Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfiguration von SAML und SCIM mit einem IAM Microsoft Entra ID Identity Center
AWS IAM Identity Centerunterstützt die Integration mit Security Assertion Markup Language (SAML) 2.0 sowie die automatische Bereitstellung (Synchronisation) von Benutzer- und Gruppeninformationen aus Microsoft Entra ID (früher bekannt als Azure Active Directory oder) in IAM Identity Center mithilfe des Systems for Cross-Domain Identity Management (SCIMAzure AD) 2.0-Protokoll.
Zielsetzung
In diesem Tutorial richten Sie ein Testlabor ein und konfigurieren eine SAML-Verbindung und SCIM-Bereitstellung zwischen dem IAM Identity Microsoft Entra ID Center. Während der ersten Vorbereitungsschritte erstellen Sie sowohl in IAM Identity Center als auch in IAM Identity Center einen Testbenutzer (Nikki Wolf), mit dem Sie die SAML-Verbindung in beide Microsoft Entra ID Richtungen testen können. Später, im Rahmen der SCIM-Schritte, erstellen Sie einen anderen Testbenutzer (Richard Roe), um zu überprüfen, ob neue Attribute erwartungsgemäß mit IAM Microsoft Entra ID Identity Center synchronisiert werden.
Bevor Sie mit diesem Tutorial beginnen können, müssen Sie zunächst Folgendes einrichten:
-
Ein Microsoft Entra ID Mieter. Weitere Informationen finden Sie unter Schnellstart: Einen Mandanten einrichten
auf der Microsoft-Website. -
Ein AWS IAM Identity Center -fähiges Konto. Weitere Informationen finden Sie unter Aktivieren von IAM Identity Center im AWS IAM Identity CenterBenutzerhandbuch.
In diesem Schritt erfahren Sie, wie Sie Ihre AWS IAM Identity Center Unternehmensanwendung installieren und konfigurieren und einem neu erstellten Microsoft Entra ID Testbenutzer Zugriff zuweisen.
In diesem Schritt erfahren Sie, wie Sie IAM Identity CenterZugriffsberechtigungen (über einen Berechtigungssatz) konfigurieren, manuell einen entsprechenden Nikki Wolf-Benutzer erstellen und ihr die erforderlichen Berechtigungen für die Verwaltung von Ressourcen zuweisen. AWS
In diesem Schritt konfigurieren Sie Ihre SAML-Verbindung mithilfe der AWS IAM Identity Center Unternehmensanwendung Microsoft Entra ID zusammen mit den externen IdP-Einstellungen in IAM Identity Center.
In diesem Schritt richten Sie Microsoft Entra ID die automatische Bereitstellung (Synchronisation) von Benutzerinformationen aus dem IAM Identity Center mithilfe des SCIM v2.0-Protokolls ein. Sie konfigurieren diese Verbindung, Microsoft Entra ID indem Sie Ihren SCIM-Endpunkt für IAM Identity Center und ein Trägertoken verwenden, das automatisch von IAM Identity Center erstellt wird.
Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute Microsoft Entra ID zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und überein. Microsoft Entra ID
In den folgenden Schritten erfahren Sie, wie Sie mithilfe der IAM Identity Center-App unter die automatische Bereitstellung von Benutzern aktivierenMicrosoft Entra ID, die hauptsächlich im IAM Identity Center ansässig sind. Microsoft Entra ID
Im Folgenden finden Sie wichtige ÜberlegungenMicrosoft Entra ID, die sich darauf auswirken können, wie Sie die automatische Bereitstellung mit IAM Identity Center in Ihrer Produktionsumgebung mithilfe des SCIM v2-Protokolls implementieren möchten.
Anmerkung
Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, sich zunächst mit diesem Thema vertraut zu machen. Überlegungen zur Verwendung der automatischen Bereitstellung
Attribute für die Zugriffskontrolle
Attribute für die Zugriffskontrolle werden in Berechtigungsrichtlinien verwendet, die festlegen, wer in Ihrer Identitätsquelle auf Ihre AWS Ressourcen zugreifen kann. Wenn ein Attribut von einem Benutzer in entfernt wirdMicrosoft Entra ID, wird dieses Attribut nicht aus dem entsprechenden Benutzer in IAM Identity Center entfernt. Dies ist eine bekannte Einschränkung inMicrosoft Entra ID. Wenn ein Attribut für einen Benutzer in einen anderen (nicht leeren) Wert geändert wird, wird diese Änderung mit IAM Identity Center synchronisiert.
Verschachtelte Gruppen
Der Microsoft Entra ID Benutzerbereitstellungsdienst kann Benutzer in verschachtelten Gruppen nicht lesen oder bereitstellen. Nur Benutzer, die unmittelbare Mitglieder einer explizit zugewiesenen Gruppe sind, können gelesen und Zugriffsberechtigungen zugewiesen werden. Microsoft Entra IDentpackt nicht rekursiv die Gruppenmitgliedschaften indirekt zugewiesener Benutzer oder Gruppen (Benutzer oder Gruppen, die Mitglieder einer direkt zugewiesenen Gruppe sind). Weitere Informationen finden Sie in der Dokumentation unter Zuweisungsbasiertes Scoping
Dynamische Gruppen
Der Microsoft Entra ID Benutzerbereitstellungsdienst kann Benutzer in dynamischen Gruppen
Wenn die Microsoft Entra ID Struktur für dynamische Gruppen beispielsweise wie folgt aussieht:
-
Gruppe A mit den Mitgliedern ua1, ua2
-
Gruppe B mit Mitgliedern ub1
-
Gruppe C mit Mitgliedern uc1
-
Gruppe K mit der Regel, Mitglieder der Gruppe A, B, C einzubeziehen
-
Gruppe L mit einer Regel, die Mitglieder der Gruppen B und C einschließt
Nachdem die Benutzer- und Gruppeninformationen über SCIM aus dem Microsoft Entra ID IAM Identity Center bereitgestellt wurden, sieht die Struktur wie folgt aus:
-
Gruppe A mit den Mitgliedern ua1, ua2
-
Gruppe B mit Mitgliedern ub1
-
Gruppe C mit Mitgliedern uc1
-
Gruppe K mit den Mitgliedern ua1, ua2, ub1, uc1
-
Gruppe L mit den Mitgliedern ub1, uc1
Beachten Sie bei der Konfiguration der automatischen Bereitstellung mithilfe dynamischer Gruppen die folgenden Überlegungen.
-
Eine dynamische Gruppe kann eine verschachtelte Gruppe enthalten. Der Microsoft Entra ID Provisioning Service reduziert die verschachtelte Gruppe jedoch nicht. Wenn Sie beispielsweise die folgende Microsoft Entra ID Struktur für dynamische Gruppen haben:
-
Gruppe A ist der Gruppe B übergeordnet.
-
Gruppe A hat ua1 als Mitglied.
-
Gruppe B hat ub1 als Mitglied.
-
Die dynamische Gruppe, zu der Gruppe A gehört, umfasst nur die direkten Mitglieder der Gruppe A (d. h. ua1). Sie schließt nicht rekursiv Mitglieder der Gruppe B ein.
-
Dynamische Gruppen können keine anderen dynamischen Gruppen enthalten. Weitere Informationen finden Sie in der Microsoft Entra ID Dokumentation unter Einschränkungen der Vorschauversion
.
Wenn Sie Probleme mit Microsoft Entra ID Benutzern haben, die sich nicht mit IAM Identity Center synchronisieren, liegt das möglicherweise an einem Syntaxproblem, das IAM Identity Center gemeldet hat, wenn ein neuer Benutzer zu IAM Identity Center hinzugefügt wird. Sie können dies überprüfen, indem Sie in den Microsoft Entra ID Audit-Logs nach fehlgeschlagenen Ereignissen suchen, wie z. B. 'Export'
Der Statusgrund für dieses Ereignis lautet wie folgt:
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
Sie können auch AWS CloudTrail nach dem fehlgeschlagenen Ereignis suchen. Suchen Sie dazu in der Konsole „Event History“ oder CloudTrail verwenden Sie den folgenden Filter:
"eventName":"CreateUser"
Der Fehler in der CloudTrail Veranstaltung wird Folgendes bedeuten:
"errorCode": "ValidationException", "errorMessage": "Currently list attributes only allow single item“
Letztlich bedeutet diese Ausnahme, dass einer der übergebenen Werte mehr Werte als erwartet Microsoft Entra ID enthielt. Die Lösung besteht darin, die Attribute des Benutzers zu überprüfen und sicherzustellenMicrosoft Entra ID, dass keine doppelten Werte enthalten. Ein häufiges Beispiel für doppelte Werte ist das Vorhandensein mehrerer Werte für Kontaktnummern wie Handy -, Geschäfts - und Faxnummern. Obwohl sie separate Werte sind, werden sie alle unter dem einzigen übergeordneten Attribut PhoneNumbers an das IAM Identity Center übergeben.
Allgemeine Tipps zur SCIM-Fehlerbehebung finden Sie unter. Behebung von Problemen mit IAM Identity Center
Nachdem Sie SAML und SCIM erfolgreich konfiguriert haben, können Sie optional die attributebasierte Zugriffskontrolle (ABAC) konfigurieren. ABAC ist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen definiert.
Mit können Sie eine der folgenden beiden Methoden verwendenMicrosoft Entra ID, um ABAC für die Verwendung mit IAM Identity Center zu konfigurieren.