peramban Anda agar perubahan ini berlaku. ### Pembaruan manual untuk sign-on tunggal pada OS X Untuk mengaktifkan sign-on tunggal secara manual untuk Chrome pada OS X, lakukan langkah-langkah berikut pada komputer klien. Anda memerlukan hak administrator di komputer Anda untuk menyelesaikan langkah-langkah ini. **Cara mengaktifkan sign-on tunggal untuk Chrome di OS X secara manual** 1. Tambahkan URL akses Anda ke [AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist)kebijakan dengan menjalankan perintah berikut: ``` defaults write com.google.Chrome AuthServerAllowlist "https://.awsapps.com" ``` 1. Buka **Preferensi Sistem**, buka panel **Profil**, dan hapus profil `Chrome Kerberos Configuration`. 1. Mulai ulang Chrome dan buka chrome://policy di Chrome untuk mengonfirmasi bahwa pengaturan baru sudah terpasang. ### Pengaturan kebijakan grup untuk sign-on tunggal Administrator domain dapat menerapkan pengaturan Kebijakan Grup untuk membuat perubahan sign-on tunggal pada komputer klien yang digabungkan ke domain. **catatan** Jika Anda mengelola browser web Chrome di komputer di domain Anda dengan kebijakan Chrome, Anda harus menambahkan URL akses ke [AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist)kebijakan. Untuk informasi selengkapnya tentang mengatur kebijakan Chrome, kunjungi [Pengaturan Kebijakan di Chrome](https://source.chromium.org/chromium/chromium/src/+/main:docs/enterprise/add_new_policy.md). **Cara mengaktifkan sign-on tunggal untuk Internet Explorer dan Chrome menggunakan pengaturan Kebijakan Grup** 1. Membuat objek Kebijakan Grup baru dengan melakukan langkah-langkah berikut: 1. Buka alat Pengelolaan Kebijakan Grup, arahkan ke domain Anda, lalu pilih **Objek Kebijakan Grup**. 1. Dari menu utama, pilih **Tindakan** dan pilih **Baru**. 1. Di kotak dialog **GPO baru**, masukkan nama deskriptif untuk objek Kebijakan Grup, seperti `IAM Identity Center Policy`, dan biarkan **Sumber Starter GPO** diatur ke **(tidak ada)**. Klik **OK**. 1. Tambahkan URL akses ke daftar situs yang disetujui untuk sign-on tunggal dengan melakukan langkah-langkah berikut: 1. **Di alat Manajemen Kebijakan Grup, arahkan ke domain Anda, pilih **Objek Kebijakan Grup**, buka menu konteks (klik kanan) untuk kebijakan Pusat Identitas IAM Anda, dan pilih Edit.** 1. Di pohon kebijakan, arahkan ke **Konfigurasi Pengguna** > **Preferensi** > **Pengaturan Windows**. 1. Di daftar **Pengaturan Windows**, buka menu konteks (klik kanan) untuk **Registri** dan pilih **Item registri baru**. 1. Di kotak dialog **Properti Registri Baru**, masukkan pengaturan berikut dan pilih **OK**: **Tindakan** `Update` **Sarang** `HKEY_CURRENT_USER` **Jalan** `Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\` Nilai untuk ** berasal dari URL akses Anda. Jika URL akses Anda adalah `https://examplecorp.awsapps.com`, alias adalah `examplecorp`, dan kunci registri akan menjadi `Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp`. **Nama nilai** `https` **Jenis nilai** `REG_DWORD` **Data nilai** `1` 1. Untuk mengaktifkan penulisan aktif, lakukan langkah-langkah berikut ini: 1. **Di alat Manajemen Kebijakan Grup, arahkan ke domain Anda, pilih **Objek Kebijakan Grup**, buka menu konteks (klik kanan) untuk kebijakan Pusat Identitas IAM Anda, dan pilih Edit.** 1. Di pohon kebijakan, arahkan ke **Konfigurasi komputer** > **Kebijakan** > **Templat Administrasi** > **Komponen Windows** > **Internet Explorer** > **Panel Kontrol Internet** > **Halaman Keamanan** > **Zona Intranet**. 1. Di daftar **Zona Intranet**, buka menu konteks (klik kanan) untuk **Izinkan penulisan aktif** dan pilih **Edit**. 1. Di kotak dialog **Izinkan penulisan aktif**, masukkan pengaturan berikut dan pilih **OK**: + Pilih tombol radio **Diaktifkan**. + Di bawah **Opsi** atur **Izinkan penulisan aktif** ke **Aktifkan**. 1. Untuk mengaktifkan masuk otomatis, lakukan langkah-langkah berikut ini: 1. Pada alat Pengelolaan Kebijakan Grup, arahkan ke domain Anda, pilih Objek Kebijakan Grup, buka menu konteks (klik kanan) untuk kebijakan SSO Anda, lalu pilih **Edit**. 1. Di pohon kebijakan, arahkan ke **Konfigurasi komputer** > **Kebijakan** > **Templat Administrasi** > **Komponen Windows** > **Internet Explorer** > **Panel Kontrol Internet** > **Halaman Keamanan** > **Zona Intranet**. 1. Di daftar **Zona Intranet**, buka menu konteks (klik kanan) untuk **Opsi masuk** dan pilih **Edit**. 1. Di kotak dialog **Opsi masuk**, masukkan pengaturan berikut dan pilih **OK**: + Pilih tombol radio **Diaktifkan**. + Di bawah **Opsi** atur **Opsi masuk** ke **Masuk otomatis hanya di zona Intranet**. 1. Untuk mengaktifkan autentikasi terintegrasi, lakukan langkah-langkah berikut ini: 1. **Di alat Manajemen Kebijakan Grup, arahkan ke domain Anda, pilih **Objek Kebijakan Grup**, buka menu konteks (klik kanan) untuk kebijakan Pusat Identitas IAM Anda, dan pilih Edit.** 1. Di pohon kebijakan, arahkan ke **Konfigurasi Pengguna** > **Preferensi** > **Pengaturan Windows**. 1. Di daftar **Pengaturan Windows**, buka menu konteks (klik kanan) untuk **Registri** dan pilih **Item registri baru**. 1. Di kotak dialog **Properti Registri Baru**, masukkan pengaturan berikut dan pilih **OK**: **Tindakan** `Update` **Sarang** `HKEY_CURRENT_USER` **Jalan** `Software\Microsoft\Windows\CurrentVersion\Internet Settings` **Nama nilai** `EnableNegotiate` **Jenis nilai** `REG_DWORD` **Data nilai** `1` 1. Tutup jendela **Editor Pengelolaan Kebijakan Grup** jika masih terbuka. 1. Tetapkan kebijakan baru ke domain Anda dengan mengikuti langkah-langkah berikut: 1. Di pohon Pengelolaan Kebijakan Grup, buka menu konteks (klik kanan) untuk domain Anda, lalu pilih **Menautkan GPO yang Ada**. 1. Dalam daftar **Objek Kebijakan Grup**, pilih kebijakan Pusat Identitas IAM Anda dan pilih **OK**. Perubahan ini akan berlaku setelah pembaruan Kebijakan Grup berikutnya pada klien, atau waktu berikutnya pengguna masuk. ## Sign-on tunggal untuk Firefox Firefox Untuk mengizinkan browser Mozilla Firefox mendukung sistem masuk tunggal, tambahkan URL akses Anda (mis., https://**.awsapps.com) ke daftar situs yang disetujui untuk sistem masuk tunggal. Ini bisa dilakukan secara manual, atau otomatis dengan skrip. **Topics** + [ ### Pembaruan manual untuk sign-on tunggal ](#firefox_sso_manual) + [ ### Pembaruan otomatis untuk sign-on tunggal ](#firefox_sso_script) ### Pembaruan manual untuk sign-on tunggal Untuk menambahkan URL akses Anda ke daftar situs yang disetujui di Firefox secara manual, lakukan langkah-langkah berikut pada komputer klien. **Untuk menambahkan URL akses Anda secara manual ke daftar situs yang disetujui di Firefox** 1. Buka Firefox dan buka halaman `about:config`. 1. Buka preferensi `network.negotiate-auth.trusted-uris` dan tambahkan URL akses Anda ke daftar situs. Gunakan koma (,) untuk memisahkan beberapa entri. ### Pembaruan otomatis untuk sign-on tunggal Sebagai administrator domain, Anda dapat menggunakan skrip untuk menambahkan URL akses ke preferensi pengguna `network.negotiate-auth.trusted-uris` Firefox pada semua komputer di jaringan Anda. Untuk informasi lebih lanjut, kunjungi [https://support.mozilla. org/en-US/questions/939037](https://support.mozilla.org/en-US/questions/939037).