Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Aplikasi yang dikelola pelanggan
IAM Identity Center bertindak sebagai layanan identitas pusat bagi pengguna dan grup tenaga kerja Anda. Jika Anda sudah menggunakan penyedia identitas (iDP), IAM Identity Center dapat berintegrasi dengan IDP Anda sehingga Anda dapat menyediakan pengguna dan grup Anda ke IAM Identity Center dan menggunakan IDP Anda untuk otentikasi. Dengan satu koneksi, IAM Identity Center mewakili IDP Anda di depan Layanan AWS beberapa dan memungkinkan aplikasi 2.0 OAuth Anda untuk meminta akses ke data dalam layanan ini atas nama pengguna Anda. Anda juga dapat menggunakan IAM Identity Center untuk menetapkan akses pengguna Anda ke aplikasi [SAFL 2.0](https://wiki.oasis-open.org/security). Ini termasuk AWS layanan seperti Amazon Connect dan AWS Client VPN, yang terintegrasi dengan IAM Identity Center secara eksklusif menggunakan SAMP dan oleh karena itu dikategorikan sebagai aplikasi yang dikelola pelanggan.
+ Jika aplikasi Anda mendukung **JSON Web Tokens (JWTs)**, Anda dapat menggunakan fitur propagasi identitas tepercaya dari IAM Identity Center untuk memungkinkan aplikasi Anda meminta akses ke data Layanan AWS atas nama pengguna Anda. Propagasi identitas tepercaya dibangun di atas Kerangka Otorisasi OAuth 2.0 dan mencakup opsi bagi aplikasi untuk bertukar token identitas yang berasal dari server otorisasi OAuth 2.0 eksternal untuk token yang dikeluarkan oleh IAM Identity Center dan diakui oleh. Layanan AWS Untuk informasi selengkapnya, lihat [Kasus penggunaan propagasi identitas tepercaya](trustedidentitypropagation-integrations.md).
+ Jika aplikasi Anda mendukung **SAFL 2.0**, Anda dapat menghubungkannya ke [instance organisasi IAM Identity Center](identity-center-instances.md). Anda dapat menggunakan IAM Identity Center untuk menetapkan akses ke aplikasi SAMP 2.0 Anda.
**catatan**
Saat mengintegrasikan aplikasi yang dikelola pelanggan dengan instans Pusat Identitas IAM yang menggunakan [kunci KMS yang dikelola pelanggan](encryption-at-rest.md), verifikasi apakah aplikasi memanggil layanan Pusat Identitas IAM APIs untuk mengonfirmasi apakah aplikasi memerlukan izin kunci KMS. [Ikuti panduan untuk memberikan izin kunci KMS ke alur kerja khusus dalam kebijakan kunci KMS dasar Panduan Pengguna Pusat Identitas IAM.](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center)
**Topics**
+ [Akses masuk tunggal ke aplikasi SAFL 2.0 dan 2.0 OAuth](customermanagedapps-saml2-oauth2.md)
+ [Menyiapkan aplikasi SAMP 2.0 yang dikelola pelanggan](customermanagedapps-saml2-setup.md)
# Akses masuk tunggal ke aplikasi SAFL 2.0 dan 2.0 OAuth
IAM Identity Center memungkinkan Anda untuk menyediakan pengguna Anda dengan akses masuk tunggal ke aplikasi SAFL 2.0 atau 2.0. OAuth Topik berikut memberikan gambaran tingkat tinggi dari SAMP 2.0 dan OAuth 2.0.
**Topics**
+ [SAML 2.0](#samlfederationconcept)
+ [OAuth 2.0](#oidc-concept)
## SAML 2.0
SAMP 2.0 adalah standar industri yang digunakan untuk bertukar pernyataan SAMP secara aman yang menyampaikan informasi tentang pengguna antara otoritas SAMP (disebut penyedia identitas atau iDP), dan konsumen SAMP 2.0 (disebut penyedia layanan atau SP). IAM Identity Center menggunakan informasi ini untuk menyediakan akses masuk tunggal federasi bagi pengguna yang berwenang untuk menggunakan aplikasi dalam portal akses. AWS
**catatan**
IAM Identity Center tidak mendukung validasi tanda tangan permintaan otentikasi SALL yang masuk dari aplikasi SAFL.
## OAuth 2.0
OAuth 2.0 adalah protokol yang memungkinkan aplikasi untuk mengakses dan berbagi data pengguna dengan aman tanpa berbagi kata sandi. Kemampuan ini menyediakan cara yang aman dan terstandarisasi bagi pengguna untuk memungkinkan aplikasi mengakses sumber daya mereka. Akses difasilitasi oleh aliran hibah OAuth 2.0 yang berbeda.
IAM Identity Center memungkinkan aplikasi yang berjalan pada klien publik untuk mengambil kredensi sementara untuk mengakses Akun AWS dan layanan secara terprogram atas nama pengguna mereka. Klien publik biasanya desktop, laptop, atau perangkat seluler lainnya yang digunakan untuk menjalankan aplikasi secara lokal. Contoh AWS aplikasi yang berjalan pada klien publik termasuk AWS Command Line Interface (AWS CLI), AWS Toolkit, dan Kit Pengembangan AWS Perangkat Lunak (SDKs). Untuk mengaktifkan aplikasi ini untuk mendapatkan kredensil, IAM Identity Center mendukung bagian dari alur 2.0 berikut: OAuth
+ [Hibah Kode Otorisasi dengan Kunci Bukti untuk Pertukaran Kode (PKCE) ([RFC 6749 dan RFC 7636](https://www.rfc-editor.org/rfc/rfc6749#section-4.1))](https://www.rfc-editor.org/rfc/rfc7636)
+ Hibah Otorisasi Perangkat ([RFC 8628](https://datatracker.ietf.org/doc/html/rfc8628))
**catatan**
Jenis hibah ini hanya dapat digunakan dengan Layanan AWS mendukung kemampuan ini. Layanan ini mungkin tidak mendukung jenis hibah ini secara keseluruhan Wilayah AWS. Lihat dokumentasi yang relevan Layanan AWS untuk perbedaan regional.
OpenID Connect (OIDC) adalah protokol otentikasi yang didasarkan pada 2.0 Framework. OAuth OIDC menentukan cara menggunakan OAuth 2.0 untuk otentikasi. Melalui [layanan IAM Identity Center OIDC APIs](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_Operations.html), aplikasi mendaftarkan klien OAuth 2.0 dan menggunakan salah satu aliran ini untuk mendapatkan token akses yang memberikan izin ke Pusat Identitas IAM yang dilindungi. APIs Aplikasi menentukan [cakupan akses](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#scopes-oidc) untuk mendeklarasikan pengguna API yang dimaksudkan. Setelah Anda, sebagai administrator Pusat Identitas IAM, mengonfigurasi sumber identitas Anda, pengguna akhir aplikasi Anda harus menyelesaikan proses masuk, jika mereka belum melakukannya. Pengguna akhir Anda kemudian harus memberikan persetujuan mereka untuk mengizinkan aplikasi melakukan panggilan API. Panggilan API ini dilakukan menggunakan izin pengguna. Sebagai tanggapan, IAM Identity Center mengembalikan token akses ke aplikasi yang berisi cakupan akses yang disetujui pengguna.
### Menggunakan alur hibah OAuth 2.0
OAuth Aliran hibah 2.0 hanya tersedia melalui aplikasi AWS terkelola yang mendukung arus. Untuk menggunakan alur OAuth 2.0, instance Pusat Identitas IAM dan aplikasi AWS terkelola yang didukung yang Anda gunakan harus disebarkan dalam satu. Wilayah AWS Lihat dokumentasi untuk masing-masing Layanan AWS untuk menentukan ketersediaan regional aplikasi AWS terkelola dan contoh Pusat Identitas IAM yang ingin Anda gunakan.
Untuk menggunakan aplikasi yang menggunakan aliran OAuth 2.0, pengguna akhir harus memasukkan URL tempat aplikasi akan terhubung dan mendaftar dengan instance IAM Identity Center Anda. Bergantung pada aplikasi, sebagai administrator, Anda harus memberi pengguna Anda **URL portal AWS akses atau URL** **Penerbit** instance Pusat Identitas IAM Anda. Anda dapat menemukan dua pengaturan ini di halaman **Pengaturan** [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon/). Untuk informasi tambahan tentang mengkonfigurasi aplikasi klien, lihat dokumentasi aplikasi tersebut.
Pengalaman pengguna akhir untuk masuk ke aplikasi dan memberikan persetujuan tergantung pada apakah aplikasi menggunakan [Pemberian Kode Otorisasi dengan PKCE](#auth-code-grant-pkce) atau[Hibah Otorisasi Perangkat](#device-auth-grant).
#### Pemberian Kode Otorisasi dengan PKCE
Aliran ini digunakan oleh aplikasi yang berjalan pada perangkat yang memiliki browser.
1. Jendela browser terbuka.
1. Jika pengguna belum diautentikasi, browser akan mengarahkan mereka untuk menyelesaikan otentikasi pengguna.
1. Setelah otentikasi, pengguna disajikan dengan layar persetujuan yang menampilkan informasi berikut:
+ Nama aplikasi
+ Cakupan akses yang meminta persetujuan aplikasi untuk digunakan
1. Pengguna dapat membatalkan proses persetujuan atau mereka dapat memberikan persetujuan mereka dan aplikasi melanjutkan dengan akses berdasarkan izin pengguna.
#### Hibah Otorisasi Perangkat
Aliran ini dapat digunakan oleh aplikasi yang berjalan pada perangkat dengan atau tanpa browser. Saat aplikasi memulai alur, aplikasi menyajikan URL dan kode pengguna yang harus diverifikasi pengguna nanti dalam alur. Kode pengguna diperlukan karena aplikasi yang memulai alur mungkin berjalan pada perangkat yang berbeda dari perangkat tempat pengguna memberikan persetujuan. Kode memastikan bahwa pengguna menyetujui aliran yang mereka mulai di perangkat lain.
**catatan**
Jika Anda memiliki klien yang menggunakan`device.sso.region.amazonaws.com`, Anda harus memperbarui alur otorisasi Anda untuk menggunakan Kunci Bukti untuk Pertukaran Kode (PKCE). *Untuk informasi selengkapnya, lihat [Mengonfigurasi autentikasi Pusat Identitas IAM dengan AWS CLI di](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) Panduan Pengguna.AWS Command Line Interface *
1. Ketika aliran dimulai dari perangkat dengan browser, jendela browser terbuka. Ketika aliran dimulai dari perangkat tanpa browser, pengguna harus membuka browser pada perangkat yang berbeda dan pergi ke URL yang disajikan aplikasi.
1. Dalam kedua kasus, jika pengguna belum diautentikasi, browser mengarahkan mereka untuk menyelesaikan otentikasi pengguna.
1. Setelah otentikasi, pengguna disajikan dengan layar persetujuan yang menampilkan informasi berikut:
+ Nama aplikasi
+ Cakupan akses yang meminta persetujuan aplikasi untuk digunakan
+ Kode pengguna yang disajikan aplikasi kepada pengguna
1. Pengguna dapat membatalkan proses persetujuan atau mereka dapat memberikan persetujuan mereka dan aplikasi melanjutkan dengan akses berdasarkan izin pengguna.
### Cakupan akses
*Lingkup* mendefinisikan akses untuk layanan yang dapat diakses melalui aliran OAuth 2.0. Cakupan adalah cara untuk layanan, juga disebut server sumber daya, untuk mengelompokkan izin yang terkait dengan tindakan dan sumber daya layanan, dan mereka menentukan operasi kasar yang dapat diminta klien 2.0. OAuth Ketika klien OAuth 2.0 mendaftar dengan [layanan IAM Identity Center OIDC](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/Welcome.html), klien menentukan cakupan untuk mendeklarasikan tindakan yang dimaksudkan, di mana pengguna harus memberikan persetujuan.
OAuth Klien 2.0 menggunakan `scope` nilai seperti yang didefinisikan dalam [bagian 3.3 dari OAuth 2.0 (RFC 6749)](https://www.rfc-editor.org/rfc/rfc6749.html#section-3.3) untuk menentukan izin apa yang diminta untuk token akses. Klien dapat menentukan maksimal 25 cakupan saat meminta token akses. Ketika pengguna memberikan persetujuan selama Pemberian Kode Otorisasi dengan PKCE atau alur Hibah Otorisasi Perangkat, Pusat Identitas IAM mengkodekan cakupan ke dalam token akses yang dikembalikan.
AWS menambahkan cakupan ke Pusat Identitas IAM untuk didukung. Layanan AWS Tabel berikut mencantumkan cakupan yang didukung oleh layanan IAM Identity Center OIDC saat Anda mendaftarkan klien publik.
#### Cakupan akses yang didukung oleh layanan IAM Identity Center OIDC saat mendaftarkan klien publik
****
| Lingkup | Deskripsi | Layanan yang didukung oleh |
| --- | --- | --- |
| sso:account:access | Akses akun dan set izin yang dikelola Pusat Identitas IAM. | Pusat Identitas IAM |
| codewhisperer:analysis | Aktifkan akses ke analisis kode Kiro. | ID AWS Builder dan Pusat Identitas IAM |
| codewhisperer:completions | Aktifkan akses ke saran kode sebaris Kiro. | ID AWS Builder dan Pusat Identitas IAM |
| codewhisperer:conversations | Aktifkan akses ke obrolan Kiro. | ID AWS Builder dan Pusat Identitas IAM |
| codewhisperer:taskassist | Aktifkan akses ke Agen Kiro untuk pengembangan perangkat lunak. | ID AWS Builder dan Pusat Identitas IAM |
| codewhisperer:transformations | Aktifkan akses ke Agen Kiro untuk transformasi kode. | ID AWS Builder dan Pusat Identitas IAM |
| codecatalyst:read\$1write | Baca dan tulis ke CodeCatalyst sumber daya Amazon Anda, memungkinkan akses ke semua sumber daya yang ada. | ID AWS Builder dan Pusat Identitas IAM |
| verified\$1access:application:connect | Aktifkan Akses Terverifikasi AWS | Akses Terverifikasi AWS |
| redshift:connect | Connect ke Amazon Redshift | Amazon Redshift |
| datazone:domain:access | Akses Peran Eksekusi DataZone Domain | Amazon DataZone |
| nosqlworkbench:datamodeladviser | Membuat dan membaca model data | NoSQL Workbench |
| transform:read\$1write | Aktifkan akses ke AWS Transform Agent untuk transformasi kode | AWS Transformasi |
# Menyiapkan aplikasi SAMP 2.0 yang dikelola pelanggan
Jika Anda menggunakan aplikasi yang dikelola pelanggan yang mendukung [SAMP 2.0](https://wiki.oasis-open.org/security), Anda dapat menggabungkan IDP Anda ke IAM Identity Center melalui SAMP 2.0 dan menggunakan IAM Identity Center untuk mengelola akses pengguna ke aplikasi tersebut. Anda dapat memilih aplikasi SAMP 2.0 dari katalog aplikasi yang umum digunakan di konsol IAM Identity Center, atau Anda dapat mengatur aplikasi SAMP 2.0 Anda sendiri.
**catatan**
Jika Anda memiliki aplikasi yang dikelola pelanggan yang mendukung OAuth 2.0 dan pengguna Anda memerlukan akses dari aplikasi ini Layanan AWS, Anda dapat menggunakan propagasi identitas tepercaya. Dengan propagasi identitas tepercaya, pengguna dapat masuk ke aplikasi, dan aplikasi itu dapat meneruskan identitas pengguna dalam permintaan untuk mengakses data. Layanan AWS
**Topics**
+ [Siapkan aplikasi dari katalog aplikasi IAM Identity Center](saasapps.md)
+ [Siapkan aplikasi SAFL 2.0 Anda sendiri](customermanagedapps-set-up-your-own-app-saml2.md)
# Siapkan aplikasi dari katalog aplikasi IAM Identity Center
Anda dapat menggunakan katalog aplikasi di konsol IAM Identity Center untuk menambahkan banyak aplikasi SAMP 2.0 yang umum digunakan yang bekerja dengan IAM Identity Center. Contohnya termasuk Salesforce, Box, dan Microsoft 365.
Sebagian besar aplikasi memberikan informasi terperinci tentang cara mengatur kepercayaan antara IAM Identity Center dan penyedia layanan aplikasi. Informasi ini tersedia di halaman konfigurasi untuk aplikasi, setelah Anda memilih aplikasi dalam katalog. Setelah Anda mengkonfigurasi aplikasi, Anda dapat menetapkan akses ke pengguna atau grup di IAM Identity Center sesuai kebutuhan.
Gunakan prosedur ini untuk mengatur hubungan kepercayaan SAFL 2.0 antara IAM Identity Center dan penyedia layanan aplikasi Anda.
Sebelum Anda memulai prosedur ini, akan sangat membantu jika Anda memiliki file pertukaran metadata penyedia layanan sehingga Anda dapat mengatur kepercayaan dengan lebih efisien. Jika Anda tidak memiliki file ini, Anda masih dapat menggunakan prosedur ini untuk mengonfigurasi kepercayaan secara manual.
**Untuk menambah dan mengkonfigurasi aplikasi dari katalog aplikasi**
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Aplikasi**.
1. Pilih tab yang **dikelola Pelanggan**.
1. Pilih **Tambahkan aplikasi**.
1. Pada halaman **Pilih jenis aplikasi**, di bawah **Preferensi pengaturan**, **pilih Saya ingin memilih aplikasi dari katalog**.
1. Di bawah **Katalog aplikasi**, mulailah mengetik nama aplikasi yang ingin Anda tambahkan di kotak pencarian.
1. Pilih nama aplikasi dari daftar saat muncul di hasil pencarian, lalu pilih **Berikutnya**.
1. Pada halaman **Konfigurasi aplikasi**, kolom **Nama Tampilan** dan **Deskripsi** diisi sebelumnya dengan detail yang relevan untuk aplikasi. Anda dapat mengedit informasi ini.
1. Di bawah **metadata IAM Identity Center**, lakukan hal berikut:
1. Di bawah **file metadata SALL Pusat Identitas IAM, pilih **Unduh untuk mengunduh** metadata** penyedia identitas.
1. Di bawah **sertifikat Pusat Identitas IAM**, pilih **Unduh sertifikat** untuk mengunduh sertifikat penyedia identitas.
**catatan**
Anda akan memerlukan file-file ini nanti ketika Anda mengatur aplikasi dari situs web penyedia layanan. Ikuti instruksi dari penyedia itu.
1. (Opsional) Di bawah **Properti aplikasi**, Anda dapat menentukan **URL mulai aplikasi**, **status Relay**, dan **Durasi sesi**. Untuk informasi selengkapnya, lihat [Memahami properti aplikasi di konsol Pusat Identitas IAM](appproperties.md).
1. Di bawah **metadata Aplikasi**, lakukan salah satu hal berikut:
1. Jika Anda memiliki file metadata, pilih **Unggah file metadata SAMP aplikasi**. Kemudian, pilih **Pilih file** untuk menemukan dan pilih file metadata.
1. Jika Anda tidak memiliki file metadata, pilih **Ketik nilai metadata Anda secara manual, lalu berikan **URL ACS Aplikasi** dan nilai** audiens SAMP **Aplikasi**.
1. Pilih **Kirim**. Anda dibawa ke halaman detail aplikasi yang baru saja Anda tambahkan.
# Siapkan aplikasi SAFL 2.0 Anda sendiri
Anda dapat mengatur aplikasi Anda sendiri yang memungkinkan federasi identitas menggunakan SAMP 2.0 dan menambahkannya ke IAM Identity Center. Sebagian besar langkah untuk menyiapkan aplikasi SAMP 2.0 Anda sendiri sama dengan menyiapkan aplikasi SAMP 2.0 dari katalog aplikasi di konsol IAM Identity Center. Namun, Anda juga harus menyediakan pemetaan atribut SALL tambahan untuk aplikasi SALL 2.0 Anda sendiri. Pemetaan ini memungkinkan IAM Identity Center untuk mengisi pernyataan SAFL 2.0 dengan benar untuk aplikasi Anda. Anda dapat memberikan pemetaan atribut SALL tambahan ini ketika Anda mengatur aplikasi untuk pertama kalinya. Anda juga dapat memberikan pemetaan atribut SAMP 2.0 pada halaman detail aplikasi di konsol Pusat Identitas IAM.
Gunakan prosedur berikut untuk mengatur hubungan kepercayaan SAMP 2.0 antara IAM Identity Center dan penyedia layanan aplikasi SAMP 2.0 Anda. Sebelum Anda memulai prosedur ini, pastikan Anda memiliki sertifikat penyedia layanan dan file pertukaran metadata sehingga Anda dapat menyelesaikan pengaturan kepercayaan.
**Untuk mengatur aplikasi SAFL 2.0 Anda sendiri**
1. Buka [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Aplikasi**.
1. Pilih tab yang **dikelola Pelanggan**.
1. Pilih **Tambahkan aplikasi**.
1. Pada halaman **Pilih jenis aplikasi**, di bawah **preferensi Pengaturan**, pilih **Saya memiliki aplikasi yang ingin saya atur**.
1. Di bawah **Jenis aplikasi**, pilih **SAFL 2.0**.
1. Pilih **Berikutnya**.
1. Pada halaman **Konfigurasi aplikasi**, di bawah **Konfigurasi aplikasi**, masukkan **nama Tampilan** untuk aplikasi, seperti**MyApp**. Kemudian, masukkan **Deskripsi**.
1. Di bawah **metadata IAM Identity Center**, lakukan hal berikut:
1. Di bawah **file metadata SALL Pusat Identitas IAM, pilih **Unduh untuk mengunduh** metadata** penyedia identitas.
1. Di bawah **sertifikat Pusat Identitas IAM**, pilih **Unduh** untuk mengunduh sertifikat penyedia identitas.
**catatan**
Anda akan memerlukan file-file ini nanti ketika Anda mengatur aplikasi khusus dari situs web penyedia layanan.
1. (Opsional) Di bawah **Properti aplikasi**, Anda juga dapat menentukan **URL mulai aplikasi**, **status Relay**, dan **Durasi sesi**. Untuk informasi selengkapnya, lihat [Memahami properti aplikasi di konsol Pusat Identitas IAM](appproperties.md).
1. Di bawah **Metadata aplikasi**, pilih **Ketik nilai metadata Anda secara manual**. Kemudian, berikan **URL ACS Aplikasi** **dan nilai audiens SALL** Aplikasi.
1. Pilih **Kirim**. Anda dibawa ke halaman detail aplikasi yang baru saja Anda tambahkan.