Configura SAML e SCIM con Microsoft Entra ID e IAM Identity Center

AWS IAM Identity Center supporta l'integrazione con Security Assertion Markup Language (SAML) 2.0 e il provisioning automatico (sincronizzazione) di informazioni su utenti e gruppi da Microsoft Entra ID (precedentemente noto come Azure Active Directory oppure Azure AD) in IAM Identity Center utilizzando il protocollo System for Cross-domain Identity Management (SCIM) 2.0.

Obiettivo

In questo tutorial, configurerai un laboratorio di test e configurerai una SAML connessione e un SCIM provisioning tra Microsoft Entra ID e IAM Identity Center. Durante le fasi iniziali di preparazione, creerai un utente di prova (Nikki Wolf) in entrambi Microsoft Entra ID e IAM Identity Center che utilizzerai per testare la SAML connessione in entrambe le direzioni. Successivamente, come parte dei SCIM passaggi, creerai un altro utente di test (Richard Roe) per verificare i nuovi attributi in Microsoft Entra ID si stanno sincronizzando con IAM Identity Center come previsto.

Prerequisiti

Prima di iniziare con questo tutorial, devi prima configurare quanto segue:

• A Microsoft Entra ID inquilino. Per ulteriori informazioni, consulta Avvio rapido: configurare un tenant in Microsoft documentazione.

• Un record AWS IAM Identity Center-account abilitato. Per ulteriori informazioni, consulta Abilita IAM Identity Center nella AWS IAM Identity Center Guida per l'utente.

Considerazioni

Di seguito sono riportate importanti considerazioni su Microsoft Entra ID ciò può influire sul modo in cui si prevede di implementare il provisioning automatico con IAM Identity Center nell'ambiente di produzione utilizzando il protocollo SCIM v2.

Provisioning automatico

Prima di iniziare la distribuzioneSCIM, si consiglia di effettuare una prima revisione. Considerazioni sull'utilizzo del provisioning automatico

Attributi per il controllo degli accessi

Gli attributi per il controllo degli accessi vengono utilizzati nelle politiche di autorizzazione che determinano chi, nella tua fonte di identità, può accedere al AWS risorse. Se un attributo viene rimosso da un utente in Microsoft Entra ID, tale attributo non verrà rimosso dall'utente corrispondente in IAM Identity Center. Si tratta di una limitazione nota in Microsoft Entra ID. Se un attributo viene modificato con un valore diverso (non vuoto) su un utente, tale modifica verrà sincronizzata con IAM Identity Center.

Gruppi annidati

Il Microsoft Entra ID il servizio di provisioning degli utenti non è in grado di leggere o effettuare il provisioning degli utenti nei gruppi nidificati. Solo gli utenti che sono membri immediati di un gruppo assegnato in modo esplicito possono essere letti e assegnati. Microsoft Entra ID non decomprime in modo ricorsivo le appartenenze ai gruppi di utenti o gruppi assegnati indirettamente (utenti o gruppi membri di un gruppo assegnato direttamente). Per ulteriori informazioni, vedere Ambito basato sulle assegnazioni nel Microsoft documentazione. In alternativa, è possibile utilizzare IAMIdentity Center ID AD Sync per l'integrazione Active Directory gruppi con IAM Identity Center.

Gruppi dinamici

Il Microsoft Entra ID il servizio di provisioning degli utenti può leggere ed effettuare il provisioning degli utenti in gruppi dinamici. Di seguito è riportato un esempio che mostra la struttura degli utenti e dei gruppi durante l'utilizzo dei gruppi dinamici e come vengono visualizzati in IAM Identity Center. Questi utenti e gruppi sono stati forniti da Microsoft Entra ID in IAM Identity Center tramite SCIM

Ad esempio, se Microsoft Entra ID la struttura per i gruppi dinamici è la seguente:

1. Gruppo A con membri ua1, ua2

2. Gruppo B con membri ub1

3. Gruppo C con membri uc1

4. Gruppo K con una regola per includere i membri del Gruppo A, B, C

5. Gruppo L con una regola per includere i membri dei gruppi B e C

Dopo aver fornito le informazioni su utenti e gruppi da Microsoft Entra ID accedendo a IAM Identity Center tramiteSCIM, la struttura sarà la seguente:

1. Gruppo A con membri ua1, ua2

2. Gruppo B con membri ub1

3. Gruppo C con membri uc1

4. Gruppo K con membri ua1, ua2, ub1, uc1

5. Gruppo L con membri ub1, uc1

Quando configuri il provisioning automatico utilizzando gruppi dinamici, tieni presenti le seguenti considerazioni.

• Un gruppo dinamico può includere un gruppo annidato. Tuttavia, Microsoft Entra ID il servizio di provisioning non appiattisce il gruppo annidato. Ad esempio, se hai quanto segue Microsoft Entra ID struttura per gruppi dinamici:

  • Il gruppo A è un genitore del gruppo B.

  • Il gruppo A ha ua1 come membro.

  • Il gruppo B ha ub1 come membro.

Il gruppo dinamico che include il gruppo A includerà solo i membri diretti del gruppo A (ovvero ua1). Non includerà ricorsivamente i membri del gruppo B.

• I gruppi dinamici non possono contenere altri gruppi dinamici. Per ulteriori informazioni, consulta Limitazioni di anteprima nel Microsoft documentazione.

Fase 1: Preparare il tenant Microsoft

In questo passaggio, spiegherai come installare e configurare il AWS IAM Identity Center applicazione aziendale e assegnazione dell'accesso a un'applicazione appena creata Microsoft Entra ID utente di prova.

Step 1.1 >

Fase 1.1: Configurare AWS IAM Identity Center applicazione aziendale in Microsoft Entra ID

In questa procedura, si installa AWS IAM Identity Center applicazione aziendale in Microsoft Entra ID. Questa applicazione sarà necessaria in un secondo momento per configurare la SAML connessione con AWS.

1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno amministratore di applicazioni cloud.

2. Passa a Identità > Applicazioni > Applicazioni aziendali, quindi scegli Nuova applicazione.

3. Nella pagina Browse Microsoft Entra Gallery, inserisci AWS IAM Identity Center nella casella di ricerca.

4. Selezionare AWS IAM Identity Centerdai risultati.

5. Scegli Create (Crea) .

Step 1.2 >

Fase 1.2: Creare un utente di prova in Microsoft Entra ID

Nikki Wolf è il tuo nome Microsoft Entra ID utente di prova che creerai in questa procedura.

1. Nella console dell'interfaccia di amministrazione Microsoft Entra, vai a Identità > Utenti > Tutti gli utenti.

2. Seleziona Nuovo utente, quindi scegli Crea nuovo utente nella parte superiore dello schermo.

3. In Nome principale utente, inserisci NikkiWolf, quindi seleziona il dominio e l'estensione preferiti. Ad esempio, NikkiWolf@example.org.

4. In Nome visualizzato, immettere NikkiWolf.

5. In Password, inserisci una password sicura o seleziona l'icona a forma di occhio per mostrare la password generata automaticamente e copia o annota il valore visualizzato.

6. Scegli Proprietà, in Nome, inserisci Nikki. In Cognome, immettete Wolf.

7. Scegliete Review + create, quindi scegliete Crea.

Step 1.3

Passaggio 1.3: Metti alla prova l'esperienza di Nikki prima di assegnarle le autorizzazioni a AWS IAM Identity Center

In questa procedura, verificherai a cosa Nikki può accedere correttamente al suo portale Microsoft My Account.

1. Nello stesso browser, apri una nuova scheda, vai alla pagina di accesso al portale My Account e inserisci l'indirizzo email completo di Nikki. Ad esempio, @ NikkiWolfexample.org.

2. Quando richiesto, inserisci la password di Nikki, quindi scegli Accedi. Se si tratta di una password generata automaticamente, ti verrà richiesto di cambiarla.

3. Nella pagina Azione richiesta, scegli Chiedi più tardi per ignorare la richiesta di metodi di sicurezza aggiuntivi.

4. Nella pagina Il mio account, nel riquadro di navigazione a sinistra, scegli Le mie app. Tieni presente che, oltre ai componenti aggiuntivi, al momento non viene visualizzata alcuna app. Aggiungerai un AWS IAM Identity Centerapp che verrà visualizzata qui in un passaggio successivo.

Step 1.4

Passaggio 1.4: Assegna le autorizzazioni a Nikki in Microsoft Entra ID

Ora che hai verificato che Nikki può accedere con successo al portale Il mio account, usa questa procedura per assegnare il suo utente al AWS IAM Identity Centerapp.

1. Nella console dell'interfaccia di amministrazione Microsoft Entra, accedi a Identità > Applicazioni > Applicazioni aziendali, quindi scegli AWS IAM Identity Centerdall'elenco.

2. A sinistra, scegli Utenti e gruppi.

3. Scegli Add user/group (Aggiungi utente/gruppo). Puoi ignorare il messaggio che indica che i gruppi non sono disponibili per l'assegnazione. Questo tutorial non utilizza i gruppi per le assegnazioni.

4. Nella pagina Aggiungi assegnazione, in Utenti, scegli Nessuno selezionato.

5. Seleziona NikkiWolf, quindi scegli Seleziona.

6. Nella pagina Aggiungi assegnazione, scegli Assegna. NikkiWolf ora appare nell'elenco degli utenti assegnati a AWS IAM Identity Centerapp.

Fase 2: Prepara il tuo AWS account

In questo passaggio, spiegherai come utilizzare IAM Identity Centerper configurare le autorizzazioni di accesso (tramite il set di autorizzazioni), creare manualmente un utente Nikki Wolf corrispondente e assegnargli le autorizzazioni necessarie per amministrare le risorse in AWS.

Step 2.1 >

Passaggio 2.1: Creare un set di autorizzazioni in RegionalAdmin IAM Identity Center

Questo set di autorizzazioni verrà utilizzato per concedere a Nikki il necessario AWS le autorizzazioni relative all'account sono necessarie per gestire le regioni dalla pagina Account all'interno di AWS Management Console. Tutte le altre autorizzazioni per visualizzare o gestire qualsiasi altra informazione relativa all'account di Nikki sono negate per impostazione predefinita.

1. Apri la console IAMIdentity Center.

2. In Autorizzazioni per più account, scegli Set di autorizzazioni.

3. Scegli Create permission set (Crea set di autorizzazioni).

4. Nella pagina Seleziona il tipo di set di autorizzazioni, seleziona Set di autorizzazioni personalizzato, quindi scegli Avanti.

5. Seleziona Criterio in linea per espanderlo, quindi crea un criterio per il set di autorizzazioni utilizzando i seguenti passaggi:

   1. Scegli Aggiungi nuova dichiarazione per creare una dichiarazione politica.

   2. In Modifica rendiconto, seleziona Account dall'elenco, quindi scegli le seguenti caselle di controllo.

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

   3. Vicino a Aggiungi una risorsa, scegli Aggiungi.

   4. Nella pagina Aggiungi risorsa, in Tipo di risorsa, seleziona Tutte le risorse, quindi scegli Aggiungi risorsa. Verifica che la tua politica sia simile alla seguente:

      {
          "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": [
                      "account:ListRegions",
                      "account:DisableRegion",
                      "account:EnableRegion",
                      "account:GetRegionOptStatus"
                  ],
                  "Resource": [
                      "*"
                  ]
              }
          ]
      }

6. Scegli Next (Successivo).

7. Nella pagina Specificare i dettagli del set di autorizzazioni, in Nome del set di autorizzazioni RegionalAdmin, immettere e quindi scegliere Avanti.

8. Nella pagina Review and create (Rivedi e crea), scegliere Create (Crea). Dovresti essere RegionalAdminvisualizzato nell'elenco dei set di autorizzazioni.

Step 2.2 >

Passaggio 2.2: Creare un NikkiWolf utente corrispondente in IAM Identity Center

Poiché il SAML protocollo non fornisce un meccanismo per interrogare l'IdP (Microsoft Entra ID) e crea automaticamente gli utenti qui in IAM Identity Center, utilizza la seguente procedura per creare manualmente un utente in IAM Identity Center che rispecchi gli attributi principali dell'utente di Nikki Wolf in Microsoft Entra ID.

1. Aprire la console di IAMIdentity Center.

2. Scegli Utenti, scegli Aggiungi utente, quindi fornisci le seguenti informazioni:

   1. Sia per il nome utente che per l'indirizzo e-mail, inserisci lo stesso NikkiWolf @yourcompanydomain.extensionche hai usato durante la creazione del tuo Microsoft Entra ID utente. Ad esempio, NikkiWolf@example.org.

   2. Conferma l'indirizzo e-mail: inserisci nuovamente l'indirizzo e-mail del passaggio precedente

   3. Nome: immettere Nikki

   4. Cognome: immettere Wolf

   5. Nome visualizzato: immettere Nikki Wolf

3. Scegli Avanti due volte, quindi scegli Aggiungi utente.

4. Seleziona Close (Chiudi).

Step 2.3

Passaggio 2.3: Assegna Nikki all' RegionalAdmin autorizzazione impostata in IAM Identity Center

Qui trovi il Account AWS in cui Nikki amministrerà le Regioni e quindi le assegnerà le autorizzazioni necessarie per accedere con successo a AWS portale di accesso.

1. Aprire la console di IAM Identity Center.

2. In Autorizzazioni per più account, scegli Account AWS.

3. Seleziona la casella di controllo accanto al nome dell'account (ad esempio, Sandbox) dove vuoi concedere a Nikki l'accesso per gestire le regioni, quindi scegli Assegna utenti e gruppi.

4. Nella pagina Assegna utenti e gruppi, scegli la scheda Utenti, trova e seleziona la casella accanto a Nikki, quindi scegli Avanti.

Passaggio 3: configura e verifica la connessione SAML

In questo passaggio, configuri la SAML connessione utilizzando il AWS IAM Identity Center applicazione aziendale in Microsoft Entra ID insieme alle impostazioni IdP esterne in IAM Identity Center.

Step 3.1 >

Passaggio 3.1: Raccogli i metadati richiesti del fornitore di servizi da Identity Center IAM

In questo passaggio, avvierai la procedura guidata per la modifica dell'origine dell'identità dalla console di IAM Identity Center e recupererai il file di metadati e il AWS accesso specifico URL che dovrai inserire durante la configurazione della connessione con Microsoft Entra ID nel passaggio successivo.

1. Nella console di IAM Identity Center, scegli Impostazioni.

2. Nella pagina Impostazioni, scegli la scheda Origine dell'identità, quindi scegli Azioni > Modifica l'origine dell'identità.

3. Nella pagina Scegli l'origine dell'identità, seleziona Provider di identità esterno, quindi scegli Avanti.

4. Nella pagina Configura provider di identità esterno, in Metadati del provider di servizi, scegli Scarica il file di metadati per scaricare il XML file.

5. Nella stessa sezione, individua AWS accedi al URL valore di accesso al portale e copialo. Dovrai inserire questo valore quando richiesto nel passaggio successivo.

6. Lasciate aperta questa pagina e passate al passaggio successivo (Step 3.2) per configurare AWS IAM Identity Center applicazione aziendale in Microsoft Entra ID. Successivamente, tornerai a questa pagina per completare il processo.

Step 3.2 >

Passaggio 3.2: Configurare il AWS IAM Identity Center applicazione aziendale in Microsoft Entra ID

Questa procedura stabilisce metà della SAML connessione sul lato Microsoft utilizzando i valori del file di metadati e Sign-On ottenuti nell'ultimo URL passaggio.

1. Nella console dell'interfaccia di amministrazione Microsoft Entra, accedi a Identità > Applicazioni > Applicazioni aziendali, quindi scegli AWS IAM Identity Center.

2. A sinistra, scegli 2. Configura Single Sign-on.

3. Nella pagina Configura Single Sign-On con SAML, scegli. SAML Quindi scegli Carica file di metadati, scegli l'icona della cartella, seleziona il file di metadati del fornitore di servizi che hai scaricato nel passaggio precedente, quindi scegli Aggiungi.

4. Nella pagina SAMLConfigurazione di base, verifica che entrambi i URL valori Identifier e Reply puntino ora agli endpoint in AWS che iniziano con. https://<REGION>.signin.aws.amazon.com/platform/saml/

5. In Accedi URL (facoltativo), incolla il AWS accedi al URL valore di accesso al portale che hai copiato nel passaggio precedente (Step 3.1), scegli Salva, quindi scegli X per chiudere la finestra.

6. Se viene richiesto di testare il Single Sign-On con AWS IAM Identity Center, scegli No, farò il test più tardi. Effettuerai questa verifica in un passaggio successivo.

7. Nella SAML pagina Configura Single Sign-On con, nella sezione SAMLCertificati, accanto a Metadati federativi XML, scegli Scarica per salvare il file di metadati sul tuo sistema. Dovrai caricare questo file quando richiesto nel passaggio successivo.

Step 3.3 >

Passaggio 3.3: Configurare il Microsoft Entra ID ingresso IdP esterno AWS IAM Identity Center

Qui tornerai alla procedura guidata per la modifica dell'origine dell'IAMidentità nella console di Identity Center per completare la seconda metà della connessione in SAML AWS.

1. Torna alla sessione del browser da cui hai lasciato aperta Step 3.1nella console di IAM Identity Center.

2. Nella pagina Configura provider di identità esterno, nella sezione Metadati del provider di identità, in Metadati SAMLIdP, scegli il pulsante Scegli file e seleziona il file di metadati del provider di identità da cui hai scaricato Microsoft Entra ID nel passaggio precedente, quindi scegli Apri.

3. Scegli Next (Successivo).

4. Dopo aver letto il disclaimer e essere pronti a procedere, inserisci. ACCEPT

5. Scegli Cambia origine identità per applicare le modifiche.

Step 3.4 >

Passaggio 3.4: Verifica che Nikki venga reindirizzata a AWS portale di accesso

In questa procedura, testerai la SAML connessione accedendo al portale My Account di Microsoft con le credenziali di Nikki. Una volta autenticato, selezionerai il AWS IAM Identity Center applicazione che reindirizzerà Nikki al AWS portale di accesso.

1. Vai alla pagina di accesso al portale Il mio account e inserisci l'indirizzo email completo di Nikki. Ad esempio, @ NikkiWolfexample.org.

2. Quando richiesto, inserisci la password di Nikki, quindi scegli Accedi.

3. Nella pagina Il mio account, nel riquadro di navigazione a sinistra, scegli Le mie app.

4. Nella pagina Le mie app, seleziona l'app denominata AWS IAM Identity Center. Questo dovrebbe richiedere un'ulteriore autenticazione.

5. Nella pagina di accesso di Microsoft, scegli NikkiWolf le tue credenziali. Se ti viene richiesta una seconda volta l'autenticazione, scegli nuovamente NikkiWolf le tue credenziali. Questo dovrebbe reindirizzarti automaticamente a AWS portale di accesso.

   Suggerimento

   Se non vieni reindirizzato correttamente, verifica che AWS il URL valore di accesso al portale di accesso che hai inserito Step 3.2corrisponde al valore da cui hai copiato. Step 3.1

6. Verifica che il tuo Account AWS display.

   Suggerimento

   Se la pagina è vuota e no Account AWS display, conferma che Nikki è stata assegnata correttamente al set di RegionalAdminautorizzazioni (vedi Step 2.3).

Step 3.5

Passaggio 3.5: Verifica il livello di accesso di Nikki per gestirla Account AWS

In questo passaggio, controllerai il livello di accesso di Nikki per gestire le impostazioni della regione per lei Account AWS. Nikki dovrebbe avere solo i privilegi di amministratore sufficienti per gestire le regioni dalla pagina Account.

1. Nel AWS accedi al portale, scegli la scheda Account per visualizzare l'elenco degli account. Vengono visualizzati i nomi degli accountIDs, gli account e gli indirizzi e-mail associati a tutti gli account in cui sono stati definiti i set di autorizzazioni.

2. Scegli il nome dell'account (ad esempio, Sandbox) dove hai applicato il set di autorizzazioni (vedi Step 2.3). Ciò amplierà l'elenco dei set di autorizzazioni tra cui Nikki può scegliere per gestire il suo account.

3. Quindi RegionalAdminscegli Console di gestione per assumere il ruolo definito nel set di RegionalAdminautorizzazioni. Questo ti reindirizzerà al AWS Management Console home page.

4. Nell'angolo in alto a destra della console, scegli il nome del tuo account, quindi scegli Account. Verrai reindirizzato alla pagina Account. Nota che in tutte le altre sezioni di questa pagina viene visualizzato un messaggio che indica che non disponi delle autorizzazioni necessarie per visualizzare o modificare tali impostazioni.

5. Nella pagina Account, scorri verso il basso fino alla sezione AWS Regioni. Seleziona una casella di controllo per ogni regione disponibile nella tabella. Nota che Nikki dispone delle autorizzazioni necessarie per abilitare o disabilitare l'elenco delle regioni per il suo account, come previsto.

Ben fatto!

I passaggi da 1 a 3 ti hanno aiutato a implementare e testare con successo la tua SAML connessione. Ora, per completare il tutorial, ti invitiamo a passare alla Fase 4 per implementare il provisioning automatico.

Fase 4: Configurare e testare la sincronizzazione SCIM

In questo passaggio, configurerai il provisioning automatico (sincronizzazione) delle informazioni utente da Microsoft Entra ID in IAM Identity Center utilizzando il protocollo SCIM v2.0. Si configura questa connessione in Microsoft Entra ID utilizzando il tuo SCIM endpoint per IAM Identity Center e un token bearer creato automaticamente da IAM Identity Center.

Quando configuri SCIM la sincronizzazione, crei una mappatura degli attributi utente in Microsoft Entra ID agli attributi denominati in IAM Identity Center. Ciò fa sì che gli attributi previsti corrispondano tra IAM Identity Center e Microsoft Entra ID.

I passaggi seguenti illustrano come abilitare il provisioning automatico degli utenti che risiedono principalmente in Microsoft Entra ID a IAM Identity Center utilizzando l'app IAM Identity Center in Microsoft Entra ID.

Step 4.1 >

Passaggio 4.1: Creare un secondo utente di prova in Microsoft Entra ID

A scopo di test, creerai un nuovo utente (Richard Roe) in Microsoft Entra ID. Successivamente, dopo aver impostato SCIM la sincronizzazione, verificherai che questo utente e tutti gli attributi pertinenti siano stati sincronizzati correttamente con IAM Identity Center.

1. Nella console dell'interfaccia di amministrazione Microsoft Entra, vai a Identità > Utenti > Tutti gli utenti.

2. Seleziona Nuovo utente, quindi scegli Crea nuovo utente nella parte superiore dello schermo.

3. In Nome principale utente, inserisci RichRoe, quindi seleziona il dominio e l'estensione preferiti. Ad esempio, RichRoe@example.org.

4. In Nome visualizzato, immettere RichRoe.

5. In Password, inserisci una password sicura o seleziona l'icona a forma di occhio per mostrare la password generata automaticamente e copia o annota il valore visualizzato.

6. Scegli Proprietà, quindi fornisci i seguenti valori:

   • Nome - Invio Richard

   • Cognome - Invio Roe

   • Job title - Enter Marketing Lead

   • Dipartimento - Entra Sales

   • ID dipendente: inserisci 12345

7. Scegli Revisione+crea, quindi scegli Crea.

Step 4.2 >

Passaggio 4.2: Abilita il provisioning automatico in IAM Identity Center

In questa procedura, utilizzerai la console IAM Identity Center per abilitare il provisioning automatico di utenti e gruppi provenienti da Microsoft Entra ID in IAM Identity Center.

1. Apri la console di IAM Identity Center e scegli Impostazioni nel riquadro di navigazione a sinistra.

2. Nella pagina Impostazioni, nella scheda Identity source, nota che il metodo di provisioning è impostato su Manuale.

3. Individua la casella Informazioni sul provisioning automatico, quindi scegli Abilita. Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'SCIMendpoint e sul token di accesso.

4. Nella finestra di dialogo di provisioning automatico in entrata, copiate ciascuno dei valori per le seguenti opzioni. Sarà necessario incollarli nel passaggio successivo quando si configura il provisioning in Microsoft Entra ID.

   1. SCIMendpoint: ad esempio, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

   2. Token di accesso: scegli Mostra token per copiare il valore.

   avvertimento

   Questa è l'unica volta in cui puoi ottenere l'SCIMendpoint e il token di accesso. Assicurati di copiare questi valori prima di andare avanti.

5. Scegli Chiudi.

6. Nella scheda Identity source, nota che il metodo Provisioning è ora impostato SCIMsu.

Step 4.3 >

Passaggio 4.3: Configurare il provisioning automatico in Microsoft Entra ID

Dopo aver installato l'utente di RichRoe prova e averlo abilitato SCIM in IAM Identity Center, è possibile procedere con la configurazione delle impostazioni di SCIM sincronizzazione in Microsoft Entra ID.

1. Nella console dell'interfaccia di amministrazione Microsoft Entra, accedi a Identità > Applicazioni > Applicazioni aziendali, quindi scegli AWS IAM Identity Center.

2. Scegli Provisioning, in Gestisci, scegli nuovamente Provisioning.

3. In Provisioning Mode, seleziona Automatico.

4. In Admin Credentials, in Tenant, URL incolla il URL valore dell'SCIMendpoint che hai copiato in precedenza in. Step 4.2 In Secret Token, incolla il valore del token di accesso.

5. Scegli Test Connection (Connessione di prova). Dovresti visualizzare un messaggio che indica che le credenziali testate sono state autorizzate correttamente per abilitare il provisioning.

6. Seleziona Salva.

7. In Gestisci, scegli Utenti e gruppi, quindi scegli Aggiungi utente/gruppo.

8. Nella pagina Aggiungi assegnazione, in Utenti, scegli Nessuno selezionato.

9. Seleziona RichRoe, quindi scegli Seleziona.

10. Nella pagina Add Assignment (Aggiungi assegnazione), scegli Assign (Assegna).

11. Scegli Panoramica, quindi scegli Avvia provisioning.

Step 4.4

Passaggio 4.4: Verifica che la sincronizzazione sia avvenuta

In questa sezione, verificherai che il provisioning dell'utente di Richard sia stato eseguito correttamente e che tutti gli attributi siano visualizzati in IAM Identity Center.

1. Nella console di IAM Identity Center, scegli Utenti.

2. Nella pagina Utenti, dovresti vedere il tuo RichRoeutente visualizzato. Notate che nella colonna Creato da il valore è impostato su SCIM.

3. Scegliete RichRoe, in Profilo, verificate che i seguenti attributi siano stati copiati da Microsoft Entra ID.

   • Nome - Richard

   • Cognome - Roe

   • Dipartimento - Sales

   • Titolo - Marketing Lead

   • Numero del dipendente - 12345

   Ora che l'utente di Richard è stato creato in IAM Identity Center, puoi assegnarlo a qualsiasi set di autorizzazioni in modo da controllare il livello di accesso che ha al tuo AWS risorse. Ad esempio, potresti RichRoeassegnare al set di RegionalAdmin autorizzazioni che hai usato in precedenza per concedere a Nikki le autorizzazioni per gestire le regioni (vedi Step 2.3) e poi testare il suo livello di accesso utilizzando. Step 3.5

Complimenti!

È stata configurata correttamente una SAML connessione tra Microsoft e AWS e abbiamo verificato che il provisioning automatico funzioni per mantenere tutto sincronizzato. Ora puoi applicare ciò che hai imparato per configurare più agevolmente il tuo ambiente di produzione.

Risoluzione dei SCIM problemi con Microsoft Entra ID

Se riscontri problemi con Microsoft Entra ID gli utenti che non si sincronizzano con IAM Identity Center, ciò potrebbe essere dovuto a un problema di sintassi segnalato da IAM Identity Center quando un nuovo utente viene aggiunto a Identity Center. IAM È possibile confermarlo controllando il Microsoft Entra ID registri di controllo per eventi non riusciti, ad esempio un'Export'. Il motivo dello stato di questo evento indicherà:

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

Puoi anche controllare AWS CloudTrail per l'evento fallito. Questo può essere fatto effettuando una ricerca nella console Event History o CloudTrail utilizzando il seguente filtro:

"eventName":"CreateUser"

L'errore nell' CloudTrail evento indicherà quanto segue:

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

In definitiva, questa eccezione significa che uno dei valori è passato da Microsoft Entra ID conteneva più valori del previsto. La soluzione in questo caso consiste nel rivedere gli attributi dell'utente in Microsoft Entra ID, assicurandosi che nessuno contenga valori duplicati. Un esempio comune di valori duplicati è la presenza di più valori per numeri di contatto come cellulare, ufficio e fax. Sebbene siano valori separati, vengono tutti passati a IAM Identity Center con l'attributo phoneNumberssingle parent.

Per suggerimenti generali SCIM sulla risoluzione dei problemi, vedereRisoluzione dei problemi relativi a IAM Identity Center.

Fase 5: (Facoltativo) Configurazione ABAC

Ora che hai configurato SAML correttamenteSCIM, puoi facoltativamente scegliere di configurare il controllo degli accessi basato sugli attributi (). ABAC ABACè una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi.

Con Microsoft Entra ID, è possibile utilizzare uno dei due metodi seguenti ABAC per configurarlo per l'utilizzo con IAM Identity Center.

Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center

Configura gli attributi utente in Microsoft Entra ID per il controllo degli accessi in IAM Identity Center

Nella procedura seguente, si determineranno gli attributi in Microsoft Entra ID deve essere utilizzato da IAM Identity Center per gestire l'accesso al AWS risorse. Una volta definito, Microsoft Entra ID invia questi attributi a IAM Identity Center tramite SAML asserzioni. Dovrai quindi accedere Crea un set di autorizzazioni. a IAM Identity Center per gestire l'accesso in base agli attributi da cui hai trasmesso Microsoft Entra ID.

Prima di iniziare questa procedura, è necessario abilitare la Attributi per il controllo degli accessi funzionalità. Per ulteriori informazioni su come effettuare tale operazione, consulta Abilita e configura gli attributi per il controllo degli accessi.

1. Nella console dell'interfaccia di amministrazione Microsoft Entra, accedi a Identità > Applicazioni > Applicazioni aziendali, quindi scegli AWS IAM Identity Center.

2. Scegli Single Sign-On.

3. Nella sezione Attributi e attestazioni, scegli Modifica.

4. Nella pagina Attributi e rivendicazioni, procedi come segue:

   1. Scegli Aggiungi nuovo reclamo

   2. Per Nome, immetti AccessControl:AttributeName. Replace (Sostituisci) AttributeName con il nome dell'attributo che ti aspetti in IAM Identity Center. Ad esempio AccessControl:Department.

   3. Per Namespace (Spazio dei nomi), immettere https://aws.amazon.com/SAML/Attributes.

   4. In Source (Origine), scegliere Attribute (Attributo).

   5. Per l'attributo Source, utilizza l'elenco a discesa per scegliere Microsoft Entra ID attributi utente. Ad esempio user.department.

5. Ripeti il passaggio precedente per ogni attributo che devi inviare a IAM Identity Center nell'SAMLasserzione.

6. Seleziona Salva.

Configure ABAC using IAM Identity Center

Configura ABAC utilizzando IAM Identity Center

Con questo metodo, si utilizza la Attributi per il controllo degli accessi funzionalità di IAM Identity Center per passare un Attribute elemento con l'Nameattributo impostato suhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. È possibile utilizzare questo elemento per passare gli attributi come tag di sessione nell'SAMLasserzione. Per ulteriori informazioni sui tag di sessione, vedete Passare i tag di sessione in AWS STS nella Guida per l'utente di IAM.

Per passare gli attributi come tag di sessione, includi l'elemento AttributeValue che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tagDepartment=billing, utilizzate il seguente attributo:

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se devi aggiungere più attributi, includi un Attribute elemento separato per ogni tag.