Konfigurieren SAML und SCIM mit Microsoft Entra ID und IAM Identity Center

AWS IAM Identity Center unterstützt die Integration mit Security Assertion Markup Language (SAML) 2.0 sowie die automatische Bereitstellung (Synchronisation) von Benutzer- und Gruppeninformationen von Microsoft Entra ID (früher bekannt als Azure Active Directory or Azure AD) mithilfe des Systems for Cross-Domain Identity Management (SCIM) 2.0-Protokoll in IAM Identity Center.

Zielsetzung

In diesem Tutorial richten Sie ein Testlabor ein und konfigurieren eine SAML Verbindung und SCIM Bereitstellung zwischen Microsoft Entra ID und IAM Identity Center. Während der ersten Vorbereitungsschritte erstellen Sie in beiden Fällen einen Testbenutzer (Nikki Wolf) Microsoft Entra ID und IAM Identity Center, mit dem Sie die SAML Verbindung in beide Richtungen testen werden. Später, im Rahmen der SCIM Schritte, erstellen Sie einen anderen Testbenutzer (Richard Roe), um die neuen Attribute in zu überprüfen Microsoft Entra ID werden wie erwartet mit IAM Identity Center synchronisiert.

Voraussetzungen

Bevor Sie mit diesem Tutorial beginnen können, müssen Sie zunächst Folgendes einrichten:

• A Microsoft Entra ID Mieter. Weitere Informationen finden Sie unter Schnellstart: Einen Mandanten einrichten in Microsoft -Dokumentation.

• Ein AWS IAM Identity Center-aktiviertes Konto. Weitere Informationen finden Sie unter IAMIdentity Center aktivieren im AWS IAM Identity Center Benutzerhandbuch.

Überlegungen

Im Folgenden finden Sie wichtige Überlegungen zu Microsoft Entra ID das kann sich darauf auswirken, wie Sie die automatische Bereitstellung mit IAM Identity Center in Ihrer Produktionsumgebung mithilfe des SCIM v2-Protokolls implementieren möchten.

Automatische Bereitstellung

Bevor Sie mit der Bereitstellung beginnenSCIM, empfehlen wir Ihnen, dies zunächst zu überprüfenÜberlegungen zur Verwendung der automatischen Bereitstellung.

Attribute für die Zugriffskontrolle

Attribute für die Zugriffskontrolle werden in Berechtigungsrichtlinien verwendet, die festlegen, wer in Ihrer Identitätsquelle auf Ihre AWS Ressourcen zugreifen kann. Wenn ein Attribut von einem Benutzer entfernt wird in Microsoft Entra ID, wird dieses Attribut nicht vom entsprechenden Benutzer in IAM Identity Center entfernt. Dies ist eine bekannte Einschränkung in Microsoft Entra ID. Wenn ein Attribut für einen Benutzer in einen anderen (nicht leeren) Wert geändert wird, wird diese Änderung mit IAM Identity Center synchronisiert.

Verschachtelte Gruppen

Das Tool Microsoft Entra ID Der Benutzerbereitstellungsdienst kann Benutzer in verschachtelten Gruppen nicht lesen oder bereitstellen. Nur Benutzer, die unmittelbare Mitglieder einer explizit zugewiesenen Gruppe sind, können gelesen und Zugriffsberechtigungen zugewiesen werden. Microsoft Entra ID entpackt nicht rekursiv die Gruppenmitgliedschaften indirekt zugewiesener Benutzer oder Gruppen (Benutzer oder Gruppen, die Mitglieder einer direkt zugewiesenen Gruppe sind). Weitere Informationen finden Sie unter Zuweisungsbasiertes Scoping im Microsoft -Dokumentation. Alternativ können Sie IAMIdentity Center ID AD Sync zur Integration verwenden Active Directory Gruppen mit IAM Identity Center.

Dynamische Gruppen

Das Tool Microsoft Entra ID Der Benutzerbereitstellungsdienst kann Benutzer in dynamischen Gruppen lesen und bereitstellen. Im Folgenden finden Sie ein Beispiel, das die Benutzer- und Gruppenstruktur bei der Verwendung dynamischer Gruppen zeigt und zeigt, wie sie in IAM Identity Center angezeigt werden. Diese Benutzer und Gruppen wurden bereitgestellt von Microsoft Entra ID in IAM Identity Center über SCIM

Zum Beispiel, wenn Microsoft Entra ID Die Struktur für dynamische Gruppen sieht wie folgt aus:

1. Gruppe A mit den Mitgliedern ua1, ua2

2. Gruppe B mit Mitgliedern ub1

3. Gruppe C mit Mitgliedern uc1

4. Gruppe K mit der Regel, Mitglieder der Gruppe A, B, C einzubeziehen

5. Gruppe L mit einer Regel, die Mitglieder der Gruppen B und C einschließt

Nachdem die Benutzer- und Gruppeninformationen bereitgestellt wurden von Microsoft Entra ID durch IAM Identity Center SCIM wird die Struktur wie folgt aussehen:

1. Gruppe A mit den Mitgliedern ua1, ua2

2. Gruppe B mit Mitgliedern ub1

3. Gruppe C mit Mitgliedern uc1

4. Gruppe K mit den Mitgliedern ua1, ua2, ub1, uc1

5. Gruppe L mit den Mitgliedern ub1, uc1

Beachten Sie bei der Konfiguration der automatischen Bereitstellung mithilfe dynamischer Gruppen die folgenden Überlegungen.

• Eine dynamische Gruppe kann eine verschachtelte Gruppe enthalten. Jedoch Microsoft Entra ID Der Provisioning Service reduziert die verschachtelte Gruppe nicht. Wenn Sie beispielsweise Folgendes haben Microsoft Entra ID Struktur für dynamische Gruppen:

  • Gruppe A ist der Gruppe B übergeordnet.

  • Gruppe A hat ua1 als Mitglied.

  • Gruppe B hat ub1 als Mitglied.

Die dynamische Gruppe, zu der Gruppe A gehört, umfasst nur die direkten Mitglieder der Gruppe A (d. h. ua1). Sie schließt nicht rekursiv Mitglieder der Gruppe B ein.

• Dynamische Gruppen können keine anderen dynamischen Gruppen enthalten. Weitere Informationen finden Sie unter Einschränkungen der Vorschau in der Microsoft -Dokumentation.

Schritt 1: Bereiten Sie Ihren Microsoft-Mandanten vor

In diesem Schritt erfahren Sie, wie Sie Ihre AWS IAM Identity Center Unternehmensanwendung installieren und konfigurieren und einer neu erstellten Anwendung Zugriff zuweisen Microsoft Entra ID Testbenutzer.

Step 1.1 >

Schritt 1.1: Richten Sie die AWS IAM Identity Center Unternehmensanwendung ein in Microsoft Entra ID

In diesem Verfahren installieren Sie die AWS IAM Identity Center Unternehmensanwendung in Microsoft Entra ID. Sie benötigen diese Anwendung später, um Ihre SAML Verbindung mit zu konfigurieren AWS.

1. Melden Sie sich mindestens als Cloud-Anwendungsadministrator im Microsoft Entra Admin Center an.

2. Navigieren Sie zu Identität > Anwendungen > Unternehmensanwendungen und wählen Sie dann Neue Anwendung aus.

3. Geben Sie auf der Seite Microsoft Entra Gallery durchsuchen AWS IAM Identity Centerin das Suchfeld ein.

4. Wählen Sie AWS IAM Identity Centeraus den Ergebnissen aus.

5. Wählen Sie Create (Erstellen) aus.

Step 1.2 >

Schritt 1.2: Erstellen Sie einen Testbenutzer in Microsoft Entra ID

Nikki Wolf ist der Name von dir Microsoft Entra ID Testbenutzer, den Sie in diesem Verfahren erstellen werden.

1. Navigieren Sie in der Microsoft Entra Admin Center-Konsole zu Identität > Benutzer > Alle Benutzer.

2. Wählen Sie Neuer Benutzer und dann oben auf dem Bildschirm Neuen Benutzer erstellen aus.

3. Geben Sie NikkiWolfim Feld Benutzerprinzipalname Ihre bevorzugte Domain und Erweiterung ein und wählen Sie sie aus. Zum Beispiel NikkiWolf@example.org.

4. Geben Sie im Feld Anzeigename den Wert ein NikkiWolf.

5. Geben Sie unter Passwort ein sicheres Passwort ein oder klicken Sie auf das Augensymbol, um das automatisch generierte Passwort anzuzeigen, und kopieren Sie den angezeigten Wert oder notieren Sie ihn.

6. Wählen Sie Eigenschaften und geben Sie im Feld Vorname den Text ein Nikki. Geben Sie im Feld Nachname den Wert ein Wolf.

7. Wählen Sie Überprüfen + Erstellen und dann Erstellen aus.

Step 1.3

Schritt 1.3: Testen Sie Nikkis Erfahrung, bevor Sie ihr die Berechtigungen zuweisen AWS IAM Identity Center

In diesem Verfahren überprüfen Sie, was Nikki erfolgreich in ihrem Microsoft My Account-Portal anmelden kann.

1. Öffnen Sie im selben Browser eine neue Registerkarte, rufen Sie die Anmeldeseite des Portals Mein Konto auf und geben Sie die vollständige E-Mail-Adresse von Nikki ein. Zum Beispiel @ NikkiWolfexample.org.

2. Wenn du dazu aufgefordert wirst, gib Nikkis Passwort ein und wähle dann Anmelden. Wenn es sich um ein automatisch generiertes Passwort handelt, werden Sie aufgefordert, das Passwort zu ändern.

3. Wählen Sie auf der Seite Aktion erforderlich die Option Später fragen aus, um die Aufforderung zur Angabe zusätzlicher Sicherheitsmethoden zu umgehen.

4. Wählen Sie auf der Seite Mein Konto im linken Navigationsbereich Meine Apps aus. Beachten Sie, dass außer Add-ins derzeit keine Apps angezeigt werden. Sie werden eine AWS IAM Identity CenterApp hinzufügen, die in einem späteren Schritt hier angezeigt wird.

Step 1.4

Schritt 1.4: Weisen Sie Nikki Berechtigungen zu in Microsoft Entra ID

Nachdem Sie nun verifiziert haben, dass Nikki erfolgreich auf das Portal Mein Konto zugreifen kann, gehen Sie wie folgt vor, um ihren Benutzer der AWS IAM Identity CenterApp zuzuweisen.

1. Navigieren Sie in der Microsoft Entra Admin Center-Konsole zu Identität > Anwendungen > Unternehmensanwendungen und wählen Sie dann AWS IAM Identity Centeraus der Liste aus.

2. Wählen Sie auf der linken Seite Benutzer und Gruppen aus.

3. Wählen Sie Add user/group (Benutzer/Gruppe hinzufügen) aus. Sie können die Meldung ignorieren, dass Gruppen nicht zugewiesen werden können. In diesem Tutorial werden keine Gruppen für Aufgaben verwendet.

4. Wählen Sie auf der Seite Zuweisung hinzufügen unter Benutzer die Option Keine ausgewählt aus.

5. Wählen Sie NikkiWolfund wählen Sie dann Auswählen.

6. Wählen Sie auf der Seite „Zuweisung hinzufügen“ die Option „Zuweisen“. NikkiWolf erscheint jetzt in der Liste der Benutzer, die der AWS IAM Identity CenterApp zugewiesen sind.

Schritt 2: Bereiten Sie Ihr AWS Konto vor

In diesem Schritt erfahren Sie, wie Sie es verwenden IAM Identity Centerum Zugriffsberechtigungen (über einen Berechtigungssatz) zu konfigurieren, erstellen Sie manuell eine entsprechende Nikki Wolf-Benutzerin und weisen Sie ihr die erforderlichen Berechtigungen für die Verwaltung von Ressourcen zu. AWS

Step 2.1 >

Schritt 2.1: Erstellen Sie einen RegionalAdmin Berechtigungssatz in IAM Identity Center

Dieser Berechtigungssatz wird verwendet, um Nikki die erforderlichen AWS Kontoberechtigungen zu gewähren, die für die Verwaltung von Regionen auf der Kontoseite innerhalb von erforderlich sind. AWS Management Console Alle anderen Berechtigungen zum Anzeigen oder Verwalten anderer Informationen für Nikkis Konto sind standardmäßig verweigert.

1. Öffnen Sie die IAMIdentity Center-Konsole.

2. Wählen Sie unter Berechtigungen für mehrere Konten die Option Berechtigungssätze aus.

3. Wählen Sie Create permission set (Berechtigungssatz erstellen) aus.

4. Wählen Sie auf der Seite Berechtigungssatztyp auswählen die Option Benutzerdefinierter Berechtigungssatz und dann Weiter aus.

5. Wählen Sie Inline-Richtlinie aus, um sie zu erweitern, und erstellen Sie dann mithilfe der folgenden Schritte eine Richtlinie für den Berechtigungssatz:

   1. Wählen Sie Neue Erklärung hinzufügen, um eine Richtlinienerklärung zu erstellen.

   2. Wählen Sie unter Kontoauszug bearbeiten die Option Konto aus der Liste aus und aktivieren Sie dann die folgenden Kontrollkästchen.

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

   3. Wählen Sie neben Eine Ressource hinzufügen die Option Hinzufügen aus.

   4. Wählen Sie auf der Seite Ressource hinzufügen unter Ressourcentyp die Option Alle Ressourcen und dann Ressource hinzufügen aus. Vergewissern Sie sich, dass Ihre Richtlinie wie folgt aussieht:

      {
          "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": [
                      "account:ListRegions",
                      "account:DisableRegion",
                      "account:EnableRegion",
                      "account:GetRegionOptStatus"
                  ],
                  "Resource": [
                      "*"
                  ]
              }
          ]
      }

6. Wählen Sie Weiter.

7. Geben Sie auf der Seite Details zum Berechtigungssatz angeben unter Name des Berechtigungssatzes die Eingabe ein RegionalAdmin, und wählen Sie dann Weiter aus.

8. Wählen Sie auf der Seite Überprüfen und erstellen die Option Erstellen aus. In der Liste der Berechtigungssätze sollte diese Option RegionalAdminangezeigt werden.

Step 2.2 >

Schritt 2.2: Erstellen Sie einen entsprechenden NikkiWolf Benutzer in IAM Identity Center

Da das SAML Protokoll keinen Mechanismus zur Abfrage des IdP bietet (Microsoft Entra ID) und automatisch Benutzer hier in IAM Identity Center erstellen. Gehen Sie wie folgt vor, um manuell einen Benutzer in IAM Identity Center zu erstellen, der die Kernattribute von Nikki Wolfs Benutzer in widerspiegelt Microsoft Entra ID.

1. Öffnen Sie die IAMIdentity Center-Konsole.

2. Wählen Sie Benutzer und Benutzer hinzufügen aus, und geben Sie dann die folgenden Informationen ein:

   1. Geben Sie sowohl für den Benutzernamen als auch für die E-Mail-Adresse dasselbe NikkiWolf @ einyourcompanydomain.extensiondas Sie bei der Erstellung Ihres verwendet haben Microsoft Entra ID Benutzer. Zum Beispiel NikkiWolf@example.org.

   2. E-Mail-Adresse bestätigen — Geben Sie die E-Mail-Adresse aus dem vorherigen Schritt erneut ein

   3. Vorname — Geben Sie ein Nikki

   4. Nachname — Geben Sie ein Wolf

   5. Anzeigename — Geben Sie ein Nikki Wolf

3. Wählen Sie zweimal Weiter und dann Benutzer hinzufügen.

4. Klicken Sie auf Close (Schließen).

Step 2.3

Schritt 2.3: Weisen Sie Nikki den in festgelegten RegionalAdmin Berechtigungen zu IAM Identity Center

Hier finden Sie die Regionen, AWS-Konto in denen Nikki die Regionen verwalten wird, und weisen ihr dann die erforderlichen Berechtigungen zu, damit sie erfolgreich auf das AWS Zugriffsportal zugreifen kann.

1. Öffnen Sie die IAMIdentity Center-Konsole.

2. Wählen Sie unter Berechtigungen für mehrere Konten die Option AWS-Konten.

3. Aktivieren Sie das Kontrollkästchen neben dem Kontonamen (z. B. Sandbox), wo du Nikki Zugriff auf die Verwaltung von Regionen gewähren möchtest, und wähle dann Benutzer und Gruppen zuweisen.

4. Wähle auf der Seite „Benutzer und Gruppen zuweisen“ den Tab „Benutzer“, suche das Kästchen neben Nikki, markiere es und wähle dann Weiter aus.

Schritt 3: Konfiguriere und teste deine Verbindung SAML

In diesem Schritt konfigurieren Sie Ihre SAML Verbindung mithilfe der AWS IAM Identity Center Unternehmensanwendung in Microsoft Entra ID zusammen mit den externen IdP-Einstellungen in IAM Identity Center.

Step 3.1 >

Schritt 3.1: Sammeln Sie die erforderlichen Metadaten des Dienstanbieters aus IAM Identity Center

In diesem Schritt starten Sie den Assistenten zum Ändern der Identitätsquelle von der IAM Identity Center-Konsole aus und rufen die Metadatendatei und die AWS spezifische Anmeldung ab, die URL Sie bei der Konfiguration der Verbindung mit eingeben müssen Microsoft Entra ID im nächsten Schritt.

1. Wählen Sie in der IAMIdentity Center-Konsole Einstellungen aus.

2. Wählen Sie auf der Seite „Einstellungen“ die Registerkarte „Identitätsquelle“ und dann „Aktionen“ > „Identitätsquelle ändern“.

3. Wählen Sie auf der Seite Identitätsquelle auswählen die Option Externer Identitätsanbieter und dann Weiter aus.

4. Wählen Sie auf der Seite Externen Identitätsanbieter konfigurieren unter Metadaten des Dienstanbieters die Option Metadatendatei herunterladen aus, um die XML Datei herunterzuladen.

5. Suchen Sie im selben Abschnitt den URLAnmeldewert für das AWS Access Portal und kopieren Sie ihn. Sie müssen diesen Wert eingeben, wenn Sie im nächsten Schritt dazu aufgefordert werden.

6. Lassen Sie diese Seite geöffnet und fahren Sie mit dem nächsten Schritt (Step 3.2) fort, um die AWS IAM Identity Center Unternehmensanwendung in zu konfigurieren Microsoft Entra ID. Später kehren Sie zu dieser Seite zurück, um den Vorgang abzuschließen.

Step 3.2 >

Schritt 3.2: Konfigurieren Sie die AWS IAM Identity Center Unternehmensanwendung in Microsoft Entra ID

Dieses Verfahren stellt die Hälfte der SAML Verbindung auf Microsoft-Seite mithilfe der Werte aus der Metadatendatei und Sign-On her, die URL Sie im letzten Schritt erhalten haben.

1. Navigieren Sie in der Microsoft Entra Admin Center-Konsole zu Identität > Anwendungen > Unternehmensanwendungen und wählen Sie AWS IAM Identity Centerdann.

2. Wählen Sie auf der linken Seite 2 aus. Richten Sie Single Sign-On ein.

3. Wählen Sie auf der SAML Seite Single Sign-On einrichten mit. SAML Wählen Sie dann Metadatendatei hochladen, klicken Sie auf das Ordnersymbol, wählen Sie die Dienstanbieter-Metadatendatei aus, die Sie im vorherigen Schritt heruntergeladen haben, und klicken Sie dann auf Hinzufügen.

4. Stellen Sie auf der Seite „SAMLGrundkonfiguration“ sicher, dass sowohl der Identifier - als auch der URLReply-Wert jetzt auf Endpunkte verweisen AWS , die mit https://<REGION>.signin.aws.amazon.com/platform/saml/ beginnen.

5. Fügen Sie unter Anmelden URL (optional) den URLAnmeldewert für das AWS Access Portal ein, den Sie im vorherigen Schritt kopiert haben (Step 3.1), wählen Sie Speichern und dann X aus, um das Fenster zu schließen.

6. Wenn Sie aufgefordert werden, Single Sign-On mit zu testen AWS IAM Identity Center, wählen Sie Nein, ich teste später. Sie werden diese Überprüfung in einem späteren Schritt durchführen.

7. Wählen Sie auf der SAML Seite Single Sign-On einrichten mit im Abschnitt SAMLZertifikate neben Federation Metadata die Option Herunterladen ausXML, um die Metadatendatei auf Ihrem System zu speichern. Sie müssen diese Datei hochladen, wenn Sie im nächsten Schritt dazu aufgefordert werden.

Step 3.3 >

Schritt 3.3: Konfigurieren Sie den Microsoft Entra ID externer IdP in AWS IAM Identity Center

Hier kehren Sie zum Assistenten zum Ändern der Identitätsquelle in der IAM Identity Center-Konsole zurück, um die zweite Hälfte der SAML Verbindung abzuschließen. AWS

1. Kehren Sie zu der Browsersitzung zurück, die Sie Step 3.1in der IAM Identity Center-Konsole geöffnet haben.

2. Klicken Sie auf der Seite Externen Identitätsanbieter konfigurieren im Abschnitt Identitätsanbieter-Metadaten unter SAMLIdP-Metadaten auf die Schaltfläche Datei auswählen und wählen Sie die Identitätsanbieter-Metadatendatei aus, von der Sie heruntergeladen haben Microsoft Entra ID im vorherigen Schritt und wählen Sie dann Öffnen aus.

3. Wählen Sie Weiter.

4. Nachdem Sie den Haftungsausschluss gelesen haben und bereit sind, fortzufahren, geben Sie ein ACCEPT.

5. Wählen Sie Identitätsquelle ändern, um Ihre Änderungen zu übernehmen.

Step 3.4 >

Schritt 3.4: Testen Sie, ob Nikki zum AWS Zugangsportal weitergeleitet wird

In diesem Verfahren testen Sie die SAML Verbindung, indem Sie sich mit den Anmeldeinformationen von Nikki beim My Account-Portal von Microsoft anmelden. Nach der Authentifizierung wählen Sie die AWS IAM Identity Center Anwendung aus, die Nikki zum Zugangsportal weiterleitet. AWS

1. Gehen Sie zur Anmeldeseite des Portals „Mein Konto“ und geben Sie die vollständige E-Mail-Adresse von Nikki ein. Zum Beispiel @ NikkiWolfexample.org.

2. Wenn du dazu aufgefordert wirst, gib Nikkis Passwort ein und wähle dann Anmelden.

3. Wählen Sie auf der Seite Mein Konto im linken Navigationsbereich Meine Apps aus.

4. Wählen Sie auf der Seite Meine Apps die App mit dem Namen aus AWS IAM Identity Center. Dadurch sollten Sie zu einer zusätzlichen Authentifizierung aufgefordert werden.

5. Wählen Sie auf der Anmeldeseite von Microsoft Ihre NikkiWolf Anmeldeinformationen aus. Wenn Sie ein zweites Mal zur Authentifizierung aufgefordert werden, wählen Sie Ihre NikkiWolf Anmeldeinformationen erneut aus. Dadurch sollten Sie automatisch zum AWS Zugangsportal weitergeleitet werden.

   Tipp

   Wenn Sie nicht erfolgreich umgeleitet wurden, überprüfen Sie, ob der von Ihnen eingegebene URLAnmeldewert für das AWS Access Portal mit dem Wert Step 3.2übereinstimmt, von Step 3.1dem Sie kopiert haben.

6. Vergewissern Sie sich, dass Ihr AWS-Konten Display angezeigt wird.

   Tipp

   Wenn die Seite leer ist und keine AWS-Konten Anzeige angezeigt wird, vergewissern Sie sich, dass Nikki dem RegionalAdminBerechtigungssatz erfolgreich zugewiesen wurde (siehe Step 2.3).

Step 3.5

Schritt 3.5: Testen Sie Nikkis Zugriffsrechte, um sie zu verwalten AWS-Konto

In diesem Schritt überprüfst du, ob Nikki Zugriffsrechte hat, um die Regionseinstellungen für sie zu verwalten. AWS-Konto Nikki sollte nur über ausreichende Administratorrechte verfügen, um Regionen von der Kontoseite aus zu verwalten.

1. Wählen Sie im AWS Zugangsportal die Registerkarte Konten, um die Liste der Konten anzuzeigen. Die KontonamenIDs, Konten und E-Mail-Adressen aller Konten, für die Sie Berechtigungssätze definiert haben, werden angezeigt.

2. Wählen Sie den Kontonamen (zum Beispiel Sandbox) wo Sie den Berechtigungssatz angewendet haben (siehe Step 2.3). Dadurch wird die Liste der Berechtigungssätze erweitert, aus denen Nikki für die Verwaltung ihres Kontos auswählen kann.

3. RegionalAdminWählen Sie als Nächstes die Verwaltungskonsole aus, um die Rolle anzunehmen, die Sie im RegionalAdminBerechtigungssatz definiert haben. Dadurch werden Sie zur AWS Management Console Startseite weitergeleitet.

4. Wählen Sie in der oberen rechten Ecke der Konsole Ihren Kontonamen und dann Konto aus. Dadurch gelangen Sie zur Kontoseite. Beachten Sie, dass in allen anderen Abschnitten auf dieser Seite eine Meldung angezeigt wird, dass Sie nicht über die erforderlichen Berechtigungen zum Anzeigen oder Ändern dieser Einstellungen verfügen.

5. Scrollen Sie auf der Kontoseite nach unten zum Abschnitt AWS Regionen. Wählen Sie ein Kontrollkästchen für jede verfügbare Region in der Tabelle aus. Beachten Sie, dass Nikki über die erforderlichen Berechtigungen verfügt, um die Liste der Regionen für ihr Konto wie vorgesehen zu aktivieren oder zu deaktivieren.

Gut gemacht!

Die Schritte 1 bis 3 haben Ihnen geholfen, Ihre SAML Verbindung erfolgreich zu implementieren und zu testen. Um das Tutorial abzuschließen, empfehlen wir Ihnen, mit Schritt 4 fortzufahren, um die automatische Bereitstellung zu implementieren.

Schritt 4: Konfigurieren und testen Sie Ihre Synchronisation SCIM

In diesem Schritt richten Sie die automatische Bereitstellung (Synchronisation) von Benutzerinformationen von ein Microsoft Entra ID mithilfe des SCIM v2.0-Protokolls in IAM Identity Center. Sie konfigurieren diese Verbindung in Microsoft Entra ID indem Sie Ihren SCIM Endpunkt für IAM Identity Center und ein Bearer-Token verwenden, das automatisch von IAM Identity Center erstellt wird.

Wenn Sie die SCIM Synchronisation konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute in Microsoft Entra ID zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und überein Microsoft Entra ID.

In den folgenden Schritten erfahren Sie, wie Sie die automatische Bereitstellung von Benutzern aktivieren, die hauptsächlich in Microsoft Entra ID zu IAM Identity Center mithilfe der IAM Identity Center-App in Microsoft Entra ID.

Step 4.1 >

Schritt 4.1: Erstellen Sie einen zweiten Testbenutzer in Microsoft Entra ID

Zu Testzwecken erstellen Sie einen neuen Benutzer (Richard Roe) in Microsoft Entra ID. Später, nachdem Sie die SCIM Synchronisation eingerichtet haben, werden Sie testen, ob dieser Benutzer und alle relevanten Attribute erfolgreich mit IAM Identity Center synchronisiert wurden.

1. Navigieren Sie in der Microsoft Entra Admin Center-Konsole zu Identität > Benutzer > Alle Benutzer.

2. Wählen Sie Neuer Benutzer und dann oben auf dem Bildschirm Neuen Benutzer erstellen aus.

3. Geben Sie RichRoeim Feld Benutzerprinzipalname Ihre bevorzugte Domain und Erweiterung ein und wählen Sie sie aus. Zum Beispiel RichRoe@example.org.

4. Geben Sie im Feld Anzeigename den Wert ein RichRoe.

5. Geben Sie unter Passwort ein sicheres Passwort ein oder klicken Sie auf das Augensymbol, um das automatisch generierte Passwort anzuzeigen, und kopieren Sie den angezeigten Wert oder notieren Sie ihn.

6. Wählen Sie Eigenschaften und geben Sie dann die folgenden Werte ein:

   • Vorname — Geben Sie ein Richard

   • Nachname - Geben Sie ein Roe

   • Berufsbezeichnung - Geben Sie ein Marketing Lead

   • Abteilung — Geben Sie ein Sales

   • Mitarbeiter-ID — Geben Sie ein 12345

7. Wählen Sie Überprüfen + Erstellen und dann Erstellen.

Step 4.2 >

Schritt 4.2: Aktivieren Sie die automatische Bereitstellung in IAM Identity Center

In diesem Verfahren verwenden Sie die IAM Identity Center-Konsole, um die automatische Bereitstellung von Benutzern und Gruppen zu aktivieren, die von Microsoft Entra ID in IAM Identity Center.

1. Öffnen Sie die IAMIdentity Center-Konsole und wählen Sie im linken Navigationsbereich Einstellungen.

2. Beachten Sie auf der Seite Einstellungen unter dem Tab Identitätsquelle, dass die Bereitstellungsmethode auf Manuell eingestellt ist.

3. Suchen Sie das Informationsfeld Automatische Bereitstellung und wählen Sie dann Aktivieren aus. Dadurch wird sofort die automatische Bereitstellung in IAM Identity Center aktiviert und die erforderlichen SCIM Endpunkt- und Zugriffstoken-Informationen werden angezeigt.

4. Kopieren Sie im Dialogfeld Automatische Bereitstellung für eingehende Nachrichten jeden der Werte für die folgenden Optionen. Sie müssen diese im nächsten Schritt einfügen, wenn Sie die Bereitstellung in konfigurieren Microsoft Entra ID.

   1. SCIMEndpunkt — Zum Beispiel https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

   2. Zugriffstoken — Wählen Sie Token anzeigen, um den Wert zu kopieren.

   Warnung

   Dies ist das einzige Mal, dass Sie den SCIM Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren.

5. Klicken Sie auf Close (Schließen).

6. Beachten Sie auf der Registerkarte Identitätsquelle, dass die Bereitstellungsmethode jetzt auf SCIMeingestellt ist.

Step 4.3 >

Schritt 4.3: Konfigurieren Sie die automatische Bereitstellung in Microsoft Entra ID

Nachdem Sie Ihren RichRoe Testbenutzer eingerichtet und ihn SCIM in IAM Identity Center aktiviert haben, können Sie mit der Konfiguration der SCIM Synchronisierungseinstellungen in fortfahren Microsoft Entra ID.

1. Navigieren Sie in der Microsoft Entra Admin Center-Konsole zu Identität > Anwendungen > Unternehmensanwendungen und wählen Sie AWS IAM Identity Centerdann.

2. Wählen Sie Provisioning und wählen Sie unter Verwalten erneut Provisioning aus.

3. Wählen Sie im Bereitstellungsmodus die Option Automatisch aus.

4. URLFügen Sie unter Administratoranmeldedaten im Feld Mandant den SCIMURLEndpunktwert ein, den Sie zuvor kopiert haben. Step 4.2 Fügen Sie in Secret Token den Wert für das Zugriffstoken ein.

5. Wählen Sie Test Connection (Verbindung testen) aus. Es sollte eine Meldung angezeigt werden, die darauf hinweist, dass die getesteten Anmeldeinformationen erfolgreich autorisiert wurden, um die Bereitstellung zu aktivieren.

6. Wählen Sie Save (Speichern) aus.

7. Wählen Sie unter Verwalten die Option Benutzer und Gruppen und dann Benutzer/Gruppe hinzufügen aus.

8. Wählen Sie auf der Seite „Zuweisung hinzufügen“ unter Benutzer die Option Keine ausgewählt aus.

9. Wählen Sie RichRoeund wählen Sie dann Auswählen.

10. Wählen Sie auf der Seite Add Assignment (Zuweisung hinzufügen) Assign (Zuweisen) aus.

11. Wählen Sie Überblick und dann Bereitstellung starten aus.

Step 4.4

Schritt 4.4: Stellen Sie sicher, dass die Synchronisation stattgefunden hat

In diesem Abschnitt überprüfen Sie, ob Richards Benutzer erfolgreich bereitgestellt wurde und ob alle Attribute in IAM Identity Center angezeigt werden.

1. Wählen Sie in der IAMIdentity Center-Konsole Benutzer aus.

2. Auf der Benutzerseite sollte Ihr RichRoeBenutzer angezeigt werden. Beachten Sie, dass in der Spalte Erstellt von der Wert auf gesetzt ist SCIM.

3. Wählen Sie RichRoeunter Profil aus, ob die folgenden Attribute von kopiert wurden Microsoft Entra ID.

   • Vorname - Richard

   • Nachname - Roe

   • Abteilung - Sales

   • Titel - Marketing Lead

   • Mitarbeiternummer - 12345

   Nachdem Richards Benutzer nun in IAM Identity Center erstellt wurde, können Sie ihn einem beliebigen Berechtigungssatz zuweisen, sodass Sie kontrollieren können, welche Zugriffsebene er auf Ihre AWS Ressourcen hat. Sie könnten beispielsweise dem RegionalAdmin Berechtigungssatz, den Sie zuvor verwendet haben, um Nikki die Berechtigungen zur Verwaltung von Regionen zu gewähren (siehe Step 2.3), zuweisen RichRoeund dann seine Zugriffsebene damit testen. Step 3.5

Herzlichen Glückwunsch!

Sie haben erfolgreich eine SAML Verbindung zwischen Microsoft und eingerichtet AWS und sich vergewissert, dass die automatische Bereitstellung funktioniert, um alles synchron zu halten. Jetzt können Sie das Gelernte anwenden, um Ihre Produktionsumgebung reibungsloser einzurichten.

Schritt 5: (Optional) Konfigurieren ABAC

Nachdem Sie die Konfiguration SAML erfolgreich abgeschlossen habenSCIM, können Sie optional wählen, ob Sie die attributbasierte Zugriffskontrolle konfigurieren möchten (). ABAC ABACist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen definiert.

Mit Microsoft Entra ID, Sie können eine der beiden folgenden Methoden verwenden, um die Konfiguration ABAC für die Verwendung mit IAM Identity Center vorzunehmen.

Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center

Konfigurieren Sie Benutzerattribute in Microsoft Entra ID für die Zugriffskontrolle im IAM Identity Center

Im folgenden Verfahren bestimmen Sie, welche Attribute in Microsoft Entra ID sollte von IAM Identity Center verwendet werden, um den Zugriff auf Ihre AWS Ressourcen zu verwalten. Einmal definiert Microsoft Entra ID sendet diese Attribute über SAML Assertions an IAM Identity Center. Anschließend müssen Sie Berechtigungssatz erstellen in IAM Identity Center den Zugriff auf der Grundlage der Attribute verwalten, von denen Sie übergeben haben Microsoft Entra ID.

Bevor Sie mit diesem Verfahren beginnen, müssen Sie zunächst die Attribute für Zugriffskontrolle Funktion aktivieren. Weitere Information dazu finden Sie unter Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle.

1. Navigieren Sie in der Microsoft Entra Admin Center-Konsole zu Identität > Anwendungen > Unternehmensanwendungen und wählen Sie AWS IAM Identity Centerdann.

2. Klicken Sie auf Single Sign-On.

3. Wählen Sie im Abschnitt Attribute und Ansprüche die Option Bearbeiten aus.

4. Gehen Sie auf der Seite „Attribute und Ansprüche“ wie folgt vor:

   1. Wählen Sie Neuen Anspruch hinzufügen

   2. Geben Sie unter Name AccessControl:AttributeName ein. Ersetzen AttributeName mit dem Namen des Attributs, das Sie in IAM Identity Center erwarten. Beispiel, AccessControl:Department.

   3. Geben Sie für Namespace https://aws.amazon.com/SAML/Attributes ein.

   4. Wählen Sie unter Source (Quelle) die Option Attribute (Attribut) aus.

   5. Verwenden Sie für das Quellattribut die Drop-down-Liste, um Folgendes auszuwählen Microsoft Entra ID Benutzerattribute. Beispiel, user.department.

5. Wiederholen Sie den vorherigen Schritt für jedes Attribut, das Sie in der SAML Assertion an IAM Identity Center senden müssen.

6. Wählen Sie Save (Speichern) aus.

Configure ABAC using IAM Identity Center

Konfiguration ABAC mithilfe von IAM Identity Center

Bei dieser Methode verwenden Sie die Attribute für Zugriffskontrolle Funktion in IAM Identity Center, um ein Attribute Element zu übergeben, dessen Name Attribut auf gesetzt isthttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Sie können dieses Element verwenden, um Attribute als Sitzungs-Tags in der SAML Assertion zu übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie AWS STS im IAMBenutzerhandbuch unter Übergeben von Sitzungs-Tags.

Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das AttributeValue-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar Department=billing für das Tag zu übergeben:

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates Attribute Element hinzu.

Fehlerbehebung

Für allgemeine Informationen SCIM und SAML zur Fehlerbehebung mit Microsoft Entra ID siehe die folgenden Abschnitte.

• Synchronisierungsprobleme mit Microsoft Entra ID und IAM Identity Center

• Bestimmte Benutzer können sich von einem externen SCIM Anbieter nicht mit IAM Identity Center synchronisieren

• Probleme mit dem Inhalt von SAML Assertions, die von IAM Identity Center erstellt wurden

Probleme bei der Synchronisation mit Microsoft Entra ID und IAM Identity Center

Wenn Sie Probleme haben mit Microsoft Entra ID Benutzer, die nicht mit IAM Identity Center synchronisieren, liegt möglicherweise an einem Syntaxproblem, das IAM Identity Center gemeldet hat, wenn ein neuer Benutzer zu IAM Identity Center hinzugefügt wird. Sie können dies überprüfen, indem Sie das Microsoft Entra ID Auditprotokolle für fehlgeschlagene Ereignisse, wie z. B. ein'Export'. Der Statusgrund für dieses Ereignis lautet wie folgt:

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

Sie können auch AWS CloudTrail nach dem fehlgeschlagenen Ereignis suchen. Suchen Sie dazu in der Konsole „Event History“ oder CloudTrail verwenden Sie den folgenden Filter:

"eventName":"CreateUser"

Der Fehler in der CloudTrail Veranstaltung wird Folgendes bedeuten:

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

Letztlich bedeutet diese Ausnahme, dass einer der Werte übergeben wurde von Microsoft Entra ID enthielt mehr Werte als erwartet. Die Lösung besteht darin, die Eigenschaften des Benutzers in zu überprüfen Microsoft Entra ID, um sicherzustellen, dass keiner doppelte Werte enthält. Ein häufiges Beispiel für doppelte Werte ist das Vorhandensein mehrerer Werte für Kontaktnummern wie Handy -, Geschäfts - und Faxnummern. Obwohl sie separate Werte sind, werden sie alle unter dem Attribut Single Parent an IAM Identity Center übergeben phoneNumbers.

Allgemeine Tipps SCIM zur Problembehandlung finden Sie unter Problembehandlung.

Weitere Ressourcen

• Allgemeine Tipps SCIM zur Problembehebung finden Sie unterBehebung von Problemen mit IAM Identity Center.

• Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Microsoft Entra ID Problembehebung finden Sie unter Microsoft Dokumentation.

• Weitere Informationen zum Verbund zwischen mehreren AWS-Konten finden Sie unter Sichern AWS-Konten mit Azure Active Directory Federation.

Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit helfen AWS:

• AWS re:Post- Hier finden Sie weitere Ressourcen FAQs und Links zu diesen, die Ihnen bei der Behebung von Problemen helfen.

• AWS Support- Holen Sie sich technischen Support