Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfigurieren Sie SAML und SCIM mit Microsoft Entra ID und IAM Identity Center
AWS IAM Identity Center unterstützt die Integration mit Security Assertion Markup Language (SAML) 2.0 sowie die automatische Bereitstellung (Synchronisation) von Benutzer- und Gruppeninformationen von Microsoft Entra ID (früher bekannt als Azure Active Directory or Azure AD) mithilfe des SCIM 2.0-Protokolls (System for Cross-Domain Identity Management) in das IAM Identity Center. Weitere Informationen finden Sie unter Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern.
Zielsetzung
In diesem Tutorial richten Sie ein Testlabor ein und konfigurieren eine SAML-Verbindung und SCIM-Bereitstellung zwischen Microsoft Entra ID und IAM Identity Center. Während der ersten Vorbereitungsschritte erstellen Sie in beiden Fällen einen Testbenutzer (Nikki Wolf) Microsoft Entra ID und IAM Identity Center, mit dem Sie die SAML-Verbindung in beide Richtungen testen werden. Später, im Rahmen der SCIM-Schritte, erstellen Sie einen anderen Testbenutzer (Richard Roe), um zu überprüfen, ob die neuen Attribute in Microsoft Entra ID werden wie erwartet mit dem IAM Identity Center synchronisiert.
Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen können, müssen Sie zunächst Folgendes einrichten:
-
A Microsoft Entra ID Mieter. Weitere Informationen finden Sie unter Schnellstart: Einen Mandanten einrichten
in Microsoft -Dokumentation. -
Ein AWS IAM Identity Center-aktiviertes Konto. Weitere Informationen finden Sie unter Aktivieren von IAM Identity Center im AWS IAM Identity Center Benutzerhandbuch.
Überlegungen
Im Folgenden finden Sie wichtige Überlegungen zu Microsoft Entra ID das kann sich darauf auswirken, wie Sie die automatische Bereitstellung mit IAM Identity Center in Ihrer Produktionsumgebung mithilfe des SCIM v2-Protokolls implementieren möchten.
Automatische Bereitstellung
Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, dies zunächst zu überprüfen. Überlegungen zur Verwendung der automatischen Bereitstellung
Attribute für die Zugriffskontrolle
Attribute für die Zugriffskontrolle werden in Berechtigungsrichtlinien verwendet, die festlegen, wer in Ihrer Identitätsquelle auf Ihre AWS Ressourcen zugreifen kann. Wenn ein Attribut von einem Benutzer entfernt wird in Microsoft Entra ID, wird dieses Attribut nicht vom entsprechenden Benutzer in IAM Identity Center entfernt. Dies ist eine bekannte Einschränkung in Microsoft Entra ID. Wenn ein Attribut für einen Benutzer in einen anderen (nicht leeren) Wert geändert wird, wird diese Änderung mit IAM Identity Center synchronisiert.
Verschachtelte Gruppen
Das Tool Microsoft Entra ID Der Benutzerbereitstellungsdienst kann Benutzer in verschachtelten Gruppen nicht lesen oder bereitstellen. Nur Benutzer, die unmittelbare Mitglieder einer explizit zugewiesenen Gruppe sind, können gelesen und Zugriffsberechtigungen zugewiesen werden. Microsoft Entra ID entpackt nicht rekursiv die Gruppenmitgliedschaften indirekt zugewiesener Benutzer oder Gruppen (Benutzer oder Gruppen, die Mitglieder einer direkt zugewiesenen Gruppe sind). Weitere Informationen finden Sie unter Zuweisungsbasiertes Scoping im
Dynamische Gruppen
Das Tool Microsoft Entra ID Der Benutzerbereitstellungsdienst kann Benutzer in dynamischen Gruppen
Zum Beispiel, wenn Microsoft Entra ID Die Struktur für dynamische Gruppen sieht wie folgt aus:
-
Gruppe A mit den Mitgliedern ua1, ua2
-
Gruppe B mit Mitgliedern ub1
-
Gruppe C mit Mitgliedern uc1
-
Gruppe K mit der Regel, Mitglieder der Gruppe A, B, C einzubeziehen
-
Gruppe L mit einer Regel, die Mitglieder der Gruppen B und C einschließt
Nachdem die Benutzer- und Gruppeninformationen bereitgestellt wurden von Microsoft Entra ID über SCIM in das IAM Identity Center wird die Struktur wie folgt aussehen:
-
Gruppe A mit den Mitgliedern ua1, ua2
-
Gruppe B mit Mitgliedern ub1
-
Gruppe C mit Mitgliedern uc1
-
Gruppe K mit den Mitgliedern ua1, ua2, ub1, uc1
-
Gruppe L mit den Mitgliedern ub1, uc1
Beachten Sie bei der Konfiguration der automatischen Bereitstellung mithilfe dynamischer Gruppen die folgenden Überlegungen.
-
Eine dynamische Gruppe kann eine verschachtelte Gruppe enthalten. Jedoch Microsoft Entra ID Durch den Bereitstellungsdienst wird die verschachtelte Gruppe nicht reduziert. Wenn Sie beispielsweise Folgendes haben Microsoft Entra ID Struktur für dynamische Gruppen:
-
Gruppe A ist der Gruppe B übergeordnet.
-
Gruppe A hat ua1 als Mitglied.
-
Gruppe B hat ub1 als Mitglied.
-
Die dynamische Gruppe, zu der Gruppe A gehört, umfasst nur die direkten Mitglieder der Gruppe A (d. h. ua1). Sie schließt nicht rekursiv Mitglieder der Gruppe B ein.
-
Dynamische Gruppen können keine anderen dynamischen Gruppen enthalten. Weitere Informationen finden Sie unter Einschränkungen der Vorschau
in der Microsoft -Dokumentation.
Schritt 1: Bereiten Sie Ihren Microsoft-Mandanten vor
In diesem Schritt erfahren Sie, wie Sie Ihre AWS IAM Identity Center Unternehmensanwendung installieren und konfigurieren und einer neu erstellten Anwendung Zugriff zuweisen Microsoft Entra ID Testbenutzer.
Schritt 1.1: Richten Sie die AWS IAM Identity Center Unternehmensanwendung ein in Microsoft Entra ID
In diesem Verfahren installieren Sie die AWS IAM Identity Center Unternehmensanwendung in Microsoft Entra ID. Sie benötigen diese Anwendung später, um Ihre SAML-Verbindung mit AWS zu konfigurieren.
-
Melden Sie sich mindestens als Cloud-Anwendungsadministrator im Microsoft Entra Admin Center
an. -
Navigieren Sie zu Identität > Anwendungen > Unternehmensanwendungen und wählen Sie dann Neue Anwendung aus.
-
Geben Sie auf der Seite Microsoft Entra Gallery durchsuchen
AWS IAM Identity Center
in das Suchfeld ein. -
Wählen Sie AWS IAM Identity Centeraus den Ergebnissen aus.
-
Wählen Sie Create (Erstellen) aus.
Schritt 2: Bereiten Sie Ihr AWS Konto vor
In diesem Schritt erfahren Sie, wie Sie es verwenden IAM Identity Centerum Zugriffsberechtigungen (über einen Berechtigungssatz) zu konfigurieren, erstellen Sie manuell eine entsprechende Nikki Wolf-Benutzerin und weisen Sie ihr die erforderlichen Berechtigungen für die Verwaltung von Ressourcen zu. AWS
Schritt 2.1: Erstellen Sie einen RegionalAdmin Berechtigungssatz in IAM Identity Center
Dieser Berechtigungssatz wird verwendet, um Nikki die erforderlichen AWS Kontoberechtigungen zu gewähren, die für die Verwaltung von Regionen auf der Kontoseite innerhalb von erforderlich sind. AWS Management Console Alle anderen Berechtigungen zum Anzeigen oder Verwalten anderer Informationen für Nikkis Konto sind standardmäßig verweigert.
-
Öffnen Sie die IAM-Identity-Center-Konsole
. -
Wähle unter Berechtigungen für mehrere Konten die Option Berechtigungssätze aus.
-
Wählen Sie Create permission set (Berechtigungssatz erstellen) aus.
-
Wählen Sie auf der Seite Berechtigungssatztyp auswählen die Option Benutzerdefinierter Berechtigungssatz und dann Weiter aus.
-
Wählen Sie Inline-Richtlinie aus, um sie zu erweitern, und erstellen Sie dann mithilfe der folgenden Schritte eine Richtlinie für den Berechtigungssatz:
-
Wählen Sie Neue Erklärung hinzufügen aus, um eine Richtlinienerklärung zu erstellen.
-
Wählen Sie unter Kontoauszug bearbeiten die Option Konto aus der Liste aus und aktivieren Sie dann die folgenden Kontrollkästchen.
-
ListRegions
-
GetRegionOptStatus
-
DisableRegion
-
EnableRegion
-
-
Wählen Sie neben Eine Ressource hinzufügen die Option Hinzufügen aus.
-
Wählen Sie auf der Seite Ressource hinzufügen unter Ressourcentyp die Option Alle Ressourcen und dann Ressource hinzufügen aus. Vergewissern Sie sich, dass Ihre Richtlinie wie folgt aussieht:
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "account:ListRegions", "account:DisableRegion", "account:EnableRegion", "account:GetRegionOptStatus" ], "Resource": [ "*" ] } ] }
-
-
Wählen Sie Weiter.
-
Geben Sie auf der Seite Details zum Berechtigungssatz angeben unter Name des Berechtigungssatzes die Eingabe ein
RegionalAdmin
, und wählen Sie dann Weiter aus. -
Wählen Sie auf der Seite Überprüfen und erstellen die Option Erstellen aus. In der Liste der Berechtigungssätze sollte diese Option RegionalAdminangezeigt werden.
Schritt 3: Konfigurieren und testen Sie Ihre SAML-Verbindung
In diesem Schritt konfigurieren Sie Ihre SAML-Verbindung mithilfe der AWS IAM Identity Center Unternehmensanwendung in Microsoft Entra ID zusammen mit den externen IdP-Einstellungen im IAM Identity Center.
Schritt 3.1: Sammeln Sie die erforderlichen Service-Provider-Metadaten aus dem IAM Identity Center
In diesem Schritt starten Sie den Assistenten zum Ändern der Identitätsquelle in der IAM Identity Center-Konsole und rufen die Metadatendatei und die AWS spezifische Anmelde-URL ab, die Sie bei der Konfiguration der Verbindung eingeben müssen Microsoft Entra ID im nächsten Schritt.
-
Wählen Sie in der IAM Identity Center-Konsole
Einstellungen aus. -
Wählen Sie auf der Seite „Einstellungen“ die Registerkarte „Identitätsquelle“ und dann „Aktionen“ > „Identitätsquelle ändern“.
-
Wählen Sie auf der Seite Identitätsquelle auswählen die Option Externer Identitätsanbieter und dann Weiter aus.
-
Wählen Sie auf der Seite Externen Identitätsanbieter konfigurieren unter Metadaten des Dienstanbieters die Option Metadatendatei herunterladen aus, um die XML-Datei herunterzuladen.
-
Suchen Sie im selben Abschnitt den Wert für die Anmelde-URL für das AWS Access Portal und kopieren Sie ihn. Sie müssen diesen Wert eingeben, wenn Sie im nächsten Schritt dazu aufgefordert werden.
-
Lassen Sie diese Seite geöffnet und fahren Sie mit dem nächsten Schritt (
Step 3.2
) fort, um die AWS IAM Identity Center Unternehmensanwendung zu konfigurieren Microsoft Entra ID. Später kehren Sie zu dieser Seite zurück, um den Vorgang abzuschließen.
Schritt 4: Konfigurieren und testen Sie Ihre SCIM-Synchronisierung
In diesem Schritt richten Sie die automatische Bereitstellung (Synchronisation) von Benutzerinformationen von ein Microsoft Entra ID mithilfe des SCIM v2.0-Protokolls in das IAM Identity Center. Sie konfigurieren diese Verbindung in Microsoft Entra ID indem Sie Ihren SCIM-Endpunkt für IAM Identity Center und ein Bearer-Token verwenden, das automatisch von IAM Identity Center erstellt wird.
Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute in Microsoft Entra ID zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und Microsoft Entra ID.
In den folgenden Schritten erfahren Sie, wie Sie die automatische Bereitstellung von Benutzern aktivieren, die hauptsächlich in Microsoft Entra ID zu IAM Identity Center mithilfe der IAM Identity Center-App in Microsoft Entra ID.
Schritt 4.1: Erstellen Sie einen zweiten Testbenutzer in Microsoft Entra ID
Zu Testzwecken erstellen Sie einen neuen Benutzer (Richard Roe) in Microsoft Entra ID. Später, nachdem Sie die SCIM-Synchronisierung eingerichtet haben, werden Sie testen, ob dieser Benutzer und alle relevanten Attribute erfolgreich mit IAM Identity Center synchronisiert wurden.
-
Navigieren Sie in der Microsoft Entra Admin Center-Konsole
zu Identität > Benutzer > Alle Benutzer. -
Wählen Sie Neuer Benutzer und dann oben auf dem Bildschirm die Option Neuen Benutzer erstellen aus.
-
Geben Sie
RichRoe
im Feld Benutzerprinzipalname Ihre bevorzugte Domain und Erweiterung ein und wählen Sie sie aus. Zum Beispiel RichRoe@example.org
. -
Geben Sie im Feld Anzeigename den Wert ein
RichRoe
. -
Geben Sie unter Passwort ein sicheres Passwort ein oder klicken Sie auf das Augensymbol, um das automatisch generierte Passwort anzuzeigen, und kopieren Sie den angezeigten Wert entweder oder notieren Sie ihn.
-
Wählen Sie Eigenschaften und geben Sie dann die folgenden Werte ein:
-
Vorname — Geben Sie ein
Richard
-
Nachname - Geben Sie ein
Roe
-
Berufsbezeichnung - Geben Sie ein
Marketing Lead
-
Abteilung — Geben Sie ein
Sales
-
Mitarbeiter-ID — Geben Sie ein
12345
-
-
Wählen Sie Überprüfen + Erstellen und dann Erstellen.
Schritt 5: ABAC konfigurieren — optional
Nachdem Sie SAML und SCIM erfolgreich konfiguriert haben, können Sie optional die attributebasierte Zugriffskontrolle (ABAC) konfigurieren. ABAC ist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen definiert.
Mit Microsoft Entra ID, Sie können eine der folgenden beiden Methoden verwenden, um ABAC für die Verwendung mit IAM Identity Center zu konfigurieren.
Konfigurieren Sie Benutzerattribute in Microsoft Entra ID für die Zugriffskontrolle im IAM Identity Center
Im folgenden Verfahren bestimmen Sie, welche Attribute in Microsoft Entra ID sollte vom IAM Identity Center verwendet werden, um den Zugriff auf Ihre AWS Ressourcen zu verwalten. Einmal definiert Microsoft Entra ID sendet diese Attribute über SAML-Assertionen an IAM Identity Center. Anschließend müssen Sie Berechtigungssatz erstellen im IAM Identity Center den Zugriff auf der Grundlage der Attribute verwalten, von denen Sie übergeben haben Microsoft Entra ID.
Bevor Sie mit diesem Verfahren beginnen, müssen Sie zunächst die Attribute für Zugriffskontrolle Funktion aktivieren. Weitere Information dazu finden Sie unter Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle.
-
Navigieren Sie in der Microsoft Entra Admin Center-Konsole
zu Identität > Anwendungen > Unternehmensanwendungen und wählen Sie AWS IAM Identity Centerdann. -
Klicken Sie auf Single Sign-On.
-
Wählen Sie im Abschnitt Attribute und Ansprüche die Option Bearbeiten aus.
-
Gehen Sie auf der Seite „Attribute und Ansprüche“ wie folgt vor:
-
Wählen Sie Neuen Anspruch hinzufügen
-
Geben Sie unter Name
AccessControl:
ein.AttributeName
AttributeName
Ersetzen Sie es durch den Namen des Attributs, das Sie in IAM Identity Center erwarten. Beispiel,AccessControl:Department
. -
Geben Sie für Namespace
https://aws.amazon.com/SAML/Attributes
ein. -
Wählen Sie unter Source (Quelle) die Option Attribute (Attribut) aus.
-
Verwenden Sie für das Quellattribut die Dropdownliste, um Folgendes auszuwählen Microsoft Entra ID Benutzerattribute. Beispiel,
user.department
.
-
-
Wiederholen Sie den vorherigen Schritt für jedes Attribut, das Sie in der SAML-Assertion an das IAM Identity Center senden müssen.
-
Wählen Sie Save (Speichern) aus.
Weisen Sie Zugriff zu AWS-Konten
Die folgenden Schritte sind nur erforderlich, um AWS-Konten nur Zugriff zu gewähren. Diese Schritte sind nicht erforderlich, um Zugriff auf AWS Anwendungen zu gewähren.
Schritt 1: IAM Identity Center: Grant Microsoft Entra ID Benutzer haben Zugriff auf Konten
-
Kehren Sie zur IAM Identity Center-Konsole zurück. Wählen Sie im IAM Identity Center-Navigationsbereich unter Berechtigungen für mehrere Konten die Option aus. AWS-Konten
-
Auf der AWS-KontenSeite „Organisationsstruktur“ wird Ihr Organisationsstamm mit Ihren Konten darunter in der Hierarchie angezeigt. Markieren Sie das Kontrollkästchen für Ihr Verwaltungskonto und wählen Sie dann Benutzer oder Gruppen zuweisen aus.
-
Der Workflow „Benutzer und Gruppen zuweisen“ wird angezeigt. Er besteht aus drei Schritten:
-
Wählen Sie für Schritt 1: Benutzer und Gruppen auswählen den Benutzer aus, der die Administratorfunktion ausführen soll. Wählen Sie anschließend Weiter.
-
Wählen Sie für Schritt 2: Berechtigungssätze auswählen die Option Berechtigungssatz erstellen, um eine neue Registerkarte zu öffnen, die Sie durch die drei Teilschritte zur Erstellung eines Berechtigungssatzes führt.
-
Gehen Sie für Schritt 1: Berechtigungssatztyp auswählen wie folgt vor:
-
Wählen Sie unter Typ des Berechtigungssatzes die Option Vordefinierter Berechtigungssatz aus.
-
Wählen Sie unter Richtlinie für vordefinierten Berechtigungssatz die Option aus AdministratorAccess.
Wählen Sie Weiter.
-
-
Für Schritt 2: Geben Sie die Details zum Berechtigungssatz an, behalten Sie die Standardeinstellungen bei und wählen Sie Weiter aus.
Mit den Standardeinstellungen wird ein Berechtigungssatz
AdministratorAccess
mit einem Namen erstellt, dessen Sitzungsdauer auf eine Stunde festgelegt ist. -
Stellen Sie für Schritt 3: Überprüfen und erstellen sicher, dass der Typ Berechtigungssatz die AWS verwaltete Richtlinie verwendet AdministratorAccess. Wählen Sie Create (Erstellen) aus. Auf der Seite Berechtigungssätze wird eine Benachrichtigung angezeigt, die Sie darüber informiert, dass der Berechtigungssatz erstellt wurde. Sie können diese Registerkarte jetzt in Ihrem Webbrowser schließen.
-
Auf der Browser-Registerkarte „Benutzer und Gruppen zuweisen“ befinden Sie sich immer noch in Schritt 2: Wählen Sie die Berechtigungssätze aus, von denen aus Sie den Workflow zum Erstellen von Berechtigungssätzen gestartet haben.
-
Wählen Sie im Bereich „Berechtigungssätze“ die Schaltfläche „Aktualisieren“. Der von Ihnen erstellte
AdministratorAccess
Berechtigungssatz wird in der Liste angezeigt. Aktivieren Sie das Kontrollkästchen für diesen Berechtigungssatz und wählen Sie dann Weiter.
-
-
Überprüfen Sie für Schritt 3: Überprüfen und Absenden den ausgewählten Benutzer und den ausgewählten Berechtigungssatz und wählen Sie dann Senden aus.
Die Seite wird mit der Meldung aktualisiert, dass Ihr AWS-Konto System gerade konfiguriert wird. Warten Sie, bis der Vorgang abgeschlossen ist.
Sie kehren zur AWS-Konten Seite zurück. In einer Benachrichtigung werden Sie darüber informiert, dass Ihr AWS-Konto Konto erneut bereitgestellt und der aktualisierte Berechtigungssatz angewendet wurde. Wenn sich der Benutzer anmeldet, hat er die Möglichkeit, die Rolle auszuwählen.
AdministratorAccess
-
Schritt 2: Microsoft Entra ID: Bestätigen Microsoft Entra ID Benutzerzugriff auf AWS Ressourcen
-
Kehren Sie zurück zum Microsoft Entra IDKonsole und navigieren Sie zu Ihrer SAML-basierten IAM Identity Center Sign-On-Anwendung.
-
Wählen Sie Benutzer und Gruppen und anschließend Benutzer oder Gruppen hinzufügen aus. Sie fügen den Benutzer, den Sie in diesem Tutorial in Schritt 4 erstellt haben, zur Microsoft Entra ID Anwendung. Indem Sie den Benutzer hinzufügen, ermöglichen Sie ihm, sich anzumelden AWS. Suchen Sie nach dem Benutzer, den Sie in Schritt 4 erstellt haben. Wenn Sie diesen Schritt befolgen würden, wäre das der Fall
RichardRoe
.-
Eine Demo finden Sie unter Verbinden Sie Ihre bestehende IAM Identity Center-Instanz mit Microsoft Entra ID
-
Fehlerbehebung
Für allgemeine SCIM- und SAML-Problembehebungen mit Microsoft Entra ID, finden Sie in den folgenden Abschnitten:
Probleme bei der Synchronisation mit Microsoft Entra ID und IAM Identity Center
Wenn Sie Probleme haben mit Microsoft Entra ID Benutzer, die nicht mit IAM Identity Center synchronisieren, liegt möglicherweise an einem Syntaxproblem, das IAM Identity Center gemeldet hat, wenn ein neuer Benutzer zu IAM Identity Center hinzugefügt wird. Sie können dies überprüfen, indem Sie das Microsoft Entra ID Audit-Logs für fehlgeschlagene Ereignisse, wie z. B. 'Export'
Der Statusgrund für dieses Ereignis lautet wie folgt:
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
Sie können auch AWS CloudTrail nach dem fehlgeschlagenen Ereignis suchen. Suchen Sie dazu in der Konsole „Event History“ oder CloudTrail verwenden Sie den folgenden Filter:
"eventName":"CreateUser"
Der Fehler in der CloudTrail Veranstaltung wird Folgendes bedeuten:
"errorCode": "ValidationException",
"errorMessage": "Currently list attributes only allow single item“
Letztlich bedeutet diese Ausnahme, dass einer der Werte übergeben wurde von Microsoft Entra ID enthielt mehr Werte als erwartet. Die Lösung besteht darin, die Eigenschaften des Benutzers in zu überprüfen Microsoft Entra ID, um sicherzustellen, dass keiner doppelte Werte enthält. Ein häufiges Beispiel für doppelte Werte ist das Vorhandensein mehrerer Werte für Kontaktnummern wie Handy -, Geschäfts - und Faxnummern. Obwohl sie separate Werte sind, werden sie alle unter dem einzigen übergeordneten Attribut PhoneNumbers an das IAM Identity Center übergeben.
Allgemeine Tipps zur SCIM-Fehlerbehebung finden Sie unter Problembehandlung.
Microsoft Entra ID Synchronisation des Gastkontos
Wenn Sie Ihre synchronisieren möchten Microsoft Entra ID Gastbenutzer von IAM Identity Center finden Sie im folgenden Verfahren.
Microsoft Entra ID Die E-Mail-Adresse von Gastbenutzern unterscheidet sich von Microsoft Entra ID Benutzer. Dieser Unterschied führt zu Problemen beim Synchronisierungsversuch Microsoft Entra ID Gastbenutzer mit IAM Identity Center. Sehen Sie sich beispielsweise die folgende E-Mail-Adresse für einen Gastbenutzer an:
exampleuser_domain.com#
EXT@domain.onmicrosoft.com
.
IAM Identity Center geht davon aus, dass die E-Mail-Adresse eines Benutzers das EXT@domain
Format nicht enthält.
-
Melden Sie sich im Microsoft Entra Admin Center
an und navigieren Sie zu Identity > Applications > Enterprise applications und wählen Sie dann AWS IAM Identity Center -
Navigieren Sie im linken Bereich zur Registerkarte Single Sign On.
-
Wählen Sie Bearbeiten aus, was neben Benutzerattribute und Ansprüche angezeigt wird.
-
Wählen Sie unter Erforderliche Ansprüche die Option Eindeutige Benutzerkennung (Name-ID) aus.
-
Sie erstellen zwei Anspruchsbedingungen für Ihre Microsoft Entra ID Benutzer und Gastbenutzer:
-
Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Microsoft Entra ID Benutzer, erstellen Sie einen Benutzertyp für Mitglieder mit dem Quellattribut auf
user.userprincipalname
. -
Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Microsoft Entra ID Gastbenutzer, erstellen Sie einen Benutzertyp für externe Gäste, wobei das Quellattribut auf gesetzt ist
user.mail
. -
Wählen Sie Speichern und versuchen Sie erneut, sich anzumelden als Microsoft Entra ID Gastbenutzer.
-
Weitere Ressourcen
-
Allgemeine Tipps zur SCIM-Fehlerbehebung finden Sie unterBehebung von Problemen mit IAM Identity Center.
-
Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Microsoft Entra ID Problembehebung finden Sie unter Microsoft Dokumentation
. -
Weitere Informationen zum Verbund zwischen mehreren AWS-Konten finden Sie unter Sichern AWS-Konten mit Azure Active Directory Federation
.
Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit helfen AWS:
AWS re:Post
- Hier finden Sie weitere Ressourcen FAQs und Links zu diesen, die Ihnen bei der Behebung von Problemen helfen. AWS -Support
- Holen Sie sich technischen Support