在身份中心确认您的IAM身份来源 - AWS IAM Identity Center

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在身份中心确认您的IAM身份来源

您在 Ident IAM ity Center 中的身份源定义了您的用户和群组的管理位置。启用 IAM Identity Center 后,请确认您使用的是您选择的身份源。如果您已经分配了身份源,则可以继续使用它。

确认身份源
  1. 打开IAM身份中心控制台

  2. 在 “控制面板” 页面的 “推荐的设置步骤” 部分下方,选择 “确认您的身份来源”。您也可以通过选择设置,然后选择身份源选项卡,访问此页面。

  3. 如果您想保留已分配的身份源,则无需执行任何操作。如果您想对其进行更改,请选择 “操作”,然后选择 “更改身份来源”。

    您可以选择以下一个选项作为身份源:

    Identity Center 目录

    首次启用 IAM Identity Center 时,系统会自动将其配置为身份中心目录作为您的默认身份源。如果您尚未使用其他外部身份提供商,则可以开始创建您的用户和群组,并为他们分配对您的用户和群组的访问级别 AWS 账户 和应用程序。有关使用此身份源的教程,请参阅 使用默认的 Identity C IAM enter 目录配置用户访问权限

    Active Directory

    如果您已经在管理任一用户和群组 AWS Managed Microsoft AD 目录使用 AWS Directory Service 或者你的自管目录 Active Directory (AD),我们建议您在启用 Ident IAM ity Center 时连接该目录。请勿在默认的 Identity Center 目录中创建任何用户和组。IAM身份中心使用由提供的连接 AWS Directory Service 将用户、群组和成员资格信息从 Active Directory 中的源目录同步到 Identity Center IAM 身份存储中。有关更多信息,请参阅 Connect 到 Microsoft AD directory

    注意

    IAMIdentity Center 不支持将SAMBA4基于的 Simple AD 作为身份源。

    外部身份提供商

    对于外部身份提供商 (IdPs),例如 Okta 或者 Microsoft Entra ID,你可以使用 IAM Identity Center IdPs 通过安全断言标记语言 (SAML) 2.0 标准对身份进行身份验证。该SAML协议没有提供查询 IdP 以了解用户和群组的方法。通过将这些用户和群组配置到 Identity Center 中,您可以让IAMIAM身份中心知道这些用户和群组。如果您的 IdP 支持,您可以使用跨域IAM身份管理系统 () v2.0 协议将来自您的 IdP 的用户和群组信息自动配置(同步SCIM)到 Identity Center。SCIM否则,您可以通过在 Ident IAM ity Center 中手动输入用户名、电子邮件地址和群组来手动配置用户和群组。

    有关设置身份源的详细说明,请参阅IAM身份中心身份源教程

    注意

    如果您计划使用外部身份提供商,请注意由外部 IdP(而非 Ident IAM ity Center)管理多因素身份验证 () MFA 设置。MFAin IAM In Identity Center 不支持外部身份提供商使用。有关更多信息,请参阅 提示用户输入 MFA

    您选择的身份源决定了 Ident IAM ity Center 在哪里搜索需要单点登录访问的用户和群组。确认或更改身份来源后,您将创建或指定用户,并为其分配管理权限 AWS 账户.

重要

如果您已经在管理用户和群组 Active Directory 对于外部 IdP,我们建议您在启用 Identity Center 并选择您的IAM身份源时考虑连接此身份源。在默认 Identity Center 目录中创建任何用户和组并进行任何分配之前,应先完成此操作。

如果您已经在 Identity Center 中管理一个身份源中的IAM用户和群组,则更改为其他身份源可能会删除您在 Identity Center 中IAM配置的所有用户和群组分配。如果发生这种情况,所有用户(包括 Ident IAM ity Center 中的管理用户)都将失去对其的单点登录访问权限 AWS 账户 和应用程序。有关更多信息,请参阅 更改身份源的注意事项

配置身份源后,您可以查找用户或群组,向他们授予单点登录访问权限 AWS 账户、云应用程序,或两者兼而有之。