Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Autenticazione client in AWS Client VPN
<a name="client-authentication"></a>

L'autenticazione del client viene implementata al primo punto di ingresso nel AWS Cloud. È utilizzata per determinare se i client sono autorizzati a connettersi all'endpoint Client VPN. Se l'autenticazione va a buon fine, i client si connettono all'endpoint Client VPN e stabiliscono una sessione VPN. Se l'autenticazione ha esito negativo, la connessione viene negata e il client non è in grado di stabilire una sessione VPN.

Client VPN offre i seguenti tipi di autenticazione client: 
+ [Autenticazione di Active Directory](ad.md) (basata sull'utente)
+ [Autenticazione reciproca](mutual.md) (basata su certificato)
+ [Single Sign-On (autenticazione federata basata su SAML)](federated-authentication.md) (basata sull'utente)

Puoi utilizzare solo uno dei metodi precedenti oppure puoi utilizzare una combinazione di autenticazione reciproca con un metodo basato sull'utente come il seguente:
+ Autenticazione reciproca e autenticazione federata
+ Autenticazione reciproca e autenticazione di Active Directory

**Importante**  
Per creare un endpoint Client VPN, è necessario fornire un certificato server in AWS Certificate Manager, indipendentemente dal tipo di autenticazione utilizzato. Per ulteriori informazioni sulla creazione e il provisioning di un certificato server, consulta le fasi in [Autenticazione reciproca in AWS Client VPN](mutual.md).
Se si utilizza una combinazione di autenticazione reciproca e autenticazione basata sull'utente, entrambi i metodi devono essere utilizzati per autenticarsi correttamente nella VPN. 

# Autenticazione Active Directory in Client VPN
<a name="ad"></a>

Client VPN fornisce supporto per Active Directory mediante l'integrazione con Directory Service. Con l'autenticazione Active Directory, i client vengono autenticati rispetto a gruppi di Active Directory esistenti. Utilizzando Directory Service, Client VPN può connettersi alle Active Directory esistenti fornite nella AWS o nella rete locale. In questo modo puoi utilizzare l'infrastruttura di autenticazione client esistente. Se si utilizza un Active Directory locale e non si dispone di un AWS Managed Microsoft AD, è necessario configurare un connettore Active Directory (AD Connector). Puoi utilizzare un server Active Directory per autenticare gli utenti. Per ulteriori informazioni sull'integrazione di Active Directory, consulta [Guida per l'amministratore di AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/).

Client VPN supporta l'autenticazione a più fattori (MFA) quando è abilitata per AWS Managed Microsoft AD o AD Connector. Se l'autenticazione MFA è abilitata, i client devono immettere un nome utente, una password e un codice MFA quando si connettono a un endpoint Client VPN. Per ulteriori informazioni sull'abilitazione di MFA, consulta [Abilitazione dell'autenticazione a più fattori per AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) e [Abilitazione dell'autenticazione a più fattori per AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html) nella *Guida per l'amministratore di AWS Directory Service *. 

Per le quote e le regole per la configurazione di utenti e gruppi in Active Directory, consulta [Quote di utenti e gruppi](limits.md#quotas-users-groups).

# Autenticazione reciproca in AWS Client VPN
<a name="mutual"></a>

Con l'autenticazione reciproca, Client VPN utilizza i certificati per eseguire l'autenticazione tra client e server. I certificati sono un modulo digitale di identificazione emesso da un'autorità di certificazione (CA). Il server utilizza i certificati client per autenticare i client quando tentano di connettersi all'endpoint Client VPN. È necessario creare un certificato server e una chiave e almeno un certificato client e una chiave.

È necessario caricare il certificato del server su AWS Certificate Manager (ACM) e specificarlo quando si crea un endpoint Client VPN. Quando si carica il certificato del server in ACM, si specifica anche l'autorità di certificazione (CA). Il certificato client deve essere caricato su ACM solo quando la CA del certificato client è diversa da quella del certificato server. Per ulteriori informazioni su ACM, consulta la [Guida per l'utente di AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/). 

Puoi creare un certificato client e una chiave separati per ogni client che si connette all'endpoint Client VPN. Questo consente di revocare un certificato client specifico se un utente lascia l'organizzazione. In questo caso, quando crei l'endpoint Client VPN puoi specificare il certificato ARN del server per il certificato client, a condizione che il certificato client sia stato emesso dalla stessa autorità di certificazione del certificato server.

I certificati utilizzati in AWS Client VPN devono rispettare lo standard [RFC 5280: certificato dell'infrastruttura a chiave pubblica Internet X.509 e profilo CRL (Certificate Revocation List)](https://datatracker.ietf.org/doc/html/rfc5280), incluse le estensioni di certificato specificate nella sezione 4.2 del memo.

**Nota**  
Un endpoint Client VPN supporta solo chiavi RSA a 1024 bit e 2048 bit. Inoltre, il certificato client deve avere l'attributo CN nel campo Subject (Oggetto).  
Quando i certificati utilizzati con il servizio Client VPN vengono aggiornati, tramite la rotazione automatica di ACM, l'importazione manuale di un nuovo certificato o gli aggiornamenti dei metadati su IAM Identity Center, il servizio Client VPN aggiornerà automaticamente l'endpoint Client VPN con il certificato più recente. Si tratta di un processo automatizzato che può richiedere fino a 5 ore. 

**Topics**
+ [Abilita l'autenticazione reciproca](client-auth-mutual-enable.md)
+ [Rinnova il certificato del tuo server](mutual-renew.md)

# Abilita l'autenticazione reciproca per AWS Client VPN
<a name="client-auth-mutual-enable"></a>

È possibile abilitare l'autenticazione reciproca in Client VPN in uno Linux/MacOS o in Windows.

------
#### [ Linux/macOS ]

La seguente procedura utilizza OpenVPN easy-rsa per generare i certificati e le chiavi server e client e caricare il certificato e la chiave server in ACM. Per ulteriori informazioni, consulta il file [README di Easy-RSA 3 Quickstart](https://github.com/OpenVPN/easy-rsa/blob/v3.0.6/README.quickstart.md).

**Per generare i certificati e le chiavi server e client e caricarli in ACM**

1. Clonare il repository OpenVPN easy-rsa sul computer locale e passare alla cartella `easy-rsa/easyrsa3`.

   ```
   $ git clone https://github.com/OpenVPN/easy-rsa.git
   ```

   ```
   $ cd easy-rsa/easyrsa3
   ```

1. Inizializzare un nuovo ambiente PKI.

   ```
   $ ./easyrsa init-pki
   ```

1. Per creare una nuova autorità di certificazione (CA), eseguire questo comando e seguire le istruzioni.

   ```
   $ ./easyrsa build-ca nopass
   ```

1. Generare il certificato e la chiave server.

   ```
   $ ./easyrsa --san=DNS:server build-server-full server nopass
   ```

1. Generare il certificato e la chiave client.

   Salvare il certificato e la chiave privata client perché saranno necessari quando si configura il client.

   ```
   $ ./easyrsa build-client-full client1.domain.tld nopass
   ```

   Facoltativamente, è possibile ripetere questa fase per ogni client (utente finale) che richiede un certificato client e una chiave.

1. Copiare il certificato e la chiave server e il certificato e la chiave client in una cartella personalizzata e quindi passare alla cartella personalizzata.

   Prima di copiare i certificati e le chiavi, creare la cartella personalizzata utilizzando il comando `mkdir`. Nell'esempio seguente viene creata una cartella personalizzata nella directory home.

   ```
   $ mkdir ~/custom_folder/
   $ cp pki/ca.crt ~/custom_folder/
   $ cp pki/issued/server.crt ~/custom_folder/
   $ cp pki/private/server.key ~/custom_folder/
   $ cp pki/issued/client1.domain.tld.crt ~/custom_folder
   $ cp pki/private/client1.domain.tld.key ~/custom_folder/
   $ cd ~/custom_folder/
   ```

1. Carica il certificato e la chiave server e il certificato e la chiave client in ACM. Assicurati di caricarli nella stessa regione in cui desideri creare l'endpoint Client VPN. I seguenti comandi utilizzano l'interfaccia a riga di comando di AWS CLI per caricare i certificati. Per caricare i certificati utilizzando la console ACM, consulta [Importazione di un certificato](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) nella *Guida per l'utente di AWS Certificate Manager *.

   ```
   $ aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt
   ```

   ```
   $ aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt
   ```

   Non è necessario caricare il certificato client su ACM. Se i certificati server e client sono stati emessi dalla stessa certification authority (CA), quando crei l'endpoint Client VPN sarà possibile utilizzare l'ARN del certificato server sia per il server che per il client. Nei passaggi precedenti, per creare entrambi i certificati è stata utilizzata la stessa CA. Tuttavia, per completezza sono stati inclusi i passaggi per caricare il certificato client.

------
#### [ Windows ]

La procedura seguente installa il software Easy-RSA 3.x e lo utilizza per generare i certificati e le chiavi server e client.

**Per generare i certificati e le chiavi server e client e caricarli in ACM**

1. Apri la pagina delle [versioni di EasyRSA](https://github.com/OpenVPN/easy-rsa/releases) e scarica il file ZIP della tua versione di Windows ed estrailo.

1. Apri un prompt dei comandi e passa alla posizione in cui è stata estratta la cartella `EasyRSA-3.x`.

1. Eseguire il comando seguente per aprire la shell di EasyRSA 3.

   ```
   C:\Program Files\EasyRSA-3.x> .\EasyRSA-Start.bat
   ```

1. Inizializzare un nuovo ambiente PKI.

   ```
   # ./easyrsa init-pki
   ```

1. Per creare una nuova autorità di certificazione (CA), eseguire questo comando e seguire le istruzioni.

   ```
   # ./easyrsa build-ca nopass
   ```

1. Generare il certificato e la chiave server.

   ```
   # ./easyrsa --san=DNS:server build-server-full server nopass
   ```

1. Generare il certificato e la chiave client.

   ```
   # ./easyrsa build-client-full client1.domain.tld nopass
   ```

   Facoltativamente, è possibile ripetere questa fase per ogni client (utente finale) che richiede un certificato client e una chiave.

1. Uscire dalla shell EasyRSA 3.

   ```
   # exit
   ```

1. Copiare il certificato e la chiave server e il certificato e la chiave client in una cartella personalizzata e quindi passare alla cartella personalizzata.

   Prima di copiare i certificati e le chiavi, creare la cartella personalizzata utilizzando il comando `mkdir`. Nell'esempio seguente viene creata una cartella personalizzata nell'unità C:\$1.

   ```
   C:\Program Files\EasyRSA-3.x> mkdir C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\ca.crt C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\issued\server.crt C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\private\server.key C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\issued\client1.domain.tld.crt C:\custom_folder
   C:\Program Files\EasyRSA-3.x> copy pki\private\client1.domain.tld.key C:\custom_folder
   C:\Program Files\EasyRSA-3.x> cd C:\custom_folder
   ```

1. Carica il certificato e la chiave server e il certificato e la chiave client in ACM. Assicurati di caricarli nella stessa regione in cui desideri creare l'endpoint Client VPN. I seguenti comandi utilizzano AWS CLI per caricare i certificati. Per caricare i certificati utilizzando la console ACM, consulta [Importazione di un certificato](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) nella *Guida per l'utente di AWS Certificate Manager *.

   ```
   aws acm import-certificate \
       --certificate fileb://server.crt \ 
       --private-key fileb://server.key \
       --certificate-chain fileb://ca.crt
   ```

   ```
   aws acm import-certificate \
       --certificate fileb://client1.domain.tld.crt \
       --private-key fileb://client1.domain.tld.key \
       --certificate-chain fileb://ca.crt
   ```

   Non è necessario caricare il certificato client su ACM. Se i certificati server e client sono stati emessi dalla stessa certification authority (CA), quando crei l'endpoint Client VPN sarà possibile utilizzare l'ARN del certificato server sia per il server che per il client. Nei passaggi precedenti, per creare entrambi i certificati è stata utilizzata la stessa CA. Tuttavia, per completezza sono stati inclusi i passaggi per caricare il certificato client.

------

# Rinnova il certificato del tuo server per AWS Client VPN
<a name="mutual-renew"></a>

È possibile rinnovare e reimportare un certificato del server Client VPN scaduto. A seconda della versione di OpenVPN easy-rsa in uso, la procedura può variare. Per maggiori dettagli, consulta la documentazione per il [rinnovo e la revoca del certificato Easy-RSA 3](https://github.com/OpenVPN/easy-rsa/blob/master/doc/EasyRSA-Renew-and-Revoke.md).

**Per rinnovare il certificato del server**

1. Effettua **una** delle seguenti operazioni:
   + Easy-RSA versione 3.1.x

     1. Esecuzione del comando di rinnovo del certificato.

       ```
       $ ./easyrsa renew server nopass
       ```
   + Easy-RSA versione 3.2.x

     1. Esegui il comando expire.

        ```
        $ ./easyrsa expire server
        ```

     1. Firma un nuovo certificato.

        ```
        $ ./easyrsa --san=DNS:server sign-req server server
        ```

1. Crea una cartella personalizzata, copia i nuovi file, quindi accedi alla cartella.

   ```
   $ mkdir ~/custom_folder2
   $ cp pki/ca.crt ~/custom_folder2/
   $ cp pki/issued/server.crt ~/custom_folder2/
   $ cp pki/private/server.key ~/custom_folder2/
   $ cd ~/custom_folder2/
   ```

1. Importa i nuovi file in ACM. Assicurati di importarli nella stessa regione dell'endpoint client VPN. 

   ```
   $ aws acm import-certificate \
       --certificate fileb://server.crt \
       --private-key fileb://server.key \
       --certificate-chain fileb://ca.crt \
       --certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901
   ```

# Single Sign-on — autenticazione federata basata su SAML 2.0 — in Client VPN
<a name="federated-authentication"></a>

AWS Client VPN supporta la federazione delle identità con Security Assertion Markup Language 2.0 (SAML 2.0) per gli endpoint Client VPN. Puoi utilizzare provider di identità (IdPs) che supportano SAML 2.0 per creare identità utente centralizzate. Puoi quindi configurare un endpoint Client VPN per utilizzare l'autenticazione federata basata su SAML e associarlo al provider di identità. Gli utenti si connettono quindi all'endpoint Client VPN utilizzando le credenziali centralizzate.

**Topics**
+ [Abilita SAML](client-auth-enable-saml.md)
+ [Flusso di lavoro di autenticazione](#federated-authentication-workflow)
+ [Requisiti e considerazioni per l'autenticazione federata basata su SAML](#saml-requirements)
+ [Risorse di configurazione IdP basate su SAML](#saml-config-resources)

# Abilita SAML per AWS Client VPN
<a name="client-auth-enable-saml"></a>

 Puoi abilitare SAML per il single sign-on per Client VPN completando i seguenti passaggi. In alternativa, se hai abilitato il portale self-service per l'endpoint Client VPN, chiedi agli utenti di accedere al portale self-service per ottenere il file di configurazione e il client fornito da AWS . Per ulteriori informazioni, consulta [AWS Client VPN accesso al portale self-service](cvpn-self-service-portal.md).

**Per consentire al provider di identità basato su SAML di utilizzare un endpoint Client VPN, è necessario eseguire le operazioni seguenti.**

1. Crea un'app basata su SAML nell'IdP prescelto da utilizzare con AWS Client VPN o utilizza un'app esistente.

1. Configurare il provider di identità per stabilire una relazione di trust con AWS. Per le risorse, consulta [Risorse di configurazione IdP basate su SAML](federated-authentication.md#saml-config-resources).

1. Nel provider di identità, generare e scaricare un documento di metadati della federazione che descrive l'organizzazione come un provider di identità. 

   Questo documento XML firmato viene utilizzato per stabilire la relazione di trust tra AWS e il provider di identità.

1. Crea un provider di identità IAM SAML nello stesso AWS account dell'endpoint Client VPN. 

   Il provider di identità IAM SAML definisce la relazione tra IdP AWS e trust dell'organizzazione utilizzando il documento di metadati generato dall'IdP. Per ulteriori informazioni, consulta [Creazione di provider di identità SAML IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) nella *Guida per l'utente di IAM*. Se in seguito aggiorni la configurazione dell'app nel provider di identità, genera un nuovo documento di metadati e aggiorna il provider di identità SAML IAM.
**Nota**  
Non è necessario creare un ruolo IAM per utilizzare il provider di identità SAML IAM.

1. Crea un endpoint Client VPN. 

   Specifica l'autenticazione federata come tipo di autenticazione e specifica il provider di identità SAML IAM che hai creato. Per ulteriori informazioni, consulta [Creare un AWS Client VPN endpoint](cvpn-working-endpoint-create.md).

1. Esportare il [file di configurazione del client](cvpn-working-endpoint-export.md) e distribuirlo agli utenti. Chiedi agli utenti di scaricare la versione più recente del [client fornito da AWS](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/connect-aws-client-vpn-connect.html) e di utilizzarla per caricare il file di configurazione ed eseguire la connessione all'endpoint Client VPN.

## Flusso di lavoro di autenticazione
<a name="federated-authentication-workflow"></a>

Nel diagramma seguente viene fornita una panoramica del flusso di lavoro di autenticazione per un endpoint Client VPN che utilizza l'autenticazione federata basata su SAML. Quando crei e configuri l'endpoint Client VPN, specifichi il provider di identità SAML IAM.

![\[Flusso di lavoro di autenticazione\]](http://docs.aws.amazon.com/it_it/vpn/latest/clientvpn-admin/images/federated-auth-workflow.png)


1. L'utente apre il client AWS fornito sul proprio dispositivo e avvia una connessione all'endpoint Client VPN.

1. L'endpoint Client VPN invia un URL di provider di identità e una richiesta di autenticazione al client, in base alle informazioni fornite nel provider di identità SAML IAM.

1. Il client AWS fornito apre una nuova finestra del browser sul dispositivo dell'utente. Il browser effettua una richiesta al provider di identità e visualizza una pagina di accesso.

1. L'utente immette le proprie credenziali nella pagina di accesso e il provider di identità invia un'asserzione SAML firmata al client.

1. Il client AWS fornito invia l'asserzione SAML all'endpoint Client VPN.

1. L'endpoint Client VPN convalida l'asserzione e consente o rifiuta l'accesso all'utente.

## Requisiti e considerazioni per l'autenticazione federata basata su SAML
<a name="saml-requirements"></a>

Di seguito sono riportati i requisiti e le considerazioni per l'autenticazione federata basata su SAML.
+ Per le quote e le regole per la configurazione di utenti e gruppi in un provider di identità basato su SAML, consulta [Quote di utenti e gruppi](limits.md#quotas-users-groups).
+ L'asserzione e la risposta SAML devono essere firmate.
+ AWS Client VPN supporta solo le condizioni "AudienceRestriction" e "NotBefore e NotOnOrAfter" nelle asserzioni SAML.
+ La dimensione massima supportata per le risposte SAML è di 128 KB.
+ AWS Client VPN non fornisce richieste di autenticazione firmate.
+ La disconnessione singola SAML non è supportata. Gli utenti possono disconnettersi disconnettendosi dal client AWS fornito oppure è possibile [interrompere le](cvpn-working-connections-disassociate.md) connessioni.
+ Un endpoint Client VPN supporta solo un singolo provider di identità.
+ Multi-factor authentication (MFA) è supportata quando è abilitata nel provider di identità.
+ Gli utenti devono utilizzare il client AWS fornito per connettersi all'endpoint Client VPN. È richiesta la versione 1.2.0 o successiva. Per ulteriori informazioni, consulta [Connect using the AWS provided client](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/connect-aws-client-vpn-connect.html).
+ Per l'autenticazione IdP sono supportati i seguenti browser: Apple Safari, Google Chrome, Microsoft Edge e Mozilla Firefox.
+ Il client AWS fornito riserva la porta TCP 35001 sui dispositivi degli utenti per la risposta SAML.
+ Se il documento di metadati per il provider di identità SAML IAM viene aggiornato con un URL errato o dannoso, si possono verificare problemi di autenticazione per gli utenti o generare attacchi di phishing. Pertanto, si consiglia di utilizzare AWS CloudTrail per monitorare gli aggiornamenti che vengono effettuati al provider di identità SAML IAM. Per ulteriori informazioni, consulta [Registrazione di chiamate IAM e AWS STS con AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html) nella *Guida per l'utente di IAM*.
+ AWS Client VPN invia una richiesta AuthN all'IdP tramite un'associazione di reindirizzamento HTTP. Pertanto, il provider di identità dovrebbe supportare l'associazione di reindirizzamento HTTP e deve essere presente nel documento di metadati del provider di identità.
+ Per l'asserzione SAML, è necessario utilizzare un formato di indirizzo e-mail per l'attributo `NameID`.
+ La lunghezza massima del nome utente (`NameID`) è di 1024 byte. Le connessioni con nomi utente più lunghi verranno rifiutate.
+ Quando i certificati utilizzati con il servizio Client VPN vengono aggiornati, tramite la rotazione automatica di ACM, l'importazione manuale di un nuovo certificato o gli aggiornamenti dei metadati su IAM Identity Center, il servizio Client VPN aggiornerà automaticamente l'endpoint Client VPN con il certificato più recente. Si tratta di un processo automatizzato che può richiedere fino a 5 ore.

## Risorse di configurazione IdP basate su SAML
<a name="saml-config-resources"></a>

La tabella seguente elenca i modelli basati su SAML con IdPs AWS Client VPN cui abbiamo testato l'utilizzo e le risorse che possono aiutarti a configurare l'IdP.


| IdP | Risorsa | 
| --- | --- | 
| Okta | [Autentica AWS Client VPN gli utenti con SAML](https://aws.amazon.com/blogs/networking-and-content-delivery/authenticate-aws-client-vpn-users-with-saml/) | 
| ID Microsoft Entra (in precedenza Azure Active Directory) | Per ulteriori informazioni, vedere [Tutorial: integrazione single sign-on (SSO) di Microsoft Entra con AWS ClientVPN sul](https://learn.microsoft.com/en-gb/entra/identity/saas-apps/aws-clientvpn-tutorial) sito Web di documentazione Microsoft. | 
| JumpCloud | [Integrazione con AWS Client VPN](https://jumpcloud.com/support/integrate-with-aws-client-vpn) | 
| AWS IAM Identity Center | [Utilizzo di IAM Identity Center con AWS Client VPN per l'autenticazione e l'autorizzazione](https://aws.amazon.com/blogs/networking-and-content-delivery/using-aws-sso-with-aws-client-vpn-for-authentication-and-authorization/)  | 

### Informazioni sul fornitore di servizi per la creazione di un'app
<a name="saml-config-service-provider-info"></a>

Per creare un'app basata su SAML utilizzando un IdP non elencato nella tabella precedente, utilizza le seguenti informazioni per configurare le informazioni sul fornitore di servizi. AWS Client VPN 
+ URL ACS (Assertion Consumer Service): `http://127.0.0.1:35001`
+ URI audience: `urn:amazon:webservices:clientvpn`

Almeno un attributo deve essere incluso nella risposta SAML dell'IdP. Di seguito vengono mostrati degli attributi di esempio.


| Attributo | Description | 
| --- | --- | 
| FirstName | Il nome dell'utente. | 
| LastName | Il cognome dell'utente. | 
| memberOf | Il gruppo o i gruppi a cui appartiene l'utente. | 

**Nota**  
L'attributo `memberOf` è necessario per utilizzare le regole di autorizzazione basate sui gruppi Active Directory o SAML IdP. Gli attributi fanno distinzione tra maiuscole e minuscole e devono essere configurati esattamente come specificato. Per ulteriori informazioni, consulta [Autorizzazione di rete](client-authorization.md#auth-rules) e [AWS Client VPN regole di autorizzazione](cvpn-working-rules.md).

### Supporto per il portale self-service
<a name="saml-self-service-support"></a>

Se abiliti il portale self-service per l'endpoint Client VPN, gli utenti accedono al portale utilizzando le proprie credenziali del provider di identità basate su SAML.

Se il tuo IdP supporta più Assertion Consumer Service (ACS) URLs, aggiungi il seguente URL ACS all'app.

```
https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
```

Se utilizzi l'endpoint Client VPN in una GovCloud regione, utilizza invece il seguente URL ACS. Se utilizzi la stessa app IDP per l'autenticazione sia per gli standard che per le GovCloud regioni, puoi aggiungerli entrambi. URLs

```
https://gov.self-service.clientvpn.amazonaws.com/api/auth/sso/saml
```

Se il tuo IdP non supporta più ACS URLs, procedi come segue: 

1. Crea un'app aggiuntiva basata su SAML nel provider di identità e specifica il seguente URL ACS.

   ```
   https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
   ```

1. Genera e scarica un documento di metadati della federazione.

1. Crea un provider di identità IAM SAML nello stesso AWS account dell'endpoint Client VPN. Per ulteriori informazioni, consulta [Creazione di provider di identità SAML IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) nella *Guida per l'utente di IAM*. 
**Nota**  
Crei questo provider di identità SAML IAM in aggiunta a quello [creato per l'app principale](#federated-authentication).

1. [Crea l'endpoint Client VPN](cvpn-working-endpoint-create.md) e specifica entrambi i provider di identità SAML IAM creati.