Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Profil SCIM dan implementasi SAMP 2.0
Baik SCIM dan SAMP merupakan pertimbangan penting untuk mengkonfigurasi IAM Identity Center.
## Implementasi SAMP 2.0
IAM Identity Center mendukung federasi identitas dengan [SAMP (Security Assertion Markup](https://wiki.oasis-open.org/security) Language) 2.0. Hal ini memungkinkan IAM Identity Center untuk mengautentikasi identitas dari penyedia identitas eksternal (). IdPs SAMP 2.0 adalah standar terbuka yang digunakan untuk bertukar pernyataan SAMP dengan aman. SAMP 2.0 meneruskan informasi tentang pengguna antara otoritas SAMP (disebut penyedia identitas atau IDP), dan konsumen SAMP (disebut penyedia layanan atau SP). Layanan IAM Identity Center menggunakan informasi ini untuk menyediakan sistem masuk tunggal federasi. Single sign-on memungkinkan pengguna untuk mengakses Akun AWS dan mengkonfigurasi aplikasi berdasarkan kredensi penyedia identitas yang ada.
IAM Identity Center menambahkan kemampuan SAMP iDP ke toko IAM Identity Center Anda, AWS Managed Microsoft AD, atau ke penyedia identitas eksternal. Pengguna kemudian dapat masuk tunggal ke layanan yang mendukung SAMP, termasuk aplikasi Konsol Manajemen AWS dan pihak ketiga sepertiMicrosoft 365,, Concur dan. Salesforce
Namun protokol SAMP tidak menyediakan cara untuk menanyakan IDP untuk mempelajari tentang pengguna dan grup. Oleh karena itu, Anda harus membuat Pusat Identitas IAM mengetahui pengguna dan grup tersebut dengan menyediakannya ke Pusat Identitas IAM.
## Profil SCIM
IAM Identity Center menyediakan dukungan untuk standar System for Cross-domain Identity Management (SCIM) v2.0. SCIM menjaga identitas IAM Identity Center Anda tetap sinkron dengan identitas dari IDP Anda. Ini termasuk penyediaan, pembaruan, dan penonaktifan pengguna antara IDP dan Pusat Identitas IAM Anda.
Untuk informasi selengkapnya tentang cara menerapkan SCIM, lihat[Menyediakan pengguna dan grup dari penyedia identitas eksternal menggunakan SCIM](provision-automatically.md). Untuk detail tambahan tentang implementasi SCIM IAM Identity Center, lihat Panduan Pengembang Implementasi [SCIM Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html).
**Topics**
+ [Implementasi SAMP 2.0](#samlfederationconcept)
+ [Profil SCIM](#scim-profile)
+ [Menyediakan pengguna dan grup dari penyedia identitas eksternal menggunakan SCIM](provision-automatically.md)
+ [Putar sertifikat SAMP 2.0](managesamlcerts.md)
# Menyediakan pengguna dan grup dari penyedia identitas eksternal menggunakan SCIM
IAM Identity Center mendukung penyediaan otomatis (sinkronisasi) informasi pengguna dan grup dari penyedia identitas Anda (IDP) ke Pusat Identitas IAM menggunakan protokol System for Cross-domain Identity Management (SCIM) v2.0. Saat mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna penyedia identitas (iDP) Anda ke atribut bernama di Pusat Identitas IAM. Hal ini menyebabkan atribut yang diharapkan cocok antara IAM Identity Center dan IDP Anda. Anda mengonfigurasi koneksi ini di IDP Anda menggunakan endpoint SCIM Anda untuk IAM Identity Center dan token pembawa yang Anda buat di IAM Identity Center.
**Topics**
+ [Pertimbangan untuk menggunakan penyediaan otomatis](#auto-provisioning-considerations)
+ [Cara memantau kedaluwarsa token akses](#access-token-expiry)
+ [Hasilkan token akses](generate-token.md)
+ [Aktifkan penyediaan otomatis](how-to-with-scim.md)
+ [Hapus token akses](delete-token.md)
+ [Nonaktifkan penyediaan otomatis](disable-provisioning.md)
+ [Putar token akses](rotate-token.md)
+ [Audit dan rekonsiliasi sumber daya yang disediakan secara otomatis](reconcile-auto-provisioning.md)
+ [Penyediaan manual](#provision-manually)
## Pertimbangan untuk menggunakan penyediaan otomatis
Sebelum Anda mulai menerapkan SCIM, kami sarankan Anda terlebih dahulu meninjau pertimbangan penting berikut tentang cara kerjanya dengan IAM Identity Center. Untuk pertimbangan penyediaan tambahan, lihat yang [Tutorial sumber identitas Pusat Identitas IAM](tutorials.md) berlaku untuk IDP Anda.
+ Jika Anda menyediakan alamat email utama, nilai atribut ini harus unik untuk setiap pengguna. Dalam beberapa IdPs, alamat email utama mungkin bukan alamat email asli. Misalnya, itu mungkin Universal Principal Name (UPN) yang hanya terlihat seperti email. Ini IdPs mungkin memiliki alamat email sekunder atau “lain” yang berisi alamat email asli pengguna. Anda harus mengonfigurasi SCIM di IDP Anda untuk memetakan alamat email unik non-Null ke atribut alamat email utama IAM Identity Center. Dan Anda harus memetakan pengenal masuk unik non-Null pengguna ke atribut nama pengguna IAM Identity Center. Periksa untuk melihat apakah IDP Anda memiliki nilai tunggal yang merupakan pengenal masuk dan nama email pengguna. Jika demikian, Anda dapat memetakan bidang IDP tersebut ke email utama IAM Identity Center dan nama pengguna IAM Identity Center.
+ Agar sinkronisasi SCIM berfungsi, setiap pengguna harus memiliki nilai Nama Depan, **Nama belakang**, **Nama** **Pengguna**, dan **Nama tampilan** yang ditentukan. Jika salah satu dari nilai-nilai ini hilang dari pengguna, pengguna tersebut tidak akan disediakan.
+ Jika Anda perlu menggunakan aplikasi pihak ketiga, Anda harus terlebih dahulu memetakan atribut subjek SAMP keluar ke atribut nama pengguna. Jika aplikasi pihak ketiga memerlukan alamat email yang dapat dirutekan, Anda harus memberikan atribut email ke IDP Anda.
+ Penyediaan SCIM dan interval pembaruan dikendalikan oleh penyedia identitas Anda. Perubahan pada pengguna dan grup di penyedia identitas Anda hanya tercermin di Pusat Identitas IAM setelah penyedia identitas Anda mengirimkan perubahan tersebut ke Pusat Identitas IAM. Periksa dengan penyedia identitas Anda untuk detail tentang frekuensi pembaruan pengguna dan grup.
+ Saat ini, atribut multivalue (seperti beberapa email atau nomor telepon untuk pengguna tertentu) tidak disediakan dengan SCIM. Upaya untuk menyinkronkan atribut multivalue ke IAM Identity Center dengan SCIM akan gagal. Untuk menghindari kegagalan, pastikan bahwa hanya satu nilai yang dilewatkan untuk setiap atribut. Jika Anda memiliki pengguna dengan atribut multivalue, hapus atau modifikasi pemetaan atribut duplikat di SCIM di idP Anda untuk koneksi ke IAM Identity Center.
+ Verifikasi bahwa pemetaan `externalId` SCIM di IDP Anda sesuai dengan nilai yang unik, selalu ada, dan paling tidak mungkin berubah untuk pengguna Anda. Misalnya, IDP Anda mungkin memberikan jaminan `objectId` atau pengenal lain yang tidak terpengaruh oleh perubahan atribut pengguna seperti nama dan email. Jika demikian, Anda dapat memetakan nilai itu ke `externalId` bidang SCIM. Ini memastikan bahwa pengguna Anda tidak akan kehilangan AWS hak, penetapan, atau izin jika Anda perlu mengubah nama atau email mereka.
+ Pengguna yang belum ditugaskan ke aplikasi atau Akun AWS tidak dapat disediakan ke Pusat Identitas IAM. Untuk menyinkronkan pengguna dan grup, pastikan bahwa mereka ditetapkan ke aplikasi atau pengaturan lain yang mewakili koneksi IDP Anda ke IAM Identity Center.
+ Perilaku deprovisioning pengguna dikelola oleh penyedia identitas dan dapat bervariasi menurut implementasinya. Periksa dengan penyedia identitas Anda untuk detail tentang deprovisioning pengguna.
+ Setelah menyiapkan penyediaan otomatis dengan SCIM untuk IDP Anda, Anda tidak dapat lagi menambahkan atau mengedit pengguna di konsol Pusat Identitas IAM. Jika Anda perlu menambahkan atau memodifikasi pengguna, Anda harus melakukannya dari IDP eksternal atau sumber identitas Anda.
Untuk informasi selengkapnya tentang implementasi SCIM IAM Identity Center, lihat Panduan Pengembang Implementasi [IAM Identity Center SCIM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html).
## Cara memantau kedaluwarsa token akses
Token akses SCIM dihasilkan dengan validitas satu tahun. Ketika token akses SCIM Anda diatur untuk kedaluwarsa dalam 90 hari atau kurang, AWS mengirimkan pengingat di konsol Pusat Identitas IAM dan melalui AWS Health Dasbor untuk membantu Anda memutar token. Dengan memutar token akses SCIM sebelum kedaluwarsa, Anda terus mengamankan penyediaan otomatis informasi pengguna dan grup. Jika token akses SCIM kedaluwarsa, sinkronisasi informasi pengguna dan grup dari penyedia identitas Anda ke Pusat Identitas IAM berhenti, sehingga penyediaan otomatis tidak dapat lagi membuat pembaruan atau membuat dan menghapus informasi. Gangguan terhadap penyediaan otomatis dapat menimbulkan peningkatan risiko keamanan dan berdampak pada akses ke layanan Anda.
Pengingat konsol Pusat Identitas tetap ada hingga Anda memutar token akses SCIM dan menghapus token akses yang tidak digunakan atau kedaluwarsa. Acara AWS Health Dasbor diperbarui setiap minggu antara 90 hingga 60 hari, dua kali per minggu dari 60 hingga 30 hari, tiga kali per minggu dari 30 hingga 15 hari, dan setiap hari dari 15 hari hingga token akses SCIM kedaluwarsa.
# Hasilkan token akses
Gunakan prosedur berikut untuk menghasilkan token akses baru di konsol Pusat Identitas IAM.
**catatan**
Prosedur ini mengharuskan Anda sebelumnya mengaktifkan penyediaan otomatis. Untuk informasi selengkapnya, lihat [Aktifkan penyediaan otomatis](how-to-with-scim.md).
**Untuk menghasilkan token akses baru**
1. Di [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), pilih **Pengaturan** di panel navigasi kiri.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, lalu pilih **Tindakan > Kelola penyediaan**.
1. Pada halaman **Penyediaan otomatis**, di bawah **Token akses, pilih **Hasilkan** token**.
1. Di kotak dialog **Generate new access token**, salin token akses baru dan simpan di tempat yang aman.
1. Pilih **Tutup**.
# Aktifkan penyediaan otomatis
Gunakan prosedur berikut untuk mengaktifkan penyediaan otomatis pengguna dan grup dari IDP Anda ke Pusat Identitas IAM menggunakan protokol SCIM.
**catatan**
Sebelum Anda memulai prosedur ini, kami sarankan Anda terlebih dahulu meninjau pertimbangan penyediaan yang berlaku untuk IDP Anda. Untuk informasi selengkapnya, lihat [Tutorial sumber identitas Pusat Identitas IAM](tutorials.md) untuk IDP Anda.
**Untuk mengaktifkan penyediaan otomatis di Pusat Identitas IAM**
1. Setelah Anda menyelesaikan prasyarat, buka konsol Pusat Identitas [IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan** di panel navigasi kiri.
1. **Pada halaman **Pengaturan**, cari kotak Informasi **penyediaan otomatis, lalu pilih Aktifkan**.** Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.
1. Di kotak dialog **Inbound automatic provisioning**, salin endpoint SCIM dan token akses. Anda harus menempelkannya nanti saat mengonfigurasi penyediaan di iDP Anda.
1. **Titik akhir SCIM** - Misalnya, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token akses** - Pilih **Tampilkan token** untuk menyalin nilainya.
**Awas**
Ini adalah satu-satunya waktu di mana Anda dapat memperoleh titik akhir SCIM dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju. Anda akan memasukkan nilai-nilai ini untuk mengkonfigurasi penyediaan otomatis di IDP Anda nanti dalam tutorial ini.
1. Pilih **Tutup**.
Setelah Anda menyelesaikan prosedur ini, Anda harus mengonfigurasi penyediaan otomatis di IDP Anda. Untuk informasi selengkapnya, lihat [Tutorial sumber identitas Pusat Identitas IAM](tutorials.md) untuk IDP Anda.
# Hapus token akses
Gunakan prosedur berikut untuk menghapus token akses yang ada di konsol Pusat Identitas IAM.
**Untuk menghapus token akses yang ada**
1. Di [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), pilih **Pengaturan** di panel navigasi kiri.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, lalu pilih **Tindakan > Kelola penyediaan**.
1. **Pada halaman **Penyediaan otomatis**, di bawah **Token akses, pilih token** akses yang ingin Anda hapus, lalu pilih Hapus.**
1. Di kotak dialog **Hapus akses token**, tinjau informasi, ketik **DELETE**, lalu pilih **Hapus token akses**.
# Nonaktifkan penyediaan otomatis
Gunakan prosedur berikut untuk menonaktifkan penyediaan otomatis di konsol Pusat Identitas IAM.
**penting**
Anda harus menghapus token akses sebelum memulai prosedur ini. Untuk informasi selengkapnya, lihat [Hapus token akses](delete-token.md).
**Untuk menonaktifkan penyediaan otomatis di konsol Pusat Identitas IAM**
1. Di [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), pilih **Pengaturan** di panel navigasi kiri.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, lalu pilih **Tindakan > Kelola penyediaan**.
1. **Pada halaman **Penyediaan otomatis, pilih Nonaktifkan**.**
1. Di kotak dialog **Nonaktifkan penyediaan otomatis**, tinjau informasi, ketik **DISABLE**, lalu pilih **Nonaktifkan penyediaan otomatis**.
# Putar token akses
Direktori IAM Identity Center mendukung hingga dua token akses sekaligus. Untuk menghasilkan token akses tambahan sebelum rotasi apa pun, hapus token akses yang kedaluwarsa atau tidak terpakai.
Jika token akses SCIM Anda hampir kedaluwarsa, Anda dapat menggunakan prosedur berikut untuk memutar token akses yang ada di konsol Pusat Identitas IAM.
**Untuk memutar token akses**
1. Di [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), pilih **Pengaturan** di panel navigasi kiri.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, lalu pilih **Tindakan > Kelola penyediaan**.
1. Pada halaman **Penyediaan otomatis**, di bawah **Token akses**, catat ID token token yang ingin Anda putar.
1. Ikuti langkah-langkah [Hasilkan token akses](generate-token.md) untuk membuat token baru. Jika Anda telah membuat jumlah maksimum token akses SCIM, Anda harus terlebih dahulu menghapus salah satu token yang ada.
1. Buka situs web penyedia identitas Anda dan konfigurasikan token akses baru untuk penyediaan SCIM, lalu uji konektivitas ke Pusat Identitas IAM menggunakan token akses SCIM baru. Setelah Anda mengonfirmasi bahwa penyediaan berhasil menggunakan token baru, lanjutkan ke langkah berikutnya dalam prosedur ini.
1. Ikuti langkah-langkah [Hapus token akses](delete-token.md) untuk menghapus token akses lama yang Anda catat sebelumnya. Anda juga dapat menggunakan tanggal pembuatan token sebagai petunjuk token mana yang akan dihapus.
# Audit dan rekonsiliasi sumber daya yang disediakan secara otomatis
SCIM memungkinkan Anda untuk secara otomatis menyediakan pengguna, grup, dan keanggotaan grup dari sumber identitas Anda ke IAM Identity Center. Panduan ini membantu Anda memverifikasi dan mendamaikan sumber daya ini untuk mempertahankan sinkronisasi yang akurat.
## Mengapa mengaudit sumber daya Anda?
Audit rutin membantu memastikan kontrol akses Anda tetap akurat dan penyedia identitas (IDP) Anda tetap disinkronkan dengan Pusat Identitas IAM dengan benar. Ini sangat penting untuk kepatuhan keamanan dan manajemen akses.
Sumber daya yang dapat Anda audit:
+ Pengguna
+ Grup
+ Keanggotaan grup
Anda dapat menggunakan [perintah AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)atau CLI](https://docs.aws.amazon.com/cli/latest/reference/identitystore/) untuk melakukan audit dan rekonsiliasi. Contoh berikut menggunakan AWS CLI perintah. Untuk alternatif API, lihat [operasi terkait](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) dalam *referensi Identity Store API*.
## Cara mengaudit sumber daya
Berikut adalah contoh cara mengaudit sumber daya ini menggunakan AWS CLI perintah.
Sebelum Anda mulai, pastikan Anda memiliki:
+ Akses administrator ke Pusat Identitas IAM.
+ AWS CLI diinstal dan dikonfigurasi. Untuk selengkapnya, lihat [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
+ Izin IAM yang diperlukan untuk perintah Identity Store.
### Langkah 1: Daftar sumber daya saat ini
Anda dapat melihat sumber daya Anda saat ini menggunakan AWS CLI.
**catatan**
Saat menggunakan AWS CLI, pagination ditangani secara otomatis kecuali Anda menentukan. `--no-paginate` Jika Anda memanggil API secara langsung (misalnya, dengan SDK atau skrip khusus), tangani `NextToken` respons tersebut. Ini memastikan Anda mengambil semua hasil di beberapa halaman.
**Example untuk pengguna**
```
aws identitystore list-users \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example untuk kelompok**
```
aws identitystore list-groups \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example untuk keanggotaan grup**
```
aws identitystore list-group-memberships \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
--group-id GROUP_ID
```
### Langkah 2: Bandingkan dengan sumber identitas Anda
Bandingkan sumber daya yang terdaftar dengan sumber identitas Anda untuk mengidentifikasi perbedaan apa pun, seperti:
+ Sumber daya yang hilang yang harus disediakan di Pusat Identitas IAM.
+ Sumber daya tambahan yang harus dihapus dari IAM Identity Center.
**Example untuk pengguna**
```
# Create missing users
aws identitystore create-user \
--identity-store-id IDENTITY_STORE_ID \
--user-name USERNAME \
--display-name DISPLAY_NAME \
--name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
--emails Value=EMAIL,Primary=true
# Delete extra users
aws identitystore delete-user \
--identity-store-id IDENTITY_STORE_ID \
--user-id USER_ID
```
**Example untuk kelompok**
```
# Create missing groups
aws identitystore create-group \
--identity-store-id IDENTITY_STORE_ID \
[group attributes]
# Delete extra groups
aws identitystore delete-group \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID
```
**Example untuk keanggotaan grup**
```
# Add missing members
aws identitystore create-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID \
--member-id '{"UserId": "USER_ID"}'
# Remove extra members
aws identitystore delete-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--membership-id MEMBERSHIP_ID
```
## Pertimbangan-pertimbangan
+ Perintah tunduk pada [kuota layanan dan pembatasan API](limits.md#ssothrottlelimits).
+ Ketika Anda menemukan banyak perbedaan selama rekonsiliasi, buat perubahan kecil dan bertahap ke Identity Store. AWS Ini membantu Anda menghindari kesalahan yang memengaruhi banyak pengguna.
+ Sinkronisasi SCIM dapat mengganti perubahan manual Anda. Periksa pengaturan IDP Anda untuk memahami perilaku ini.
## Penyediaan manual
Beberapa IdPs tidak memiliki dukungan System for Cross-domain Identity Management (SCIM) atau memiliki implementasi SCIM yang tidak kompatibel. Dalam kasus tersebut, Anda dapat menyediakan pengguna secara manual melalui konsol Pusat Identitas IAM. Saat Anda menambahkan pengguna ke IAM Identity Center, pastikan bahwa Anda menetapkan nama pengguna agar identik dengan nama pengguna yang Anda miliki di iDP Anda. Minimal, Anda harus memiliki alamat email dan nama pengguna yang unik. Untuk informasi selengkapnya, lihat [Keunikan nama pengguna dan alamat email](users-groups-provisioning.md#username-email-unique).
Anda juga harus mengelola semua grup secara manual di Pusat Identitas IAM. Untuk melakukan ini, Anda membuat grup dan menambahkannya menggunakan konsol Pusat Identitas IAM. Grup ini tidak perlu mencocokkan apa yang ada di IDP Anda. Untuk informasi selengkapnya, lihat [Grup](users-groups-provisioning.md#groups-concept).
# Putar sertifikat SAMP 2.0
IAM Identity Center menggunakan sertifikat untuk mengatur hubungan kepercayaan SAMP antara IAM Identity Center dan penyedia identitas eksternal (iDP) Anda. Ketika Anda menambahkan IDP eksternal di IAM Identity Center, Anda juga harus mendapatkan setidaknya satu sertifikat SAMP 2.0 X.509 publik dari iDP eksternal. Sertifikat itu biasanya diinstal secara otomatis selama pertukaran metadata IDP SAMP selama pembuatan kepercayaan.
Sebagai administrator Pusat Identitas IAM, Anda kadang-kadang perlu mengganti sertifikat iDP yang lebih lama dengan yang lebih baru. Misalnya, Anda mungkin perlu mengganti sertifikat IDP saat tanggal kedaluwarsa sertifikat mendekati. Proses penggantian sertifikat yang lebih lama dengan yang lebih baru disebut sebagai rotasi sertifikat.
**Topics**
+ [Putar sertifikat SAMP 2.0](rotatesamlcert.md)
+ [Indikator status kedaluwarsa sertifikat](samlcertexpirationindicators.md)
# Putar sertifikat SAMP 2.0
Anda mungkin perlu mengimpor sertifikat secara berkala untuk memutar sertifikat yang tidak valid atau kedaluwarsa yang dikeluarkan oleh penyedia identitas Anda. Ini membantu mencegah gangguan otentikasi atau downtime. Semua sertifikat yang diimpor aktif secara otomatis. Sertifikat hanya boleh dihapus setelah memastikan bahwa mereka tidak lagi digunakan dengan penyedia identitas terkait.
Anda juga harus mempertimbangkan bahwa beberapa IdPs mungkin tidak mendukung beberapa sertifikat. Dalam hal ini, tindakan memutar sertifikat dengan ini IdPs mungkin berarti gangguan layanan sementara bagi pengguna Anda. Layanan dipulihkan ketika kepercayaan dengan IDP telah berhasil dibangun kembali. Rencanakan operasi ini dengan hati-hati selama jam sibuk di luar jika memungkinkan.
**catatan**
Sebagai praktik terbaik keamanan, jika ada tanda-tanda kompromi atau kesalahan penanganan sertifikat SAMP yang ada, Anda harus segera menghapus dan memutar sertifikat.
Memutar sertifikat IAM Identity Center adalah proses multistep yang melibatkan hal-hal berikut:
+ Memperoleh sertifikat baru dari IDP
+ Mengimpor sertifikat baru ke IAM Identity Center
+ Mengaktifkan sertifikat baru di IDP
+ Menghapus sertifikat lama
Gunakan semua prosedur berikut untuk menyelesaikan proses rotasi sertifikat sambil menghindari downtime otentikasi.
**Langkah 1: Dapatkan sertifikat baru dari IDP**
Kunjungi situs web iDP dan unduh sertifikat SAMP 2.0 mereka. Pastikan file sertifikat diunduh dalam format yang dikodekan PEM. Sebagian besar penyedia memungkinkan Anda membuat beberapa sertifikat SAMP 2.0 di IDP. Kemungkinan ini akan ditandai sebagai dinonaktifkan atau tidak aktif.
**Langkah 2: Impor sertifikat baru ke IAM Identity Center**
Gunakan prosedur berikut untuk mengimpor sertifikat baru menggunakan konsol IAM Identity Center.
1. Di [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, lalu pilih **Tindakan > Kelola otentikasi.**
1. Pada halaman **Kelola sertifikat SAMP 2.0**, pilih **Impor sertifikat**.
1. Pada dialog **Impor sertifikat SAMP 2.0**, pilih **Pilih file**, navigasikan ke file sertifikat Anda dan pilih, lalu pilih **Impor sertifikat**.
Pada titik ini, IAM Identity Center akan mempercayai semua pesan SAMP masuk yang ditandatangani dari kedua sertifikat yang telah Anda impor.
**Langkah 3: Aktifkan sertifikat baru di IDP**
Kembali ke situs web iDP dan tandai sertifikat baru yang Anda buat sebelumnya sebagai primer atau aktif. Pada titik ini semua pesan SAMP yang ditandatangani oleh iDP harus menggunakan sertifikat baru.
**Langkah 4: Hapus sertifikat lama**
Gunakan prosedur berikut untuk menyelesaikan proses rotasi sertifikat untuk IDP Anda. Harus selalu ada setidaknya satu sertifikat yang valid yang terdaftar, dan tidak dapat dihapus.
**catatan**
Pastikan penyedia identitas Anda tidak lagi menandatangani tanggapan SAMP dengan sertifikat ini sebelum menghapusnya.
1. Pada halaman **Kelola sertifikat SAMP 2.0**, pilih sertifikat yang ingin Anda hapus. Pilih **Hapus**.
1. Dalam kotak dialog **Hapus sertifikat SAMP 2.0**, ketik **DELETE** untuk mengonfirmasi, lalu pilih **Hapus**.
1. Kembali ke situs web IDP dan lakukan langkah-langkah yang diperlukan untuk menghapus sertifikat tidak aktif yang lebih lama.
# Indikator status kedaluwarsa sertifikat
Halaman **Kelola sertifikat SAMP 2.0** menampilkan ikon indikator status berwarna di kolom **Kedaluwarsa pada di** samping setiap sertifikat dalam daftar. Berikut ini menjelaskan kriteria yang digunakan IAM Identity Center untuk menentukan ikon mana yang ditampilkan untuk setiap sertifikat.
+ **Merah** - Menunjukkan bahwa sertifikat kedaluwarsa.
+ **Kuning** - Menunjukkan bahwa sertifikat kedaluwarsa dalam 90 hari atau kurang.
+ **Hijau** - Menunjukkan bahwa sertifikat valid dan tetap berlaku setidaknya selama 90 hari lagi.
**Untuk memeriksa status sertifikat saat ini**
1. Di [konsol Pusat Identitas IAM](https://console.aws.amazon.com/singlesignon), pilih **Pengaturan**.
1. Pada halaman **Pengaturan**, pilih tab **Sumber identitas**, lalu pilih **Tindakan > Kelola otentikasi.**
1. Pada halaman **Kelola otentikasi SAMP 2.0**, di bawah **Kelola sertifikat SAMP 2.0**, tinjau status sertifikat dalam daftar seperti yang ditunjukkan dalam kolom **Kedaluwarsa** pada.