Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengaktifkan federasi SAFL dengan AWS Identity and Access Management
OpenSearch UI mendukung Security Assertion Markup Language 2.0 (SALL), standar terbuka yang digunakan oleh banyak penyedia identitas. Ini memungkinkan federasi identitas dengan AWS Identity and Access Management (IAM). Dengan dukungan ini, pengguna di akun atau organisasi Anda dapat langsung mengakses OpenSearch UI dengan mengasumsikan peran IAM. Anda dapat membuat pengalaman masuk tunggal yang dimulai penyedia identitas (IDP) untuk pengguna akhir Anda, di mana mereka dapat mengautentikasi di penyedia identitas eksternal dan diarahkan langsung ke halaman yang Anda tentukan di UI. OpenSearch Anda juga dapat menerapkan kontrol akses berbutir halus dengan mengonfigurasi pengguna akhir atau grup Anda untuk mengambil peran IAM yang berbeda dengan izin berbeda untuk mengakses UI dan sumber data terkait. OpenSearch
Topik ini menyajikan step-by-step petunjuk untuk mengonfigurasi penggunaan SAMP dengan OpenSearch UI. Dalam prosedur ini, kami menggunakan langkah-langkah untuk mengonfigurasi identitas Okta dan aplikasi manajemen akses sebagai contoh. Langkah-langkah konfigurasi untuk penyedia identitas lain, seperti Azure Active Directory dan Ping, serupa.
**Topics**
+ [
## Langkah 1: Siapkan aplikasi penyedia identitas (Okta)
](#SAML-identity-federation-step-1)
+ [
## Langkah 2: Siapkan AWS konfigurasi untuk Okta
](#SAML-identity-federation-step-2)
+ [
## Langkah 3: Buat kebijakan akses OpenSearch Layanan Amazon di IAM
](#SAML-identity-federation-step-3)
+ [
## Langkah 4: Verifikasi pengalaman Single Sign-On yang diprakarsai oleh penyedia identitas dengan SALL
](#SAML-identity-federation-step-4)
+ [
## Langkah 5: Konfigurasikan kontrol akses halus berbasis atribut SAMP
](#SAML-identity-federation-step-5)
## Langkah 1: Siapkan aplikasi penyedia identitas (Okta)
Untuk menggunakan SAFL dengan OpenSearch UI, langkah pertama adalah mengatur penyedia identitas Anda.
**Tugas 1: Buat pengguna Okta**
1. Masuk ke organisasi Okta Anda di [https://login.okta.com/](https://login.okta.com/)sebagai pengguna dengan hak administratif.
1. Di konsol admin, di bawah **Direktori** di panel navigasi, pilih **Orang**.
1. Pilih **Tambah orang**.
1. Untuk **Nama Depan**, masukkan nama depan pengguna.
1. Untuk **Nama Belakang**, masukkan nama belakang pengguna.
1. Untuk **Nama Pengguna**, masukkan nama pengguna pengguna dalam format email.
1. Pilih **Saya akan mengatur kata sandi** dan memasukkan kata sandi
1. (Opsional) Hapus **Pengguna harus mengubah kata sandi pada kotak login pertama** jika Anda tidak ingin pengguna mengubah kata sandi saat masuk pertama.
1. Pilih **Simpan**.
**Tugas 2: Membuat dan menetapkan grup**
1. Masuk ke organisasi Okta Anda di [https://login.okta.com/](https://login.okta.com/)sebagai pengguna dengan hak administratif.
1. Di konsol admin, di bawah **Direktori** di panel navigasi, pilih **Grup**.
1. Pilih **Tambah grup**.
1. Masukkan nama grup dan pilih **Simpan**.
1. Pilih grup yang baru dibuat, lalu pilih **Tetapkan orang**.
1. Pilih tanda plus (**\$1**), lalu pilih **Selesai**.
1. (Opsional) Ulangi Langkah 1—6 untuk menambahkan lebih banyak grup.
**Tugas 3: Buat aplikasi Okta**
1. Masuk ke organisasi Okta Anda di [https://login.okta.com/](https://login.okta.com/)sebagai pengguna dengan hak administratif.
1. Di konsol admin, di bawah **Aplikasi** di panel navigasi, pilih **Aplikasi**.
1. Pilih **Buat Integrasi Aplikasi**.
1. **Pilih SAMP 2.0 sebagai metode masuk, lalu pilih Berikutnya.**
1. Masukkan nama untuk integrasi aplikasi Anda (misalnya,**OpenSearch\$1UI**), lalu pilih **Berikutnya**.
1. Masukkan nilai berikut di aplikasi; Anda tidak perlu mengubah nilai lain:
1. 1. Untuk **URL Masuk Tunggal**, masukkan **https://signin.aws.amazon.com/saml** untuk AWS Wilayah komersial, atau URL khusus untuk Wilayah Anda.
1. 2. Untuk **URI Audiens (SP Entity ID)**, masukkan**urn:amazon:webservices**.
1. 3. Untuk **format ID Nama**, masukkan**EmailAddress**.
1. Pilih **Berikutnya**.
1. Pilih **Saya pelanggan Okta menambahkan aplikasi internal**, lalu pilih **Ini adalah aplikasi internal yang telah kami buat**.
1. Pilih **Selesai**.
1. Pilih **Penugasan**, lalu pilih **Tetapkan**.
1. Pilih **Tetapkan ke grup**, lalu pilih **Tetapkan** di samping grup yang ingin Anda tambahkan.
1. Pilih **Selesai**.
**Tugas 4: Mengatur konfigurasi lanjutan Okta**
Setelah Anda membuat aplikasi SAMP kustom, selesaikan langkah-langkah berikut:
1. Masuk ke organisasi Okta Anda di [https://login.okta.com/](https://login.okta.com/)sebagai pengguna dengan hak administratif.
Di konsol administrator, di area **Umum**, pilih **Edit** di bawah **pengaturan SAFL**.
1. Pilih **Berikutnya**.
1. Setel **Status Relai Default** ke titik akhir OpenSearch UI, menggunakan format:
`https://region.console.aws.amazon.com/aos/home?region=region#opensearch/applications/application-id/redirectToDashboardURL`.
Berikut ini adalah contohnya:
`https://us-east-2.console.aws.amazon.com/aos/home?region=us-east-2#opensearch/applications/abc123def4567EXAMPLE/redirectToDashboardURL`
1. Di bawah **Pernyataan Atribut (opsional)**, tambahkan properti berikut:
1. **Berikan peran IAM dan penyedia identitas dalam format yang dipisahkan koma menggunakan atribut Peran.** Anda akan menggunakan peran IAM dan penyedia identitas yang sama ini di langkah selanjutnya saat menyiapkan AWS konfigurasi.
1. Setel **user.login** untuk. **RoleSessionName** Ini digunakan sebagai pengidentifikasi untuk kredensi sementara yang dikeluarkan saat peran diasumsikan.
Untuk referensi:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/application-enable-SAML-identity-federation.html)
1. Setelah Anda menambahkan properti atribut, pilih **Berikutnya**, dan kemudian pilih **Selesai**.
Atribut Anda harus serupa dalam format dengan yang ditunjukkan pada gambar berikut. Nilai **Status Relai Default** adalah URL untuk menentukan halaman landing bagi pengguna akhir di akun atau organisasi Anda setelah mereka menyelesaikan validasi masuk tunggal dari Okta. Anda dapat mengaturnya ke halaman mana pun di OpenSearch UI, dan kemudian memberikan URL tersebut kepada pengguna akhir yang dituju.
![\[Area “SAMP 2.0" melaporkan URL status relai default dan URL metadata untuk aplikasi.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/ui-saml-2.0-area-okta.png)
## Langkah 2: Siapkan AWS konfigurasi untuk Okta
Selesaikan tugas-tugas berikut untuk mengatur AWS konfigurasi Anda untuk Okta.
**Tugas 1: Kumpulkan Informasi Okta**
Untuk langkah ini, Anda perlu mengumpulkan informasi Okta Anda sehingga nantinya Anda dapat mengonfigurasinya. AWS
1. Masuk ke organisasi Okta Anda di [https://login.okta.com/](https://login.okta.com/)sebagai pengguna dengan hak administratif.
1. **Pada tab Sign** On, di sudut kanan bawah halaman, pilih **Lihat instruksi pengaturan SALL**.
1. Catat nilai untuk URL **Masuk Tunggal Penyedia Identitas**. Anda dapat menggunakan URL ini saat menghubungkan ke klien SQL pihak ketiga seperti [SQL](https://www.sql-workbench.eu/) Workbench/J.
1. Gunakan metadata penyedia identitas di blok 4, lalu simpan file metadata dalam format.xl (misalnya,). `metadata.xml`
**Tugas 2: Buat penyedia IAM**
Untuk membuat penyedia IAM Anda, selesaikan langkah-langkah berikut:
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, di bawah **Manajemen akses**, pilih **Penyedia identitas**.
1. Pilih **Tambah penyedia**.
1. Untuk **tipe Provider** ¸ pilih **SAFL**.
1. Untuk **nama Penyedia** ¸ masukkan nama.
1. Untuk **dokumen Metadata**, pilih **Pilih file dan unggah file** metadata (.xml. yang Anda unduh sebelumnya.
1. Pilih **Tambah penyedia**.
**Tugas 3: Buat peran IAM**
Untuk membuat AWS Identity and Access Management peran Anda, selesaikan langkah-langkah berikut:
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, di bawah **Manajemen akses**, pilih **Peran**.
1. Pilih **Buat peran**.
1. Untuk **jenis entitas Tepercaya**, pilih **federasi SAFL 2.0**.
1. Untuk **penyedia berbasis SAMP 2.0, pilih penyedia** identitas yang Anda buat sebelumnya.
1. Pilih **Izinkan programatik dan Konsol Manajemen AWS akses**.
1. Pilih **Berikutnya**.
1. Dalam daftar **Kebijakan izin**, pilih kotak centang untuk kebijakan yang memberikan izin OpenSearch Layanan, misalnya, kebijakan AWS terkelola. **AmazonOpenSearchServiceFullAccess**
1. Pilih **Berikutnya**.
1. Di area **Tinjauan**, untuk **nama Peran**, masukkan nama peran Anda; misalnya,**oktarole**.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi singkat tentang tujuan peran.
1. Pilih **Buat peran**.
1. Arahkan ke peran yang baru saja Anda buat, pilih tab **Trust Relationships**, lalu pilih **Edit kebijakan kepercayaan**.
1. Di panel **Edit pernyataan**, di bawah **Tambahkan tindakan untuk STS**, pilih kotak untuk **TagSession**.
1. Pilih **Perbarui kebijakan**.
## Langkah 3: Buat kebijakan akses OpenSearch Layanan Amazon di IAM
Pelajari cara mengonfigurasi peran IAM Anda untuk kontrol OpenSearch akses. Dengan peran IAM, Anda dapat menerapkan kontrol akses berbutir halus untuk grup pengguna Okta Anda untuk mengakses sumber daya. OpenSearch Topik ini menunjukkan konfigurasi berbasis peran IAM menggunakan dua kelompok contoh.
------
#### [ Sample group: Alice ]
Permintaan:
```
GET _plugins/_security/api/roles/alice-group
```
Hasil:
```
{
"alice-group": {
"reserved": false,
"hidden": false,
"cluster_permissions": [
"unlimited"
],
"index_permissions": [
{
"index_patterns": [
"alice*"
],
"dls": "",
"fls": [],
"masked_fields": [],
"allowed_actions": [
"indices_all"
]
}
],
"tenant_permissions": [
{
"tenant_patterns": [
"global_tenant"
],
"allowed_actions": [
"kibana_all_write"
]
}
],
"static": false
}
}
```
------
#### [ Sample group: Bob ]
Permintaan:
```
GET _plugins/_security/api/roles/bob-group
```
Hasil:
```
{
"bob-group": {
"reserved": false,
"hidden": false,
"cluster_permissions": [
"unlimited"
],
"index_permissions": [
{
"index_patterns": [
"bob*"
],
"dls": "",
"fls": [],
"masked_fields": [],
"allowed_actions": [
"indices_all"
]
}
],
"tenant_permissions": [
{
"tenant_patterns": [
"global_tenant"
],
"allowed_actions": [
"kibana_all_write"
]
}
],
"static": false
}
}
```
------
Anda dapat memetakan peran domain OpenSearch Layanan Amazon ke peran IAM menggunakan pemetaan peran backend, seperti yang ditunjukkan dalam contoh berikut:
```
{
"bob-group": {
"hosts": [],
"users": [],
"reserved": false,
"hidden": false,
"backend_roles": [
"arn:aws:iam::111222333444:role/bob-group"
],
"and_backend_roles": []
},
"alice-group": {
"hosts": [],
"users": [],
"reserved": false,
"hidden": false,
"backend_roles": [
"arn:aws:iam::111222333444:role/alice-group"
],
"and_backend_roles": []
}
}
```
## Langkah 4: Verifikasi pengalaman Single Sign-On yang diprakarsai oleh penyedia identitas dengan SALL
Buka URL untuk **Status Relai Default** untuk membuka halaman otentikasi Okta. Masukkan kredensi pengguna akhir. Anda secara otomatis dialihkan ke OpenSearch UI.
Anda dapat memeriksa kredensi Anda saat ini dengan memilih ikon pengguna di bagian bawah panel navigasi, seperti yang diilustrasikan pada gambar berikut:
![\[Memilih ikon pengguna di halaman “Pengaturan dan pengaturan” Okta menampilkan kredensil pengguna saat ini.\]](http://docs.aws.amazon.com/id_id/opensearch-service/latest/developerguide/images/ui-okta-user-icon.png)
Anda juga dapat memverifikasi izin kontrol akses berbutir halus untuk pengguna dengan mengakses Alat Pengembang di bagian bawah panel navigasi dan menjalankan kueri di konsol. Berikut ini adalah contoh query.
------
#### [ Example 1: Displays information about the current user ]
Permintaan:
```
GET _plugins/_security/api/account
```
Hasil:
```
{
"user_name": "arn:aws:iam::XXXXXXXXXXXX:role/bob-group",
"is_reserved": false,
"is_hidden": false,
"is_internal_user": false,
"user_requested_tenant": null,
"backend_roles": [
"arn:aws:iam::XXXXXXXXXXXX:role/bob-group"
],
"custom_attribute_names": [],
"tenants": {
"global_tenant": true,
"arn:aws:iam::XXXXXXXXXXXX:role/bob-group": true
},
"roles": [
"bob-group"
]
}
```
------
#### [ Example 2: Displays actions permitted for a user ]
Permintaan:
```
GET bob-test/_search
```
Hasil:
```
{
"took": 390,
"timed_out": false,
"_shards": {
"total": 5,
"successful": 5,
"skipped": 0,
"failed": 0
},
"hits": {
"total": {
"value": 1,
"relation": "eq"
},
"max_score": 1,
"hits": [
{
"_index": "bob-test",
"_id": "ui01N5UBCIHpjO8Jlvfy",
"_score": 1,
"_source": {
"title": "Your Name",
"year": "2016"
}
}
]
}
}
```
------
#### [ Example 3: Displays actions not permitted for a user ]
Permintaan:
```
GET alice-test
```
Hasil:
```
{
"error": {
"root_cause": [
{
"type": "security_exception",
"reason": "no permissions for [indices:admin/get] and User [name=arn:aws:iam::111222333444:role/bob-group, backend_roles=[arn:aws:iam::111222333444:role/bob-group], requestedTenant=null]"
}
],
"type": "security_exception",
"reason": "no permissions for [indices:admin/get] and User [name=arn:aws:iam::111222333444:role/bob-group, backend_roles=[arn:aws:iam::111222333444:role/bob-group], requestedTenant=null]"
},
"status": 403
}
```
------
## Langkah 5: Konfigurasikan kontrol akses halus berbasis atribut SAMP
Dengan Amazon OpenSearch Service, Anda dapat menggunakan kontrol akses berbutir halus dengan SAMP untuk memetakan pengguna dan grup dari penyedia identitas Anda ke pengguna dan peran kontrol akses yang OpenSearch halus secara dinamis. Anda dapat membuat cakupan peran ini ke OpenSearch domain tertentu dan koleksi tanpa server, serta menentukan izin tingkat indeks dan keamanan tingkat dokumen.
**catatan**
Untuk informasi selengkapnya tentang kontrol akses berbutir halus, lihat. [Kontrol akses berbutir halus di Layanan Amazon OpenSearch](fgac.md)
**Topics**
+ [
### Atribut SALL untuk kontrol akses berbutir halus
](#saml-fgac-key-attributes)
+ [
### Tugas 1: Konfigurasikan Okta untuk kontrol akses berbutir halus
](#configure-okta-fgac)
+ [
### Tugas 2: Konfigurasikan SALL di domain OpenSearch
](#configure-opensearch-domain-fgac)
+ [
### Tugas 3: Konfigurasikan SAFL dalam koleksi Tanpa OpenSearch Server
](#saml-configure-collections)
### Atribut SALL untuk kontrol akses berbutir halus
**SubjectKey**
Peta ke atribut pengguna unik, seperti email atau nama pengguna, yang mengidentifikasi pengguna untuk otentikasi.
**RolesKey**
Memetakan ke atribut grup atau peran di IDP Anda yang menentukan peran atau izin untuk otorisasi.
### Tugas 1: Konfigurasikan Okta untuk kontrol akses berbutir halus
**Untuk mengonfigurasi Okta untuk kontrol akses berbutir halus**
1. Tambahkan atribut baru untuk prinsipal OpenSearch pengguna di bagian **Pernyataan Atribut**:
+ Nama: `UserName`
+ Nilai: `${user-email}`
Atribut ini digunakan sebagai **kunci Subjek** dalam konfigurasi kontrol akses OpenSearch berbutir halus untuk otentikasi.
1. Tambahkan atribut grup untuk peran di bagian **Pernyataan Atribut Grup**:
+ Nama: `groups`
+ Filter: `OpenSearch_xxx`
Atribut ini digunakan sebagai **kunci Peran untuk memetakan grup ke peran** kontrol akses OpenSearch berbutir halus untuk otorisasi.
### Tugas 2: Konfigurasikan SALL di domain OpenSearch
**Untuk mengkonfigurasi SAFL di domain OpenSearch**
1. Di AWS Management Console, identifikasi domain OpenSearch Layanan yang ingin Anda aktifkan kontrol akses halus untuk pengguna UI. OpenSearch
1. Arahkan ke halaman detail domain tertentu.
1. Pilih tab **Konfigurasi keamanan** dan klik **Edit**.
1. Perluas **SALL melalui IAM Federate**.
1. Masukkan `subjectKey` dan `roleKey` yang Anda definisikan di Okta.
1. Pilih **Simpan perubahan**.
Anda juga dapat mengonfigurasi kontrol akses berbutir halus menggunakan file. AWS CLI
```
aws opensearch create-domain \
--domain-name testDomain \
--engine-version OpenSearch_1.3 \
--cluster-config InstanceType=r5.xlarge.search,InstanceCount=1,DedicatedMasterEnabled=false,ZoneAwarenessEnabled=false,WarmEnabled=false \
--access-policies '{"Version": "2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS":"*"},"Action":"es:*","Resource":"arn:aws:es:us-east-1:12345678901:domain/neosaml10/*"}]}' \
--domain-endpoint-options '{"EnforceHTTPS":true,"TLSSecurityPolicy":"Policy-Min-TLS-1-2-2019-07"}' \
--node-to-node-encryption-options '{"Enabled":true}' \
--encryption-at-rest-options '{"Enabled":true}' \
--advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"********","MasterUserPassword":"********"}, "IAMFederationOptions":{"Enabled": true,"SubjectKey":"TestSubjectKey","RolesKey":"TestRolesKey"}}' \
--ebs-options "EBSEnabled=true,VolumeType=gp2,VolumeSize=300" \
--no-verify-ssl \
--endpoint-url https://es.us-east-1.amazonaws.com \
--region us-east-1
```
Untuk memperbarui domain yang ada:
```
aws opensearch update-domain-config \
--domain-name testDomain \
--advanced-security-options '{"Enabled":true,"InternalUserDatabaseEnabled":true,"MasterUserOptions":{"MasterUserName":"********","MasterUserPassword":"********"}, "IAMFederationOptions":{"Enabled": true,"SubjectKey":"TestSubjectKey","RolesKey":"TestRolesKey"}}' \
--ebs-options "EBSEnabled=true,VolumeType=gp2,VolumeSize=300" \
--no-verify-ssl \
--endpoint-url https://es.us-east-1.amazonaws.com \
--region us-east-1
```
### Tugas 3: Konfigurasikan SAFL dalam koleksi Tanpa OpenSearch Server
**Untuk mengonfigurasi kontrol akses berbutir halus berbasis SAML di Tanpa Server OpenSearch**
1. Buka Konsol Manajemen AWS dan navigasikan ke OpenSearch Layanan Amazon.
1. **Di panel navigasi, di bawah **Tanpa Server**, pilih **Keamanan**, lalu pilih Otentikasi.**
1. Di bagian **Federasi IAM**, pilih **Edit**.
Anda dapat mengontrol kontrol akses halus berbasis atribut SAMP menggunakan konfigurasi ini. Federasi IAM dinonaktifkan secara default.
1. Pilih **Aktifkan Federasi IAM**.
1. Masukkan `subjectKey` dan `roleKey` nilai yang Anda tentukan di Okta.
Untuk informasi selengkapnya, lihat [Atribut SALL untuk kontrol akses berbutir halus](#saml-fgac-key-attributes).
1. Pilih **Simpan**.
1. Di panel navigasi di bawah **Tanpa Server**, pilih Kebijakan akses **data**.
1. Perbarui kebijakan yang ada atau buat yang baru.
1. Perluas aturan, pilih **Tambahkan prinsipal**, lalu pilih pengguna dan grup **Federasi IAM**.
1. **Tambahkan prinsipal yang diperlukan dan pilih Simpan.**
1. Pilih**Izin**.
1. Di bawah aturan ini, lakukan hal berikut:
+ Pilih izin yang ingin Anda tentukan untuk prinsipal yang dipilih.
+ Tentukan koleksi tempat Anda ingin menerapkan izin.
+ Secara opsional, tentukan izin tingkat indeks.
**catatan**
Anda dapat membuat beberapa aturan untuk menetapkan izin yang berbeda ke grup prinsipal yang berbeda.
1. Setelah selesai, silakan pilih **Simpan**.
1. Pilih **Buat**.
Atau, Anda dapat menggunakan CLI untuk membuat konfigurasi keamanan untuk koleksi, seperti yang diberikan di bawah ini:
```
aws opensearchserverless create-security-config --region "region" --type iamfederation --name "configuration_name" --description "description" --iam-federation-options '{"groupAttribute":"GroupKey","userAttribute":"UserKey"}'
```