Konfiguration von SAML und SCIM mit einem IAM Microsoft Entra ID Identity Center - AWS IAM Identity Center

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration von SAML und SCIM mit einem IAM Microsoft Entra ID Identity Center

AWS IAM Identity Centerunterstützt die Integration mit Security Assertion Markup Language (SAML) 2.0 sowie die automatische Bereitstellung (Synchronisation) von Benutzer- und Gruppeninformationen aus Microsoft Entra ID (früher bekannt als Azure Active Directory oder) in IAM Identity Center mithilfe des Systems for Cross-Domain Identity Management (SCIMAzure AD) 2.0-Protokoll.

Zielsetzung

In diesem Tutorial richten Sie ein Testlabor ein und konfigurieren eine SAML-Verbindung und SCIM-Bereitstellung zwischen dem IAM Identity Microsoft Entra ID Center. Während der ersten Vorbereitungsschritte erstellen Sie sowohl in IAM Identity Center als auch in IAM Identity Center einen Testbenutzer (Nikki Wolf), mit dem Sie die SAML-Verbindung in beide Microsoft Entra ID Richtungen testen können. Später, im Rahmen der SCIM-Schritte, erstellen Sie einen anderen Testbenutzer (Richard Roe), um zu überprüfen, ob neue Attribute erwartungsgemäß mit IAM Microsoft Entra ID Identity Center synchronisiert werden.

Bevor Sie mit diesem Tutorial beginnen können, müssen Sie zunächst Folgendes einrichten:

In diesem Schritt erfahren Sie, wie Sie Ihre AWS IAM Identity Center Unternehmensanwendung installieren und konfigurieren und einem neu erstellten Microsoft Entra ID Testbenutzer Zugriff zuweisen.

Step 1.1 >

Schritt 1.1: Richten Sie die AWS IAM Identity Center Unternehmensanwendung ein in Microsoft Entra ID

In diesem Verfahren installieren Sie die AWS IAM Identity Center Unternehmensanwendung inMicrosoft Entra ID. Sie benötigen diese Anwendung später, um Ihre SAML-Verbindung mit AWS zu konfigurieren.

  1. Melden Sie sich mindestens als Cloud-Anwendungsadministrator im Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Identität > Anwendungen > Unternehmensanwendungen und wählen Sie dann Neue Anwendung aus.

  3. Geben Sie auf der Seite Microsoft Entra Gallery durchsuchen AWS IAM Identity Centerin das Suchfeld ein.

  4. Wählen Sie AWS IAM Identity Centeraus dem Ergebnisbereich aus.

  5. Wählen Sie Erstellen aus.

Step 1.2 >

Schritt 1.2: Erstellen Sie einen Testbenutzer in Microsoft Entra ID

Nikki Wolf ist der Name Ihres Microsoft Entra ID Testbenutzers, den Sie in diesem Verfahren erstellen werden.

  1. Navigieren Sie in der Microsoft Entra Admin Center-Konsole zu Identität > Benutzer > Alle Benutzer.

  2. Wählen Sie Neuer Benutzer und dann oben auf dem Bildschirm Neuen Benutzer erstellen aus.

  3. Geben Sie NikkiWolfim Feld Benutzerprinzipalname Ihre bevorzugte Domain und Erweiterung ein und wählen Sie sie aus. Zum Beispiel NikkiWolf@ example.org.

  4. Geben NikkiWolfSie im Feld Anzeigename den Wert ein.

  5. Geben Sie unter Passwort ein sicheres Passwort ein oder klicken Sie auf das Augensymbol, um das automatisch generierte Passwort anzuzeigen, und kopieren Sie den angezeigten Wert entweder oder notieren Sie ihn.

  6. Wählen Sie Eigenschaften und geben Sie im Feld Vorname den Text ein Nikki. Geben Sie im Feld Nachname den Wert ein Wolf.

  7. Wählen Sie Überprüfen + Erstellen und dann Erstellen aus.

Step 1.3

Schritt 1.3: Testen Sie Nikkis Erfahrung, bevor Sie ihr die Berechtigungen zuweisen AWS IAM Identity Center

In diesem Verfahren überprüfen Sie, was Nikki erfolgreich in ihrem Microsoft My Account-Portal anmelden kann.

  1. Öffnen Sie im selben Browser eine neue Registerkarte, rufen Sie die Anmeldeseite des Portals Mein Konto auf und geben Sie die vollständige E-Mail-Adresse von Nikki ein. Zum Beispiel NikkiWolf@ example.org.

  2. Wenn Sie dazu aufgefordert werden, geben Sie Nikkis Passwort ein und wählen Sie dann Anmelden. Wenn es sich um ein automatisch generiertes Passwort handelt, werden Sie aufgefordert, das Passwort zu ändern.

  3. Wählen Sie auf der Seite Aktion erforderlich die Option Später fragen aus, um die Aufforderung zur Angabe zusätzlicher Sicherheitsmethoden zu umgehen.

  4. Wählen Sie auf der Seite Mein Konto in der linken Navigationsleiste Meine Apps aus. Beachten Sie, dass außer Add-ins derzeit keine Apps angezeigt werden. Sie werden eine AWS IAM Identity CenterApp hinzufügen, die in einem späteren Schritt hier angezeigt wird.

Step 1.4

Schritt 1.4: Weisen Sie Nikki Berechtigungen zu in Microsoft Entra ID

Nachdem Sie nun verifiziert haben, dass Nikki erfolgreich auf das Portal Mein Konto zugreifen kann, gehen Sie wie folgt vor, um ihren Benutzer der AWS IAM Identity CenterApp zuzuweisen.

  1. Navigieren Sie in der Microsoft Entra Admin Center-Konsole zu Identität > Anwendungen > Unternehmensanwendungen und wählen Sie dann AWS IAM Identity Centeraus der Liste aus.

  2. Wählen Sie auf der linken Seite Benutzer und Gruppen aus.

  3. Wählen Sie Add user/group (Benutzer/Gruppe hinzufügen) aus. Sie können die Meldung ignorieren, dass Gruppen nicht zugewiesen werden können. In diesem Tutorial werden keine Gruppen für Aufgaben verwendet.

  4. Wählen Sie auf der Seite Zuweisung hinzufügen unter Benutzer die Option Keine ausgewählt aus.

  5. Wählen Sie NikkiWolfund wählen Sie dann Auswählen.

  6. Wählen Sie auf der Seite „Zuweisung hinzufügen“ die Option „Zuweisen“. NikkiWolf erscheint jetzt in der Liste der Benutzer, die der AWS IAM Identity CenterApp zugewiesen sind.

In diesem Schritt erfahren Sie, wie Sie IAM Identity CenterZugriffsberechtigungen (über einen Berechtigungssatz) konfigurieren, manuell einen entsprechenden Nikki Wolf-Benutzer erstellen und ihr die erforderlichen Berechtigungen für die Verwaltung von Ressourcen zuweisen. AWS

Step 2.1 >

Schritt 2.1: Erstellen Sie einen RegionalAdmin Berechtigungssatz in IAM Identity Center

Dieser Berechtigungssatz wird verwendet, um Nikki die erforderlichen AWS Kontoberechtigungen zu gewähren, die für die Verwaltung von Regionen auf der Kontoseite innerhalb von erforderlich sind. AWS Management Console Alle anderen Berechtigungen zum Anzeigen oder Verwalten anderer Informationen für Nikkis Konto sind standardmäßig verweigert.

  1. Öffnen Sie die IAM Identity Center-Konsole.

  2. Wählen Sie unter Berechtigungen für mehrere Konten die Option Berechtigungssätze aus.

  3. Wählen Sie Create permission set (Berechtigungssatz erstellen) aus.

  4. Wählen Sie auf der Seite Berechtigungssatztyp auswählen die Option Benutzerdefinierter Berechtigungssatz und dann Weiter aus.

  5. Wählen Sie Inline-Richtlinie aus, um sie zu erweitern, und erstellen Sie dann mithilfe der folgenden Schritte eine Richtlinie für den Berechtigungssatz:

    1. Wählen Sie Neue Erklärung hinzufügen, um eine Richtlinienerklärung zu erstellen.

    2. Wählen Sie unter Kontoauszug bearbeiten die Option Konto aus der Liste aus und aktivieren Sie dann die folgenden Kontrollkästchen.

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

    3. Wählen Sie neben Eine Ressource hinzufügen die Option Hinzufügen aus.

    4. Wählen Sie auf der Seite Ressource hinzufügen unter Ressourcentyp die Option Alle Ressourcen und dann Ressource hinzufügen aus. Vergewissern Sie sich, dass Ihre Richtlinie wie folgt aussieht:

      {
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions",
                "account:DisableRegion",
                "account:EnableRegion",
                "account:GetRegionOptStatus"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  6. Wählen Sie Weiter.

  7. Geben Sie auf der Seite Details zum Berechtigungssatz angeben unter Name des Berechtigungssatzes die Eingabe ein RegionalAdmin, und wählen Sie dann Weiter aus.

  8. Wählen Sie auf der Seite Überprüfen und erstellen die Option Erstellen aus. In der Liste der Berechtigungssätze sollte diese Option RegionalAdminangezeigt werden.

Step 2.2 >

Schritt 2.2: Erstellen Sie einen entsprechenden NikkiWolf Benutzer in IAM Identity Center

Da das SAML-Protokoll keinen Mechanismus bietet, um den IdP (Microsoft Entra ID) abzufragen und Benutzer hier in IAM Identity Center automatisch zu erstellen, gehen Sie wie folgt vor, um manuell einen Benutzer in IAM Identity Center zu erstellen, der die Kernattribute von Nikki Wolfs Benutzer in widerspiegelt. Microsoft Entra ID

  1. Öffnen Sie die IAM Identity Center-Konsole.

  2. Wählen Sie Benutzer und Benutzer hinzufügen aus, und geben Sie dann die folgenden Informationen ein:

    1. Sowohl für den Benutzernamen als auch für die E-Mail-Adresse — Geben Sie dieselbe NikkiWolf@ yourcompanydomain.extension ein, die Sie bei der Erstellung Ihres Benutzers verwendet haben. Microsoft Entra ID Zum Beispiel @ example.org. NikkiWolf

    2. E-Mail-Adresse bestätigen — Geben Sie die E-Mail-Adresse aus dem vorherigen Schritt erneut ein

    3. Vorname — Geben Sie ein Nikki

    4. Nachname — Geben Sie ein Wolf

    5. Anzeigename — Geben Sie ein Nikki Wolf

  3. Wählen Sie zweimal Weiter und dann Benutzer hinzufügen.

  4. Klicken Sie auf Close (Schließen).

Step 2.3

Schritt 2.3: Weisen Sie Nikki den in festgelegten RegionalAdmin Berechtigungen zu IAM Identity Center

Hier finden Sie die Regionen, AWS-Konto in denen Nikki die Regionen verwalten wird, und weisen ihr dann die erforderlichen Berechtigungen zu, damit sie erfolgreich auf das AWS Zugriffsportal zugreifen kann.

  1. Öffnen Sie die IAM Identity Center-Konsole.

  2. Wählen Sie unter Berechtigungen für mehrere Konten die Option. AWS-Konten

  3. Aktiviere das Kontrollkästchen neben dem Kontonamen (zum Beispiel Sandbox), für den du Nikki Zugriff auf die Verwaltung von Regionen gewähren möchtest, und wähle dann Benutzer und Gruppen zuweisen aus.

  4. Wähle auf der Seite „Benutzer und Gruppen zuweisen“ den Tab „Benutzer“, suche das Kästchen neben Nikki, markiere es und wähle dann Weiter aus.

In diesem Schritt konfigurieren Sie Ihre SAML-Verbindung mithilfe der AWS IAM Identity Center Unternehmensanwendung Microsoft Entra ID zusammen mit den externen IdP-Einstellungen in IAM Identity Center.

Step 3.1 >

Schritt 3.1: Sammeln Sie die erforderlichen Dienstanbieter-Metadaten aus dem IAM Identity Center

In diesem Schritt starten Sie den Assistenten zum Ändern der Identitätsquelle in der IAM Identity Center-Konsole und rufen die Metadatendatei und die AWS spezifische Anmelde-URL ab, die Sie bei der Konfiguration der Verbindung Microsoft Entra ID im nächsten Schritt eingeben müssen.

  1. Wählen Sie in der IAM Identity Center-Konsole Einstellungen aus.

  2. Wählen Sie auf der Seite „Einstellungen“ die Registerkarte „Identitätsquelle“ und dann „Aktionen“ > „Identitätsquelle ändern“.

  3. Wählen Sie auf der Seite Identitätsquelle auswählen die Option Externer Identitätsanbieter und dann Weiter aus.

  4. Wählen Sie auf der Seite Externen Identitätsanbieter konfigurieren unter Metadaten des Dienstanbieters die Option Metadatendatei herunterladen aus, um sie auf Ihr System herunterzuladen.

  5. Suchen Sie im selben Abschnitt den Wert für die Anmelde-URL für das AWS Access Portal und kopieren Sie ihn. Sie müssen diesen Wert eingeben, wenn Sie im nächsten Schritt dazu aufgefordert werden.

  6. Lassen Sie diese Seite geöffnet und fahren Sie mit dem nächsten Schritt (Step 3.2) fort, um die AWS IAM Identity Center Unternehmensanwendung zu konfigurierenMicrosoft Entra ID. Später kehren Sie zu dieser Seite zurück, um den Vorgang abzuschließen.

Step 3.2 >

Schritt 3.2: Konfigurieren Sie die AWS IAM Identity Center Unternehmensanwendung in Microsoft Entra ID

Dieses Verfahren stellt die Hälfte der SAML-Verbindung auf Microsoft-Seite mithilfe der Werte aus der Metadatendatei und der Anmelde-URL her, die Sie im letzten Schritt abgerufen haben.

  1. Navigieren Sie in der Microsoft Entra Admin Center-Konsole zu Identität > Anwendungen > Unternehmensanwendungen und wählen Sie AWS IAM Identity Centerdann.

  2. Wählen Sie auf der linken Seite Single Sign-On aus.

  3. Wählen Sie auf der Seite Single Sign-On mit SAML einrichten die Option Metadatendatei hochladen aus, klicken Sie auf das Ordnersymbol, wählen Sie die Metadatendatei des Dienstanbieters aus, die Sie im vorherigen Schritt heruntergeladen haben, und klicken Sie dann auf Hinzufügen.

  4. Stellen Sie auf der Seite Basic SAML Configuration sicher, dass sowohl der Identifier - als auch der Antwort-URL-Wert jetzt auf Endpunkte verweisen, die mit beginnen. AWS https://<REGION>.signin.aws.amazon.com/platform/saml/

  5. Fügen Sie unter Anmelde-URL (optional) den Wert für die Anmelde-URL für das AWS Access Portal ein, den Sie im vorherigen Schritt kopiert haben (Step 3.1), wählen Sie Speichern und dann X aus, um das Fenster zu schließen.

  6. Wenn Sie aufgefordert werden, Single Sign-On mit zu testenAWS IAM Identity Center, wählen Sie Nein, ich teste später. Sie werden diese Überprüfung in einem späteren Schritt durchführen.

  7. Wählen Sie auf der Seite Single Sign-On mit SAML einrichten im Abschnitt SAML-Zertifikate neben Federation Metadata XML die Option Herunterladen aus, um die Metadatendatei auf Ihrem System zu speichern. Sie müssen diese Datei hochladen, wenn Sie im nächsten Schritt dazu aufgefordert werden.

Step 3.3 >

Schritt 3.3: Konfigurieren Sie den Microsoft Entra ID externen IdP in AWS IAM Identity Center

Hier kehren Sie zum Assistenten zum Ändern der Identitätsquelle in der IAM Identity Center-Konsole zurück, um die zweite Hälfte der SAML-Verbindung abzuschließen. AWS

  1. Kehren Sie in der IAM Identity Center-Konsole zu der Browsersitzung zurück, die Sie geöffnet haben. Step 3.1

  2. Klicken Sie auf der Seite Externen Identitätsanbieter konfigurieren im Abschnitt Identitätsanbieter-Metadaten unter IdP-SAML-Metadaten auf die Schaltfläche Datei auswählen, wählen Sie die Identitätsanbieter-Metadatendatei aus, aus der Sie Microsoft Entra ID im vorherigen Schritt heruntergeladen haben, und wählen Sie dann Öffnen aus.

  3. Wählen Sie Weiter.

  4. Nachdem Sie den Haftungsausschluss gelesen haben und bereit sind, fortzufahren, geben Sie ihn ein. ACCEPT

  5. Wählen Sie Identitätsquelle ändern, um Ihre Änderungen zu übernehmen.

Step 3.4 >

Schritt 3.4: Testen Sie, ob Nikki zum AWS Zugangsportal weitergeleitet wird

In diesem Verfahren testen Sie die SAML-Verbindung, indem Sie sich mit den Anmeldeinformationen von Nikki beim My Account-Portal von Microsoft anmelden. Nach der Authentifizierung wählen Sie die AWS IAM Identity Center Anwendung aus, die Nikki zum Zugangsportal weiterleitet. AWS

  1. Gehen Sie zur Anmeldeseite des Portals „Mein Konto“ und geben Sie die vollständige E-Mail-Adresse von Nikki ein. Zum Beispiel NikkiWolf@ example.org.

  2. Wenn Sie dazu aufgefordert werden, geben Sie Nikkis Passwort ein und wählen Sie dann Anmelden.

  3. Wähle auf der Seite „Mein Konto“ in der linken Navigationsleiste „Meine Apps“ aus.

  4. Wählen Sie auf der Seite Meine Apps die App mit dem Namen aus AWS IAM Identity Center. Dadurch sollten Sie zu einer zusätzlichen Authentifizierung aufgefordert werden.

  5. Wählen Sie auf der Anmeldeseite von Microsoft Ihre NikkiWolf Anmeldeinformationen aus. Wenn Sie ein zweites Mal zur Authentifizierung aufgefordert werden, wählen Sie Ihre NikkiWolf Anmeldeinformationen erneut aus. Dadurch sollten Sie automatisch zum AWS Zugangsportal weitergeleitet werden.

    Tipp

    Wenn Sie nicht erfolgreich umgeleitet wurden, überprüfen Sie, ob der von Ihnen eingegebene Wert für die Anmelde-URL für das AWS Access Portal mit dem Wert Step 3.2übereinstimmt, von Step 3.1dem Sie kopiert haben.

  6. Vergewissern Sie sich, dass ein AWSKontosymbol angezeigt wird.

    Tipp

    Wenn die Seite leer ist und kein AWSKontosymbol angezeigt wird, vergewissere dich, dass Nikki dem RegionalAdminBerechtigungssatz erfolgreich zugewiesen wurde (siehe Step 2.3).

Step 3.5

Schritt 3.5: Testen Sie Nikkis Zugriffsebene, um sie zu verwalten AWS-Konto

In diesem Schritt überprüfst du, ob Nikki Zugriffsrechte hat, um die Regionseinstellungen für sie zu verwalten. AWS-Konto Nikki sollte nur über ausreichende Administratorrechte verfügen, um Regionen von der Kontoseite aus zu verwalten.

  1. Wählen Sie im AWS Zugangsportal das AWSKontosymbol, um die Liste der Konten zu erweitern. Nachdem Sie das Symbol ausgewählt haben, werden die Kontonamen, Konto-IDs und E-Mail-Adressen aller Konten angezeigt, für die Sie Berechtigungssätze definiert haben.

  2. Wählen Sie den Kontonamen (z. B. Sandbox), auf den Sie den Berechtigungssatz angewendet haben (siehe Step 2.3). Dadurch wird die Liste der Berechtigungssätze erweitert, aus denen Nikki für die Verwaltung ihres Kontos auswählen kann.

  3. RegionalAdminWählen Sie als Nächstes die Verwaltungskonsole aus, um die Rolle anzunehmen, die Sie im RegionalAdminBerechtigungssatz definiert haben. Dadurch werden Sie zur AWS Management Console Startseite weitergeleitet.

  4. Wählen Sie in der oberen rechten Ecke der Konsole Ihren Kontonamen und dann Konto aus. Dadurch gelangen Sie zur Kontoseite. Beachten Sie, dass in allen anderen Abschnitten auf dieser Seite eine Meldung angezeigt wird, dass Sie nicht über die erforderlichen Berechtigungen zum Anzeigen oder Ändern dieser Einstellungen verfügen.

  5. Scrollen Sie auf der Kontoseite nach unten zum Abschnitt AWSRegionen. Wählen Sie ein Kontrollkästchen für jede verfügbare Region in der Tabelle aus. Beachten Sie, dass Nikki über die erforderlichen Berechtigungen verfügt, um die Liste der Regionen für ihr Konto wie vorgesehen zu aktivieren oder zu deaktivieren.

Gut gemacht!

Die Schritte 1 bis 3 haben Ihnen geholfen, Ihre SAML-Verbindung erfolgreich zu implementieren und zu testen. Um das Tutorial abzuschließen, empfehlen wir Ihnen, mit Schritt 4 fortzufahren, um die automatische Bereitstellung zu implementieren.

In diesem Schritt richten Sie Microsoft Entra ID die automatische Bereitstellung (Synchronisation) von Benutzerinformationen aus dem IAM Identity Center mithilfe des SCIM v2.0-Protokolls ein. Sie konfigurieren diese Verbindung, Microsoft Entra ID indem Sie Ihren SCIM-Endpunkt für IAM Identity Center und ein Trägertoken verwenden, das automatisch von IAM Identity Center erstellt wird.

Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute Microsoft Entra ID zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und überein. Microsoft Entra ID

In den folgenden Schritten erfahren Sie, wie Sie mithilfe der IAM Identity Center-App unter die automatische Bereitstellung von Benutzern aktivierenMicrosoft Entra ID, die hauptsächlich im IAM Identity Center ansässig sind. Microsoft Entra ID

Step 4.1 >

Schritt 4.1: Erstellen Sie einen zweiten Testbenutzer in Microsoft Entra ID

Zu Testzwecken erstellen Sie einen neuen Benutzer (Richard Roe) inMicrosoft Entra ID. Später, nachdem Sie die SCIM-Synchronisierung eingerichtet haben, werden Sie testen, ob dieser Benutzer und alle relevanten Attribute erfolgreich mit IAM Identity Center synchronisiert wurden.

  1. Navigieren Sie in der Microsoft Entra Admin Center-Konsole zu Identität > Benutzer > Alle Benutzer.

  2. Wählen Sie Neuer Benutzer und dann oben auf dem Bildschirm Neuen Benutzer erstellen aus.

  3. Geben Sie RichRoeim Feld Benutzerprinzipalname Ihre bevorzugte Domain und Erweiterung ein und wählen Sie sie aus. Zum Beispiel RichRoe@ example.org.

  4. Geben RichRoeSie im Feld Anzeigename den Wert ein.

  5. Geben Sie unter Passwort ein sicheres Passwort ein oder klicken Sie auf das Augensymbol, um das automatisch generierte Passwort anzuzeigen, und kopieren Sie den angezeigten Wert entweder oder notieren Sie ihn.

  6. Wählen Sie Eigenschaften und geben Sie dann die folgenden Werte ein:

    • Vorname — Geben Sie ein Richard

    • Nachname - Geben Sie ein Roe

    • Berufsbezeichnung - Geben Sie ein Marketing Lead

    • Abteilung — Geben Sie ein Sales

    • Mitarbeiter-ID — Geben Sie ein 12345

  7. Wählen Sie Überprüfen + Erstellen und dann Erstellen.

Step 4.2 >

Schritt 4.2: Aktivieren Sie die automatische Bereitstellung im IAM Identity Center

In diesem Verfahren verwenden Sie die IAM Identity Center-Konsole, um die automatische Bereitstellung von Benutzern und Gruppen zu aktivieren, die aus dem IAM Identity Center stammenMicrosoft Entra ID.

  1. Öffnen Sie die IAM Identity Center-Konsole und wählen Sie im linken Navigationsbereich Einstellungen aus.

  2. Beachten Sie auf der Seite Einstellungen unter dem Tab Identitätsquelle, dass die Bereitstellungsmethode auf Manuell eingestellt ist.

  3. Suchen Sie das Informationsfeld Automatische Bereitstellung und wählen Sie dann Aktivieren aus. Dadurch wird die automatische Bereitstellung im IAM Identity Center sofort aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.

  4. Kopieren Sie im Dialogfeld Automatische Bereitstellung für eingehende Nachrichten die einzelnen Werte für die folgenden Optionen. Sie müssen diese im nächsten Schritt einfügen, wenn Sie die Bereitstellung in konfigurieren. Microsoft Entra ID

    1. SCIM-Endpunkt — Zum Beispiel https://scim. us-east-2 .amazonaws.com/ 111111111-2222-3333-4444-555555555555 /scim/v2/

    2. Zugriffstoken — Wählen Sie Token anzeigen, um den Wert zu kopieren.

  5. Klicken Sie auf Schließen.

  6. Beachten Sie auf der Registerkarte Identitätsquelle, dass die Bereitstellungsmethode jetzt auf SCIM eingestellt ist.

Step 4.3 >

Schritt 4.3: Konfigurieren Sie die automatische Bereitstellung in Microsoft Entra ID

Nachdem Sie Ihren RichRoe Testbenutzer eingerichtet und SCIM im IAM Identity Center aktiviert haben, können Sie mit der Konfiguration der SCIM-Synchronisierungseinstellungen unter fortfahren. Microsoft Entra ID

  1. Navigieren Sie in der Microsoft Entra Admin Center-Konsole zu Identität > Anwendungen > Unternehmensanwendungen und wählen Sie AWS IAM Identity Centerdann.

  2. Wählen Sie Provisioning und wählen Sie unter Verwalten erneut Provisioning aus.

  3. Wählen Sie im Bereitstellungsmodus die Option Automatisch aus.

  4. Fügen Sie unter Administratoranmeldedaten in das Feld Mandanten-URL den Wert für die SCIM-Endpunkt-URL ein, den Sie zuvor kopiert haben. Step 4.1 Fügen Sie in Secret Token den Wert für das Zugriffstoken ein.

  5. Wählen Sie Test Connection (Verbindung testen) aus. Es sollte eine Meldung angezeigt werden, die darauf hinweist, dass die getesteten Anmeldeinformationen erfolgreich autorisiert wurden, um die Bereitstellung zu aktivieren.

  6. Wählen Sie Speichern aus.

  7. Wählen Sie unter Verwalten die Option Benutzer und Gruppen und dann Benutzer/Gruppe hinzufügen aus.

  8. Wählen Sie auf der Seite „Zuweisung hinzufügen“ unter Benutzer die Option Keine ausgewählt aus.

  9. Wählen Sie RichRoeund wählen Sie dann Auswählen.

  10. Wählen Sie auf der Seite Add Assignment (Zuweisung hinzufügen) Assign (Zuweisen) aus.

  11. Wählen Sie Überblick und dann Bereitstellung starten aus.

Step 4.4

Schritt 4.4: Stellen Sie sicher, dass die Synchronisation stattgefunden hat

In diesem Abschnitt überprüfen Sie, ob Richards Benutzer erfolgreich bereitgestellt wurde und ob alle Attribute im IAM Identity Center angezeigt werden.

  1. Wählen Sie in der IAM Identity Center-Konsole die Option Benutzer aus.

  2. Auf der Seite „Benutzer“ sollte Ihr RichRoeBenutzer angezeigt werden. Beachten Sie, dass in der Spalte Erstellt von der Wert auf SCIM gesetzt ist.

  3. Stellen Sie RichRoeunter Profil sicher, dass die folgenden Attribute von Microsoft Entra ID kopiert wurden.

    • Vorname - Richard

    • Nachname - Roe

    • Abteilung - Sales

    • Titel - Marketing Lead

    • Mitarbeiternummer - 12345

    Nachdem Richards Benutzer nun in IAM Identity Center erstellt wurde, können Sie ihn einem beliebigen Berechtigungssatz zuweisen, sodass Sie kontrollieren können, welche Zugriffsebene er auf Ihre AWS Ressourcen hat. Sie könnten beispielsweise dem RegionalAdmin Berechtigungssatz, den Sie zuvor verwendet haben, um Nikki die Berechtigungen zur Verwaltung von Regionen zu gewähren (siehe Step 2.3), zuweisen RichRoeund dann seine Zugriffsebene damit testen. Step 3.5

Herzlichen Glückwunsch!

Sie haben erfolgreich eine SAML-Verbindung zwischen Microsoft und eingerichtet AWS und sich vergewissert, dass die automatische Bereitstellung funktioniert, um alles synchron zu halten. Jetzt können Sie das Gelernte anwenden, um Ihre Produktionsumgebung reibungsloser einzurichten.

Im Folgenden finden Sie wichtige ÜberlegungenMicrosoft Entra ID, die sich darauf auswirken können, wie Sie die automatische Bereitstellung mit IAM Identity Center in Ihrer Produktionsumgebung mithilfe des SCIM v2-Protokolls implementieren möchten.

Anmerkung

Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, sich zunächst mit diesem Thema vertraut zu machen. Überlegungen zur Verwendung der automatischen Bereitstellung

Attribute für die Zugriffskontrolle

Attribute für die Zugriffskontrolle werden in Berechtigungsrichtlinien verwendet, die festlegen, wer in Ihrer Identitätsquelle auf Ihre AWS Ressourcen zugreifen kann. Wenn ein Attribut von einem Benutzer in entfernt wirdMicrosoft Entra ID, wird dieses Attribut nicht aus dem entsprechenden Benutzer in IAM Identity Center entfernt. Dies ist eine bekannte Einschränkung inMicrosoft Entra ID. Wenn ein Attribut für einen Benutzer in einen anderen (nicht leeren) Wert geändert wird, wird diese Änderung mit IAM Identity Center synchronisiert.

Verschachtelte Gruppen

Der Microsoft Entra ID Benutzerbereitstellungsdienst kann Benutzer in verschachtelten Gruppen nicht lesen oder bereitstellen. Nur Benutzer, die unmittelbare Mitglieder einer explizit zugewiesenen Gruppe sind, können gelesen und Zugriffsberechtigungen zugewiesen werden. Microsoft Entra IDentpackt nicht rekursiv die Gruppenmitgliedschaften indirekt zugewiesener Benutzer oder Gruppen (Benutzer oder Gruppen, die Mitglieder einer direkt zugewiesenen Gruppe sind). Weitere Informationen finden Sie in der Dokumentation unter Zuweisungsbasiertes Scoping. Microsoft Entra ID

Dynamische Gruppen

Der Microsoft Entra ID Benutzerbereitstellungsdienst kann Benutzer in dynamischen Gruppen lesen und bereitstellen. Im Folgenden finden Sie ein Beispiel, das die Benutzer- und Gruppenstruktur bei der Verwendung dynamischer Gruppen und deren Anzeige im IAM Identity Center zeigt. Diese Benutzer und Gruppen wurden über SCIM aus dem Microsoft Entra ID IAM Identity Center bereitgestellt

Wenn die Microsoft Entra ID Struktur für dynamische Gruppen beispielsweise wie folgt aussieht:

  1. Gruppe A mit den Mitgliedern ua1, ua2

  2. Gruppe B mit Mitgliedern ub1

  3. Gruppe C mit Mitgliedern uc1

  4. Gruppe K mit der Regel, Mitglieder der Gruppe A, B, C einzubeziehen

  5. Gruppe L mit einer Regel, die Mitglieder der Gruppen B und C einschließt

Nachdem die Benutzer- und Gruppeninformationen über SCIM aus dem Microsoft Entra ID IAM Identity Center bereitgestellt wurden, sieht die Struktur wie folgt aus:

  1. Gruppe A mit den Mitgliedern ua1, ua2

  2. Gruppe B mit Mitgliedern ub1

  3. Gruppe C mit Mitgliedern uc1

  4. Gruppe K mit den Mitgliedern ua1, ua2, ub1, uc1

  5. Gruppe L mit den Mitgliedern ub1, uc1

Beachten Sie bei der Konfiguration der automatischen Bereitstellung mithilfe dynamischer Gruppen die folgenden Überlegungen.

  • Eine dynamische Gruppe kann eine verschachtelte Gruppe enthalten. Der Microsoft Entra ID Provisioning Service reduziert die verschachtelte Gruppe jedoch nicht. Wenn Sie beispielsweise die folgende Microsoft Entra ID Struktur für dynamische Gruppen haben:

    • Gruppe A ist der Gruppe B übergeordnet.

    • Gruppe A hat ua1 als Mitglied.

    • Gruppe B hat ub1 als Mitglied.

Die dynamische Gruppe, zu der Gruppe A gehört, umfasst nur die direkten Mitglieder der Gruppe A (d. h. ua1). Sie schließt nicht rekursiv Mitglieder der Gruppe B ein.

  • Dynamische Gruppen können keine anderen dynamischen Gruppen enthalten. Weitere Informationen finden Sie in der Microsoft Entra ID Dokumentation unter Einschränkungen der Vorschauversion.

Wenn Sie Probleme mit Microsoft Entra ID Benutzern haben, die sich nicht mit IAM Identity Center synchronisieren, liegt das möglicherweise an einem Syntaxproblem, das IAM Identity Center gemeldet hat, wenn ein neuer Benutzer zu IAM Identity Center hinzugefügt wird. Sie können dies überprüfen, indem Sie in den Microsoft Entra ID Audit-Logs nach fehlgeschlagenen Ereignissen suchen, wie z. B. 'Export' Der Statusgrund für dieses Ereignis lautet wie folgt:

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

Sie können auch AWS CloudTrail nach dem fehlgeschlagenen Ereignis suchen. Suchen Sie dazu in der Konsole „Event History“ oder CloudTrail verwenden Sie den folgenden Filter:

"eventName":"CreateUser"

Der Fehler in der CloudTrail Veranstaltung wird Folgendes bedeuten:

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

Letztlich bedeutet diese Ausnahme, dass einer der übergebenen Werte mehr Werte als erwartet Microsoft Entra ID enthielt. Die Lösung besteht darin, die Attribute des Benutzers zu überprüfen und sicherzustellenMicrosoft Entra ID, dass keine doppelten Werte enthalten. Ein häufiges Beispiel für doppelte Werte ist das Vorhandensein mehrerer Werte für Kontaktnummern wie Handy -, Geschäfts - und Faxnummern. Obwohl sie separate Werte sind, werden sie alle unter dem einzigen übergeordneten Attribut PhoneNumbers an das IAM Identity Center übergeben.

Allgemeine Tipps zur SCIM-Fehlerbehebung finden Sie unter. Behebung von Problemen mit IAM Identity Center

Nachdem Sie SAML und SCIM erfolgreich konfiguriert haben, können Sie optional die attributebasierte Zugriffskontrolle (ABAC) konfigurieren. ABAC ist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen definiert.

Mit können Sie eine der folgenden beiden Methoden verwendenMicrosoft Entra ID, um ABAC für die Verwendung mit IAM Identity Center zu konfigurieren.

Method 1

Methode 1: Konfigurieren Sie Benutzerattribute Microsoft Entra ID für die Zugriffskontrolle in IAM Identity Center

Im folgenden Verfahren legen Sie fest, welche Attribute von IAM Identity Center zur Verwaltung des Zugriffs auf Ihre AWS Ressourcen verwendet werden Microsoft Entra ID sollen. Nach der Definition werden diese Attribute über SAML-Assertionen an IAM Identity Center Microsoft Entra ID gesendet. Anschließend müssen Sie Berechtigungssatz erstellen im IAM Identity Center den Zugriff auf der Grundlage der Attribute verwalten, von denen Sie die Daten übergeben haben. Microsoft Entra ID

Bevor Sie mit diesem Verfahren beginnen, müssen Sie zunächst die Attribute für Zugriffskontrolle Funktion aktivieren. Weitere Information dazu finden Sie unter Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle.

  1. Navigieren Sie in der Microsoft Entra Admin Center-Konsole zu Identität > Anwendungen > Unternehmensanwendungen und wählen Sie AWS IAM Identity Centerdann.

  2. Klicken Sie auf Single Sign-On.

  3. Wählen Sie im Abschnitt Attribute und Ansprüche die Option Bearbeiten aus.

  4. Gehen Sie auf der Seite „Attribute und Ansprüche“ wie folgt vor:

    1. Wählen Sie Neuen Anspruch hinzufügen

    2. Geben Sie unter Name AccessControl:AttributeName ein. AttributeNameErsetzen Sie es durch den Namen des Attributs, das Sie in IAM Identity Center erwarten. Zum Beispiel AccessControl:Department.

    3. Geben Sie für Namespace https://aws.amazon.com/SAML/Attributes ein.

    4. Wählen Sie unter Source (Quelle) die Option Attribute (Attribut) aus.

    5. Verwenden Sie für das Quellattribut die Drop-down-Liste, um die Microsoft Entra ID Benutzerattribute auszuwählen. Zum Beispiel user.department.

  5. Wiederholen Sie den vorherigen Schritt für jedes Attribut, das Sie in der SAML-Assertion an das IAM Identity Center senden müssen.

  6. Wählen Sie Speichern aus.

Method 2

Methode 2: Konfigurieren Sie ABAC mithilfe von IAM Identity Center

Bei dieser Methode verwenden Sie die Attribute für Zugriffskontrolle Funktion in IAM Identity Center, um ein Attribute Element zu übergeben, dessen Name Attribut auf gesetzt ist. https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} Sie können dieses Element verwenden, um Attribute als Sitzungs-Tags in der SAML-Assertion zu übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie unter Sitzungs-Tags übergeben AWS STS im IAM-Benutzerhandbuch.

Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das AttributeValue-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar CostCenter = blue für das Tag zu übergeben:

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates Attribute Element hinzu.