Überlegungen zur Änderung Ihrer Identitätsquelle

Sie können Ihre Identitätsquelle zwar jederzeit ändern, wir empfehlen Ihnen jedoch, darüber nachzudenken, wie sich diese Änderung auf Ihre aktuelle Bereitstellung auswirken könnte.

Wenn Sie bereits Benutzer und Gruppen in einer Identitätsquelle verwalten, werden durch den Wechsel zu einer anderen Identitätsquelle möglicherweise alle Benutzer- und Gruppenzuweisungen entfernt, die Sie in IAM Identity Center konfiguriert haben. In diesem Fall verlieren alle Benutzer, einschließlich des Administratorbenutzers in IAM Identity Center, den Single Sign-On-Zugriff auf ihre AWS-Konten Anwendungen.

Bevor Sie die Identitätsquelle für IAM Identity Center ändern, sollten Sie die folgenden Überlegungen überprüfen, bevor Sie fortfahren. Wenn Sie mit dem Ändern Ihrer Identitätsquelle fortfahren möchten, finden Sie Ändern Sie Ihre Identitätsquelle weitere Informationen unter.

Wechsel zwischen IAM Identity Center und Active Directory

Wenn Sie bereits Benutzer und Gruppen in Active Directory verwalten, empfehlen wir, dass Sie erwägen, Ihr Verzeichnis zu verbinden, wenn Sie IAM Identity Center aktivieren und Ihre Identitätsquelle auswählen. Tun Sie dies, bevor Sie Benutzer und Gruppen im standardmäßigen Identity Center-Verzeichnis erstellen und Zuweisungen vornehmen.

Wenn Sie bereits Benutzer und Gruppen im Identity Center-Standardverzeichnis verwalten, sollten Sie Folgendes beachten:

• Zuweisungen entfernt und Benutzer und Gruppen gelöscht — Wenn Sie Ihre Identitätsquelle auf Active Directory ändern, werden Ihre Benutzer und Gruppen aus dem Identity Center-Verzeichnis gelöscht. Durch diese Änderung werden auch Ihre Zuweisungen entfernt. In diesem Fall müssen Sie nach dem Wechsel zu Active Directory Ihre Benutzer und Gruppen aus Active Directory mit dem Identity Center-Verzeichnis synchronisieren und dann ihre Zuweisungen erneut anwenden.

  Wenn Sie Active Directory nicht verwenden möchten, müssen Sie Ihre Benutzer und Gruppen im Identity Center-Verzeichnis erstellen und dann Zuweisungen vornehmen.

• Zuweisungen werden nicht gelöscht, wenn Identitäten gelöscht werden — Wenn Identitäten im Identity Center-Verzeichnis gelöscht werden, werden die entsprechenden Zuweisungen auch in IAM Identity Center gelöscht. Wenn in Active Directory Identitäten gelöscht werden (entweder in Active Directory oder in den synchronisierten Identitäten), werden die entsprechenden Zuweisungen jedoch nicht gelöscht.

• Keine ausgehende Synchronisierung für APIs — Wenn Sie Active Directory als Identitätsquelle verwenden, empfehlen wir, die APIs zum Erstellen, Aktualisieren und Löschen mit Vorsicht zu verwenden. IAM Identity Center unterstützt keine ausgehende Synchronisation, sodass Ihre Identitätsquelle nicht automatisch mit den Änderungen aktualisiert wird, die Sie an Benutzern oder Gruppen vornehmen, die diese APIs verwenden.

• Die URL des Zugriffsportals wird sich ändern — Wenn Sie Ihre Identitätsquelle zwischen IAM Identity Center und Active Directory ändern, ändert sich auch die URL für das AWS Zugriffsportal.

• Der Ablauf einer bestehenden Benutzersitzung kann bis zu zwei Stunden dauern. Sobald die Benutzer und Gruppen aus dem Identity Center-Verzeichnis gelöscht wurden, können Benutzer mit aktiven Sitzungen weiterhin bis zu zwei Stunden AWS auf das Zugriffsportal und die integrierten AWS Anwendungen zugreifen. Informationen zur Dauer der Authentifizierungssitzung und zum Benutzerverhalten finden Sie unterAuthentifizierung im IAM Identity Center.

Informationen darüber, wie IAM Identity Center Benutzer und Gruppen bereitstellt, finden Sie unterConnect zu einem her Microsoft AD directory.

Wechsel von IAM Identity Center zu einem externen IdP

Wenn Sie Ihre Identitätsquelle von IAM Identity Center zu einem externen Identitätsanbieter (IdP) ändern, sollten Sie Folgendes beachten:

• Zuweisungen und Mitgliedschaften funktionieren mit korrekten Assertions — Ihre Benutzerzuweisungen, Gruppenzuweisungen und Gruppenmitgliedschaften funktionieren weiterhin, solange der neue IdP die richtigen Assertions sendet (z. B. SAML-NameIDs). Diese Assertionen müssen mit den Benutzernamen und Gruppen in IAM Identity Center übereinstimmen.

• Keine ausgehende Synchronisation — IAM Identity Center unterstützt keine ausgehende Synchronisation, sodass Ihr externer IdP nicht automatisch mit Änderungen an Benutzern und Gruppen aktualisiert wird, die Sie in IAM Identity Center vornehmen.

• SCIM-Bereitstellung — Wenn Sie die SCIM-Bereitstellung verwenden, werden Änderungen an Benutzern und Gruppen in Ihrem Identity Provider erst in IAM Identity Center übernommen, nachdem Ihr Identitätsanbieter diese Änderungen an IAM Identity Center gesendet hat. Siehe Überlegungen zur Verwendung der automatischen Bereitstellung.

• Rollback — Sie können Ihre Identitätsquelle jederzeit wieder auf die Verwendung von IAM Identity Center zurücksetzen. Siehe Von einem externen IdP zu IAM Identity Center wechseln.

• Bestehende Benutzersitzungen werden nach Ablauf der Sitzungsdauer gesperrt. Sobald Sie Ihre Identitätsquelle auf einen externen Identitätsanbieter umgestellt haben, bleiben aktive Benutzersitzungen für den Rest der in der Konsole konfigurierten maximalen Sitzungsdauer bestehen. Wenn die Sitzungsdauer des AWS Access Portals beispielsweise auf acht Stunden festgelegt ist und Sie die Identitätsquelle in der vierten Stunde geändert haben, bleiben aktive Benutzersitzungen für weitere vier Stunden bestehen. Informationen zum Widerrufen von Benutzersitzungen finden Sie unterLöschen Sie aktive Benutzersitzungen für das AWS Access Portal und die AWS integrierten Anwendungen.

  Wenn Benutzer in der IAM Identity Center-Konsole mithilfe von Identity Store-APIs oder SCIM-Bereitstellung gelöscht oder deaktiviert werden, können Benutzer mit aktiven Sitzungen weiterhin bis zu zwei Stunden auf das AWS Zugriffsportal und die integrierten AWS Anwendungen zugreifen.

  Anmerkung

  Sie können Benutzersitzungen nicht mehr von der IAM Identity Center-Konsole aus widerrufen, nachdem Sie den Benutzer gelöscht haben.

Informationen darüber, wie IAM Identity Center Benutzer und Gruppen bereitstellt, finden Sie unter. Einen externen Identitätsanbieter verwalten

Von einem externen IdP zu IAM Identity Center wechseln

Wenn Sie Ihre Identitätsquelle von einem externen Identitätsanbieter (IdP) zu IAM Identity Center ändern, sollten Sie Folgendes beachten:

• IAM Identity Center behält alle Ihre Zuweisungen bei.

• Kennwortzurücksetzung erzwingen — Benutzer, die Passwörter in IAM Identity Center hatten, können sich weiterhin mit ihren alten Passwörtern anmelden. Für Benutzer, die sich im externen IdP und nicht im IAM Identity Center befanden, muss ein Administrator ein Zurücksetzen des Passworts erzwingen.

• Bestehende Benutzersitzungen werden nach Ablauf der Sitzungsdauer gesperrt. Sobald Sie Ihre Identitätsquelle auf IAM Identity Center ändern, bleiben aktive Benutzersitzungen für die verbleibende Dauer der in der Konsole konfigurierten maximalen Sitzungsdauer bestehen. Wenn die Dauer der AWS Access-Portal-Sitzung beispielsweise acht Stunden beträgt und Sie die Identitätsquelle in der vierten Stunde geändert haben, laufen aktive Benutzersitzungen weitere vier Stunden weiter. Informationen zum Widerrufen von Benutzersitzungen finden Sie unterLöschen Sie aktive Benutzersitzungen für das AWS Access Portal und die AWS integrierten Anwendungen.

  Wenn Benutzer in der IAM Identity Center-Konsole mithilfe von Identity Store-APIs oder SCIM-Bereitstellung gelöscht oder deaktiviert werden, können Benutzer mit aktiven Sitzungen weiterhin bis zu zwei Stunden auf das AWS Zugriffsportal und die integrierten AWS Anwendungen zugreifen.

  Anmerkung

  Sie können Benutzersitzungen nicht mehr von der IAM Identity Center-Konsole aus widerrufen, nachdem Sie den Benutzer gelöscht haben.

Informationen darüber, wie IAM Identity Center Benutzer und Gruppen bereitstellt, finden Sie unter. Identitäten im IAM Identity Center verwalten

Von einem externen IdP zu einem anderen externen IdP wechseln

Wenn Sie bereits einen externen IdP als Identitätsquelle für IAM Identity Center verwenden und zu einem anderen externen IdP wechseln, sollten Sie Folgendes beachten:

• Aufgaben und Mitgliedschaften funktionieren mit den richtigen Assertions — IAM Identity Center behält all Ihre Zuweisungen bei. Die Benutzerzuweisungen, Gruppenzuweisungen und Gruppenmitgliedschaften funktionieren weiterhin, solange der neue IdP die richtigen Assertions sendet (z. B. SAML-NameIDs).

  Diese Assertionen müssen mit den Benutzernamen in IAM Identity Center übereinstimmen, wenn sich Ihre Benutzer über den neuen externen IdP authentifizieren.

• SCIM-Bereitstellung — Wenn Sie SCIM für die Bereitstellung im IAM Identity Center verwenden, empfehlen wir Ihnen, die IdP-spezifischen Informationen in diesem Handbuch und die vom IdP bereitgestellte Dokumentation zu lesen, um sicherzustellen, dass der neue Anbieter Benutzer und Gruppen korrekt zuordnet, wenn SCIM aktiviert ist.

• Bestehende Benutzersitzungen werden nach Ablauf der Sitzungsdauer gesperrt — Sobald Sie Ihre Identitätsquelle auf einen anderen externen Identitätsanbieter ändern, bleiben aktive Benutzersitzungen für die verbleibende Dauer der in der Konsole konfigurierten maximalen Sitzungsdauer bestehen. Wenn die Dauer der AWS Access-Portal-Sitzung beispielsweise acht Stunden beträgt und Sie die Identitätsquelle in der vierten Stunde geändert haben, bleiben aktive Benutzersitzungen für weitere vier Stunden bestehen. Informationen zum Widerrufen von Benutzersitzungen finden Sie unterLöschen Sie aktive Benutzersitzungen für das AWS Access Portal und die AWS integrierten Anwendungen.

  Wenn Benutzer in der IAM Identity Center-Konsole mithilfe von Identity Store-APIs oder SCIM-Bereitstellung gelöscht oder deaktiviert werden, können Benutzer mit aktiven Sitzungen weiterhin bis zu zwei Stunden auf das AWS Zugriffsportal und die integrierten AWS Anwendungen zugreifen.

  Anmerkung

  Sie können Benutzersitzungen nicht mehr von der IAM Identity Center-Konsole aus widerrufen, nachdem Sie den Benutzer gelöscht haben.

Informationen darüber, wie IAM Identity Center Benutzer und Gruppen bereitstellt, finden Sie unter. Einen externen Identitätsanbieter verwalten

Zwischen Active Directory und einem externen IdP wechseln

Wenn Sie Ihre Identitätsquelle von einem externen IdP zu Active Directory oder von Active Directory zu einem externen IdP ändern, sollten Sie Folgendes berücksichtigen:

• Benutzer, Gruppen und Zuweisungen werden gelöscht — Alle Benutzer, Gruppen und Zuweisungen werden aus IAM Identity Center gelöscht. Weder im externen IdP noch in Active Directory sind Benutzer- oder Gruppeninformationen betroffen.

• Benutzer bereitstellen — Wenn Sie zu einem externen IdP wechseln, müssen Sie IAM Identity Center für die Bereitstellung Ihrer Benutzer konfigurieren. Alternativ müssen Sie die Benutzer und Gruppen für den externen IdP manuell bereitstellen, bevor Sie Zuweisungen konfigurieren können.

• Zuweisungen und Gruppen erstellen — Wenn Sie zu Active Directory wechseln, müssen Sie Zuweisungen mit den Benutzern und Gruppen erstellen, die sich in Ihrem Verzeichnis in Active Directory befinden.

• Der Ablauf vorhandener Benutzersitzungen kann bis zu zwei Stunden dauern. Sobald die Benutzer und Gruppen aus dem Identity Center-Verzeichnis gelöscht wurden, können Benutzer mit aktiven Sitzungen weiterhin bis zu zwei Stunden AWS auf das Zugriffsportal und die integrierten AWS Anwendungen zugreifen. Informationen zur Dauer der Authentifizierungssitzung und zum Benutzerverhalten finden Sie unterAuthentifizierung im IAM Identity Center.

Informationen darüber, wie IAM Identity Center Benutzer und Gruppen bereitstellt, finden Sie unterConnect zu einem her Microsoft AD directory.