Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Mengkonfigurasi federasi ke konsol AMS (SALZ) Peran IAM dan penyedia identitas SAMP (Entitas Tepercaya) yang dirinci dalam tabel berikut telah disediakan sebagai bagian dari orientasi akun Anda. Peran ini memungkinkan Anda untuk mengirimkan dan memantau RFCs, permintaan layanan, dan laporan insiden, serta mendapatkan informasi tentang Anda VPCs dan tumpukan. **** | Peran | Penyedia Identitas | Izin | | --- | --- | --- | | Pelanggan\_ ReadOnly \_Peran | SAML | Untuk akun AMS standar. Memungkinkan Anda mengirimkan RFCs untuk membuat perubahan pada infrastruktur yang dikelola AMS, serta membuat permintaan dan insiden layanan. | | customer\_managed\_ad\_user\_role | SAML | Untuk akun Direktori Aktif Terkelola AMS. Memungkinkan Anda masuk ke Konsol AMS untuk membuat permintaan layanan dan insiden (tidak ada RFCs). | Untuk daftar lengkap peran yang tersedia di berbagai akun, lihat[Peran pengguna IAM di AMS](defaults-user-role.md). Anggota tim orientasi mengunggah file metadata dari solusi federasi Anda ke penyedia identitas yang telah dikonfigurasi sebelumnya. Anda menggunakan penyedia identitas SAMP saat ingin membangun kepercayaan antara IDP (penyedia identitas) yang kompatibel dengan SAMP seperti Shibboleth atau Layanan Federasi Direktori Aktif, sehingga pengguna di organisasi Anda dapat mengakses sumber daya AWS. Penyedia identitas SAMP di IAM digunakan sebagai prinsip dalam kebijakan kepercayaan IAM dengan peran di atas. Sementara solusi federasi lainnya memberikan instruksi integrasi untuk AWS, AMS memiliki instruksi terpisah. Menggunakan posting blog berikut, [Mengaktifkan Federasi ke AWS Menggunakan Windows Active Directory, AD FS, dan SAMP 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/), bersama dengan amandemen yang diberikan di bawah ini, akan memungkinkan pengguna perusahaan Anda mengakses beberapa akun AWS dari satu browser. Setelah membuat kepercayaan pihak yang mengandalkan sesuai posting blog, konfigurasikan aturan klaim dengan cara berikut: + **NameId**: Ikuti posting blog. + **RoleSessionName**: Gunakan nilai-nilai berikut: + **Nama aturan klaim**: RoleSessionName + **Toko atribut**: Direktori Aktif + **Atribut LDAP**: SAM-Account-Name + **Jenis Klaim Keluar**: https://aws.amazon.com/SAML/ Atribut/ RoleSessionName + Dapatkan Grup Iklan: Ikuti posting blog. + Klaim peran: Ikuti posting blog, tetapi untuk aturan Kustom, gunakan ini: ``` c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/")); ``` Saat menggunakan AD FS, Anda harus membuat grup keamanan Direktori Aktif untuk setiap peran dalam format yang ditampilkan dalam tabel berikut (customer\_managed\_ad\_user\_role hanya untuk akun AMS Managed AD): **** | Grup | Peran | | --- | --- | | AWS- [AccountNo] ReadOnly -Pelanggan\_ \_Peran | Pelanggan\_ ReadOnly \_Peran | | AWS- [AccountNo] -customer\_managed\_ad\_user\_role | customer\_managed\_ad\_user\_role | Untuk informasi lebih lanjut, lihat [Mengonfigurasi Pernyataan SAMP untuk Respons Otentikasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html). **Tip** Untuk membantu pemecahan masalah, unduh plugin pelacak SAMP untuk browser Anda.