Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Konfigurasikan SAMP dan SCIM dengan Google Workspace dan IAM Identity Center
Jika organisasi Anda menggunakan, Google Workspace Anda dapat mengintegrasikan pengguna Anda dari Google Workspace Pusat Identitas IAM untuk memberi mereka akses ke AWS sumber daya. Anda dapat mencapai integrasi ini dengan mengubah sumber identitas Pusat Identitas IAM Anda dari sumber identitas Pusat Identitas IAM default menjadi. Google Workspace
**catatan**
Google Workspacesaat ini tidak mendukung layanan konsumsi pernyataan ganda SAMP (ACS) URLs dalam aplikasi. AWS IAM Identity Center Fitur SAMP ini diperlukan untuk sepenuhnya memanfaatkan [dukungan Multi-wilayah](multi-region-iam-identity-center.md) di IAM Identity Center. Jika Anda berencana untuk mereplikasi Pusat Identitas IAM ke Wilayah tambahan, ketahuilah bahwa menggunakan satu URL ACS dapat memengaruhi pengalaman pengguna di Wilayah tambahan tersebut. Wilayah utama Anda akan terus berfungsi secara normal. Kami menyarankan Anda bekerja dengan vendor IDP Anda untuk mengaktifkan fitur ini. Untuk informasi selengkapnya tentang pengalaman pengguna di Wilayah tambahan dengan satu URL ACS, lihat [Menggunakan aplikasi AWS terkelola tanpa beberapa ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) dan[Akun AWS ketahanan akses tanpa beberapa ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
Informasi pengguna dari Google Workspace disinkronkan ke IAM Identity Center menggunakan protokol [System for Cross-domain Identity Management (SCIM](scim-profile-saml.md#scim-profile)) 2.0. Untuk informasi selengkapnya, lihat [Menggunakan federasi identitas SAMP dan SCIM dengan penyedia identitas eksternal](other-idps.md).
Anda mengonfigurasi koneksi ini Google Workspace dengan menggunakan endpoint SCIM Anda untuk IAM Identity Center dan token pembawa IAM Identity Center. Saat mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna Google Workspace ke atribut bernama di Pusat Identitas IAM. Pemetaan ini cocok dengan atribut pengguna yang diharapkan antara IAM Identity Center dan. Google Workspace Untuk melakukan ini, Anda perlu mengatur Google Workspace sebagai penyedia identitas dan terhubung dengan Pusat Identitas IAM Anda.
**Tujuan**
Langkah-langkah dalam tutorial ini membantu memandu Anda melalui membangun koneksi SAMP antara Google Workspace dan AWS. Nanti, Anda akan menyinkronkan pengguna dari Google Workspace menggunakan SCIM. Untuk memverifikasi semuanya dikonfigurasi dengan benar, setelah menyelesaikan langkah-langkah konfigurasi Anda akan masuk sebagai Google Workspace pengguna dan memverifikasi akses ke AWS sumber daya. Perhatikan bahwa tutorial ini didasarkan pada lingkungan pengujian Google Workspace direktori kecil. Struktur direktori seperti grup dan unit organisasi tidak disertakan dalam tutorial ini. Setelah menyelesaikan tutorial ini, pengguna Anda akan dapat mengakses portal AWS akses dengan Google Workspace kredensil Anda.
**catatan**
Untuk mendaftar untuk uji coba Google Workspace kunjungan gratis [https://workspace.google.com/](https://workspace.google.com/)di situs Google's web.
Jika Anda belum mengaktifkan IAM Identity Center, lihat[Aktifkan Pusat Identitas IAM](enable-identity-center.md).
## Pertimbangan-pertimbangan
+ Sebelum Anda mengonfigurasi penyediaan SCIM antara Google Workspace dan IAM Identity Center, kami sarankan Anda meninjau terlebih dahulu. [Pertimbangan untuk menggunakan penyediaan otomatis](provision-automatically.md#auto-provisioning-considerations)
+ Sinkronisasi otomatis SCIM dari saat Google Workspace ini terbatas pada penyediaan pengguna. Penyediaan grup otomatis tidak didukung saat ini. Grup dapat dibuat secara manual dengan perintah AWS CLI Identity Store [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) atau AWS Identity and Access Management (IAM) API. [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html) Atau, Anda dapat menggunakan [ssosync untuk menyinkronkan](https://github.com/awslabs/ssosync) Google Workspace pengguna dan grup ke Pusat Identitas IAM.
+ Setiap Google Workspace pengguna harus memiliki nilai **Nama depan**, **nama belakang, nama** **pengguna** dan **nama tampilan** yang ditentukan.
+ Setiap Google Workspace pengguna hanya memiliki satu nilai per atribut data, seperti alamat email atau nomor telepon. Setiap pengguna yang memiliki banyak nilai akan gagal menyinkronkan. Jika ada pengguna yang memiliki beberapa nilai dalam atributnya, hapus atribut duplikat sebelum mencoba menyediakan pengguna di Pusat Identitas IAM. Misalnya, hanya satu atribut nomor telepon yang dapat disinkronkan, karena atribut nomor telepon default adalah “telepon kerja”, gunakan atribut “telepon kerja” untuk menyimpan nomor telepon pengguna, bahkan jika nomor telepon untuk pengguna adalah telepon rumah atau ponsel.
+ Atribut masih disinkronkan jika pengguna dinonaktifkan di Pusat Identitas IAM, tetapi masih aktif di. Google Workspace
+ Jika ada pengguna yang ada di direktori Identity Center dengan nama pengguna dan email yang sama, pengguna akan ditimpa dan disinkronkan menggunakan SCIM dari. Google Workspace
+ Ada pertimbangan tambahan saat mengubah sumber identitas Anda. Untuk informasi selengkapnya, lihat [Mengubah dari IAM Identity Center ke iDP eksternal](manage-your-identity-source-considerations.md#changing-from-idc-and-idp).
## Langkah 1:Google Workspace: Konfigurasikan aplikasi SAMP
1. Masuk ke **konsol Google Admin** Anda menggunakan akun dengan hak administrator super.
1. Di panel navigasi kiri **konsol Google Admin** Anda, pilih **Aplikasi**, lalu pilih **Aplikasi Web dan Seluler**.
1. Dalam daftar tarik-turun **Tambah aplikasi**, pilih **Cari** aplikasi.
1. Di kotak pencarian, masukkan **Amazon Web Services**, lalu pilih aplikasi **Amazon Web Services (SAMP)** dari daftar.
1. Pada **detail Penyedia Google Identitas - halaman Amazon Web Services**, Anda dapat melakukan salah satu hal berikut:
1. Unduh metadata iDP.
1. Salin URL SSO, URL ID Entitas, dan informasi Sertifikat.
Anda akan memerlukan file XHTML atau informasi URL di Langkah 2.
1. Sebelum pindah ke langkah berikutnya di konsol Google Admin, biarkan halaman ini terbuka dan pindah ke konsol Pusat Identitas IAM.
## Langkah 2: Pusat Identitas IAM danGoogle Workspace: Ubah sumber identitas Pusat Identitas IAM dan atur Google Workspace sebagai penyedia identitas SAMP
1. Masuk ke [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon) menggunakan peran dengan izin administratif.
1. Pilih **Pengaturan** di panel navigasi kiri.
1. Pada halaman **Pengaturan**, pilih **Tindakan**, lalu pilih **Ubah sumber identitas**.
+ Jika Anda belum mengaktifkan Pusat Identitas IAM, lihat [Aktifkan Pusat Identitas IAM](enable-identity-center.md) untuk informasi selengkapnya. Setelah mengaktifkan dan mengakses Pusat Identitas IAM untuk pertama kalinya, Anda akan tiba di **Dasbor** tempat Anda dapat **memilih Pilih sumber identitas Anda**.
1. Pada halaman **Pilih sumber identitas**, pilih **Penyedia identitas eksternal**, lalu pilih **Berikutnya**.
1. Halaman **Konfigurasi penyedia identitas eksternal** terbuka. Untuk melengkapi halaman ini dan Google Workspace halaman di Langkah 1, Anda harus menyelesaikan yang berikut:
1. Di bawah bagian **metadata Penyedia Identitas** di konsol **Pusat Identitas IAM**, Anda perlu melakukan salah satu hal berikut:
1. Unggah metadata **GoogleSAMP sebagai metadata** **IDP SAMP di konsol IAM Identity** Center.
1. ****Salin dan tempel URL **GoogleSSO ke kolom URL** **Masuk iDP Google****, URL Penerbit ke bidang URL penerbit** **iDP, dan unggah Sertifikat sebagai sertifikat iDP**. Google****
1. **Setelah memberikan Google metadata di bagian metadata **Penyedia Identitas** dari konsol **Pusat Identitas IAM, salin URL IAM Identity** **Assertion Consumer Service (ACS) dan URL penerbit IAM Identity** Center.** Anda harus menyediakan ini URLs di konsol Google Admin di langkah berikutnya.
1. Biarkan halaman terbuka dengan konsol IAM Identity Center dan kembali ke konsol Google Admin. Anda harus berada di halaman **detail Amazon Web Services - Penyedia Layanan**. Pilih **Lanjutkan**.
1. Pada halaman **detail penyedia layanan**, masukkan nilai **ACS URL** dan **Entity ID**. Anda menyalin nilai-nilai ini di langkah sebelumnya dan mereka dapat ditemukan di konsol Pusat Identitas IAM.
+ **Tempelkan URL **IAM Identity Center Assertion Consumer Service (ACS) ke kolom URL** ACS**
+ Rekatkan **URL penerbit Pusat Identitas IAM ke bidang** **ID Entitas**.
1. Pada halaman **detail penyedia layanan**, lengkapi kolom di bawah **ID Nama** sebagai berikut:
+ Untuk **format ID Nama**, pilih **EMAIL**
+ Untuk **ID Nama**, pilih **Informasi Dasar > Email utama**
1. Pilih **Lanjutkan**.
1. Pada halaman **Pemetaan Atribut**, di bawah **Atribut**, pilih **ADD MAPPING**, lalu konfigurasikan bidang ini di bawah atribut **GoogleDirektori**:
+ Untuk **atribut `https://aws.amazon.com/SAML/Attributes/RoleSessionName` app**, pilih bidang **Informasi Dasar, Email Utama** dari **Google Directoryatribut**.
+ Untuk **atribut `https://aws.amazon.com/SAML/Attributes/Role` app**, pilih **Google Directoryatribut** apa saja. Atribut Google Direktori bisa menjadi **Departemen**.
1. Pilih **Selesai**
1. Kembali ke konsol **Pusat Identitas IAM** dan pilih **Berikutnya**. Pada halaman **Tinjau dan Konfirmasi**, tinjau informasi dan kemudian masukkan **TERIMA** ke dalam ruang yang disediakan. Pilih **Ubah sumber identitas.**
Anda sekarang siap untuk mengaktifkan aplikasi Amazon Web Services Google Workspace sehingga pengguna Anda dapat disediakan ke IAM Identity Center.
## Langkah 3:Google Workspace: Aktifkan aplikasi
1. Kembali ke **Konsol Google Admin** dan AWS IAM Identity Center aplikasi Anda yang dapat ditemukan di bawah **Aplikasi** dan **Web dan Aplikasi Seluler**.
1. Di panel **akses Pengguna** di sebelah **Akses pengguna**, pilih panah bawah untuk memperluas **akses Pengguna** untuk menampilkan panel **status Layanan**.
1. Di panel **status Layanan**, pilih **ON untuk semua orang**, lalu pilih **SIMPAN**.
**catatan**
Untuk membantu mempertahankan prinsip hak istimewa yang paling rendah, kami sarankan setelah Anda menyelesaikan tutorial ini, Anda mengubah **status Layanan** menjadi **OFF untuk semua orang**. Hanya pengguna yang membutuhkan akses yang AWS harus mengaktifkan layanan. Anda dapat menggunakan Google Workspace grup atau unit organisasi untuk memberikan akses pengguna ke subset tertentu dari pengguna Anda.
## Langkah 4: Pusat Identitas IAM: Siapkan penyediaan otomatis Pusat Identitas IAM
1. Kembali ke konsol Pusat Identitas IAM.
1. **Pada halaman **Pengaturan**, cari kotak Informasi **penyediaan otomatis, lalu pilih Aktifkan**.** Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.
1. Dalam kotak dialog **Penyediaan otomatis masuk**, salin setiap nilai untuk opsi berikut. Pada Langkah 5 tutorial ini, Anda akan memasukkan nilai-nilai ini untuk mengonfigurasi penyediaan otomatis. Google Workspace
1. **Titik akhir SCIM** - Misalnya,
+ IPv4`https://scim.Region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ Tumpukan ganda `https://scim.Region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **Access token** - Pilih **Tampilkan token** untuk menyalin nilainya.
**Awas**
Ini adalah satu-satunya waktu di mana Anda dapat memperoleh titik akhir SCIM dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju.
1. Pilih **Tutup**.
Sekarang setelah Anda menyiapkan penyediaan di konsol Pusat Identitas IAM, pada langkah berikutnya Anda akan mengonfigurasi penyediaan otomatis. Google Workspace
## Langkah 5:Google Workspace: Konfigurasikan penyediaan otomatis
1. Kembali ke konsol Google Admin dan AWS IAM Identity Center aplikasi Anda yang dapat ditemukan di bawah **Aplikasi dan Aplikasi** **Web dan Seluler**. Di bagian **Auto provisioning**, pilih Configure **auto** provisioning.
1. Pada prosedur sebelumnya, Anda menyalin nilai **token Access** di konsol IAM Identity Center. Tempelkan nilai itu ke bidang **Access token** dan pilih **Continue**. Juga, dalam prosedur sebelumnya, Anda menyalin nilai **endpoint SCIM** di konsol IAM Identity Center. Tempelkan nilai itu ke bidang **URL Endpoint** dan pilih **Lanjutkan**.
1. Verifikasi bahwa semua atribut Pusat Identitas IAM wajib (yang ditandai dengan\$1) dipetakan ke Google Cloud Directory atribut. Jika tidak, pilih panah bawah dan petakan ke atribut yang sesuai. Pilih **Lanjutkan**.
1. Di bagian **cakupan penyediaan**, Anda dapat memilih grup dengan Google Workspace direktori Anda untuk menyediakan akses ke aplikasi Amazon Web Services. Lewati langkah ini dan pilih **Lanjutkan**.
1. Di bagian **Deprovisioning**, Anda dapat memilih cara merespons berbagai peristiwa yang menghapus akses dari pengguna. Untuk setiap situasi Anda dapat menentukan jumlah waktu sebelum deprovisioning mulai:
+ dalam waktu 24 jam
+ setelah satu hari
+ setelah tujuh hari
+ setelah 30 hari
Setiap situasi memiliki pengaturan waktu kapan harus menangguhkan akses akun dan kapan harus menghapus akun.
**Tip**
Selalu atur lebih banyak waktu sebelum menghapus akun pengguna daripada menangguhkan akun pengguna.
1. Pilih **Selesai**. Anda dikembalikan ke halaman aplikasi Amazon Web Services.
1. ****Di bagian **Penyediaan otomatis**, aktifkan sakelar sakelar untuk mengubahnya dari Tidak Aktif menjadi Aktif.****
**catatan**
Penggeser aktivasi dinonaktifkan jika IAM Identity Center tidak diaktifkan untuk pengguna. Pilih **Akses pengguna** dan nyalakan aplikasi untuk mengaktifkan penggeser.
1. Di kotak dialog konfirmasi, pilih **Aktifkan**.
1. **Untuk memverifikasi bahwa pengguna berhasil disinkronkan ke Pusat Identitas IAM, kembali ke konsol Pusat Identitas IAM dan pilih Pengguna.** Halaman **Pengguna** mencantumkan pengguna dari Google Workspace direktori Anda yang dibuat oleh SCIM. Jika pengguna belum terdaftar, mungkin penyediaan masih dalam proses. Penyediaan dapat memakan waktu hingga 24 jam, meskipun dalam banyak kasus selesai dalam beberapa menit. Pastikan untuk menyegarkan jendela browser setiap beberapa menit.
Pilih pengguna dan lihat detailnya. Informasi harus sesuai dengan informasi dalam Google Workspace direktori.
**Selamat\$1**
Anda telah berhasil mengatur koneksi SAMP antara Google Workspace dan AWS dan telah memverifikasi bahwa penyediaan otomatis berfungsi. Anda sekarang dapat menetapkan pengguna ini ke akun dan aplikasi di **IAM Identity Center**. Untuk tutorial ini, pada langkah berikutnya mari kita menunjuk salah satu pengguna sebagai administrator IAM Identity Center dengan memberikan mereka izin administratif ke akun manajemen.
## Melewati atribut untuk kontrol akses - *Opsional*
Anda dapat secara opsional menggunakan [Atribut untuk kontrol akses](attributesforaccesscontrol.md) fitur di IAM Identity Center untuk meneruskan `Attribute` elemen dengan `Name` atribut yang disetel ke. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tanda sesi dalam pernyataan SAML. Untuk informasi selengkapnya tentang tag sesi, lihat [Melewati tag sesi AWS STS di](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) *Panduan Pengguna IAM*.
Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen `AttributeValue` yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tag`CostCenter = blue`, gunakan atribut berikut.
```
blue
```
Jika Anda perlu menambahkan beberapa atribut, sertakan `Attribute` elemen terpisah untuk setiap tag.
## Tetapkan akses ke Akun AWS
Langkah-langkah berikut hanya diperlukan untuk memberikan akses ke Akun AWS saja. Langkah-langkah ini tidak diperlukan untuk memberikan akses ke AWS aplikasi.
**catatan**
Untuk menyelesaikan langkah ini, Anda memerlukan instance Organisasi dari IAM Identity Center. Untuk informasi selengkapnya, lihat [Organisasi dan instans akun Pusat Identitas IAM](identity-center-instances.md).
### Langkah 1: Pusat Identitas IAM: Berikan Google Workspace pengguna akses ke akun
1. Kembali ke konsol **Pusat Identitas IAM**. Di panel navigasi Pusat Identitas IAM, di bawah **izin Multi-akun**, pilih. **Akun AWS**
1. Pada **Akun AWS**halaman, **struktur Organisasi** menampilkan akar organisasi Anda dengan akun Anda di bawahnya dalam hierarki. Pilih kotak centang untuk akun manajemen Anda, lalu pilih **Tetapkan pengguna atau grup**.
1. Tampilan alur kerja **Tetapkan pengguna dan grup**. Ini terdiri dari tiga langkah:
1. Untuk **Langkah 1: Pilih pengguna dan grup** pilih pengguna yang akan melakukan fungsi pekerjaan administrator. Lalu pilih **Selanjutnya**.
1. Untuk **Langkah 2: Pilih set izin** pilih **Buat set izin** untuk membuka tab baru yang memandu Anda melalui tiga sub-langkah yang terlibat dalam membuat set izin.
1. Untuk **Langkah 1: Pilih jenis set izin** lengkapi yang berikut ini:
+ Dalam **Jenis set izin**, pilih **Set izin yang telah ditentukan sebelumnya**.
+ Dalam **Kebijakan untuk set izin yang telah ditentukan sebelumnya**, pilih **AdministratorAccess**.
Pilih **Berikutnya**.
1. Untuk **Langkah 2: Tentukan detail set izin**, pertahankan pengaturan default, dan pilih **Berikutnya**.
Pengaturan default membuat set izin bernama *AdministratorAccess* dengan durasi sesi diatur ke satu jam.
1. Untuk **Langkah 3: Tinjau dan buat**, verifikasi bahwa **jenis set Izin** menggunakan kebijakan AWS terkelola **AdministratorAccess**. Pilih **Buat**. Pada halaman **Set izin**, pemberitahuan muncul memberi tahu Anda bahwa set izin telah dibuat. Anda dapat menutup tab ini di browser web Anda sekarang.
1. Pada tab **Tetapkan pengguna dan grup** browser, Anda masih pada **Langkah 2: Pilih set izin** dari mana Anda memulai alur kerja set izin buat.
1. Di area **set Izin**, pilih tombol **Refresh**. Set *AdministratorAccess* izin yang Anda buat muncul dalam daftar. Pilih kotak centang untuk set izin tersebut dan kemudian pilih **Berikutnya**.
1. Untuk **Langkah 3: Tinjau dan kirimkan** ulasan pengguna dan set izin yang dipilih, lalu pilih **Kirim**.
Halaman diperbarui dengan pesan bahwa Anda Akun AWS sedang dikonfigurasi. Tunggu sampai proses selesai.
Anda dikembalikan ke Akun AWS halaman. Pesan notifikasi memberi tahu Anda bahwa pesan Anda Akun AWS telah direvisi dan set izin yang diperbarui diterapkan. Saat pengguna masuk, mereka akan memiliki opsi untuk memilih *AdministratorAccess* peran.
**catatan**
Sinkronisasi otomatis SCIM dari Google Workspace hanya mendukung penyediaan pengguna. Penyediaan grup otomatis tidak didukung saat ini. Anda tidak dapat membuat grup untuk Google Workspace pengguna Anda menggunakan Konsol Manajemen AWS. Setelah menyediakan pengguna, Anda dapat membuat grup menggunakan perintah [create-group AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) Identity Store atau IAM API. [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html)
### Langkah 2Google Workspace: Konfirmasikan akses Google Workspace pengguna ke AWS sumber daya
1. Masuk Google menggunakan akun pengguna uji. Untuk mempelajari cara menambahkan penggunaGoogle Workspace, lihat [Google Workspacedokumentasi](https://knowledge.workspace.google.com/kb/how-to-create-a-new-user-000007668).
1. Pilih ikon Google apps peluncur (wafel).
1. Gulir ke bagian bawah daftar aplikasi tempat Google Workspace aplikasi kustom Anda berada. Aplikasi **Amazon Web Services** ditampilkan.
1. Pilih aplikasi **Amazon Web Services**. Anda masuk ke portal AWS akses dan dapat melihat Akun AWS ikonnya. Perluas ikon itu untuk melihat daftar Akun AWS yang dapat diakses pengguna. Dalam tutorial ini Anda hanya bekerja dengan satu akun, jadi memperluas ikon hanya menampilkan satu akun.
1. Pilih akun untuk menampilkan set izin yang tersedia bagi pengguna. Dalam tutorial ini Anda membuat set **AdministratorAccess**izin.
1. Di samping set izin adalah tautan untuk jenis akses yang tersedia untuk set izin tersebut. Saat Anda membuat set izin, Anda menetapkan konsol manajemen dan akses terprogram diaktifkan, sehingga dua opsi tersebut ada. Pilih **Konsol manajemen** untuk membuka Konsol Manajemen AWS.
1. Pengguna masuk ke konsol.
## Langkah selanjutnya
Sekarang setelah Anda mengonfigurasi Google Workspace sebagai penyedia identitas dan pengguna yang disediakan di Pusat Identitas IAM, Anda dapat:
+ Gunakan perintah AWS CLI Identity Store [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) atau IAM API [CreateGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_CreateGroup.html)untuk membuat grup bagi pengguna Anda.
Grup berguna saat menetapkan akses ke Akun AWS dan aplikasi. Daripada menetapkan setiap pengguna satu per satu, Anda memberikan izin ke grup. Kemudian, saat Anda menambah atau menghapus pengguna dari grup, pengguna secara dinamis mendapatkan atau kehilangan akses ke akun dan aplikasi yang Anda tetapkan ke grup.
+ Mengkonfigurasi izin berdasarkan fungsi pekerjaan, lihat [Membuat set izin](howtocreatepermissionset.md).
Set izin menentukan tingkat akses yang dimiliki pengguna dan grup ke file Akun AWS. Set izin disimpan di Pusat Identitas IAM dan dapat disediakan untuk satu atau lebih. Akun AWS Anda dapat menetapkan lebih dari satu izin yang disetel ke pengguna.
**catatan**
Sebagai administrator Pusat Identitas IAM, Anda kadang-kadang perlu mengganti sertifikat iDP yang lebih lama dengan yang lebih baru. Misalnya, Anda mungkin perlu mengganti sertifikat IDP saat tanggal kedaluwarsa sertifikat mendekati. Proses penggantian sertifikat yang lebih lama dengan yang lebih baru disebut sebagai rotasi sertifikat. Pastikan untuk meninjau cara [mengelola sertifikat SAFL](managesamlcerts.md) untukGoogle Workspace.
## Pemecahan masalah
Untuk pemecahan masalah SCIM dan SAFL umum denganGoogle Workspace, lihat bagian berikut:
+ [Pengguna tertentu gagal melakukan sinkronisasi ke Pusat Identitas IAM dari penyedia SCIM eksternal](troubleshooting.md#issue2)
+ [Masalah mengenai isi pernyataan SAMP yang dibuat oleh IAM Identity Center](troubleshooting.md#issue1)
+ [Gandakan kesalahan pengguna atau grup saat menyediakan pengguna atau grup dengan penyedia identitas eksternal](troubleshooting.md#duplicate-user-group-idp)
+ [Untuk Google Workspace pemecahan masalah, lihat Google Workspace dokumentasi.](https://support.google.com/a/topic/7579248?sjid=11091727091254312767-NA)
Sumber daya berikut dapat membantu Anda memecahkan masalah saat Anda bekerja dengan: AWS
+ [AWS re:Post](https://repost.aws/)- Temukan FAQs dan tautkan ke sumber daya lain untuk membantu Anda memecahkan masalah.
+ [AWS Dukungan](https://aws.amazon.com/premiumsupport/)- Dapatkan dukungan teknis