Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Otentikasi klien di AWS Client VPN
<a name="client-authentication"></a>

Otentikasi klien diimplementasikan pada titik pertama masuk ke AWS Cloud. Hal ini digunakan untuk menentukan apakah klien diizinkan untuk terhubung ke titik akhir Client VPN. Jika autentikasi berhasil, klien terhubung ke titik akhir Client VPN dan membuat sesi VPN. Jika autentikasi gagal, hubungan ditolak dan klien dicegah dari membangun sesi VPN.

Client VPN menawarkan jenis autentikasi klien berikut: 
+ [Autentikasi direktori aktif](ad.md) (berbasis pengguna)
+ [Autentikasi bersama](mutual.md) (berbasis sertifikat)
+ [Sistem masuk tunggal (autentikasi federasi berbasis SAML)](federated-authentication.md) (berbasis pengguna)

Anda dapat menggunakan salah satu metode sebelumnya saja, atau Anda dapat menggunakan kombinasi otentikasi timbal balik dengan metode berbasis pengguna seperti berikut ini:
+ Autentikasi bersama dan autentikasi federasi
+ Autentikasi bersama dan autentikasi Direktori Aktif

**penting**  
Untuk membuat titik akhir Client VPN, Anda harus menyediakan sertifikat server AWS Certificate Manager, terlepas dari jenis otentikasi yang Anda gunakan. Untuk informasi selengkapnya tentang pembuatan dan penyediaan sertifikat server, lihat langkah-langkah di [Otentikasi timbal balik di AWS Client VPN](mutual.md).
Jika Anda menggunakan kombinasi otentikasi timbal balik dan otentikasi berbasis pengguna, kedua metode tersebut kemudian harus digunakan untuk mengautentikasi dengan benar di VPN. 

# Otentikasi Direktori Aktif di Client VPN
<a name="ad"></a>

Client VPN menyediakan dukungan Active Directory dengan mengintegrasikan dengan Directory Service. Dengan autentikasi Direktori Aktif, klien diautentikassi terhadap kelompok Direktori Aktif yang ada. Menggunakan Directory Service, Client VPN dapat terhubung ke Direktori Aktif yang ada yang disediakan di dalam AWS atau di jaringan lokal Anda. Hal ini memungkinkan Anda untuk menggunakan infrastruktur autentikasi klien yang ada. Jika Anda menggunakan Active Directory lokal dan Anda tidak memiliki Microsoft AD AWS Terkelola yang ada, Anda harus mengonfigurasi Konektor Direktori Aktif (AD Connector). Anda dapat menggunakan satu server Direktori Aktif untuk mengautentikasi pengguna. Untuk informasi selengkapnya tentang integrasi Direktori Aktif, lihat [AWS Directory Service Panduan Administrasi](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/).

Client VPN mendukung autentikasi multi-faktor (MFA) saat diaktifkan untuk AWS Dikelola Microsoft AD atau AD Connector. Jika MFA diaktifkan, klien harus memasukkan nama pengguna, kata sandi, dan kode MFA ketika mereka terhubung ke titik akhir Client VPN. Untuk informasi selengkapnya tentang mengaktifkan MFA, lihat [Aktifkan Autentikasi Multi-Faktor untuk AWS Microsoft AD Terkelola](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) dan [Aktifkan Autentikasi Multi-Faktor untuk AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html) di *AWS Directory Service Panduan administrasi*. 

Untuk kuota dan aturan untuk mengonfigurasi pengguna dan grup di Direktori Aktif, lihat [Kuota pengguna dan grup](limits.md#quotas-users-groups).

# Otentikasi timbal balik di AWS Client VPN
<a name="mutual"></a>

Dengan autentikasi bersama, Client VPN menggunakan sertifikat untuk melakukan autentikasi antara klien dan server. Sertifikat adalah bentuk identifikasi digital yang diterbitkan oleh otoritas sertifikat (CA). Server menggunakan sertifikat klien untuk mengautentikasi klien ketika sertifikat tersebut mencoba untuk terhubung ke titik akhir Client VPN. Anda harus membuat sertifikat server dan kunci, dan setidaknya satu sertifikat klien dan kunci.

Anda harus mengunggah sertifikat server ke AWS Certificate Manager (ACM) dan menentukannya saat Anda membuat titik akhir Client VPN. Ketika Anda mengunggah sertifikat server untuk ACM, Anda juga menentukan otoritas sertifikat (CA). Anda hanya perlu mengunggah sertifikat klien untuk ACM ketika CA sertifikat klien berbeda dari CA sertifikat server. Untuk informasi selengkapnya tentang ACM, lihat [AWS Certificate Manager Panduan Pengguna](https://docs.aws.amazon.com/acm/latest/userguide/). 

Anda dapat membuat sertifikat klien dan kunci terpisah untuk setiap klien yang akan terhubung ke titik akhir Client VPN. Hal ini memungkinkan Anda untuk mencabut sertifikat klien tertentu jika pengguna meninggalkan organisasi Anda. Dalam kasus ini, ketika Anda membuat titik akhir Client VPN, Anda dapat menentukan ARN sertifikat server untuk sertifikat klien, asalkan sertifikat klien telah dikeluarkan oleh CA yang sama sebagai sertifikat server.

Sertifikat yang digunakan di AWS Client VPN harus mematuhi [Profil RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL)](https://datatracker.ietf.org/doc/html/rfc5280), termasuk Ekstensi Sertifikat yang ditentukan dalam bagian 4.2 memo.

**catatan**  
Titik akhir Client VPN mendukung 1024-bit dan 2048-bit RSA kunci ukuran saja. Juga, sertifikat klien harus memiliki atribut CN di bidang Subjek.  
Ketika sertifikat yang digunakan dengan layanan Client VPN diperbarui, baik melalui rotasi otomatis ACM, mengimpor sertifikat baru secara manual, atau pembaruan metadata ke Pusat Identitas IAM, layanan Client VPN akan secara otomatis memperbarui titik akhir VPN Client dengan sertifikat yang lebih baru. Ini adalah proses otomatis yang dapat memakan waktu hingga 5 jam. 

**Topics**
+ [Aktifkan otentikasi timbal balik](client-auth-mutual-enable.md)
+ [Perbarui sertifikat server Anda](mutual-renew.md)

# Aktifkan otentikasi timbal balik untuk AWS Client VPN
<a name="client-auth-mutual-enable"></a>

Anda dapat mengaktifkan otentikasi timbal balik di Client VPN di salah satu Linux/MacOS atau Windows.

------
#### [ Linux/macOS ]

Prosedur berikut menggunakan OpenVPN easy-rsa untuk membuat sertifikat dan kunci server dan klien, lalu mengunggah sertifikat dan kunci server ke ACM. Untuk informasi selengkapnya, lihat bagian [Easy-RSA 3 Quickstart README](https://github.com/OpenVPN/easy-rsa/blob/v3.0.6/README.quickstart.md).

**Untuk membuat sertifikat dan kunci server serta klien dan mengunggahnya ke ACM**

1. Kloning OpenVPN easy-rsa repo ke komputer lokal Anda dan navigasikan ke `easy-rsa/easyrsa3` folder tersebut.

   ```
   $ git clone https://github.com/OpenVPN/easy-rsa.git
   ```

   ```
   $ cd easy-rsa/easyrsa3
   ```

1. Inisialisasi lingkungan PKI baru.

   ```
   $ ./easyrsa init-pki
   ```

1. Untuk membangun otoritas sertifikat baru (CA), jalankan perintah ini dan ikuti petunjuknya.

   ```
   $ ./easyrsa build-ca nopass
   ```

1. Membuat sertifikat server dan kunci.

   ```
   $ ./easyrsa --san=DNS:server build-server-full server nopass
   ```

1. Membuat sertifikat klien dan kunci.

   Pastikan untuk menyimpan sertifikat klien dan kunci privat klien karena Anda akan membutuhkannya ketika Anda mengonfigurasi klien.

   ```
   $ ./easyrsa build-client-full client1.domain.tld nopass
   ```

   Anda dapat secara opsional mengulangi langkah ini untuk setiap klien (pengguna akhir) yang memerlukan sertifikat klien dan kunci.

1. Salin sertifikat server dan kunci serta sertifikat klien dan kunci ke folder khusus lalu kemudian navigasikan ke folder khusus.

   Sebelum Anda menyalin sertifikat dan kunci, buat folder khusus dengan menggunakan `mkdir` perintah. Contoh berikut membuat folder khusus di direktori beranda Anda.

   ```
   $ mkdir ~/custom_folder/
   $ cp pki/ca.crt ~/custom_folder/
   $ cp pki/issued/server.crt ~/custom_folder/
   $ cp pki/private/server.key ~/custom_folder/
   $ cp pki/issued/client1.domain.tld.crt ~/custom_folder
   $ cp pki/private/client1.domain.tld.key ~/custom_folder/
   $ cd ~/custom_folder/
   ```

1. Unggah sertifikat server dan kunci serta sertifikatklien dan kunci untuk ACM. Pastikan untuk mengunggahnya di Wilayah yang sama di mana Anda ingin membuat titik akhir Client VPN. Perintah berikut menggunakan AWS CLI untuk mengunggah sertifikat. Untuk mengunggah sertifikat menggunakan konsol ACM, lihat [Impor sertifikat](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) di *AWS Certificate Manager Panduan Pengguna*.

   ```
   $ aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt
   ```

   ```
   $ aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt
   ```

   Anda tidak perlu mengunggah sertifikat klien ke ACM. Jika sertifikat server dan klien telah dikeluarkan oleh Otoritas Sertifikat (CA) yang sama, Anda dapat menggunakan sertifikat server ARN untuk server dan klien saat Anda membuat titik akhir Client VPN. Pada langkah-langkah di atas, CA yang sama telah digunakan untuk membuat kedua sertifikat. Namun, langkah-langkah untuk mengunggah sertifikat klien disertakan untuk kelengkapan.

------
#### [ Windows ]

Prosedur berikut menginstal perangkat lunak Easy-RSA 3.x dan menggunakannya untuk menghasilkan sertifikat dan kunci server dan klien.

**Untuk menghasilkan sertifikat dan kunci server dan klien dan mengunggahnya ke ACM**

1. Buka halaman rilis [EasyRSA](https://github.com/OpenVPN/easy-rsa/releases) dan unduh file ZIP untuk versi Windows Anda dan ekstrak.

1. Buka prompt perintah dan arahkan ke lokasi tempat `EasyRSA-3.x` folder diekstraksi.

1. Jalankan perintah berikut untuk membuka shell EasyRSA 3.

   ```
   C:\Program Files\EasyRSA-3.x> .\EasyRSA-Start.bat
   ```

1. Inisialisasi lingkungan PKI baru.

   ```
   # ./easyrsa init-pki
   ```

1. Untuk membangun otoritas sertifikat baru (CA), jalankan perintah ini dan ikuti petunjuknya.

   ```
   # ./easyrsa build-ca nopass
   ```

1. Membuat sertifikat server dan kunci.

   ```
   # ./easyrsa --san=DNS:server build-server-full server nopass
   ```

1. Membuat sertifikat klien dan kunci.

   ```
   # ./easyrsa build-client-full client1.domain.tld nopass
   ```

   Anda dapat secara opsional mengulangi langkah ini untuk setiap klien (pengguna akhir) yang memerlukan sertifikat klien dan kunci.

1. Keluar dari shell EasyRSA 3.

   ```
   # exit
   ```

1. Salin sertifikat server dan kunci serta sertifikat klien dan kunci ke folder khusus lalu kemudian navigasikan ke folder khusus.

   Sebelum Anda menyalin sertifikat dan kunci, buat folder khusus dengan menggunakan `mkdir` perintah. Contoh berikut membuat folder khusus di C:\$1 drive.

   ```
   C:\Program Files\EasyRSA-3.x> mkdir C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\ca.crt C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\issued\server.crt C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\private\server.key C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\issued\client1.domain.tld.crt C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\private\client1.domain.tld.key C:\custom_folder
   C:\Program Files\EasyRSA-3.x> cd C:\custom_folder
   ```

1. Unggah sertifikat server dan kunci serta sertifikat klien dan kunci untuk ACM. Pastikan untuk mengunggahnya di Wilayah yang sama di mana Anda ingin membuat titik akhir Client VPN. Perintah berikut menggunakan AWS CLI untuk meng-upload sertifikat. Untuk mengunggah sertifikat menggunakan konsol ACM, lihat [Impor sertifikat](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) di *AWS Certificate Manager Panduan Pengguna*.

   ```
   aws acm import-certificate \
       --certificate fileb://server.crt \ 
       --private-key fileb://server.key \
       --certificate-chain fileb://ca.crt
   ```

   ```
   aws acm import-certificate \
       --certificate fileb://client1.domain.tld.crt \
       --private-key fileb://client1.domain.tld.key \
       --certificate-chain fileb://ca.crt
   ```

   Anda tidak perlu mengunggah sertifikat klien ke ACM. Jika sertifikat server dan klien telah dikeluarkan oleh Otoritas Sertifikat (CA) yang sama, Anda dapat menggunakan sertifikat server ARN untuk server dan klien saat Anda membuat titik akhir Client VPN. Pada langkah-langkah di atas, CA yang sama telah digunakan untuk membuat kedua sertifikat. Namun, langkah-langkah untuk mengunggah sertifikat klien disertakan untuk kelengkapan.

------

# Perbarui sertifikat server Anda untuk AWS Client VPN
<a name="mutual-renew"></a>

Anda dapat memperbarui dan mengimpor ulang sertifikat server Client VPN yang telah kedaluwarsa. Bergantung pada versi OpenVPN easy-rsa yang Anda gunakan, prosedurnya akan bervariasi. Lihat Dokumentasi [Pembaruan dan Pencabutan Sertifikat Easy-RSA 3 untuk detail selengkapnya.](https://github.com/OpenVPN/easy-rsa/blob/master/doc/EasyRSA-Renew-and-Revoke.md)

**Untuk memperbarui sertifikat server Anda**

1. Lakukan **salah satu** hal berikut:
   + Easy-RSA versi 3.1.x

     1. Jalankan perintah perpanjangan sertifikat.

       ```
       $ ./easyrsa renew server nopass
       ```
   + Easy-RSA versi 3.2.x

     1. Jalankan perintah kedaluwarsa.

        ```
        $ ./easyrsa expire server
        ```

     1. Tanda tangani sertifikat baru.

        ```
        $ ./easyrsa --san=DNS:server sign-req server server
        ```

1. Buat folder khusus, salin file baru ke sana, lalu navigasikan ke folder.

   ```
   $ mkdir ~/custom_folder2
   $ cp pki/ca.crt ~/custom_folder2/
   $ cp pki/issued/server.crt ~/custom_folder2/
   $ cp pki/private/server.key ~/custom_folder2/
   $ cd ~/custom_folder2/
   ```

1. Impor file baru ke ACM. Pastikan untuk mengimpornya di Wilayah yang sama dengan titik akhir Client VPN. 

   ```
   $ aws acm import-certificate \
       --certificate fileb://server.crt \
       --private-key fileb://server.key \
       --certificate-chain fileb://ca.crt \
       --certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901
   ```

# Sistem masuk tunggal — otentikasi federasi berbasis SAMP 2.0 — di Client VPN
<a name="federated-authentication"></a>

AWS Client VPN mendukung federasi identitas dengan Security Assertion Markup Language 2.0 (SAMP 2.0) untuk titik akhir Client VPN. Anda dapat menggunakan penyedia identitas (IdPs) yang mendukung SAMP 2.0 untuk membuat identitas pengguna terpusat. Kemudian Anda dapat mengonfigurasi titik akhir Client VPN untuk menggunakan autentikasi Federasi berbasis SAML, dan mengaitkannya dengan IdP. Pengguna kemudian terhubung ke titik akhir Client VPN menggunakan kredensial terpusat.

**Topics**
+ [Aktifkan SAMP](client-auth-enable-saml.md)
+ [Alur kerja autentikasi](#federated-authentication-workflow)
+ [Persyaratan dan pertimbangan untuk autentikasi federasi berbasis SAML](#saml-requirements)
+ [sumber daya konfigurasi IdP berbasis SAML](#saml-config-resources)

# Aktifkan SAMP untuk AWS Client VPN
<a name="client-auth-enable-saml"></a>

 Anda dapat mengaktifkan SAMP untuk single sign-on untuk Client VPN dengan menyelesaikan langkah-langkah berikut. Atau, jika Anda mengaktifkan portal layanan mandiri untuk titik akhir Client VPN Anda, instruksikan pengguna Anda untuk membuka portal layanan mandiri untuk mendapatkan file konfigurasi dan AWS klien yang disediakan. Untuk informasi selengkapnya, lihat [AWS Client VPN akses ke portal swalayan](cvpn-self-service-portal.md).

**Untuk mengaktifkan IdP berbasis SAML untuk bekerja dengan titik akhir Client VPN, Anda harus melakukan hal berikut.**

1. Buat aplikasi berbasis SAML di IDP pilihan Anda untuk digunakan AWS Client VPN, atau gunakan aplikasi yang sudah ada.

1. Konfigurasikan IdP Anda untuk membuat hubungan kepercayaan dengan AWS. Untuk sumber daya, lihat [sumber daya konfigurasi IdP berbasis SAML](federated-authentication.md#saml-config-resources).

1. Di IdP Anda, buat dan unduh dokumen metadata federasi yang menjelaskan organisasi Anda sebagai IdP. 

   Dokumen XML yang ditandatangani ini digunakan untuk membangun hubungan kepercayaan antara AWS dan IdP.

1. Buat penyedia identitas IAM SAMP di AWS akun yang sama dengan titik akhir Client VPN. 

   Penyedia identitas SAMP IAM mendefinisikan hubungan IDP untuk AWS mempercayai organisasi Anda menggunakan dokumen metadata yang dihasilkan oleh iDP. Untuk informasi selengkapnya, lihat [Membuat Penyedia Identitas SAML IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) dalam *Panduan Pengguna IAM*. Jika nanti Anda memperbarui konfigurasi aplikasi di IdP, buat dokumen metadata baru dan perbarui penyedia identitas SAML IAM Anda.
**catatan**  
Anda tidak perlu membuat IAM role untuk menggunakan penyedia identitas SAML IAM.

1. Buat titik akhir Client VPN 

   Tentukan autentikasi federasi sebagai jenis autentikasi, dan tentukan penyedia identitas SAML IAM yang Anda buat. Untuk informasi selengkapnya, lihat [Buat titik AWS Client VPN akhir](cvpn-working-endpoint-create.md).

1. Ekspor [file konfigurasi klien](cvpn-working-endpoint-export.md) dan mendistribusikannya ke pengguna Anda. Instruksikan pengguna Anda untuk mengunduh versi terbaru dari [AWS klien yang disediakan](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/connect-aws-client-vpn-connect.html), dan menggunakannya untuk memuat file konfigurasi dan terhubung ke titik akhir Client VPN.

## Alur kerja autentikasi
<a name="federated-authentication-workflow"></a>

Diagram berikut memberikan gambaran umum tentang alur kerja autentikasi untuk titik akhir Client VPN yang menggunakan autentikasi federasi berbasis SAML. Ketika Anda membuat dan mengkonfigurasi titik akhir Client VPN, Anda menentukan penyedia identitas SAML IAM.

![\[Alur kerja autentikasi\]](http://docs.aws.amazon.com/id_id/vpn/latest/clientvpn-admin/images/federated-auth-workflow.png)


1. Pengguna membuka klien yang AWS disediakan di perangkat mereka dan memulai koneksi ke titik akhir Client VPN.

1. Titik akhir Client VPN mengirimkan URL IdP dan permintaan autentikasi kembali ke klien, berdasarkan informasi yang disediakan di penyedia identitas SAML IAM.

1. Klien yang AWS disediakan membuka jendela browser baru di perangkat pengguna. Peramban membuat permintaan ke IdP dan menampilkan halaman login.

1. Pengguna memasukkan kredensial mereka di halaman login, dan IdP mengirimkan pernyataan SAML yang ditandatangani kembali ke klien.

1. Klien AWS yang disediakan mengirimkan pernyataan SAMP ke titik akhir Client VPN.

1. Titik akhir Client VPN memvalidasi pernyataan dan mengizinkan atau menolak akses ke pengguna.

## Persyaratan dan pertimbangan untuk autentikasi federasi berbasis SAML
<a name="saml-requirements"></a>

Berikut ini merupakan persyaratan dan pertimbangan untuk autentikasi federasi berbasis SAML.
+ Untuk kuota dan aturan untuk mengonfigurasi pengguna dan grup di IdP berbasis SAML, lihat [Kuota pengguna dan grup](limits.md#quotas-users-groups).
+ Pernyataan dan tanggapan SAMP harus ditandatangani.
+ AWS Client VPN hanya mendukung kondisi AudienceRestriction "" dan "NotBefore dan NotOnOrAfter" dalam pernyataan SAMP.
+ Ukuran maksimum yang didukung untuk respons SAML adalah 128 KB.
+ AWS Client VPN tidak menyediakan permintaan otentikasi yang ditandatangani.
+ Logout tunggal SAML tidak didukung. Pengguna dapat keluar dengan memutuskan sambungan dari klien yang AWS disediakan, atau Anda dapat [menghentikan koneksi.](cvpn-working-connections-disassociate.md)
+ Titik akhir Client VPN mendukung satu IdP saja.
+ Autentikasi Multi-Faktor (MFA) didukung bila diaktifkan di IdP Anda.
+ Pengguna harus menggunakan klien yang AWS disediakan untuk terhubung ke titik akhir Client VPN. Pengguna harus menggunakan versi 1.2.0 atau lebih baru. Untuk informasi selengkapnya, lihat [Connect menggunakan klien AWS yang disediakan](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/connect-aws-client-vpn-connect.html).
+ Peramban berikut didukung untuk autentikasi IdP: Apple Safari, Google Chrome, Microsoft Edge, dan Mozilla Firefox.
+ Klien yang AWS disediakan mencadangkan port TCP 35001 pada perangkat pengguna untuk respons SAMP.
+ Jika dokumen metadata untuk penyedia identitas SAML IAM diperbarui dengan URL yang salah atau berbahaya, hal ini dapat menyebabkan masalah autentikasi bagi pengguna, atau mengakibatkan serangan phishing. Oleh karena itu, sebaiknya gunakan AWS CloudTrail untuk memantau pembaruan yang dilakukan pada penyedia identitas SAML IAM. Untuk informasi selengkapnya, lihat [Logging IAM dan AWS STS panggilan dengan AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html) di * Panduan Pengguna IAM*.
+ AWS Client VPN mengirimkan permintaan AuthN ke IDP melalui pengikatan HTTP Redirect. Oleh karena itu, IdP harus mendukung pengikatan Pengalihan HTTP dan harus ada dalam dokumen metadata IdP.
+ Untuk pernyataan SAML, Anda harus menggunakan format alamat email untuk `NameID` atribut.
+ Panjang username (`NameID`) maksimum adalah 1024 byte. Koneksi dengan nama pengguna yang lebih panjang akan ditolak.
+ Ketika sertifikat yang digunakan dengan layanan Client VPN diperbarui, baik melalui rotasi otomatis ACM, mengimpor sertifikat baru secara manual, atau pembaruan metadata ke Pusat Identitas IAM, layanan Client VPN akan secara otomatis memperbarui titik akhir Client VPN dengan sertifikat yang lebih baru. Ini adalah proses otomatis yang dapat memakan waktu hingga 5 jam.

## sumber daya konfigurasi IdP berbasis SAML
<a name="saml-config-resources"></a>

Tabel berikut mencantumkan berbasis SAML IdPs yang telah kami uji untuk digunakan AWS Client VPN, dan sumber daya yang dapat membantu Anda mengonfigurasi IDP.


| IdP | Sumber Daya | 
| --- | --- | 
| Okta | [Otentikasi AWS Client VPN pengguna dengan SAMP](https://aws.amazon.com/blogs/networking-and-content-delivery/authenticate-aws-client-vpn-users-with-saml/) | 
| Microsoft Entra ID (sebelumnya Azure Active Directory) | Untuk informasi selengkapnya, lihat [Tutorial: Integrasi sistem masuk tunggal (SSO) Microsoft Entra dengan AWS ClientVPN](https://learn.microsoft.com/en-gb/entra/identity/saas-apps/aws-clientvpn-tutorial) di situs web dokumentasi Microsoft. | 
| JumpCloud | [Integrasikan dengan AWS Client VPN](https://jumpcloud.com/support/integrate-with-aws-client-vpn) | 
| AWS IAM Identity Center | [Menggunakan IAM Identity Center dengan AWS Client VPN untuk otentikasi dan otorisasi](https://aws.amazon.com/blogs/networking-and-content-delivery/using-aws-sso-with-aws-client-vpn-for-authentication-and-authorization/)  | 

### Informasi penyedia layanan untuk membuat aplikasi
<a name="saml-config-service-provider-info"></a>

Untuk membuat aplikasi berbasis SAML menggunakan iDP yang tidak tercantum dalam tabel sebelumnya, gunakan informasi berikut untuk mengonfigurasi informasi penyedia layanan. AWS Client VPN 
+ URL Assertion Consumer Service (ACS): `http://127.0.0.1:35001`
+ URI Pemirsa: `urn:amazon:webservices:clientvpn`

Setidaknya satu atribut harus disertakan dalam respons SAMP dari IDP. Berikut ini adalah contoh atribut.


| Atribut | Deskripsi | 
| --- | --- | 
| FirstName | Nama pertama pengguna. | 
| LastName | Nama terakhir pengguna. | 
| memberOf | Grup atau beberapa grup tempat pengguna berada. | 

**catatan**  
`memberOf`Atribut diperlukan untuk menggunakan Active Directory atau aturan otorisasi berbasis grup SAMP IDP. Ini juga peka huruf besar/kecil, dan harus dikonfigurasi persis seperti yang ditentukan. Lihat [Otorisasi berbasis jaringan](client-authorization.md#auth-rules) dan [AWS Client VPN aturan otorisasi](cvpn-working-rules.md) untuk informasi lebih lanjut.

### Dukungan untuk portal layanan mandiri
<a name="saml-self-service-support"></a>

Jika Anda mengaktifkan portal layanan mandiri untuk titik akhir Client VPN, pengguna masuk ke portal menggunakan kredensial IdP berbasis SAML mereka.

Jika IDP Anda mendukung beberapa Assertion Consumer Service (ACS) URLs, tambahkan URL ACS berikut ke aplikasi Anda.

```
https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
```

Jika Anda menggunakan titik akhir Client VPN di suatu GovCloud wilayah, gunakan URL ACS berikut sebagai gantinya. Jika Anda menggunakan aplikasi IDP yang sama untuk mengautentikasi standar dan GovCloud wilayah, Anda dapat menambahkan keduanya. URLs

```
https://gov.self-service.clientvpn.amazonaws.com/api/auth/sso/saml
```

Jika IDP Anda tidak mendukung beberapa ACS URLs, lakukan hal berikut: 

1. Buat aplikasi berbasis SAML tambahan di IdP Anda dan tentukan URL ACS berikut.

   ```
   https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
   ```

1. Buat dan unduh dokumen metadata federasi.

1. Buat penyedia identitas IAM SAMP di AWS akun yang sama dengan titik akhir Client VPN. Untuk informasi selengkapnya, lihat [Membuat Penyedia Identitas SAML IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) dalam *Panduan Pengguna IAM*. 
**catatan**  
Anda membuat penyedia identitas SAML IAM ini selain yang Anda [buat untuk aplikasi utama](#federated-authentication).

1. [Buat titik akhir Client VPN](cvpn-working-endpoint-create.md), dan tentukan kedua penyedia identitas SAML IAM yang Anda buat.