Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Aturan klaim AD FS dan pengaturan SAMP
<a name="adfs-claim-rule-saml"></a>

ActiveDirectory Aturan klaim Federation Services (AD FS) dan pengaturan SAMP untuk AWS Managed Services (AMS)

Untuk step-by-step petunjuk terperinci tentang cara menginstal dan mengonfigurasi AD FS, lihat [Mengaktifkan Federasi ke AWS Menggunakan Windows Active Directory, ADFS, dan SAMP](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/) 2.0. 

## Konfigurasi aturan klaim ADFS
<a name="cust-have-adfs"></a>

Jika Anda sudah memiliki implementasi ADFS, konfigurasikan berikut:
+ Mengandalkan kepercayaan partai
+ Aturan klaim 

Langkah-langkah aturan kepercayaan dan klaim pihak yang mengandalkan diambil dari [Mengaktifkan Federasi ke AWS Menggunakan Windows Active Directory, AD FS, dan blog SAMP 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)
+ Aturan klaim:
  + **Nameid**: Konfigurasi per posting blog
  + **RoleSessionName**: Konfigurasikan sebagai berikut
    + **Nama aturan klaim**: **RoleSessionName**
    + **Toko atribut**: **Active Directory**
    + **Atribut LDAP**: **SAM-Account-Name**
    + **Jenis Klaim Keluar**: **https://aws.amazon.com/SAML/Attributes/RoleSessionName**
    + **Dapatkan Grup AD**: Konfigurasi per [posting blog](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)
    + **Klaim peran**: Konfigurasikan sebagai berikut

      ```
      c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
      ```

      ```
      => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));    
      ```

## Konsol web
<a name="adfs-web-console"></a>

Anda dapat mengakses konsol Web AWS dengan menggunakan tautan di bawah ini menggantikan {{[ADFS-FQDN]}} FQDN implementasi ADFS Anda.

https://{{[ADFS-FQDN]}}/.aspx adfs/ls/IdpInitiatedSignOn

Departemen TI Anda dapat menerapkan tautan di atas ke populasi pengguna melalui Kebijakan Grup.

## Akses API dan CLI dengan SAMP
<a name="api-cli-web-access"></a>

Cara mengkonfigurasi akses API dan CLI dengan SAMP.

Paket python bersumber dari posting blog di bawah ini:
+ NTLM: [Cara Menerapkan API Federasi dan Akses CLI Menggunakan](https://aws.amazon.com/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and-ad-fs/) SAMP 2.0 dan AD FS
+ Formulir: [Cara Menerapkan Solusi Umum untuk API/CLI Akses Federasi Menggunakan SAMP 2.0](https://aws.amazon.com/blogs/security/how-to-implement-a-general-solution-for-federated-apicli-access-using-saml-2-0/)
+ PowerShell: [Cara Mengatur Akses API Federasi ke AWS dengan Menggunakan Windows PowerShell](https://aws.amazon.com/blogs/security/how-to-set-up-federated-api-access-to-aws-by-using-windows-powershell/)

### Konfigurasi skrip
<a name="script-config"></a>

1. Menggunakan Notepad \+\+, ubah wilayah default ke wilayah yang benar

1. Menggunakan Notepad \+\+, nonaktifkan verifikasi SSL untuk lingkungan pengujian dan dev

1. Menggunakan Notepad \+\+, konfigurasikan idpentryurl

   `https://[ADFS-FDQN]/adfs/ls/IdpInitiatedSignOn.aspx?loginToRp=urn:amazon:webservices`

### Konfigurasi Windows
<a name="win-rule-claim-config"></a>

Petunjuk di bawah ini adalah untuk paket python. Kredensi yang dihasilkan akan berlaku selama 1 jam.

1. [Unduh dan instal python (2.7.11)](https://www.python.org/downloads/)

1. [Unduh dan instal alat AWS CLI](https://aws.amazon.com/cli/)

1. Instal AMS CLI:

   1. Unduh file zip yang dapat didistribusikan AMS yang disediakan oleh manajer pengiriman layanan cloud (CSDM) Anda dan unzip. 

      Beberapa direktori dan file tersedia.

   1. Buka **Managed Cloud Distributables -> CLI ->** Windows atau **Managed Cloud Distributables -> CLI -> Linux**/macOS direktori, tergantung pada sistem operasi Anda, dan:

      Untuk **Windows**, jalankan penginstal yang sesuai (metode ini hanya berfungsi pada sistem Windows 32 atau 64 bit):
      + 32 Bit: ManagedCloud API\_x86.msi
      + 64 Bit: ManagedCloud API\_x64.msi

      **Untuk **Mac/Linux**, jalankan file bernama: MC\_CLI.sh.** Anda dapat melakukan ini dengan menjalankan perintah ini:`sh MC_CLI.sh`. **Perhatikan bahwa direktori **amscm** dan **amsskms** dan isinya harus berada di direktori yang sama dengan file MC\_CLI.sh.**

   1. Jika kredensi perusahaan Anda digunakan melalui federasi dengan AWS (konfigurasi default AMS), Anda harus menginstal alat manajemen kredensi yang dapat mengakses layanan federasi Anda. Misalnya, Anda dapat menggunakan AWS Security Blog [Cara Menerapkan API Federasi dan Akses CLI Menggunakan SAMP 2.0 dan AD](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS) FS untuk bantuan mengonfigurasi alat manajemen kredensi Anda.

   1. Setelah instalasi, jalankan `aws amscm help` dan `aws amsskms help` untuk melihat perintah dan opsi.

1. Unduh skrip SAMP yang diperlukan

   Unduh ke c:\\aws\\scripts

1. [Unduh PIP](https://bootstrap.pypa.io/get-pip.py)

   Unduh ke c:\\aws\\downloads

1. Menggunakan PowerShell, instal PIP

   <pythondir>. \\ python.exe c:\\aws\\downloads\\get -pip.py

1. Menggunakan PowerShell, instal modul boto

   <pythondir\\ scripts>pip instal boto

1. Menggunakan PowerShell, menginstal modul permintaan

   permintaan<pythondir\\ scripts> pemasangan pip

1. Menggunakan PowerShell, menginstal modul keamanan permintaan

   <pythondir\\ scripts>permintaan pemasangan pip [keamanan]

1. Menggunakan PowerShell, instal modul beautifulsoup

   <pythondir\\ scripts>pip install beautifulsoup4

1. Menggunakan PowerShell, buat folder bernama .aws di profil pengguna (%userprofile%\\ .aws)

   mkdir .aws

1. Menggunakan PowerShell, buat file kredensi di folder.aws

   Kredensi Baru-Item -type file —force

   File kredensial tidak boleh memiliki ekstensi file

   Nama file harus semua huruf kecil dan memiliki kredenal nama

1. Buka file kredensil dengan notepad dan tempel di data berikut, tentukan wilayah yang benar

   ```
   [default]
   output = json
   region = us-east-1
   aws_access_key_id = 
   aws_secret_access_key =
   ```

1. Menggunakan PowerShell, skrip SAMP dan logon

   <pythondir>. \\ python.exe c:\\aws\\scripts\\samlapi.py

   Nama Pengguna: [NAMA PENGGUNA] @upn

   Pilih peran yang ingin Anda asumsikan

### Konfigurasi Linux
<a name="linux-rule-claim-config"></a>

Kredensi yang dihasilkan akan berlaku selama 1 jam.

1. Menggunakan WinSCP, transfer skrip SAMP

1. Menggunakan WinSCP, transfer sertifikat Root CA (abaikan untuk pengujian dan dev)

1. Tambahkan ROOT CA ke sertifikat root tepercaya (abaikan untuk pengujian dan dev)

   $ openssl x509 -inform der -in [certname] .cer -out certificate.pem (abaikan untuk pengujian dan dev)

   Tambahkan konten certificate.pem ke akhir file/etc/ssl/certs/ca-bundle.crt ((abaikan untuk test dev)

1. Buat folder.aws di rumah/ec2-user 5

   ```
   [default]
   output = json
   region = us-east-1
   aws_access_key_id = 
   aws_secret_access_key =
   ```

1. Menggunakan WinSCP, transfer file kredensial ke folder.aws

1. Instal modul boto

   $ sudo pip instal boto

1. Instal modul permintaan

   Permintaan instal $ sudo pip

1. Instal modul beautifulsoup

   $ sudo pip instal beautifulsoup4

1. Salin skrip ke rumah/ec2-user

   Tetapkan izin yang diperlukan

   Jalankan skrip: samlapi.py