Cos'è IAM Identity Center? - AWS IAM Identity Center
Funzionalità di IAM Identity CenterRinomina di IAM Identity Center

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Cos'è IAM Identity Center?

AWS IAM Identity Center è consigliato Servizio AWS per gestire l'accesso degli utenti umani alle AWS risorse. È un unico posto in cui è possibile assegnare agli utenti della forza lavoro un accesso uniforme a più applicazioni Account AWS . workforce identities IAM Identity Center è offerto senza costi aggiuntivi.

Con IAM Identity Center, puoi creare o connettere gli utenti della forza lavoro e gestire centralmente il loro accesso a tutte le loro Account AWS applicazioni. Puoi utilizzare le autorizzazioni per più account per assegnare l'accesso agli utenti della tua forza lavoro. Account AWSÈ possibile utilizzare le assegnazioni delle applicazioni per assegnare agli utenti l'accesso alle applicazioni gestite e gestite dai clienti. AWS

Nota

Sebbene il nome del servizio AWS Single Sign-On sia stato ritirato, il termine Single Sign-On viene ancora utilizzato in questa guida per descrivere lo schema di autenticazione che consente agli utenti di accedere una sola volta per accedere a più applicazioni e siti Web.

Funzionalità di IAM Identity Center

IAM Identity Center include le seguenti funzionalità e caratteristiche principali:

Gestisci le identità della forza lavoro

Gli utenti umani che creano o gestiscono carichi di lavoro AWS sono anche noti come utenti della forza lavoro o identità della forza lavoro. Gli utenti della forza lavoro sono dipendenti o collaboratori a cui consenti l'accesso Account AWS nell'organizzazione e nelle applicazioni aziendali interne. Queste persone potrebbero essere sviluppatori che creano sistemi interni e rivolti ai clienti o utenti di sistemi e applicazioni di database interni. Puoi creare utenti e gruppi della forza lavoro in IAM Identity Center oppure connetterti e sincronizzarti con un set esistente di utenti e gruppi nella tua fonte di identità per utilizzarli su tutte le tue applicazioni. Account AWS Per ulteriori informazioni, consulta Gestisci la tua fonte di identità.

Gestisci le istanze di IAM Identity Center

IAM Identity Center supporta due tipi di istanze: istanze di organizzazione e istanze di account. Un'istanza organizzativa è la best practice. È l'unica istanza che consente di gestire l'accesso alle applicazioni Account AWS ed è consigliata per tutti gli usi in produzione. Un'istanza dell'organizzazione viene distribuita nell'account di AWS Organizations gestione e offre un unico punto da cui gestire l'accesso degli utenti in tutto l' AWS ambiente.

Le istanze dell'account sono legate all'account Account AWS in cui sono abilitate. Utilizza le istanze di account di IAM Identity Center solo per supportare implementazioni isolate di applicazioni gestite selezionate. AWS Per ulteriori informazioni, consulta Gestisci le istanze di organizzazione e account di IAM Identity Center.

Gestisci l'accesso a più Account AWS

Con le autorizzazioni per più account, puoi pianificare e implementare centralmente le autorizzazioni su più Account AWS account contemporaneamente senza dover configurare manualmente ciascuno dei tuoi account. Puoi creare autorizzazioni basate su funzioni lavorative comuni o definire autorizzazioni personalizzate che soddisfino le tue esigenze di sicurezza. È quindi possibile assegnare tali autorizzazioni agli utenti della forza lavoro per controllare il loro accesso su account specifici.

Questa funzionalità opzionale è disponibile solo per le istanze dell'organizzazione. Se utilizzi la gestione dei ruoli IAM per account nel tuo ambiente, entrambi i sistemi possono coesistere. Se desideri provare le autorizzazioni per più account, puoi iniziare implementando questo sistema su base limitata e migrare una parte maggiore del tuo ambiente per utilizzare questo sistema nel tempo.

Gestisci l'accesso alle applicazioni

IAM Identity Center consente di semplificare la gestione degli accessi alle applicazioni. Con IAM Identity Center, puoi concedere agli utenti della tua forza lavoro in IAM Identity Center l'accesso single sign-on alle applicazioni.

AWS applicazioni gestite

AWS fornisce applicazioni come Amazon Redshift Amazon Managed Grafana e Amazon Monitron, che si integrano con IAM Identity Center. Queste applicazioni possono utilizzare IAM Identity Center per l'autenticazione, i servizi di directory e la propagazione affidabile delle identità. I tuoi utenti traggono vantaggio da un'esperienza Single Sign-On coerente e, poiché le applicazioni condividono una visione comune di utenti, gruppi e appartenenza ai gruppi, gli utenti hanno anche un'esperienza coerente quando condividono le risorse delle applicazioni con altri. Puoi configurare le applicazioni AWS gestite per funzionare con IAM Identity Center direttamente dalle console delle applicazioni pertinenti o tramite le API.

Applicazioni gestite dal cliente

Puoi concedere agli utenti della tua forza lavoro in IAM Identity Center l'accesso Single Sign-On alle applicazioni che supportano la federazione delle identità con SAML 2.0. Molte applicazioni SAML 2.0 di uso comune, come Salesforce e Microsoft 365, funzionano con IAM Identity Center e sono disponibili nel catalogo delle applicazioni nella console IAM Identity Center. Questa è una funzionalità opzionale che può essere utile se utilizzi tali applicazioni e crei utenti e gruppi in IAM Identity Center oppure utilizzi il servizio di dominio Microsoft Active Directory come fonte di identità.

Propagazione delle identità attendibili tra le applicazioni

La propagazione affidabile delle identità offre un'esperienza Single Sign-On semplificata per gli utenti di strumenti di query e applicazioni di business intelligence (BI) che richiedono l'accesso ai dati nei servizi. AWS La gestione dell'accesso ai dati si basa sull'identità dell'utente, quindi gli amministratori possono concedere l'accesso in base all'appartenenza esistente degli utenti e ai gruppi. L'accesso degli utenti ai AWS servizi e ad altri eventi viene registrato nei registri e negli CloudTrail eventi specifici del servizio, in modo che i revisori sappiano quali azioni hanno intrapreso gli utenti e a quali risorse hanno avuto accesso gli utenti.

AWS accedi all'accesso al portale per i tuoi utenti

Il portale di AWS accesso è un semplice portale web che fornisce agli utenti un accesso senza interruzioni a tutti i loro compiti Account AWS e applicazioni.

Rinomina di IAM Identity Center

Il 26 luglio 2022, AWS Single Sign-On è stato rinominato in. AWS IAM Identity Center Per i clienti esistenti, la tabella seguente ha lo scopo di descrivere alcune delle modifiche ai termini più comuni che sono state aggiornate in questa guida a seguito della ridenominazione.

Termine precedente Termine attuale
AWS Utente SSO o utente SSO utente o utente della forza lavoro
AWS Portale utente o portale utenti SSO AWS portale di accesso
AWS applicazioni integrate con SSO AWS applicazioni gestite
AWS directory SSO Directory del Centro identità
AWS Archivio SSO o archivio identità AWS SSO archivio di identità utilizzato da IAM Identity Center

La tabella seguente descrive le modifiche al nome della guida di riferimento per utenti, sviluppatori e API applicabili che hanno avuto luogo anche a seguito di questa ridenominazione.

Guida Legacy Guida attuale
AWS Guida per l'utente Single Sign-On Guida per l'utente di IAM Identity Center
AWS Guida per sviluppatori all'implementazione SCIM Single Sign-On Guida per sviluppatori all'implementazione SCIM di IAM Identity Center
AWS Guida di riferimento all'API Single Sign-On Riferimento all'API IAM Identity Center
AWS Guida di riferimento all'API Single Sign-On Identity Store Riferimento all'API di Identity Store
AWS Guida di riferimento all'API OIDC Single Sign-On Riferimento all'API OIDC di IAM Identity Center
AWS Guida di riferimento all'API del portale Single Sign-On Riferimento all'API del portale IAM Identity Center

I namespace legacy rimangono gli stessi

I namespace sso e identitystore API insieme ai seguenti namespace correlati rimangono invariati per motivi di compatibilità con le versioni precedenti.