Konfigurieren Sie SAML und SCIM mit Microsoft Entra ID und IAM Identity Center

PDFRSS

AWS IAM Identity Center unterstützt die Integration mit Security Assertion Markup Language (SAML) 2.0 sowie die automatische Bereitstellung (Synchronisation) von Benutzer- und Gruppeninformationen von Microsoft Entra ID (früher bekannt als Azure Active Directory or Azure AD) mithilfe des SCIM 2.0-Protokolls (System for Cross-Domain Identity Management) in das IAM Identity Center. Weitere Informationen finden Sie unter Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern.

Zielsetzung

In diesem Tutorial richten Sie ein Testlabor ein und konfigurieren eine SAML-Verbindung und SCIM-Bereitstellung zwischen Microsoft Entra ID und IAM Identity Center. Während der ersten Vorbereitungsschritte erstellen Sie in beiden Fällen einen Testbenutzer (Nikki Wolf) Microsoft Entra ID und IAM Identity Center, mit dem Sie die SAML-Verbindung in beide Richtungen testen werden. Später, im Rahmen der SCIM-Schritte, erstellen Sie einen anderen Testbenutzer (Richard Roe), um zu überprüfen, ob die neuen Attribute in Microsoft Entra ID werden wie erwartet mit dem IAM Identity Center synchronisiert.

Voraussetzungen

Bevor Sie mit diesem Tutorial beginnen können, müssen Sie zunächst Folgendes einrichten:

• A Microsoft Entra ID Mieter. Weitere Informationen finden Sie unter Schnellstart: Einen Mandanten einrichten in Microsoft -Dokumentation.

• Ein AWS IAM Identity Center-aktiviertes Konto. Weitere Informationen finden Sie unter Aktivieren von IAM Identity Center im AWS IAM Identity Center Benutzerhandbuch.

Überlegungen

Im Folgenden finden Sie wichtige Überlegungen zu Microsoft Entra ID das kann sich darauf auswirken, wie Sie die automatische Bereitstellung mit IAM Identity Center in Ihrer Produktionsumgebung mithilfe des SCIM v2-Protokolls implementieren möchten.

Automatische Bereitstellung

Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, dies zunächst zu überprüfen. Überlegungen zur Verwendung der automatischen Bereitstellung

Attribute für die Zugriffskontrolle

Attribute für die Zugriffskontrolle werden in Berechtigungsrichtlinien verwendet, die festlegen, wer in Ihrer Identitätsquelle auf Ihre AWS Ressourcen zugreifen kann. Wenn ein Attribut von einem Benutzer entfernt wird in Microsoft Entra ID, wird dieses Attribut nicht vom entsprechenden Benutzer in IAM Identity Center entfernt. Dies ist eine bekannte Einschränkung in Microsoft Entra ID. Wenn ein Attribut für einen Benutzer in einen anderen (nicht leeren) Wert geändert wird, wird diese Änderung mit IAM Identity Center synchronisiert.

Verschachtelte Gruppen

Das Tool Microsoft Entra ID Der Benutzerbereitstellungsdienst kann Benutzer in verschachtelten Gruppen nicht lesen oder bereitstellen. Nur Benutzer, die unmittelbare Mitglieder einer explizit zugewiesenen Gruppe sind, können gelesen und Zugriffsberechtigungen zugewiesen werden. Microsoft Entra ID entpackt nicht rekursiv die Gruppenmitgliedschaften indirekt zugewiesener Benutzer oder Gruppen (Benutzer oder Gruppen, die Mitglieder einer direkt zugewiesenen Gruppe sind). Weitere Informationen finden Sie unter Zuweisungsbasiertes Scoping im Microsoft -Dokumentation. Alternativ können Sie IAM Identity Center ID AD Sync zur Integration verwenden Active Directory Gruppen mit IAM Identity Center.

Dynamische Gruppen

Das Tool Microsoft Entra ID Der Benutzerbereitstellungsdienst kann Benutzer in dynamischen Gruppen lesen und bereitstellen. Im Folgenden finden Sie ein Beispiel, das die Benutzer- und Gruppenstruktur bei der Verwendung dynamischer Gruppen zeigt und zeigt, wie sie im IAM Identity Center angezeigt werden. Diese Benutzer und Gruppen wurden von bereitgestellt Microsoft Entra ID über SCIM in das IAM Identity Center

Zum Beispiel, wenn Microsoft Entra ID Die Struktur für dynamische Gruppen sieht wie folgt aus:

1. Gruppe A mit den Mitgliedern ua1, ua2

2. Gruppe B mit Mitgliedern ub1

3. Gruppe C mit Mitgliedern uc1

4. Gruppe K mit der Regel, Mitglieder der Gruppe A, B, C einzubeziehen

5. Gruppe L mit einer Regel, die Mitglieder der Gruppen B und C einschließt

Nachdem die Benutzer- und Gruppeninformationen bereitgestellt wurden von Microsoft Entra ID über SCIM in das IAM Identity Center wird die Struktur wie folgt aussehen:

1. Gruppe A mit den Mitgliedern ua1, ua2

2. Gruppe B mit Mitgliedern ub1

3. Gruppe C mit Mitgliedern uc1

4. Gruppe K mit den Mitgliedern ua1, ua2, ub1, uc1

5. Gruppe L mit den Mitgliedern ub1, uc1

Beachten Sie bei der Konfiguration der automatischen Bereitstellung mithilfe dynamischer Gruppen die folgenden Überlegungen.

• Eine dynamische Gruppe kann eine verschachtelte Gruppe enthalten. Jedoch Microsoft Entra ID Durch den Bereitstellungsdienst wird die verschachtelte Gruppe nicht reduziert. Wenn Sie beispielsweise Folgendes haben Microsoft Entra ID Struktur für dynamische Gruppen:

  • Gruppe A ist der Gruppe B übergeordnet.

  • Gruppe A hat ua1 als Mitglied.

  • Gruppe B hat ub1 als Mitglied.

Die dynamische Gruppe, zu der Gruppe A gehört, umfasst nur die direkten Mitglieder der Gruppe A (d. h. ua1). Sie schließt nicht rekursiv Mitglieder der Gruppe B ein.

• Dynamische Gruppen können keine anderen dynamischen Gruppen enthalten. Weitere Informationen finden Sie unter Einschränkungen der Vorschau in der Microsoft -Dokumentation.

Schritt 1: Bereiten Sie Ihren Microsoft-Mandanten vor

In diesem Schritt erfahren Sie, wie Sie Ihre AWS IAM Identity Center Unternehmensanwendung installieren und konfigurieren und einer neu erstellten Anwendung Zugriff zuweisen Microsoft Entra ID Testbenutzer.

Step 1.1 >

Schritt 1.1: Richten Sie die AWS IAM Identity Center Unternehmensanwendung ein in Microsoft Entra ID

In diesem Verfahren installieren Sie die AWS IAM Identity Center Unternehmensanwendung in Microsoft Entra ID. Sie benötigen diese Anwendung später, um Ihre SAML-Verbindung mit AWS zu konfigurieren.

1. Melden Sie sich mindestens als Cloud-Anwendungsadministrator im Microsoft Entra Admin Center an.

2. Navigieren Sie zu Identität > Anwendungen > Unternehmensanwendungen und wählen Sie dann Neue Anwendung aus.

3. Geben Sie auf der Seite Microsoft Entra Gallery durchsuchen AWS IAM Identity Centerin das Suchfeld ein.

4. Wählen Sie AWS IAM Identity Centeraus den Ergebnissen aus.

5. Wählen Sie Create (Erstellen) aus.

Step 1.2 >

Schritt 1.2: Erstellen Sie einen Testbenutzer in Microsoft Entra ID

Nikki Wolf ist der Name von dir Microsoft Entra ID Testbenutzer, den Sie in diesem Verfahren erstellen werden.

1. Navigieren Sie in der Microsoft Entra Admin Center-Konsole zu Identität > Benutzer > Alle Benutzer.

2. Wählen Sie Neuer Benutzer und dann oben auf dem Bildschirm die Option Neuen Benutzer erstellen aus.

3. Geben Sie NikkiWolfim Feld Benutzerprinzipalname Ihre bevorzugte Domain und Erweiterung ein und wählen Sie sie aus. Zum Beispiel NikkiWolf@example.org.

4. Geben Sie im Feld Anzeigename den Wert ein NikkiWolf.

5. Geben Sie unter Passwort ein sicheres Passwort ein oder klicken Sie auf das Augensymbol, um das automatisch generierte Passwort anzuzeigen, und kopieren Sie den angezeigten Wert entweder oder notieren Sie ihn.

6. Wählen Sie Eigenschaften und geben Sie im Feld Vorname den Text ein Nikki. Geben Sie im Feld Nachname den Wert ein Wolf.

7. Wählen Sie Überprüfen + Erstellen und dann Erstellen aus.

Step 1.3

Schritt 1.3: Testen Sie Nikkis Erfahrung, bevor Sie ihr die Berechtigungen zuweisen AWS IAM Identity Center

In diesem Verfahren überprüfen Sie, was Nikki erfolgreich in ihrem Microsoft My Account-Portal anmelden kann.

1. Öffnen Sie im selben Browser eine neue Registerkarte, rufen Sie die Anmeldeseite des Portals Mein Konto auf und geben Sie die vollständige E-Mail-Adresse von Nikki ein. Zum Beispiel @. NikkiWolfexample.org

2. Wenn Sie dazu aufgefordert werden, geben Sie Nikkis Passwort ein und wählen Sie dann Anmelden. Wenn es sich um ein automatisch generiertes Passwort handelt, werden Sie aufgefordert, das Passwort zu ändern.

3. Wählen Sie auf der Seite Aktion erforderlich die Option Später fragen aus, um die Aufforderung zur Angabe zusätzlicher Sicherheitsmethoden zu umgehen.

4. Wählen Sie auf der Seite Mein Konto im linken Navigationsbereich Meine Apps aus. Beachten Sie, dass außer Add-ins derzeit keine Apps angezeigt werden. Sie werden eine AWS IAM Identity CenterApp hinzufügen, die in einem späteren Schritt hier angezeigt wird.

Step 1.4

Schritt 1.4: Weisen Sie Nikki Berechtigungen zu in Microsoft Entra ID

Nachdem Sie nun verifiziert haben, dass Nikki erfolgreich auf das Portal Mein Konto zugreifen kann, gehen Sie wie folgt vor, um ihren Benutzer der AWS IAM Identity CenterApp zuzuweisen.

1. Navigieren Sie in der Microsoft Entra Admin Center-Konsole zu Identität > Anwendungen > Unternehmensanwendungen und wählen Sie dann AWS IAM Identity Centeraus der Liste aus.

2. Wählen Sie auf der linken Seite Benutzer und Gruppen aus.

3. Wählen Sie Add user/group (Benutzer/Gruppe hinzufügen) aus. Sie können die Meldung ignorieren, dass Gruppen nicht zugewiesen werden können. In diesem Tutorial werden keine Gruppen für Aufgaben verwendet.

4. Wählen Sie auf der Seite Zuweisung hinzufügen unter Benutzer die Option Keine ausgewählt aus.

5. Wählen Sie NikkiWolfund wählen Sie dann Auswählen.

6. Wählen Sie auf der Seite „Zuweisung hinzufügen“ die Option „Zuweisen“. NikkiWolf erscheint jetzt in der Liste der Benutzer, die der AWS IAM Identity CenterApp zugewiesen sind.

Schritt 2: Bereiten Sie Ihr AWS Konto vor

In diesem Schritt erfahren Sie, wie Sie es verwenden IAM Identity Centerum Zugriffsberechtigungen (über einen Berechtigungssatz) zu konfigurieren, erstellen Sie manuell eine entsprechende Nikki Wolf-Benutzerin und weisen Sie ihr die erforderlichen Berechtigungen für die Verwaltung von Ressourcen zu. AWS

Step 2.1 >

Schritt 2.1: Erstellen Sie einen RegionalAdmin Berechtigungssatz in IAM Identity Center

Dieser Berechtigungssatz wird verwendet, um Nikki die erforderlichen AWS Kontoberechtigungen zu gewähren, die für die Verwaltung von Regionen auf der Kontoseite innerhalb von erforderlich sind. AWS Management Console Alle anderen Berechtigungen zum Anzeigen oder Verwalten anderer Informationen für Nikkis Konto sind standardmäßig verweigert.

1. Öffnen Sie die IAM-Identity-Center-Konsole.

2. Wähle unter Berechtigungen für mehrere Konten die Option Berechtigungssätze aus.

3. Wählen Sie Create permission set (Berechtigungssatz erstellen) aus.

4. Wählen Sie auf der Seite Berechtigungssatztyp auswählen die Option Benutzerdefinierter Berechtigungssatz und dann Weiter aus.

5. Wählen Sie Inline-Richtlinie aus, um sie zu erweitern, und erstellen Sie dann mithilfe der folgenden Schritte eine Richtlinie für den Berechtigungssatz:

   1. Wählen Sie Neue Erklärung hinzufügen aus, um eine Richtlinienerklärung zu erstellen.

   2. Wählen Sie unter Kontoauszug bearbeiten die Option Konto aus der Liste aus und aktivieren Sie dann die folgenden Kontrollkästchen.

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

   3. Wählen Sie neben Eine Ressource hinzufügen die Option Hinzufügen aus.

   4. Wählen Sie auf der Seite Ressource hinzufügen unter Ressourcentyp die Option Alle Ressourcen und dann Ressource hinzufügen aus. Vergewissern Sie sich, dass Ihre Richtlinie wie folgt aussieht:

      {
          "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": [
                      "account:ListRegions",
                      "account:DisableRegion",
                      "account:EnableRegion",
                      "account:GetRegionOptStatus"
                  ],
                  "Resource": [
                      "*"
                  ]
              }
          ]
      }

6. Wählen Sie Weiter.

7. Geben Sie auf der Seite Details zum Berechtigungssatz angeben unter Name des Berechtigungssatzes die Eingabe ein RegionalAdmin, und wählen Sie dann Weiter aus.

8. Wählen Sie auf der Seite Überprüfen und erstellen die Option Erstellen aus. In der Liste der Berechtigungssätze sollte diese Option RegionalAdminangezeigt werden.

Step 2.2 >

Schritt 2.2: Erstellen Sie einen entsprechenden NikkiWolf Benutzer in IAM Identity Center

Da das SAML-Protokoll keinen Mechanismus zur Abfrage des IdP bietet (Microsoft Entra ID) und automatisch Benutzer hier in IAM Identity Center erstellen. Gehen Sie wie folgt vor, um manuell einen Benutzer in IAM Identity Center zu erstellen, der die Kernattribute von Nikki Wolfs Benutzer in widerspiegelt Microsoft Entra ID.

1. Öffnen Sie die IAM-Identity-Center-Konsole.

2. Wählen Sie Benutzer aus, wählen Sie Benutzer hinzufügen und geben Sie dann die folgenden Informationen ein:

   1. Sowohl für den Benutzernamen als auch für die E-Mail-Adresse — Geben Sie dasselbe NikkiWolf@ einyourcompanydomain.extension, das Sie bei der Erstellung Ihres Microsoft Entra ID Benutzer. Zum Beispiel NikkiWolf@example.org.

   2. E-Mail-Adresse bestätigen — Geben Sie die E-Mail-Adresse aus dem vorherigen Schritt erneut ein

   3. Vorname — Geben Sie ein Nikki

   4. Nachname — Geben Sie ein Wolf

   5. Anzeigename — Geben Sie ein Nikki Wolf

3. Wählen Sie zweimal „Weiter“ und anschließend „Benutzer hinzufügen“.

4. Klicken Sie auf Close (Schließen).

Step 2.3

Schritt 2.3: Weisen Sie Nikki den in festgelegten RegionalAdmin Berechtigungen zu IAM Identity Center

Hier finden Sie die Regionen, AWS-Konto in denen Nikki die Regionen verwalten wird, und weisen ihr dann die erforderlichen Berechtigungen zu, damit sie erfolgreich auf das AWS Zugriffsportal zugreifen kann.

1. Öffnen Sie die IAM-Identity-Center-Konsole.

2. Wählen Sie unter Berechtigungen für mehrere Konten die Option. AWS-Konten

3. Markiere das Kästchen neben dem Kontonamen (zum BeispielSandbox), für den du Nikki Zugriff auf die Verwaltung von Regionen gewähren möchtest, und wähle dann Benutzer und Gruppen zuweisen aus.

4. Wähle auf der Seite „Benutzer und Gruppen zuweisen“ den Tab „Benutzer“, suche das Kästchen neben Nikki, markiere es und wähle dann Weiter aus.

Schritt 3: Konfigurieren und testen Sie Ihre SAML-Verbindung

In diesem Schritt konfigurieren Sie Ihre SAML-Verbindung mithilfe der AWS IAM Identity Center Unternehmensanwendung in Microsoft Entra ID zusammen mit den externen IdP-Einstellungen im IAM Identity Center.

Step 3.1 >

Schritt 3.1: Sammeln Sie die erforderlichen Service-Provider-Metadaten aus dem IAM Identity Center

In diesem Schritt starten Sie den Assistenten zum Ändern der Identitätsquelle in der IAM Identity Center-Konsole und rufen die Metadatendatei und die AWS spezifische Anmelde-URL ab, die Sie bei der Konfiguration der Verbindung eingeben müssen Microsoft Entra ID im nächsten Schritt.

1. Wählen Sie in der IAM Identity Center-Konsole Einstellungen aus.

2. Wählen Sie auf der Seite „Einstellungen“ die Registerkarte „Identitätsquelle“ und dann „Aktionen“ > „Identitätsquelle ändern“.

3. Wählen Sie auf der Seite Identitätsquelle auswählen die Option Externer Identitätsanbieter und dann Weiter aus.

4. Wählen Sie auf der Seite Externen Identitätsanbieter konfigurieren unter Metadaten des Dienstanbieters die Option Metadatendatei herunterladen aus, um die XML-Datei herunterzuladen.

5. Suchen Sie im selben Abschnitt den Wert für die Anmelde-URL für das AWS Access Portal und kopieren Sie ihn. Sie müssen diesen Wert eingeben, wenn Sie im nächsten Schritt dazu aufgefordert werden.

6. Lassen Sie diese Seite geöffnet und fahren Sie mit dem nächsten Schritt (Step 3.2) fort, um die AWS IAM Identity Center Unternehmensanwendung zu konfigurieren Microsoft Entra ID. Später kehren Sie zu dieser Seite zurück, um den Vorgang abzuschließen.

Step 3.2 >

Schritt 3.2: Konfigurieren Sie die AWS IAM Identity Center Unternehmensanwendung in Microsoft Entra ID

Dieses Verfahren stellt die Hälfte der SAML-Verbindung auf Microsoft-Seite mithilfe der Werte aus der Metadatendatei und der Anmelde-URL her, die Sie im letzten Schritt abgerufen haben.

1. Navigieren Sie in der Microsoft Entra Admin Center-Konsole zu Identität > Anwendungen > Unternehmensanwendungen und wählen Sie AWS IAM Identity Centerdann.

2. Wählen Sie auf der linken Seite 2 aus. Richten Sie Single Sign-On ein.

3. Wählen Sie auf der Seite Single Sign-On mit SAML einrichten die Option SAML aus. Wählen Sie dann Metadatendatei hochladen, klicken Sie auf das Ordnersymbol, wählen Sie die Metadatendatei des Dienstanbieters aus, die Sie im vorherigen Schritt heruntergeladen haben, und klicken Sie dann auf Hinzufügen.

4. Vergewissern Sie sich auf der Seite Basic SAML Configuration, dass sowohl der Identifier - als auch der Antwort-URL-Wert jetzt auf Endpunkte verweisen AWS , die mit beginnen. https://<REGION>.signin.aws.amazon.com/platform/saml/

5. Fügen Sie unter Anmelde-URL (optional) den Wert für die Anmelde-URL für das AWS Access Portal ein, den Sie im vorherigen Schritt kopiert haben (Step 3.1), wählen Sie Speichern und dann X aus, um das Fenster zu schließen.

6. Wenn Sie aufgefordert werden, Single Sign-On mit zu testen AWS IAM Identity Center, wählen Sie Nein, ich teste später. Sie werden diese Überprüfung in einem späteren Schritt durchführen.

7. Wählen Sie auf der Seite Single Sign-On mit SAML einrichten im Abschnitt SAML-Zertifikate neben Federation Metadata XML die Option Herunterladen aus, um die Metadatendatei auf Ihrem System zu speichern. Sie müssen diese Datei hochladen, wenn Sie im nächsten Schritt dazu aufgefordert werden.

Step 3.3 >

Schritt 3.3: Konfigurieren Sie den Microsoft Entra ID externer IdP in AWS IAM Identity Center

Hier kehren Sie zum Assistenten zum Ändern der Identitätsquelle in der IAM Identity Center-Konsole zurück, um die zweite Hälfte der SAML-Verbindung in abzuschließen. AWS

1. Kehren Sie in der IAM Identity Center-Konsole zu der Browsersitzung zurück, die Sie geöffnet haben. Step 3.1

2. Klicken Sie auf der Seite Externen Identitätsanbieter konfigurieren im Abschnitt Identitätsanbieter-Metadaten unter IdP-SAML-Metadaten auf die Schaltfläche Datei auswählen und wählen Sie die Identitätsanbieter-Metadatendatei aus, von der Sie heruntergeladen haben Microsoft Entra ID im vorherigen Schritt und wählen Sie dann Öffnen.

3. Wählen Sie Weiter.

4. Nachdem Sie den Haftungsausschluss gelesen haben und bereit sind, fortzufahren, geben Sie ein ACCEPT.

5. Wählen Sie Identitätsquelle ändern, um Ihre Änderungen zu übernehmen.

Step 3.4 >

Schritt 3.4: Testen Sie, ob Nikki zum AWS Zugangsportal weitergeleitet wird

In diesem Verfahren testen Sie die SAML-Verbindung, indem Sie sich mit den Anmeldeinformationen von Nikki beim My Account-Portal von Microsoft anmelden. Nach der Authentifizierung wählen Sie die AWS IAM Identity Center Anwendung aus, die Nikki zum Zugangsportal weiterleitet. AWS

1. Gehen Sie zur Anmeldeseite des Portals „Mein Konto“ und geben Sie die vollständige E-Mail-Adresse von Nikki ein. Zum Beispiel NikkiWolf@example.org.

2. Wenn Sie dazu aufgefordert werden, geben Sie Nikkis Passwort ein und wählen Sie dann Anmelden.

3. Wählen Sie auf der Seite Mein Konto im linken Navigationsbereich Meine Apps aus.

4. Wählen Sie auf der Seite Meine Apps die App mit dem Namen aus AWS IAM Identity Center. Dadurch sollten Sie zu einer zusätzlichen Authentifizierung aufgefordert werden.

5. Wählen Sie auf der Anmeldeseite von Microsoft Ihre NikkiWolf Anmeldeinformationen aus. Wenn Sie ein zweites Mal zur Authentifizierung aufgefordert werden, wählen Sie Ihre NikkiWolf Anmeldeinformationen erneut aus. Dadurch sollten Sie automatisch zum AWS Zugangsportal weitergeleitet werden.

   Tipp

   Wenn Sie nicht erfolgreich umgeleitet wurden, überprüfen Sie, ob der von Ihnen eingegebene Wert für die Anmelde-URL für das AWS Access Portal mit dem Wert Step 3.2übereinstimmt, von Step 3.1dem Sie kopiert haben.

6. Vergewissern Sie sich, dass Ihr AWS-Konten Display angezeigt wird.

   Tipp

   Wenn die Seite leer ist und keine AWS-Konten Anzeige angezeigt wird, vergewissern Sie sich, dass Nikki dem RegionalAdminBerechtigungssatz erfolgreich zugewiesen wurde (siehe Step 2.3).

Step 3.5

Schritt 3.5: Testen Sie Nikkis Zugriffsebene, um sie zu verwalten AWS-Konto

In diesem Schritt überprüfst du, ob Nikki über die Zugriffsrechte verfügt, um die Regionseinstellungen für sie zu verwalten. AWS-Konto Nikki sollte nur über ausreichende Administratorrechte verfügen, um Regionen von der Kontoseite aus zu verwalten.

1. Wählen Sie im AWS Zugangsportal die Registerkarte Konten, um die Liste der Konten anzuzeigen. Die Kontonamen IDs, Konten und E-Mail-Adressen aller Konten, für die Sie Berechtigungssätze definiert haben, werden angezeigt.

2. Wählen Sie den Kontonamen (z. B.Sandbox), auf den Sie den Berechtigungssatz angewendet haben (siehe Step 2.3). Dadurch wird die Liste der Berechtigungssätze erweitert, aus denen Nikki für die Verwaltung ihres Kontos auswählen kann.

3. RegionalAdminWählen Sie als Nächstes die Verwaltungskonsole aus, um die Rolle anzunehmen, die Sie im RegionalAdminBerechtigungssatz definiert haben. Dadurch werden Sie zur AWS Management Console Startseite weitergeleitet.

4. Wählen Sie in der oberen rechten Ecke der Konsole Ihren Kontonamen und dann Konto aus. Dadurch gelangen Sie zur Kontoseite. Beachten Sie, dass in allen anderen Abschnitten auf dieser Seite eine Meldung angezeigt wird, dass Sie nicht über die erforderlichen Berechtigungen zum Anzeigen oder Ändern dieser Einstellungen verfügen.

5. Scrollen Sie auf der Kontoseite nach unten zum Abschnitt AWS Regionen. Wählen Sie ein Kontrollkästchen für jede verfügbare Region in der Tabelle aus. Beachten Sie, dass Nikki über die erforderlichen Berechtigungen verfügt, um die Liste der Regionen für ihr Konto wie vorgesehen zu aktivieren oder zu deaktivieren.

Gut gemacht!

Die Schritte 1 bis 3 haben Ihnen geholfen, Ihre SAML-Verbindung erfolgreich zu implementieren und zu testen. Um das Tutorial abzuschließen, empfehlen wir Ihnen, mit Schritt 4 fortzufahren, um die automatische Bereitstellung zu implementieren.

Schritt 4: Konfigurieren und testen Sie Ihre SCIM-Synchronisierung

In diesem Schritt richten Sie die automatische Bereitstellung (Synchronisation) von Benutzerinformationen von ein Microsoft Entra ID mithilfe des SCIM v2.0-Protokolls in das IAM Identity Center. Sie konfigurieren diese Verbindung in Microsoft Entra ID indem Sie Ihren SCIM-Endpunkt für IAM Identity Center und ein Bearer-Token verwenden, das automatisch von IAM Identity Center erstellt wird.

Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute in Microsoft Entra ID zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und Microsoft Entra ID.

In den folgenden Schritten erfahren Sie, wie Sie die automatische Bereitstellung von Benutzern aktivieren, die hauptsächlich in Microsoft Entra ID zu IAM Identity Center mithilfe der IAM Identity Center-App in Microsoft Entra ID.

Step 4.1 >

Schritt 4.1: Erstellen Sie einen zweiten Testbenutzer in Microsoft Entra ID

Zu Testzwecken erstellen Sie einen neuen Benutzer (Richard Roe) in Microsoft Entra ID. Später, nachdem Sie die SCIM-Synchronisierung eingerichtet haben, werden Sie testen, ob dieser Benutzer und alle relevanten Attribute erfolgreich mit IAM Identity Center synchronisiert wurden.

1. Navigieren Sie in der Microsoft Entra Admin Center-Konsole zu Identität > Benutzer > Alle Benutzer.

2. Wählen Sie Neuer Benutzer und dann oben auf dem Bildschirm die Option Neuen Benutzer erstellen aus.

3. Geben Sie RichRoeim Feld Benutzerprinzipalname Ihre bevorzugte Domain und Erweiterung ein und wählen Sie sie aus. Zum Beispiel RichRoe@example.org.

4. Geben Sie im Feld Anzeigename den Wert ein RichRoe.

5. Geben Sie unter Passwort ein sicheres Passwort ein oder klicken Sie auf das Augensymbol, um das automatisch generierte Passwort anzuzeigen, und kopieren Sie den angezeigten Wert entweder oder notieren Sie ihn.

6. Wählen Sie Eigenschaften und geben Sie dann die folgenden Werte ein:

   • Vorname — Geben Sie ein Richard

   • Nachname - Geben Sie ein Roe

   • Berufsbezeichnung - Geben Sie ein Marketing Lead

   • Abteilung — Geben Sie ein Sales

   • Mitarbeiter-ID — Geben Sie ein 12345

7. Wählen Sie Überprüfen + Erstellen und dann Erstellen.

Step 4.2 >

Schritt 4.2: Aktivieren Sie die automatische Bereitstellung im IAM Identity Center

In diesem Verfahren verwenden Sie die IAM Identity Center-Konsole, um die automatische Bereitstellung von Benutzern und Gruppen zu aktivieren, die von Microsoft Entra ID in das IAM Identity Center.

1. Öffnen Sie die IAM Identity Center-Konsole und wählen Sie im linken Navigationsbereich Einstellungen aus.

2. Beachten Sie auf der Seite Einstellungen unter dem Tab Identitätsquelle, dass die Bereitstellungsmethode auf Manuell eingestellt ist.

3. Suchen Sie das Informationsfeld Automatische Bereitstellung und wählen Sie dann Aktivieren aus. Dadurch wird die automatische Bereitstellung im IAM Identity Center sofort aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.

4. Kopieren Sie im Dialogfeld Automatische Bereitstellung für eingehende Nachrichten die einzelnen Werte für die folgenden Optionen. Sie müssen diese im nächsten Schritt einfügen, wenn Sie die Bereitstellung konfigurieren Microsoft Entra ID.

   1. SCIM-Endpunkt — Zum Beispiel https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

   2. Zugriffstoken — Wählen Sie Token anzeigen, um den Wert zu kopieren.

   Warnung

   Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren.

5. Klicken Sie auf Close (Schließen).

6. Beachten Sie auf der Registerkarte Identitätsquelle, dass die Bereitstellungsmethode jetzt auf SCIM eingestellt ist.

Step 4.3 >

Schritt 4.3: Konfigurieren Sie die automatische Bereitstellung in Microsoft Entra ID

Nachdem Sie Ihren RichRoe Testbenutzer eingerichtet und SCIM im IAM Identity Center aktiviert haben, können Sie mit der Konfiguration der SCIM-Synchronisierungseinstellungen in fortfahren Microsoft Entra ID.

1. Navigieren Sie in der Microsoft Entra Admin Center-Konsole zu Identität > Anwendungen > Unternehmensanwendungen und wählen Sie AWS IAM Identity Centerdann.

2. Wählen Sie Provisioning und wählen Sie unter Verwalten erneut Provisioning aus.

3. Wählen Sie im Bereitstellungsmodus die Option Automatisch aus.

4. Fügen Sie unter Administratoranmeldedaten in das Feld Mandanten-URL den Wert für die SCIM-Endpunkt-URL ein, den Sie zuvor kopiert haben. Step 4.2 Fügen Sie in Secret Token den Wert für das Zugriffstoken ein.

5. Wählen Sie Test Connection (Verbindung testen) aus. Es sollte eine Meldung angezeigt werden, die darauf hinweist, dass die getesteten Anmeldeinformationen erfolgreich autorisiert wurden, um die Bereitstellung zu aktivieren.

6. Wählen Sie Save (Speichern) aus.

7. Wählen Sie unter Verwalten die Option Benutzer und Gruppen und dann Benutzer/Gruppe hinzufügen aus.

8. Wählen Sie auf der Seite „Zuweisung hinzufügen“ unter Benutzer die Option Keine ausgewählt aus.

9. Wählen Sie RichRoeund wählen Sie dann Auswählen.

10. Wählen Sie auf der Seite Add Assignment (Zuweisung hinzufügen) Assign (Zuweisen) aus.

11. Wählen Sie Überblick und dann Bereitstellung starten aus.

Step 4.4

Schritt 4.4: Stellen Sie sicher, dass die Synchronisation stattgefunden hat

In diesem Abschnitt überprüfen Sie, ob Richards Benutzer erfolgreich bereitgestellt wurde und ob alle Attribute im IAM Identity Center angezeigt werden.

1. Wählen Sie in der IAM Identity Center-Konsole die Option Benutzer aus.

2. Auf der Benutzerseite sollte Ihr RichRoeBenutzer angezeigt werden. Beachten Sie, dass in der Spalte Erstellt von der Wert auf SCIM gesetzt ist.

3. Stellen Sie RichRoeunter Profil sicher, dass die folgenden Attribute von kopiert wurden Microsoft Entra ID.

   • Vorname - Richard

   • Nachname - Roe

   • Abteilung - Sales

   • Titel - Marketing Lead

   • Mitarbeiternummer - 12345

   Nachdem Richards Benutzer nun in IAM Identity Center erstellt wurde, können Sie ihn einem beliebigen Berechtigungssatz zuweisen, sodass Sie kontrollieren können, welche Zugriffsebene er auf Ihre AWS Ressourcen hat. Sie könnten beispielsweise dem RegionalAdmin Berechtigungssatz, den Sie zuvor verwendet haben, um Nikki die Berechtigungen zur Verwaltung von Regionen zu gewähren (siehe Step 2.3), zuweisen RichRoeund dann seine Zugriffsebene damit testen. Step 3.5

Herzlichen Glückwunsch!

Sie haben erfolgreich eine SAML-Verbindung zwischen Microsoft und eingerichtet AWS und sich vergewissert, dass die automatische Bereitstellung funktioniert, um alles synchron zu halten. Jetzt können Sie das Gelernte anwenden, um Ihre Produktionsumgebung reibungsloser einzurichten.

Schritt 5: ABAC konfigurieren — optional

Nachdem Sie SAML und SCIM erfolgreich konfiguriert haben, können Sie optional die attributebasierte Zugriffskontrolle (ABAC) konfigurieren. ABAC ist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen definiert.

Mit Microsoft Entra ID, Sie können eine der folgenden beiden Methoden verwenden, um ABAC für die Verwendung mit IAM Identity Center zu konfigurieren.

Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center

Konfigurieren Sie Benutzerattribute in Microsoft Entra ID für die Zugriffskontrolle im IAM Identity Center

Im folgenden Verfahren bestimmen Sie, welche Attribute in Microsoft Entra ID sollte vom IAM Identity Center verwendet werden, um den Zugriff auf Ihre AWS Ressourcen zu verwalten. Einmal definiert Microsoft Entra ID sendet diese Attribute über SAML-Assertionen an IAM Identity Center. Anschließend müssen Sie Berechtigungssatz erstellen im IAM Identity Center den Zugriff auf der Grundlage der Attribute verwalten, von denen Sie übergeben haben Microsoft Entra ID.

Bevor Sie mit diesem Verfahren beginnen, müssen Sie zunächst die Attribute für Zugriffskontrolle Funktion aktivieren. Weitere Information dazu finden Sie unter Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle.

1. Navigieren Sie in der Microsoft Entra Admin Center-Konsole zu Identität > Anwendungen > Unternehmensanwendungen und wählen Sie AWS IAM Identity Centerdann.

2. Klicken Sie auf Single Sign-On.

3. Wählen Sie im Abschnitt Attribute und Ansprüche die Option Bearbeiten aus.

4. Gehen Sie auf der Seite „Attribute und Ansprüche“ wie folgt vor:

   1. Wählen Sie Neuen Anspruch hinzufügen

   2. Geben Sie unter Name AccessControl:AttributeName ein. AttributeNameErsetzen Sie es durch den Namen des Attributs, das Sie in IAM Identity Center erwarten. Beispiel, AccessControl:Department.

   3. Geben Sie für Namespace https://aws.amazon.com/SAML/Attributes ein.

   4. Wählen Sie unter Source (Quelle) die Option Attribute (Attribut) aus.

   5. Verwenden Sie für das Quellattribut die Dropdownliste, um Folgendes auszuwählen Microsoft Entra ID Benutzerattribute. Beispiel, user.department.

5. Wiederholen Sie den vorherigen Schritt für jedes Attribut, das Sie in der SAML-Assertion an das IAM Identity Center senden müssen.

6. Wählen Sie Save (Speichern) aus.

Configure ABAC using IAM Identity Center

Konfigurieren Sie ABAC mithilfe von IAM Identity Center

Bei dieser Methode verwenden Sie die Attribute für Zugriffskontrolle Funktion in IAM Identity Center, um ein Attribute Element zu übergeben, dessen Name Attribut auf gesetzt ist. https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} Sie können dieses Element verwenden, um Attribute als Sitzungs-Tags in der SAML-Assertion zu übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie unter Sitzungs-Tags übergeben AWS STS im IAM-Benutzerhandbuch.

Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das AttributeValue-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar Department=billing für das Tag zu übergeben:

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates Attribute Element hinzu.

Weisen Sie Zugriff zu AWS-Konten

Die folgenden Schritte sind nur erforderlich, um AWS-Konten nur Zugriff zu gewähren. Diese Schritte sind nicht erforderlich, um Zugriff auf AWS Anwendungen zu gewähren.

Schritt 1: IAM Identity Center: Grant Microsoft Entra ID Benutzer haben Zugriff auf Konten

1. Kehren Sie zur IAM Identity Center-Konsole zurück. Wählen Sie im IAM Identity Center-Navigationsbereich unter Berechtigungen für mehrere Konten die Option aus. AWS-Konten

2. Auf der AWS-KontenSeite „Organisationsstruktur“ wird Ihr Organisationsstamm mit Ihren Konten darunter in der Hierarchie angezeigt. Markieren Sie das Kontrollkästchen für Ihr Verwaltungskonto und wählen Sie dann Benutzer oder Gruppen zuweisen aus.

3. Der Workflow „Benutzer und Gruppen zuweisen“ wird angezeigt. Er besteht aus drei Schritten:

   1. Wählen Sie für Schritt 1: Benutzer und Gruppen auswählen den Benutzer aus, der die Administratorfunktion ausführen soll. Wählen Sie anschließend Weiter.

   2. Wählen Sie für Schritt 2: Berechtigungssätze auswählen die Option Berechtigungssatz erstellen, um eine neue Registerkarte zu öffnen, die Sie durch die drei Teilschritte zur Erstellung eines Berechtigungssatzes führt.

      1. Gehen Sie für Schritt 1: Berechtigungssatztyp auswählen wie folgt vor:

         • Wählen Sie unter Typ des Berechtigungssatzes die Option Vordefinierter Berechtigungssatz aus.

         • Wählen Sie unter Richtlinie für vordefinierten Berechtigungssatz die Option aus AdministratorAccess.

         Wählen Sie Weiter.

      2. Für Schritt 2: Geben Sie die Details zum Berechtigungssatz an, behalten Sie die Standardeinstellungen bei und wählen Sie Weiter aus.

         Mit den Standardeinstellungen wird ein Berechtigungssatz AdministratorAccess mit einem Namen erstellt, dessen Sitzungsdauer auf eine Stunde festgelegt ist.

      3. Stellen Sie für Schritt 3: Überprüfen und erstellen sicher, dass der Typ Berechtigungssatz die AWS verwaltete Richtlinie verwendet AdministratorAccess. Wählen Sie Create (Erstellen) aus. Auf der Seite Berechtigungssätze wird eine Benachrichtigung angezeigt, die Sie darüber informiert, dass der Berechtigungssatz erstellt wurde. Sie können diese Registerkarte jetzt in Ihrem Webbrowser schließen.

      4. Auf der Browser-Registerkarte „Benutzer und Gruppen zuweisen“ befinden Sie sich immer noch in Schritt 2: Wählen Sie die Berechtigungssätze aus, von denen aus Sie den Workflow zum Erstellen von Berechtigungssätzen gestartet haben.

      5. Wählen Sie im Bereich „Berechtigungssätze“ die Schaltfläche „Aktualisieren“. Der von Ihnen erstellte AdministratorAccess Berechtigungssatz wird in der Liste angezeigt. Aktivieren Sie das Kontrollkästchen für diesen Berechtigungssatz und wählen Sie dann Weiter.

   3. Überprüfen Sie für Schritt 3: Überprüfen und Absenden den ausgewählten Benutzer und den ausgewählten Berechtigungssatz und wählen Sie dann Senden aus.

      Die Seite wird mit der Meldung aktualisiert, dass Ihr AWS-Konto System gerade konfiguriert wird. Warten Sie, bis der Vorgang abgeschlossen ist.

      Sie kehren zur AWS-Konten Seite zurück. In einer Benachrichtigung werden Sie darüber informiert, dass Ihr AWS-Konto Konto erneut bereitgestellt und der aktualisierte Berechtigungssatz angewendet wurde. Wenn sich der Benutzer anmeldet, hat er die Möglichkeit, die Rolle auszuwählen. AdministratorAccess

Schritt 2: Microsoft Entra ID: Bestätigen Microsoft Entra ID Benutzerzugriff auf AWS Ressourcen

1. Kehren Sie zurück zum Microsoft Entra IDKonsole und navigieren Sie zu Ihrer SAML-basierten IAM Identity Center Sign-On-Anwendung.

2. Wählen Sie Benutzer und Gruppen und anschließend Benutzer oder Gruppen hinzufügen aus. Sie fügen den Benutzer, den Sie in diesem Tutorial in Schritt 4 erstellt haben, zur Microsoft Entra ID Anwendung. Indem Sie den Benutzer hinzufügen, ermöglichen Sie ihm, sich anzumelden AWS. Suchen Sie nach dem Benutzer, den Sie in Schritt 4 erstellt haben. Wenn Sie diesen Schritt befolgen würden, wäre das der FallRichardRoe.

   1. Eine Demo finden Sie unter Verbinden Sie Ihre bestehende IAM Identity Center-Instanz mit Microsoft Entra ID

Fehlerbehebung

Für allgemeine SCIM- und SAML-Problembehebungen mit Microsoft Entra ID, finden Sie in den folgenden Abschnitten:

• Probleme bei der Synchronisation mit Microsoft Entra ID und IAM Identity Center

• Bestimmte Benutzer können sich von einem externen SCIM-Anbieter nicht mit dem IAM Identity Center synchronisieren

• Probleme mit dem Inhalt von SAML-Assertionen, die von IAM Identity Center erstellt wurden

• Beim Bereitstellen von Benutzern oder Gruppen mit einem externen Identitätsanbieter ist ein Fehler beim Duplizieren von Benutzern oder Gruppen aufgetreten

• Weitere Ressourcen

Probleme bei der Synchronisation mit Microsoft Entra ID und IAM Identity Center

Wenn Sie Probleme haben mit Microsoft Entra ID Benutzer, die nicht mit IAM Identity Center synchronisieren, liegt möglicherweise an einem Syntaxproblem, das IAM Identity Center gemeldet hat, wenn ein neuer Benutzer zu IAM Identity Center hinzugefügt wird. Sie können dies überprüfen, indem Sie das Microsoft Entra ID Audit-Logs für fehlgeschlagene Ereignisse, wie z. B. 'Export' Der Statusgrund für dieses Ereignis lautet wie folgt:

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

Sie können auch AWS CloudTrail nach dem fehlgeschlagenen Ereignis suchen. Suchen Sie dazu in der Konsole „Event History“ oder CloudTrail verwenden Sie den folgenden Filter:

"eventName":"CreateUser"

Der Fehler in der CloudTrail Veranstaltung wird Folgendes bedeuten:

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

Letztlich bedeutet diese Ausnahme, dass einer der Werte übergeben wurde von Microsoft Entra ID enthielt mehr Werte als erwartet. Die Lösung besteht darin, die Eigenschaften des Benutzers in zu überprüfen Microsoft Entra ID, um sicherzustellen, dass keiner doppelte Werte enthält. Ein häufiges Beispiel für doppelte Werte ist das Vorhandensein mehrerer Werte für Kontaktnummern wie Handy -, Geschäfts - und Faxnummern. Obwohl sie separate Werte sind, werden sie alle unter dem einzigen übergeordneten Attribut PhoneNumbers an das IAM Identity Center übergeben.

Allgemeine Tipps zur SCIM-Fehlerbehebung finden Sie unter Problembehandlung.

Microsoft Entra ID Synchronisation des Gastkontos

Wenn Sie Ihre synchronisieren möchten Microsoft Entra ID Gastbenutzer von IAM Identity Center finden Sie im folgenden Verfahren.

Microsoft Entra ID Die E-Mail-Adresse von Gastbenutzern unterscheidet sich von Microsoft Entra ID Benutzer. Dieser Unterschied führt zu Problemen beim Synchronisierungsversuch Microsoft Entra ID Gastbenutzer mit IAM Identity Center. Sehen Sie sich beispielsweise die folgende E-Mail-Adresse für einen Gastbenutzer an:

exampleuser_domain.com#EXT@domain.onmicrosoft.com.

IAM Identity Center geht davon aus, dass die E-Mail-Adresse eines Benutzers das EXT@domain Format nicht enthält.

1. Melden Sie sich im Microsoft Entra Admin Center an und navigieren Sie zu Identity > Applications > Enterprise applications und wählen Sie dann AWS IAM Identity Center

2. Navigieren Sie im linken Bereich zur Registerkarte Single Sign On.

3. Wählen Sie Bearbeiten aus, was neben Benutzerattribute und Ansprüche angezeigt wird.

4. Wählen Sie unter Erforderliche Ansprüche die Option Eindeutige Benutzerkennung (Name-ID) aus.

5. Sie erstellen zwei Anspruchsbedingungen für Ihre Microsoft Entra ID Benutzer und Gastbenutzer:

   1. Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Microsoft Entra ID Benutzer, erstellen Sie einen Benutzertyp für Mitglieder mit dem Quellattribut auf user.userprincipalname.

   2. Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Microsoft Entra ID Gastbenutzer, erstellen Sie einen Benutzertyp für externe Gäste, wobei das Quellattribut auf gesetzt istuser.mail.

   3. Wählen Sie Speichern und versuchen Sie erneut, sich anzumelden als Microsoft Entra ID Gastbenutzer.

Weitere Ressourcen

• Allgemeine Tipps zur SCIM-Fehlerbehebung finden Sie unterBehebung von Problemen mit IAM Identity Center.

• Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Microsoft Entra ID Problembehebung finden Sie unter Microsoft Dokumentation.

• Weitere Informationen zum Verbund zwischen mehreren AWS-Konten finden Sie unter Sichern AWS-Konten mit Azure Active Directory Federation.

Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit helfen AWS:

• AWS re:Post- Hier finden Sie weitere Ressourcen FAQs und Links zu diesen, die Ihnen bei der Behebung von Problemen helfen.

• AWS -Support- Holen Sie sich technischen Support