As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Habilitar o logon único
<a name="simple_ad_single_sign_on"></a>

AWS Directory Service fornece a capacidade de permitir que seus usuários acessem a WorkDocs partir de um computador associado ao diretório sem precisar inserir suas credenciais separadamente. 

Antes de habilitar a autenticação única, é necessário executar etapas adicionais para permitir que os navegadores da Web dos usuários ofereçam suporte à autenticação única. Os usuários podem precisar modificar suas configurações de navegador da Web para habilitar a autenticação única. 

**nota**  
O logon único só funciona quando usado em um computador ingressado no diretório do Directory Service . Não pode ser usado em computadores que não estão ingressados no diretório.

Se o diretório for um diretório do AD Connector e a conta de serviço do AD Connector não tiver a permissão para adicionar ou remover o atributo do nome da entidade principal de serviço, você terá duas opções para as etapas 5 e 6 abaixo:

1. Você poderá continuar e será solicitado o nome de usuário e a senha de um usuário do diretório que tenha essa permissão para adicionar ou remover o atributo do nome principal de serviço na conta de serviço do AD Connector. Essas credenciais são usadas apenas para habilitar a autenticação única e não são armazenadas pelo serviço. As permissões da conta de serviço do AD Connector não são alteradas.

1. Você pode delegar permissões para permitir que a conta de serviço do AD Connector adicione ou remova o atributo do nome principal do serviço em si mesma. Você pode executar os PowerShell comandos abaixo em um computador associado ao domínio usando uma conta que tenha permissões para modificar as permissões na conta de serviço do AD Connector. O comando abaixo permitirá que a conta de serviço do AD Connector adicione e remova um atributo de nome de entidade principal de serviço somente na própria conta.

```
$AccountName = 'ConnectorAccountName'
# DO NOT modify anything below this comment.
# Getting Active Directory information.
Import-Module 'ActiveDirectory'
$RootDse = Get-ADRootDSE
[System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID
# Getting AD Connector service account Information.
$AccountProperties = Get-ADUser -Identity $AccountName
$AclPath = $AccountProperties.DistinguishedName
$AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value
# Getting ACL settings for AD Connector service account.
$ObjectAcl = Get-ACL -Path "AD:\$AclPath"
# Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself
$AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None'
$ObjectAcl.AddAccessRule($AddAccessRule)
Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
```

**Para ativar ou desativar o login único com WorkDocs**

1. No painel de navegação do [console do AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/) selecione **Diretórios**.

1. Na página **Directories (Diretórios)**, escolha o ID do diretório.

1. Na página **Directory details (Detalhes do diretório)**, selecione a guia **Application management (Gerenciamento de aplicativos)**.

1. Na seção **URL de acesso ao aplicativo**, escolha **Habilitar** para habilitar o login único para. WorkDocs 

   Se você não vir o botão **Habilitar**, talvez seja necessário criar primeiro um URL de acesso para que essa opção seja exibida. Para obter mais informações sobre como criar uma URL de acesso, consulte [Criando uma URL de acesso para o AWS Managed Microsoft AD](ms_ad_create_access_url.md). 

1. Na caixa de diálogo **Habilitar autenticação única para este diretório**, escolha **Habilitar**. O logon único é habilitado para o diretório. 

1. **Se, posteriormente, você quiser desativar o logon único com WorkDocs, escolha **Desativar** e, na caixa de diálogo **Desativar login único para este diretório**, escolha Desativar novamente.** 

**Topics**
+ [Autenticação única para IE e Chrome](#ie_sso)
+ [Autenticação única para o Firefox](#firefox_sso)

## Autenticação única para IE e Chrome
<a name="ie_sso"></a>

Para permitir que os navegadores Microsoft Internet Explorer (IE) e o Google Chrome ofereçam suporte à autenticação única, as seguintes tarefas devem ser executadas no computador cliente:
+ Adicione seu URL de acesso (por exemplo, https://*<alias>*.awsapps.com) à lista de sites aprovados para login único.
+ Ative o script ativo (JavaScript).
+ Permita o login automático.
+ Habilitar a autenticação integrada.

Você ou seus usuários podem executar essas tarefas manualmente, ou você pode alterar essas configurações usando as configurações da Política de grupo.

**Topics**
+ [Atualização manual para autenticação única no Windows](#ie_sso_manual_windows)
+ [Atualização manual para autenticação única no OS X](#chrome_sso_manual_mac)
+ [Configurações da política de grupo para autenticação única](#ie_sso_gpo)

### Atualização manual para autenticação única no Windows
<a name="ie_sso_manual_windows"></a>

Para habilitar manualmente a autenticação única em um computador Windows, execute as seguintes etapas no computador cliente. Algumas dessas configurações já podem estar definidas corretamente.

**Para habilitar manualmente o logon único para o Internet Explorer e o Chrome no Windows**

1. Para abrir a caixa de diálogo **Internet Properties**, feche o menu **Start**, digite `Internet Options` na caixa de pesquisa e escolha **Internet Options**.

1. Adicione a URL de acesso à lista de sites aprovados para logon único executando as etapas a seguir:

   1. Na caixa de diálogo **Internet Properties**, selecione a guia **Security**.

   1. Selecione **Local intranet** e escolha **Sites**.

   1. Na caixa de diálogo **Local intranet**, escolha **Advanced**.

   1. Adicione a URL de acesso à lista de sites e escolha **Close**.

   1. Na caixa de diálogo **Local intranet**, escolha **OK**.

1. Para habilitar scripts ativos, execute as seguintes etapas:

   1. Na guia **Security** da caixa de diálogo **Internet Properties**, escolha **Custom level**.

   1. Na caixa de diálogo **Security Settings - Local Intranet Zone**, role para baixo até **Scripting** e selecione **Enable** em **Active scripting**.

   1. Na caixa de diálogo **Security Settings - Local Intranet Zone**, escolha **OK**.

1. Para habilitar o login automático, execute as seguintes etapas:

   1. Na guia **Security** da caixa de diálogo **Internet Properties**, escolha **Custom level**.

   1. Na caixa de diálogo **Security Settings - Local Intranet Zone**, role para baixo até **User Authentication** e selecione **Automatic logon only in Intranet zone** em **Logon**. 

   1. Na caixa de diálogo **Security Settings - Local Intranet Zone**, escolha **OK**.

   1. Na caixa de diálogo **Security Settings - Local Intranet Zone**, escolha **OK**.

1. Para habilitar a autenticação integrada, execute as seguintes etapas:

   1. Na caixa de diálogo **Internet Properties**, selecione a guia **Advanced**.

   1. Role para baixo até **Security** e selecione **Enable Integrated Windows Authentication**.

   1. Na caixa de diálogo **Internet Properties**, escolha **OK**.

1. Feche e abra seu navegador novamente para que essas alterações entrem em vigor.

### Atualização manual para autenticação única no OS X
<a name="chrome_sso_manual_mac"></a>

Para habilitar manualmente a autenticação única para o Chrome no OS X, execute as seguintes etapas no computador cliente. Você precisará ter direitos de administrador no computador para concluir estas etapas.

**Para habilitar manualmente logon único para o Chrome no OS X**

1. Adicione seu URL de acesso à [AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist)política executando o seguinte comando:

   ```
   defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com"
   ```

1. Abra **System Preferences**, vá para o painel **Profiles** e exclua o perfil `Chrome Kerberos Configuration`. 

1. Reinicie o Chrome e abra chrome://policy no Chrome para confirmar se as configurações estão implantadas.

### Configurações da política de grupo para autenticação única
<a name="ie_sso_gpo"></a>

O administrador do domínio pode implementar as configurações da Política de grupo para fazer as alterações de logon único em computadores cliente ingressados no domínio.

**nota**  
Se você gerencia os navegadores da Web Chrome nos computadores do seu domínio com as políticas do Chrome, deverá adicionar seu URL de acesso à [AuthServerAllowlist](https://chromeenterprise.google/policies/#AuthServerAllowlist)política. Para obter mais informações sobre como definir políticas do Chrome, acesse [Configurações de políticas no Chrome](https://source.chromium.org/chromium/chromium/src/+/main:docs/enterprise/add_new_policy.md).

**Para habilitar o logon único manualmente para o Internet Explorer e o Chrome usando as configurações de Política de grupo**

1. Crie um novo objeto de Política de grupo executando as seguintes etapas:

   1. Abra a ferramenta de gerenciamento de políticas de grupo, navegue até seu domínio e selecione **Group Policy Objects**.

   1. No menu principal, escolha **Action** e selecione **New**.

   1. Na caixa de diálogo **Novo GPO**, digite um nome descritivo para o objeto de política de grupo, como `IAM Identity Center Policy` e mantenha **GPO iniciador de origem** definido como **(nenhum)**. Clique em **OK**.

1. Adicione a URL de acesso à lista de sites aprovados para logon único executando as etapas a seguir:

   1. Na ferramenta de gerenciamento de políticas de grupo, navegue para seu domínio, selecione **Objetos de política de grupo**, abra o menu de contexto (clique com o botão direito do mouse) da sua política do Centro de Identidade do IAM e escolha **Editar**.

   1. Na árvore de políticas, navegue para **User Configuration** > **Preferences** > **Windows Settings**.

   1. Na lista **Windows Settings**, abra o menu de contexto (clique com o botão direito do mouse) de **Registry** e escolha **New registry item**.

   1. Na caixa de diálogo **New Registry Properties**, insira as configurações a seguir e escolha **OK**:  
**Ação**  
`Update`  
**Hive**  
`HKEY_CURRENT_USER`  
**Path**  
`Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias>`  
O valor de *<alias>* é derivado do seu URL de acesso. Se sua URL de acesso for `https://examplecorp.awsapps.com`, o alias será `examplecorp`, e a chave do registro será `Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp`.  
**Value name**  
`https`  
**Tipo de valor**  
`REG_DWORD`  
**Value data**  
`1`

1. Para habilitar scripts ativos, execute as seguintes etapas:

   1. Na ferramenta de gerenciamento de políticas de grupo, navegue para seu domínio, selecione **Objetos de política de grupo**, abra o menu de contexto (clique com o botão direito do mouse) da sua política do Centro de Identidade do IAM e escolha **Editar**.

   1. Na árvore de políticas, navegue para **Computer Configuration** > **Policies** > **Administrative Templates** > **Windows Components** > **Internet Explorer** > **Internet Control Panel** > **Security Page** > **Intranet Zone**.

   1. Na lista **Intranet Zone**, abra o menu de contexto (clique com o botão direito do mouse) de **Allow active scripting** e escolha **Edit**.

   1. Na caixa de diálogo **Allow active scripting**, insira as configurações a seguir e escolha **OK**:
      + Selecione o botão de opção **Enabled**.
      + Em **Options**, defina **Allow active scripting** como **Enable**.

1. Para habilitar o login automático, execute as seguintes etapas:

   1. Na ferramenta de gerenciamento de políticas de grupo, navegue para seu domínio, selecione Group Policy Objects, abra o menu de contexto (clique com o botão direito do mouse) de sua política de SSO e escolha **Edit**.

   1. Na árvore de políticas, navegue para **Computer Configuration** > **Policies** > **Administrative Templates** > **Windows Components** > **Internet Explorer** > **Internet Control Panel** > **Security Page** > **Intranet Zone**.

   1. Na lista **Intranet Zone**, abra o menu de contexto (clique com o botão direito do mouse) de **Logon options** e escolha **Edit**.

   1. Na caixa de diálogo **Logon options**, insira as configurações a seguir e escolha **OK**:
      + Selecione o botão de opção **Enabled**.
      + Em **Options** defina **Logon options** como **Automatic logon only in Intranet zone**.

1. Para habilitar a autenticação integrada, execute as seguintes etapas:

   1. Na ferramenta de gerenciamento de políticas de grupo, navegue para seu domínio, selecione **Objetos de política de grupo**, abra o menu de contexto (clique com o botão direito do mouse) da sua política do Centro de Identidade do IAM e escolha **Editar**.

   1. Na árvore de políticas, navegue para **User Configuration** > **Preferences** > **Windows Settings**.

   1. Na lista **Windows Settings**, abra o menu de contexto (clique com o botão direito do mouse) de **Registry** e escolha **New registry item**.

   1. Na caixa de diálogo **New Registry Properties**, insira as configurações a seguir e escolha **OK**:  
**Ação**  
`Update`  
**Hive**  
`HKEY_CURRENT_USER`  
**Path**  
`Software\Microsoft\Windows\CurrentVersion\Internet Settings`  
**Value name**  
`EnableNegotiate`  
**Tipo de valor**  
`REG_DWORD`  
**Value data**  
`1`

1. Feche a janela **Group Policy Management Editor** se ainda estiver aberta.

1. Atribua a nova política a seu domínio seguindo estas etapas:

   1. Na árvore de gerenciamento de políticas de grupo, abra o menu contexto (clique com o botão direito do mouse) de seu domínio e escolha **Link an Existing GPO**.

   1. Na lista **Objetos da política de grupo**, selecione sua política do Centro de Identidade do IAM e escolha **OK**.

Essas alterações entrarão em vigor depois da próxima atualização de Política de grupo no cliente, ou na próxima vez que o usuário fizer login.

## Autenticação única para o Firefox
<a name="firefox_sso"></a>

Para permitir que o navegador Mozilla Firefox suporte login único, adicione seu URL de acesso (por exemplo, https://*<alias>*.awsapps.com) à lista de sites aprovados para login único. Isso pode ser feito manualmente ou ser automatizado com um script.

**Topics**
+ [Atualização manual para autenticação única](#firefox_sso_manual)
+ [Atualização automática para autenticação única](#firefox_sso_script)

### Atualização manual para autenticação única
<a name="firefox_sso_manual"></a>

Para adicionar a URL de acesso manualmente à lista de sites aprovados no Firefox, execute as seguintes etapas no computador cliente.

**Para adicionar manualmente a URL de acesso à lista de sites aprovados no Firefox**

1. Abra o Firefox e abra a página `about:config`.

1. Abra a preferência `network.negotiate-auth.trusted-uris` e adicione seu URL de acesso à lista de sites. Use uma vírgula (,) para separar várias entradas.

### Atualização automática para autenticação única
<a name="firefox_sso_script"></a>

Como um administrador de domínio, você pode usar um script para adicionar o URL de acesso à preferência de usuário `network.negotiate-auth.trusted-uris` do Firefox a todos os computadores na rede. Para obter mais informações, acesse [https://support.mozilla. org/en-US/questions/939037](https://support.mozilla.org/en-US/questions/939037).