Einrichtung des Benutzerverzeichnisses

Amazon Monitron verwendet AWS IAM Identity Center , um den Benutzerzugriff zu verwalten. Benutzer werden aus diesem IAM Identity Center-Benutzerverzeichnis hinzugefügt.

Wie Sie einen Admin-Benutzer hinzufügen, hängt davon ab, wie IAM Identity Center für Ihre Organisation eingerichtet wurde.

Wichtig

Amazon Monitron erfordert eine E-Mail-Adresse für jeden App-Benutzer. Wenn Sie Verzeichnisse wie Microsoft Active Directory oder einen externen ID-Anbieter verwenden, müssen Sie sicherstellen, dass die E-Mail-Adressen für Ihre Benutzer hinzugefügt und synchronisiert werden.

Anforderungen verstehen SSO

Wenn Sie ein Projekt erstellen, erkennt Amazon Monitron automatisch, ob IAM Identity Center in Ihrem Konto aktiviert und konfiguriert wurde und ob alle Voraussetzungen für die Verwendung von IAM Identity Center mit Amazon Monitron erfüllt sind. Wenn nicht, gibt Amazon Monitron einen Fehler aus und stellt eine Liste der erforderlichen Voraussetzungen bereit. Sie müssen alle Voraussetzungen erfüllen, bevor Sie Administratorbenutzer hinzufügen können. Weitere Informationen zur Aktivierung und Konfiguration von IAM Identity Center für Ihre Organisation finden Sie unter AWS Single Sign-On.

Wichtig

Amazon Monitron unterstützt alle IAM Identity Center-Regionen mit Ausnahme von Opt-In- und Regierungsregionen. Die Liste der unterstützten Regionen lautet:

• USA Ost (Nord-Virginia)

• USA Ost (Ohio)

• USA West (Nordkalifornien)

• USA West (Oregon)

• Asien-Pazifik (Mumbai)

• Asien-Pazifik (Tokio)

• Asien-Pazifik (Seoul)

• Asien-Pazifik (Osaka)

• Asien-Pazifik (Singapur)

• Asien-Pazifik (Sydney)

• Kanada (Zentral)

• Europe (Frankfurt)

• Europa (Irland)

• Europe (London)

• Europe (Paris)

• Europa (Stockholm)

• Südamerika (São Paulo)

IAMVoraussetzungen für Identity Center

Bevor Sie IAM Identity Center einrichten können, müssen Sie:

• Haben Sie zuerst den AWS Organizations Dienst eingerichtet und Alle Funktionen auf aktiviert gesetzt. Weitere Informationen zu dieser Einstellung finden Sie im AWS Organizations Benutzerhandbuch unter Alle Funktionen in Ihrer Organisation aktivieren.

• Melden Sie sich mit den Anmeldeinformationen AWS Organizations für das Verwaltungskonto an, bevor Sie mit der Einrichtung von IAM Identity Center beginnen. Diese Anmeldeinformationen sind erforderlich, um IAM Identity Center zu aktivieren. Weitere Informationen finden Sie im AWS Organizations Benutzerhandbuch unter AWS Organisation erstellen und verwalten. Sie können IAM Identity Center nicht einrichten, während Sie mit den Anmeldeinformationen des Mitgliedskontos einer Organisation angemeldet sind.

• Sie haben eine Identitätsquelle ausgewählt, um zu bestimmen, welcher Benutzerpool SSO Zugriff auf das Benutzerportal hat. Wenn Sie sich dafür entscheiden, die standardmäßige IAM Identity Center-Identitätsquelle für Ihren Benutzerspeicher zu verwenden, sind keine erforderlichen Aufgaben erforderlich. Der IAM Identity Center-Speicher wird standardmäßig erstellt, sobald Sie IAM Identity Center aktivieren, und ist sofort einsatzbereit. Die Nutzung dieses Stores ist kostenlos. Alternativ können Sie sich auch dafür entscheiden, mithilfe von Azure Active Directory eine Connect zu Ihrem externen Identitätsanbieter herzustellen. Wenn Sie eine Verbindung zu einem vorhandenen Active Directory für Ihren Benutzerspeicher herstellen möchten, müssen Sie über Folgendes verfügen:

  • Ein vorhandener AD Connector oder ein AWS Managed Microsoft AD Verzeichnis, das in eingerichtet ist AWS Directory Service, und es muss sich innerhalb des Verwaltungskontos Ihrer Organisation befinden. Sie können nur ein AWS Managed Microsoft AD -Verzeichnis zurzeit verbinden. Sie können es jedoch jederzeit in ein anderes AWS Managed Microsoft AD Verzeichnis oder wieder in einen IAM Identity Center-Store ändern. Weitere Informationen finden Sie unter AWS Managed Microsoft AD Verzeichnis erstellen im AWS Directory Service Administratorhandbuch.

  • Richten Sie IAM Identity Center in der Region ein, in der Ihr AWS Managed Microsoft AD Verzeichnis eingerichtet ist. IAMIdentity Center speichert die Zuweisungsdaten in derselben Region wie das Verzeichnis. Um IAM Identity Center zu verwalten, sollten Sie zu der Region wechseln, in der Sie IAM Identity Center eingerichtet haben. Beachten Sie außerdem, dass das Benutzerportal von IAM Identity Center denselben Zugriff verwendet URL wie Ihr verbundenes Verzeichnis.

• Wenn Sie derzeit den Zugriff auf bestimmte Amazon Web Service (AWS) -Domains oder URL Endpoints mithilfe einer Lösung zur Filterung von Webinhalten wie Firewalls der nächsten Generation (NGFW) oder sicheren Web-Gateways (SWG) filtern, müssen Sie die folgenden Domänen und/oder URL Endpunkte zu den Zulassungslisten Ihrer Web-Content-Filter-Lösung hinzufügen, damit Identity Center ordnungsgemäß funktioniert: IAM

  Spezifische Domänen DNS

  • *.awsapps.com (http://awsapps.com/)

  • *.signin.aws

  Spezifische Endpunkte URL

  • https://[yourdirectory].awsapps.com/starten

  • https://[yourdirectory].awsapps.com/einloggen

  • https://[yourregion].signin.aws/platform/login

Wir empfehlen dringend, vor der Aktivierung von IAM Identity Center zunächst zu überprüfen, ob sich Ihr AWS Konto dem Kontingent für IAM Rollen nähert. Weitere Informationen finden Sie unter IAMObjektkontingente. Wenn Sie sich der Kontingentgrenze nähern, sollten Sie eine Erhöhung des Kontingents in Betracht ziehen. Andernfalls könnten Probleme mit IAM Identity Center auftreten, wenn Sie Berechtigungssätze für Konten bereitstellen, die das IAM Rollenlimit überschritten haben.

Admin-Benutzer mithilfe des systemeigenen IAM Identity Center-Verzeichnisses hinzufügen

Die einfachste Methode, Admin-Benutzer zu Ihrem Projekt hinzuzufügen, ist die Verwendung des nativen IAM Identity Center-Verzeichnisses. Sie können es verwenden, indem Sie mit Amazon Monitron beginnen und es IAM Identity Center auf einer grundlegenden Ebene für Sie konfigurieren lassen. Sie können IAM Identity Center auch einrichten, bevor Sie Amazon Monitron verwenden, und es so einrichten, dass es das native Verzeichnis verwendet. In beiden Fällen können Sie Benutzer manuell hinzufügen, ohne möglicherweise Benutzeridentitätsinformationen anderen Admin-Benutzern als Name und E-Mail zugänglich zu machen.

Um einen Admin-Benutzer hinzuzufügen, wenn Sie das native IAM Identity Center-Verzeichnis verwenden

1. Öffnen Sie die Amazon Monitron Monitron-Konsole unter https://console.aws.amazon.com/monitron.

2. Wählen Sie Projekt erstellen aus.

3. Wählen Sie im Navigationsbereich das gewünschte Projekt aus.

4. Wählen Sie auf der Seite Benutzer die Benutzer aus, die Sie als Administratorbenutzer zuweisen möchten. Wenn Sie einen Benutzer nicht sehen können, suchen Sie nach ihm.

   

   Die von Ihnen ausgewählten Benutzer werden im Abschnitt Ausgewählte Benutzer angezeigt.

5. Wenn sich der gewünschte Benutzer nicht im Verzeichnis befindet, wählen Sie Benutzer erstellen aus, um den Benutzer hinzuzufügen.

   1. Geben Sie unter Benutzer erstellen für E-Mail die E-Mail-Adresse des neuen Admin-Benutzers ein.

      

   2. Geben Sie für Vorname und Nachname den Namen des Administrators ein.

   3. Wählen Sie Create User.

6. Wenn der Name des Benutzers in der Verzeichnisliste angezeigt wird, wählen Sie Hinzufügen, um die ausgewählten Admin-Benutzer hinzuzufügen.

7. Senden Sie den Admin-Benutzern per E-Mail eine Einladung zum Projekt, die einen Link zum Herunterladen der mobilen Amazon Monitron Monitron-App enthält. Weitere Informationen finden Sie unter Eine E-Mail-Einladung senden.

   Amazon Monitron leitet Sie zur Projektseite für Ihr Projekt weiter, auf der alle Administratorbenutzer aufgeführt sind.

   

8. Um weitere Admin-Benutzer hinzuzufügen, wählen Sie Admin hinzufügen.

   Jeder Admin-Benutzer kann mithilfe der mobilen Amazon Monitron Monitron-App weitere Benutzer hinzufügen. Weitere Informationen finden Sie unter Hinzufügen eines Benutzers im Amazon Monitron Monitron-Benutzerhandbuch.

Admin-Benutzer mithilfe von Microsoft Active Directory hinzufügen

Wenn Sie Microsoft Active Directory (AD) für das primäre Benutzerverzeichnis Ihrer Organisation verwenden, können Sie IAM Identity Center so konfigurieren, dass es verwendet wird. IAMIdentity Center ermöglicht es Ihnen, Ihr selbstverwaltetes Active Directory mithilfe AWS des Verzeichnisdienstes als Ihr AWS verwaltetes Microsoft AD-Verzeichnis zu verbinden. Dieses Microsoft AD-Verzeichnis bietet Ihnen den Pool von Identitäten, aus dem Sie abrufen können, wenn Sie die Amazon Monitron Monitron-Konsole (oder die Amazon Monitron Monitron-Mobil-App) verwenden, um Benutzerrollen zuzuweisen.

Wichtig

Amazon Monitron erfordert eine E-Mail-Adresse für jeden App-Benutzer. Stellen Sie sicher, dass die E-Mail-Adressen für Ihre Benutzer hinzugefügt und synchronisiert werden.

Alle Administratorbenutzer von Amazon Monitron haben Zugriff auf Identitätsinformationen in dem Benutzerverzeichnis, das in IAM Identity Center für Amazon Monitron konfiguriert ist. Wir empfehlen dringend, ein isoliertes Verzeichnis zu verwenden, wenn Sie den Zugriff auf Informationen zur Benutzerorganisation einschränken möchten.

So fügen Sie einen Admin-Benutzer mithilfe von Microsoft Active Directory hinzu

1. Konfigurieren Sie IAM Identity Center für die Verbindung mit Ihrem Microsoft Active Directory. Die dabei erforderlichen Schritte unterscheiden sich je nachdem, ob Sie ein selbstverwaltetes Active Directory oder ein AWS verwaltetes Microsoft AD-Verzeichnis verwenden. Weitere Informationen finden Sie unter Connect Microsoft AD Directory herstellen.

2. Öffnen Sie die Amazon Monitron Monitron-Konsole unter https://console.aws.amazon.com/monitron.

3. Wählen Sie Projekt erstellen aus.

4. Wählen Sie im Navigationsbereich das gewünschte Projekt aus.

5. Wählen Sie für Active Directory-Domäne die Verzeichnisdomäne aus, aus der Sie Identitäten hinzufügen möchten.

   

6. Wählen Sie Benutzer oder Gruppen, je nachdem, wie Sie das Benutzerverzeichnis durchsuchen möchten.

7. Geben Sie eine Zeichenfolge in das Suchfeld ein, um die Identität zu finden, die Sie hinzufügen möchten, und wählen Sie dann Suchen aus.

   Um die Anzahl der zurückgegebenen Benutzer zu begrenzen, geben Sie eine längere Zeichenfolge in das Suchfeld ein. Wenn Sie beispielsweise „olg“ in das Suchfeld eingeben, werden in der Liste alle Benutzer angezeigt, deren Namen die Buchstaben „olg“ enthalten, z. B. „Olga Kurth“ und „Jamie Folgman“.

8. Wählen Sie die Benutzer aus, die Sie als Admin-Benutzer zuweisen möchten.

9. Wählen Sie Hinzufügen, um die Admin-Benutzer hinzuzufügen.

Admin-Benutzer mithilfe eines externen ID-Anbieters hinzufügen

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, können Sie IAM Identity Center so konfigurieren, dass dieser Anbieter über den Standard Security Assertion Markup Language (SAML) 2.0 verwendet wird. Dadurch steht Ihnen der Identitätspool in Ihrem IdP-Verzeichnis zur Verfügung. Sie können diesen Pool abrufen, wenn Sie die Amazon Monitron Monitron-Konsole (oder die mobile Amazon Monitron Monitron-App) verwenden, und sie als Administratorbenutzer zuweisen. Auf diese Weise können sich Ihre Benutzer auch mit ihren Unternehmensanmeldedaten bei Amazon Monitron anmelden.

Wichtig

Amazon Monitron erfordert eine E-Mail-Adresse für jeden App-Benutzer. Stellen Sie sicher, dass die E-Mail-Adressen für Ihre Benutzer hinzugefügt und synchronisiert werden.

Alle Administratorbenutzer von Amazon Monitron haben Zugriff auf Identitätsinformationen in dem Benutzerverzeichnis, das in IAM Identity Center für Amazon Monitron konfiguriert ist. Wir empfehlen dringend, ein isoliertes Verzeichnis zu verwenden, wenn Sie den Zugriff auf Informationen zur Benutzerorganisation einschränken möchten.

So fügen Sie einen Admin-Benutzer mithilfe eines externen ID-Anbieters (IdP) hinzu

1. Konfigurieren Sie AWS IAM Identity Center für die Verbindung mit Ihrem externen IdP. Die dazu erforderlichen Schritte unterscheiden sich je nach dem Anbieter, den Sie verwenden. Weitere Informationen finden Sie unter Connect zu Ihrem externen ID-Anbieter herstellen.

2. Öffnen Sie die Amazon Monitron Monitron-Konsole unter https://console.aws.amazon.com/monitron.

3. Wählen Sie Projekt erstellen aus.

4. Wählen Sie im Navigationsbereich das gewünschte Projekt aus.

5. Wählen Sie auf der Seite Benutzer die Benutzer aus, die Sie als Administratorbenutzer zuweisen möchten. Wenn Sie einen Benutzer nicht sehen können, suchen Sie nach ihm.

   

6. Wählen Sie Hinzufügen, um die Admin-Benutzer hinzuzufügen.

Mit IAM Identity Center zu Amazon Monitron zurückkehren

Wenn Sie sich von der Amazon Monitron Monitron-Web-App abmelden, sind Sie möglicherweise immer noch angemeldet. AWS IAM Identity Center Alle anderen Anwendungen, die Sie über das Benutzerportal geöffnet haben, bleiben geöffnet und werden weiterhin ausgeführt.

Es gibt zwei Möglichkeiten, sich von IAM Identity Center abzumelden:

• Melden Sie sich direkt über das IAM Identity Center-Portal ab.

• Einmal pro Stunde überprüft AWS IAM Identity Center, ob Sie AWS Dienste aktiv nutzen. Wenn nicht, werden Sie automatisch von IAM Identity Center abgemeldet.

Weitere Informationen über Administratorbenutzer, die IAM Identity Center verwenden, finden Sie unterEinrichtung des Benutzerverzeichnisses.

Weitere Informationen zu bewährten Sicherheitsmethoden mit Amazon Monitron und IAM Identity Center finden Sie unter Bewährte Sicherheitsmethoden für Amazon Monitron.

Weitere Informationen zur Verwendung des SSO Benutzerportals finden Sie unter Verwenden des Benutzerportals.