Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione delle identità
Research and Engineering Studio può utilizzare qualsiasi provider di identità conforme a SAML 2.0. Per utilizzare Amazon Cognito come directory utente nativa che consente agli utenti di accedere al portale Web e a Linux con identità utente VDIs Cognito, consulta. [Configurazione degli utenti di Amazon Cognito](setting-up-cognito-users.md) Se hai distribuito RES utilizzando risorse esterne o prevedi di utilizzare IAM Identity Center, vedi. [Configurazione del single sign-on (SSO) con IAM Identity Center](sso-idc.md) Se disponi di un provider di identità personale conforme a SAML 2.0, consulta. [Configurazione del provider di identità per il Single Sign-On (SSO)](configure-id-federation.md)
**Topics**
+ [Configurazione degli utenti di Amazon Cognito](setting-up-cognito-users.md)
+ [Sincronizzazione con Active Directory](active-directory-sync.md)
+ [Configurazione del single sign-on (SSO) con IAM Identity Center](sso-idc.md)
+ [Configurazione del provider di identità per il Single Sign-On (SSO)](configure-id-federation.md)
+ [Impostazione delle password per gli utenti](setting-user-passwords.md)
# Configurazione degli utenti di Amazon Cognito
Research and Engineering Studio (RES) ti consente di configurare Amazon Cognito come directory utente nativa. Ciò consente agli utenti di accedere al portale Web basato su Linux con le identità utente di Amazon VDIs Cognito. Gli amministratori possono importare più utenti nel pool di utenti utilizzando un file csv dalla console. AWS Per maggiori dettagli sull'importazione di utenti in blocco, consulta [Importazione di utenti in pool di utenti da un file CSV](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-using-import-tool.html) nella *Amazon* Cognito Developer Guide. RES supporta l'utilizzo combinato di una directory utente nativa basata su Amazon Cognito e dell'SSO.
## Configurazione amministrativa
**In qualità di amministratore RES, per configurare l'ambiente RES per utilizzare Amazon Cognito come directory utente, attiva il pulsante Usa Amazon **Cognito come directory utente nella** pagina di **gestione delle identità, accessibile dalla pagina Gestione** dell'ambiente.** Per consentire agli utenti di registrarsi autonomamente, attiva il pulsante Autoregistrazione **utente sulla stessa pagina**.
![\[Pagina di gestione delle identità che mostra le impostazioni della directory di cognito\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/id-management-cognito-directory.png)
## Flusso di accesso up/sign degli utenti
Se **l'autoregistrazione** degli utenti è abilitata, puoi fornire agli utenti l'URL della tua applicazione web. Lì, gli utenti troveranno un'opzione che dice **Non sei ancora un utente? Registrati qui**.
![\[Pagina di accesso utente con possibilità di registrazione automatica\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/user-sign-up.png)
## Flusso di registrazione
Utenti che scelgono **Non sei ancora un utente? Registrati qui** e ti verrà chiesto di inserire la loro email e la password per creare un account.
![\[Crea una pagina di account per l'autoregistrazione dell'utente\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/create-account.png)
Come parte del flusso di registrazione, agli utenti verrà chiesto di inserire il codice di verifica ricevuto nell'e-mail per completare la procedura di registrazione.
![\[Pagina di immissione del codice di verifica\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/verify-email.png)
Se l'iscrizione automatica è disattivata, gli utenti non vedranno il link di registrazione. Gli amministratori devono configurare gli utenti in Amazon Cognito al di fuori di RES. (Vedi [Creazione di account utente come amministratore](https://docs.aws.amazon.com/cognito/latest/developerguide/how-to-create-user-accounts.html) nella *Amazon Cognito Developer Guide*.)
![\[Pagina di immissione del codice di verifica\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/user-sign-in.png)
## Opzioni della pagina di accesso
Se sia SSO che Amazon Cognito sono abilitati, verrà visualizzata l'opzione **Accedi con l'SSO dell'organizzazione**. Quando gli utenti fanno clic su tale opzione, verranno reindirizzati alla pagina di accesso SSO. Per impostazione predefinita, gli utenti si autenticheranno con Amazon Cognito se è abilitato.
![\[Pagina di accesso utente con opzioni per registrarsi, verificare l'account o accedere con l'SSO dell'organizzazione\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/org-sso-sign-in.png)
## Vincoli
+ Il **nome del tuo gruppo** Amazon Cognito può contenere un massimo di sei lettere; sono accettate solo lettere minuscole.
+ L'iscrizione ad Amazon Cognito non consentirà due indirizzi e-mail con lo stesso nome utente ma un indirizzo di dominio diverso.
+ Se Active Directory e Amazon Cognito sono abilitati e il sistema rileva un nome utente duplicato, solo gli utenti di Active Directory potranno effettuare l'autenticazione. Gli amministratori devono adottare misure per non configurare nomi utente duplicati tra Amazon Cognito e il relativo Active Directory.
+ Gli utenti di Cognito non potranno avviare sistemi basati su Windows VDIs poiché RES non supporta l'autenticazione basata su Amazon Cognito per le istanze Windows.
## Gruppo di amministratori per utenti di Amazon Cognito
Per impostazione predefinita, RES concede agli utenti di Cognito il privilegio di amministratore `admins` di gruppo. Per aggiungere utenti al gruppo Cognito: `admins`
1. Accedi alla [console Amazon Cognito](https://console.aws.amazon.com/cognito/home) e scegli il pool di utenti esistente utilizzato per RES.
1. Vai a **Gruppi** in **Gestione utenti**, quindi scegli **Crea un gruppo**.
1. Nella pagina **Crea un gruppo**, in **Nome gruppo,** inserisci`admins`.
1. Seleziona il `admins` gruppo che hai creato e scegli **Aggiungi utente al gruppo per** aggiungere utenti Cognito.
1. Avvia manualmente la sincronizzazione di Cognito seguendo. [Sincronizzazione](#setting-up-cognito-users-sync)
Dopo una corretta sincronizzazione con Amazon Cognito, gli utenti aggiunti al `admins` gruppo riceveranno i privilegi di amministratore.
## Sincronizzazione
RES sincronizza il suo database con le informazioni su utenti e gruppi di Amazon Cognito ogni ora. A tutti gli utenti che appartengono al gruppo «amministratori» verrà concesso il privilegio sudo nel proprio. VDIs
Puoi anche avviare la sincronizzazione manualmente dalla console Lambda.
**Avvia il processo di sincronizzazione manualmente:**
1. Aprire la [console Lambda](https://console.aws.amazon.com/lambda).
1. Cerca la Lambda di sincronizzazione Cognito. Questa Lambda segue questa convenzione di denominazione:. `{RES_ENVIRONMENT_NAME}_cognito-sync-lambda`
1. **Seleziona Test.**
1. Nella sezione **Evento di test**, scegli il pulsante **Test** in alto a destra. Il formato del corpo dell'evento non ha importanza.
## Considerazioni sulla sicurezza per Cognito
Prima della versione 2024.12, la [registrazione delle attività degli utenti](https://docs.aws.amazon.com/cognito/latest/developerguide/feature-plans-features-plus.html), che fa parte della funzionalità del piano Amazon Cognito Plus, era abilitata per impostazione predefinita. Questa funzionalità è stata rimossa dalla distribuzione di base per ridurre i costi per i clienti che desiderano provare RES. È possibile riattivare questa funzionalità in base alle esigenze per allinearla alle impostazioni di sicurezza cloud dell'organizzazione.
# Sincronizzazione con Active Directory
## Configurazione di runtime
Tutti i AWS CloudFormation parametri relativi ad Active Directory (AD) sono opzionali durante l'installazione.
![\[Dettagli opzionali di Active Directory\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/active-directory-details.png)
Per qualsiasi ARN segreto fornito in fase di esecuzione (ad esempio `ServiceAccountCredentialsSecretArn` o`DomainTLSCertificateSecretArn`), assicurati di aggiungere i seguenti tag al segreto per RES per ottenere le autorizzazioni per leggere il valore segreto:
+ chiave: `res:EnvironmentName`, valore: ``
+ chiave: `res:ModuleName`, valore: `directoryservice`
Tutti gli aggiornamenti della configurazione AD nel portale web verranno rilevati automaticamente durante la successiva sincronizzazione AD programmata (ogni ora). Gli utenti potrebbero dover riconfigurare l'SSO dopo aver modificato la configurazione AD (ad esempio, se passano a un AD diverso).
Dopo l'installazione iniziale, gli amministratori possono visualizzare o modificare la configurazione AD nel portale web RES nella pagina di gestione delle **identità**:
![\[Dettagli delle impostazioni di configurazione del dominio Active Directory\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-active-directory-domain.png)
![\[Popout di sincronizzazione con Active Directory\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/active-directory-synchronization.png)
### Accedi automaticamente ad Active Directory
Gli amministratori possono configurare l'impostazione Accesso **automatico ad Active Directory** per controllare il comportamento di aggiunta al dominio della directory durante l'avvio della VDI.
**Opzioni di configurazione:**
+ **Attivato**: aggiunge automaticamente Windows e Linux VDIs al dominio della directory durante l'avvio.
+ **Disabilitato**: disattiva l'aggiunta automatica al dominio. Le istanze Linux possono essere avviate con o senza aggiunta al dominio. Le istanze Windows richiedono l'aggiunta al dominio per essere avviate correttamente, pertanto gli amministratori devono includere la logica di aggiunta al dominio negli script di avvio personalizzati.
**Importante**
Se disabiliti questa impostazione, verifica che gli script di avvio personalizzati dell'istanza Windows includano la logica di aggiunta al dominio necessaria.
### Impostazioni aggiuntive
**Filtri**
Gli amministratori possono filtrare gli utenti o i gruppi da sincronizzare utilizzando le opzioni **Filtro utenti** e **Filtro gruppi**. I filtri devono seguire la [sintassi del filtro LDAP](https://ldap.com/ldap-filters/). Un esempio di filtro è:
```
(sAMAccountname=)
```
**Parametri SSSD personalizzati**
Gli amministratori possono fornire un dizionario di coppie chiave-valore contenente parametri e valori SSSD da scrivere `[domain_type/DOMAIN_NAME]` nella sezione del file di configurazione SSSD sulle istanze del cluster. RES applica automaticamente gli aggiornamenti SSSD: riavvia il servizio SSSD sulle istanze del cluster e attiva il processo di sincronizzazione AD.
Alcune impostazioni SSSD personalizzate comuni sono:
+ `enumerate`- Imposta su «true» per memorizzare nella cache tutte le voci di utenti e gruppi dal servizio di directory. La disattivazione di questa opzione potrebbe comportare un breve ritardo al primo accesso degli utenti.
+ `ldap_id_mapping`- Imposta su «true» per mappare LDAP/AD utenti e gruppi IDs a livello locale UIDs e GIDs sul sistema Linux. L'attivazione di questa opzione può migliorare la compatibilità con gli script e le applicazioni POSIX esistenti.
Per una descrizione completa del file di configurazione SSSD, consultate le pagine man di Linux relative a. `SSSD`
![\[Configurazioni SSSD aggiuntive\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-additional-sssd-config1.png)
I parametri e i valori SSSD devono essere compatibili con la configurazione RES SSSD come descritto di seguito:
+ `id_provider`è impostato internamente da RES e non deve essere modificato.
+ Le configurazioni relative ad AD`ldap_uri`, tra cui`ldap_search_base`, `ldap_default_bind_dn` `ldap_default_authtok` sono impostate in base alle altre configurazioni AD fornite e non devono essere modificate.
L'esempio seguente abilita il livello di debug per i log SSSD:
![\[Configurazioni SSSD aggiuntive che mostrano la nuova coppia di chiavi e valori inserita\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-additional-sssd-config2.png)
## Aggiornamento via e-mail dopo Initial AD Sync (versione 2025.09 e successive)
Se un indirizzo e-mail di un utente di Active Directory è cambiato, gli amministratori possono avviare manualmente la sincronizzazione AD o attendere la successiva sincronizzazione AD pianificata affinché la modifica venga rilevata e sincronizzata con RES.
## Come avviare o interrompere manualmente la sincronizzazione (versione 2025.03 e successive)
Vai alla pagina di **gestione delle identità** e scegli il pulsante **Avvia sincronizzazione AD** nel contenitore del **dominio Active Directory** per attivare una sincronizzazione AD su richiesta.
![\[Configurazioni dei domini Active Directory\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-ad-directory-sync1.png)
Per interrompere una sincronizzazione AD in corso, seleziona il pulsante **Arresta sincronizzazione AD** nel contenitore del **dominio Active Directory**.
![\[Pagina di configurazione del dominio Active Directory che mostra l'opzione per interrompere la sincronizzazione\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-ad-directory-sync2.png)
Puoi anche controllare lo stato di sincronizzazione AD e l'ora di sincronizzazione più recente nel contenitore del **dominio Active Directory**.
![\[Pagina di configurazione del dominio Active Directory che mostra l'ora di sincronizzazione più recente\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-ad-directory-sync3.png)
## Come eseguire manualmente la sincronizzazione (release 2024.12 e 2024.12.01)
Il processo di sincronizzazione di Active Directory è stato spostato dall'infra host di Cluster Manager a un'unica attività Amazon Elastic Container Service (ECS) in background. L'esecuzione del processo è pianificata ogni ora e puoi trovare un'attività ECS in esecuzione nella console Amazon ECS sotto il `-ad-sync-cluster` cluster mentre è in corso.
**Per avviarlo manualmente:**
1. Vai alla [console Lambda](https://console.aws.amazon.com/lambda) e cerca la lambda chiamata. `-scheduled-ad-sync`
1. **Apri la funzione Lambda e vai a Test**
1. Nell'**Event JSON inserisci quanto** segue:
```
{
"detail-type": "Scheduled Event"
}
```
1. Scegli **Test (Esegui test)**.
1. Osserva i log dell'attività AD Sync in esecuzione in → **Gruppi di log **CloudWatch****→. `//ad-sync` Vedrai i log di ciascuna delle attività ECS in esecuzione. Seleziona il più recente per visualizzare i log.
**Nota**
Se modifichi i parametri AD o aggiungi filtri AD, RES aggiungerà i nuovi utenti in base ai nuovi parametri specificati e rimuoverà gli utenti che erano stati precedentemente sincronizzati e non sono più inclusi nello spazio di ricerca LDAP.
RES non può rimuovere un utente o un gruppo assegnato attivamente a un progetto. È necessario rimuovere gli utenti dai progetti per fare in modo che RES li rimuova dall'ambiente.
## Configurazione SSO
Dopo aver fornito la configurazione AD, gli utenti devono configurare Single Sign-On (SSO) per poter accedere al portale web RES come utenti AD. **La configurazione SSO è stata spostata dalla pagina **Impostazioni generali** alla nuova pagina di gestione delle identità.** Per ulteriori informazioni sulla configurazione dell'SSO, consulta. [Gestione delle identità](manage-users.md)
# Configurazione del single sign-on (SSO) con IAM Identity Center
Se non disponi già di un centro di identità collegato all'Active Directory gestita, inizia con[Fase 1: Configurare un centro di identità](#set-up-identity-center). Se hai già un centro di identità collegato all'Active Directory gestita, inizia con[Fase 2: Connect a un centro di identità](#connect-identity-center).
**Nota**
Se esegui la distribuzione in una GovCloud regione, configura l'SSO nell'account di AWS GovCloud (US) partizione in cui hai distribuito Research and Engineering Studio.
## Fase 1: Configurare un centro di identità
### Abilitazione di IAM Identity Center
1. Accedi alla [console AWS Identity and Access Management](https://console.aws.amazon.com/iam).
1. Apri l'**Identity Center**.
1. Scegli **Abilita **.
1. Scegli **Abilita con AWS Organizations**.
1. Scegli **Continua**.
**Nota**
Assicurati di trovarti nella stessa regione in cui hai Active Directory gestito.
### Connessione di IAM Identity Center a un Active Directory gestito
Dopo aver abilitato IAM Identity Center, completa questi passaggi di configurazione consigliati:
1. Nel pannello di navigazione scegli **Impostazioni**.
1. In **Origine dell'identità**, scegli **Azioni** e scegli **Cambia origine identità**.
1. In **Directory esistenti**, seleziona la tua directory.
1. Scegli **Next (Successivo)**.
1. Controlla le modifiche e inseriscile **ACCEPT** nella casella di conferma.
1. Scegli **Cambia fonte di identità**.
### Sincronizzazione di utenti e gruppi con il centro identità
Una volta [Connessione di IAM Identity Center a un Active Directory gestito](#connecting-identity-center-ad) completate le modifiche apportate, viene visualizzato un banner di conferma verde.
1. Nel banner di conferma, scegli **Avvia configurazione guidata**.
1. **Da **Configura le mappature degli attributi, scegli Avanti**.**
1. Nella sezione **Utente**, inserisci gli utenti che desideri sincronizzare.
1. Scegli **Aggiungi**.
1. Scegli **Next (Successivo)**.
1. Controlla le modifiche, quindi scegli **Salva configurazione**.
1. Il processo di sincronizzazione potrebbe richiedere alcuni minuti. Se ricevi un messaggio di avviso relativo alla mancata sincronizzazione degli utenti, scegli **Riprendi** sincronizzazione.
### Abilitare gli utenti
1. Dal menu, scegli **Utenti**.
1. Seleziona gli utenti per i quali desideri abilitare l'accesso.
1. Scegli **Abilita l'accesso utente**.
## Fase 2: Connect a un centro di identità
### Configurazione dell'applicazione in IAM Identity Center
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon/).
1. Selezionare **Applications (Applicazioni)**.
1. Scegli **Aggiungi applicazione**.
1. In **Preferenze di configurazione**, scegli **Ho un'applicazione che voglio configurare**.
1. In **Tipo di applicazione**, scegli **SAML 2.0**.
1. Scegli **Next (Successivo)**.
1. Inserisci il nome visualizzato e la descrizione che desideri utilizzare.
1. In **Metadati IAM Identity Center**, copia il link per il file di **metadati IAM Identity Center SAML**. Ne avrai bisogno per configurare IAM Identity Center con il portale RES.
1. In **Proprietà dell'applicazione**, inserisci **l'URL di avvio dell'applicazione**. Ad esempio, `/sso`.
1. In URL **ACS dell'applicazione, inserite l'URL** di reindirizzamento dal portale RES. Per trovarlo:
1. In **Gestione dell'ambiente**, scegli **Impostazioni generali**.
1. Seleziona la scheda **Identity provider**.
1. In **Single Sign-On**, troverai l'URL di reindirizzamento **SAML.**
1. In **Application SAML Audience**, inserisci l'URN di Amazon Cognito.
Per creare l'urna:
1. Dal portale RES, apri **Impostazioni generali**.
1. Nella scheda **Identity provider**, individua l'**ID del pool di utenti**.
1. Aggiungi l'**ID del pool di utenti** a questa stringa:
```
urn:amazon:cognito:sp:
```
1. **Dopo aver inserito l'URN di Amazon Cognito, scegli Invia.**
### Configurazione delle mappature degli attributi per l'applicazione
1. Dall'**Identity Center**, apri i dettagli dell'applicazione creata.
1. Scegli **Azioni**, quindi scegli **Modifica mappature degli attributi**.
1. In **Oggetto**, inserisci. **\$1\$1user:email\$1**
1. In **Formato**, scegli **Indirizzo e-mail**.
1. Scegli **Aggiungi nuova mappatura degli attributi**.
1. Nella sezione **Attributo utente dell'applicazione**, inserisci 'email'.
1. In **Associa questo valore di stringa o attributo utente in IAM Identity Center, inserisci**. **\$1\$1user:email\$1**
1. In **Formato**, inserisci «non specificato».
1. Scegli **Save changes** (Salva modifiche).
### Aggiungere utenti all'applicazione in IAM Identity Center
1. Dall'Identity Center, apri **Utenti assegnati** per l'applicazione creata e scegli **Assegna utenti**.
1. Seleziona gli utenti a cui desideri assegnare l'accesso all'applicazione.
1. Scegliere **Assign users (Assegna utenti)**.
### Configurazione di IAM Identity Center all'interno dell'ambiente RES
1. Dall'ambiente Research and Engineering Studio, in **Gestione dell'ambiente**, apri **Impostazioni generali**.
1. Apri la scheda **Identity provider**.
1. In **Single Sign-On**, scegli **Modifica** (accanto a **Stato**).
1. Completa il modulo con le seguenti informazioni:
1. Scegli **SAML**.
1. In **Nome del fornitore**, inserisci un nome intuitivo.
1. Scegli **Inserisci l'URL dell'endpoint del documento di metadati**.
1. Inserisci l'URL che hai copiato durante. [Configurazione dell'applicazione in IAM Identity Center](#setup-application-identity-center)
1. In **Attributo email del fornitore**, inserisci 'email'.
1. Seleziona **Invia**.
1. Aggiorna la pagina e verifica che **lo stato** sia visualizzato come abilitato.
# Configurazione del provider di identità per il Single Sign-On (SSO)
Research and Engineering Studio si integra con qualsiasi provider di identità SAML 2.0 per autenticare l'accesso degli utenti al portale RES. Questi passaggi forniscono indicazioni per l'integrazione con il provider di identità SAML 2.0 scelto. Se intendi utilizzare IAM Identity Center, consulta[Configurazione del single sign-on (SSO) con IAM Identity Center](sso-idc.md).
**Nota**
L'e-mail dell'utente deve corrispondere nell'asserzione IDP SAML e in Active Directory. Dovrai connettere il tuo provider di identità con Active Directory e sincronizzare periodicamente gli utenti.
**Topics**
+ [Configura il tuo provider di identità](#configure-id-federation_config-idp)
+ [Configura RES per utilizzare il tuo provider di identità](#configure-id-federation_config-res)
+ [Configurazione del provider di identità in un ambiente non di produzione](#configure-id-federation-demo-env)
+ [Eseguire il debug dei problemi di SAML IdP](#configure-id-federation_debug)
## Configura il tuo provider di identità
Questa sezione illustra i passaggi per configurare il tuo provider di identità con le informazioni del pool di utenti RES Amazon Cognito.
1. RES presuppone che tu disponga di un AD (AWS Managed AD o un AD autofornito) con identità utente autorizzate ad accedere al portale e ai progetti RES. Collega il tuo AD al tuo provider di servizi di identità e sincronizza le identità degli utenti. Consulta la documentazione del tuo provider di identità per scoprire come connettere AD e sincronizzare le identità degli utenti. Ad esempio, vedi [Utilizzo di Active Directory come fonte di identità](https://docs.aws.amazon.com/singlesignon/latest/userguide/gs-ad.html) nella *Guida per l'AWS IAM Identity Center utente*.
1. Configura un'applicazione SAML 2.0 per RES nel tuo provider di identità (IdP). Questa configurazione richiede i seguenti parametri:
+ **URL di reindirizzamento SAML**: l'URL utilizzato dal tuo IdP per inviare la risposta SAML 2.0 al provider di servizi.
**Nota**
A seconda dell'IdP, l'URL di reindirizzamento SAML potrebbe avere un nome diverso:
URL dell'applicazione
URL dell'Assertion Consumer Service (ACS)
URL vincolante POST ACS
**Per ottenere l'URL**
1. Accedi a RES come amministratore o **amministratore** del **cluster**.
1. Vai a **Gestione dell'ambiente** ⇒ **Impostazioni generali** ⇒ **Identity** Provider.
1. Scegli **SAML Redirect** URL.
+ **URI SAML Audience**: l'ID univoco dell'entità di audience SAML sul lato del fornitore di servizi.
**Nota**
A seconda dell'IdP, l'URI SAML Audience potrebbe avere un nome diverso:
ClientID
Applicazione SAML Audience
ID dell'entità SP
Fornisci l'input nel seguente formato.
```
urn:amazon:cognito:sp:user-pool-id
```
**Per trovare il tuo URI SAML Audience**
1. Accedi a RES come **amministratore o amministratore** del **cluster**.
1. Vai a **Gestione dell'ambiente** ⇒ **Impostazioni generali** ⇒ **Identity** Provider.
1. Scegli **User Pool Id**.
1. L'asserzione SAML pubblicata su RES deve avere quanto segue fields/claims impostato sull'indirizzo e-mail dell'utente:
+ Oggetto o NameID SAML
+ Posta elettronica SAML
1. Il tuo IdP si aggiunge fields/claims all'asserzione SAML, in base alla configurazione. RES richiede questi campi. La maggior parte dei provider compila automaticamente questi campi per impostazione predefinita. Fai riferimento ai seguenti input e valori dei campi se devi configurarli.
+ **AudienceRestriction**— Impostato su. `urn:amazon:cognito:sp:user-pool-id` Sostituiscilo *user-pool-id* con l'ID del tuo pool di utenti Amazon Cognito.
```
urn:amazon:cognito:sp:user-pool-id
```
+ **Risposta**: imposta su`InResponseTo`. `https://user-pool-domain/saml2/idpresponse` Sostituiscilo *user-pool-domain* con il nome di dominio del tuo pool di utenti Amazon Cognito.
```
```
+ **SubjectConfirmationData**— Imposta `Recipient` sull'`saml2/idpresponse`endpoint del pool di utenti e sull'`InResponseTo`ID della richiesta SAML originale.
```
```
+ **AuthnStatement**— Configura come segue:
```
urn:oasis:names:tc:SAML:2.0:ac:classes:Password
```
1. Se la tua applicazione SAML ha un campo URL di disconnessione, impostalo su:. `/saml2/logout`
**Per ottenere l'URL del dominio**
1. Accedi a RES come amministratore o **amministratore** del **cluster**.
1. Vai a **Gestione dell'ambiente** ⇒ **Impostazioni generali** ⇒ **Identity** Provider.
1. Scegli **l'URL del dominio**.
1. Se il tuo IdP accetta un certificato di firma per stabilire un rapporto di fiducia con Amazon Cognito, scarica il certificato di firma Amazon Cognito e caricalo nel tuo IdP.
**Per ottenere il certificato di firma**
1. Apri la [console Amazon Cognito](https://console.aws.amazon.com/cognito/v2/idp/user-pools/).
1. Seleziona il tuo pool di utenti. Il tuo pool di utenti dovrebbe essere`res--user-pool`.
1. Seleziona la scheda **Esperienza di accesso**.
1. Nella sezione di **accesso al Federated Identity Provider, scegli **Visualizza** certificato di firma**.
![\[La console Amazon Cognito con il pulsante Visualizza certificato di firma nella sezione di accesso al provider di identità federato per un pool di utenti selezionato.\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/cognito-user-pool-signing-cert.png)
Puoi utilizzare questo certificato per configurare Active Directory IDP, aggiungere un `relying party trust` e abilitare il supporto SAML su questo relying party.
**Nota**
Questo non si applica a Keycloak e IDC.
1. Una volta completata la configurazione dell'applicazione, scarica l'XML o l'URL dei metadati dell'applicazione SAML 2.0. Lo usi nella sezione successiva.
## Configura RES per utilizzare il tuo provider di identità
**Per completare la configurazione Single Sign-On per RES**
1. **Accedi a RES come **amministratore o amministratore** del cluster.**
1. Vai a **Gestione dell'ambiente** ⇒ **Impostazioni generali** ⇒ **Identity** Provider.
![\[L'interfaccia utente Environment Settings in RES, inclusa una sezione per Single Sign-On.\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/environment-settings.png)
1. In **Single Sign-On**, scegli l'icona di modifica accanto all'indicatore di stato per aprire la pagina di configurazione **Single Sign-On**.
![\[L'interfaccia utente di configurazione Single Sign On in RES.\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/sso-config.png)
1. Per **Identity Provider**, scegli **SAML.**
1. Per **Provider Name**, inserisci un nome univoco per il tuo provider di identità.
**Nota**
I seguenti nomi non sono consentiti:
Cognito
IdentityCenter
1. In **Origine documento di metadati**, scegli l'opzione appropriata e carica il documento XML con metadati o fornisci l'URL dal provider di identità.
1. Per **Provider Email Attribute**, inserisci il valore di testo. `email`
1. Seleziona **Invia**.
1. Ricarica la pagina delle **impostazioni dell'ambiente**. Il Single Sign-On è abilitato se la configurazione è corretta.
## Configurazione del provider di identità in un ambiente non di produzione
Se hai utilizzato le [risorse esterne](prerequisites.md#external-resources) fornite per creare un ambiente RES non di produzione e hai configurato IAM Identity Center come provider di identità, potresti voler configurare un provider di identità diverso come Okta. Il modulo di abilitazione RES SSO richiede tre parametri di configurazione:
1. Nome del provider: non può essere modificato
1. Documento o URL di metadati: può essere modificato
1. Attributo email del provider: può essere modificato
**Per modificare il documento di metadati e l'attributo email del provider, procedi come segue:**
1. Passa alla console Amazon Cognito.
1. Dalla navigazione, scegli **Pool di utenti**.
1. Seleziona il tuo pool di utenti per visualizzare la **panoramica del pool di utenti**.
1. Dalla scheda **Esperienza di accesso**, accedi a **Federated Identity Provider e apri il provider di identità** configurato.
1. In genere, ti verrà richiesto solo di modificare i metadati e di lasciare invariata la mappatura degli attributi. **Per aggiornare la **mappatura degli attributi**, scegliete Modifica.** Per aggiornare il **documento di metadati**, scegliete **Sostituisci** metadati.
![\[Panoramica del pool di utenti di Amazon Cognito.\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-attributemetadata.png)
1. Se hai modificato la mappatura degli attributi, dovrai aggiornare la `.cluster-settings` tabella in DynamoDB.
1. Apri la console DynamoDB e **scegli** Tabelle dalla navigazione.
1. Trova e seleziona la `.cluster-settings` tabella e dal menu **Azioni** seleziona **Esplora** elementi.
1. In **Elementi di scansione o interrogazione**, vai a **Filtri** e inserisci i seguenti parametri:
+ **Nome dell'attributo**: `key`
+ **Valore** — `identity-provider.cognito.sso_idp_provider_email_attribute`
1. Scegli **Esegui**.
1. In **Articoli restituiti**, trova la `identity-provider.cognito.sso_idp_provider_email_attribute` stringa e scegli **Modifica per modificare** la stringa in modo che corrisponda alle modifiche apportate in Amazon Cognito.
![\[Amazon Cognito aggiorna i filtri e gli articoli restituiti in DynamoDB.\]](http://docs.aws.amazon.com/it_it/res/latest/ug/images/res-scanqueryitems.png)
## Eseguire il debug dei problemi di SAML IdP
**SAML-Tracer**: puoi utilizzare questa estensione per il browser Chrome per tenere traccia delle richieste SAML e controllare i valori delle asserzioni SAML. Per ulteriori informazioni, consulta [SAML-Tracer](https://chromewebstore.google.com/detail/saml-tracer/mpdajninpobndbfcldcmbpnnbhibjmch?pli=1) nel Chrome Web Store.
Strumenti per **sviluppatori SAML: OneLogin forniscono strumenti** che puoi utilizzare per decodificare il valore codificato SAML e controllare i campi obbligatori nell'asserzione SAML. Per ulteriori informazioni, consulta [Base 64 Decode](https://www.samltool.com/decode.php) \$1 Inflate sul sito Web. OneLogin
**Amazon CloudWatch Logs**: puoi controllare i tuoi log RES in CloudWatch Logs per eventuali errori o avvisi. I tuoi log si trovano in un gruppo di log con il formato del nome. `/res-environment-name/cluster-manager`
**Documentazione di Amazon Cognito***: per ulteriori informazioni sull'integrazione SAML con Amazon Cognito, consulta [Aggiungere provider di identità SAML a un pool di utenti nella Amazon Cognito Developer Guide](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-saml-idp.html).*
# Impostazione delle password per gli utenti
1. Dalla [Directory Service console,](https://console.aws.amazon.com/directoryservicev2/) seleziona la directory per lo stack creato.
1. Nel menu **Azioni**, scegli **Reimposta la password utente**.
1. Seleziona l'utente e inserisci una nuova password.
1. Scegli **Reimposta password**.