SSO mit IAM Identity Center einrichten

Wenn Sie noch kein Identity Center haben, das mit dem verwalteten Active Directory verbunden ist, beginnen Sie mitSchritt 1: Richten Sie ein Identitätscenter ein. Wenn Sie bereits ein Identity Center haben, das mit dem verwalteten Active Directory verbunden ist, beginnen Sie mitSchritt 2: Connect zu einem Identitätscenter her.

Anmerkung

Wenn Sie in der Region AWS GovCloud (USA West) bereitstellen, richten Sie SSO in dem AWS GovCloud (US) Partitionskonto ein, in dem Sie Research and Engineering Studio bereitgestellt haben.

Schritt 1: Richten Sie ein Identitätscenter ein

Identity Center aktivieren

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Öffnen Sie das Identity Center.

3. Wählen Sie Enable (Aktivieren) aus.

4. Wählen Sie Aktivieren mit AWS Organizations.

5. Klicken Sie auf Weiter.

Anmerkung

Stellen Sie sicher, dass Sie sich in derselben Region befinden, in der Sie Ihr verwaltetes Active Directory haben.

Identity Center mit verwaltetem Active Directory verbinden

Führen Sie nach der Aktivierung von Identity Center die folgenden empfohlenen Einrichtungsschritte aus:

1. Wählen Sie in der Navigation Einstellungen aus.

2. Wählen Sie unter Identitätsquelle die Option Aktionen und dann Identitätsquelle ändern aus.

3. Wählen Sie unter Bestehende Verzeichnisse Ihr Verzeichnis aus.

4. Wählen Sie Weiter aus.

5. Überprüfen Sie Ihre Änderungen und geben Sie sie ACCEPT in das Bestätigungsfeld ein.

6. Wählen Sie Identitätsquelle ändern aus.

Benutzer und Gruppen mit Identity Center synchronisieren

Sobald die Änderungen nicht mehr Identity Center mit verwaltetem Active Directory verbinden abgeschlossen sind, sollte ein grünes Banner erscheinen.

1. Wählen Sie im Bestätigungsbanner die Option Geführte Einrichtung starten aus.

2. Wählen Sie unter Attributzuordnungen konfigurieren die Option Weiter aus.

3. Geben Sie im Abschnitt Benutzer die Benutzer ein, die Sie synchronisieren möchten.

4. Wählen Sie Hinzufügen aus.

5. Wählen Sie Weiter aus.

6. Überprüfen Sie Ihre Änderungen und wählen Sie Konfiguration speichern.

7. Der Synchronisierungsvorgang kann einige Minuten dauern. Wenn Sie eine Warnmeldung darüber erhalten, dass Benutzer nicht synchronisieren, wählen Sie Synchronisierung fortsetzen.

Aktivieren von Benutzern

1. Wählen Sie im Menü Benutzer aus.

2. Wählen Sie die Benutzer aus, für die Sie den Zugriff aktivieren möchten.

3. Wählen Sie Benutzerzugriff aktivieren.

Schritt 2: Connect zu einem Identitätscenter her

Einrichtung der Anwendung im Identity Center

1. Melden Sie sich unter https://console.aws.amazon.com/singlesignon/ beim IAM Identity Center an AWS Management Console und öffnen Sie es.

2. Wählen Sie Applications (Anwendungen).

3. Wählen Sie Anwendung hinzufügen.

4. Wählen Sie unter Setup-Präferenzen die Option Ich habe eine Anwendung, die ich einrichten möchte aus.

5. Wählen Sie unter Anwendungstyp die Option SAML 2.0 aus.

6. Wählen Sie Weiter aus.

7. Geben Sie den Anzeigenamen und die Beschreibung ein, die Sie verwenden möchten.

8. Kopieren Sie unter IAM Identity Center-Metadaten den Link für die SAML-Metadatendatei von IAM Identity Center. Sie benötigen dies, wenn Sie das SSO mit dem RES-Portal konfigurieren.

9. Geben Sie unter Anwendungseigenschaften die Start-URL Ihrer Anwendung ein. Zum Beispiel < your-portal-domain >/sso.

10. Geben Sie unter ACS-URL der Anwendung die Umleitungs-URL aus dem RES-Portal ein. Um das zu finden:

    1. Wählen Sie unter Umgebungsmanagement die Option Allgemeine Einstellungen aus.

    2. Wählen Sie die Registerkarte Identity provider.

    3. Unter Single Sign-On finden Sie die SAML-Umleitungs-URL.

11. Geben Sie unter Anwendungs-SAML-Zielgruppe die Amazon Cognito Cognito-URN ein. Um die Urne zu erstellen:

    1. Öffnen Sie im RES-Portal die Allgemeinen Einstellungen.

    2. Suchen Sie auf der Registerkarte Identitätsanbieter nach der Benutzerpool-ID.

    3. Fügen Sie die Benutzerpool-ID zu dieser Zeichenfolge hinzu:

       urn:amazon:cognito:sp:<user_pool_id>

12. Wählen Sie Absenden aus.

Konfiguration von Attributzuordnungen für die Anwendung

1. Öffnen Sie im Identity Center die Details für Ihre erstellte Anwendung.

2. Wählen Sie Aktionen und dann Attributzuordnungen bearbeiten aus.

3. Geben Sie unter Betreff $ {user:email} ein.

4. Wählen Sie unter Format die Option E-Mail-Adresse aus.

5. Wählen Sie Neue Attributzuordnung hinzufügen aus.

6. Geben Sie in der Anwendung unter Benutzerattribut die E-Mail-Adresse ein.

7. Geben Sie unter Zuordnungen zu diesem Zeichenkettenwert oder Benutzerattribut in IAM Identity Center $ {user:email} ein.

8. Geben Sie unter Format den Wert unspecified ein.

9. Wählen Sie Änderungen speichern aus.

Benutzer zur Anwendung in Identity Center hinzufügen

1. Öffnen Sie im Identity Center die Option Zugewiesene Benutzer für Ihre erstellte Anwendung und wählen Sie Benutzer zuweisen aus.

2. Wählen Sie die Benutzer aus, denen Sie Anwendungszugriff zuweisen möchten.

3. Wählen Sie Assign users (Benutzer zuweisen) aus.

SSO in der RES-Umgebung einrichten

1. Öffnen Sie in der Research and Engineering Studio-Umgebung die Option Allgemeine Einstellungen unter Umgebungsmanagement.

2. Öffnen Sie die Registerkarte Identitätsanbieter.

3. Wählen Sie unter Single Sign-On die Schaltfläche Bearbeiten neben Status aus.

4. Füllen Sie das Formular mit den folgenden Informationen aus:

   1. Wählen Sie SAML.

   2. Geben Sie unter Anbietername einen benutzerfreundlichen Namen ein.

   3. Wählen Sie Endpunkt-URL für das Metadaten-Dokument eingeben aus.

   4. Geben Sie die URL ein, die Sie während kopiert haben Einrichtung der Anwendung im Identity Center

   5. Geben Sie unter E-Mail-Attribut des Anbieters die E-Mail-Adresse ein.

   6. Wählen Sie Absenden aus.

5. Aktualisieren Sie die Seite und überprüfen Sie, ob der Status als aktiviert angezeigt wird.