在身份中心确认您的IAM身份来源 - AWS IAM Identity Center

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在身份中心确认您的IAM身份来源

您在 Ident IAM ity Center 中的身份源定义了您的用户和群组的管理位置。启用 IAM Identity Center 后,请确认您使用的是您选择的身份源。

确认身份源

  1. 打开IAM身份中心控制台

  2. 在 “控制面板” 页面的 “推荐的设置步骤” 部分下方,选择 “确认您的身份来源”。您也可以通过选择设置,然后选择身份源选项卡,访问此页面。

  3. 如果您想保留已分配的身份源,则无需执行任何操作。如果您想对其进行更改,请选择 “操作”,然后选择 “更改身份来源”。

    您可以选择以下一个选项作为身份源:

    Identity Center 目录

    首次启用 IAM Identity Center 时,系统会自动将其配置为身份中心目录作为您的默认身份源。如果您尚未使用其他外部身份提供商,您可以开始创建用户和组,并为其分配对 AWS 账户 和应用程序的访问权限级别。有关使用此身份源的教程,请参阅 使用默认 IAM Identity Center 目录配置用户访问权限

    Active Directory

    如果您已经在使用管理 AWS Managed Microsoft AD 目录中的用户和群组, AWS Directory Service 或者在中管理自己的自管理目录Active Directory (AD),我们建议您在启用 Ident IAM ity Center 时连接该目录。请勿在默认的 Identity Center 目录中创建任何用户和组。IAMIdentity Center 使用提供的连接将用户、组和成员资格信息从 Active Directory 中的源目录同步到IAM身份中心身份存储。 AWS Directory Service 有关更多信息,请参阅 连接到 Microsoft AD 目录

    注意

    IAMIdentity Center 不支持将SAMBA4基于的 Simple AD 作为身份源。

    外部身份提供商

    对于外部身份提供者 (IdPs),例如Okta或Microsoft Entra ID,您可以使用 Ident IAM ity Center IdPs 通过安全断言标记语言 (SAML) 2.0 标准对身份进行身份验证。该SAML协议没有提供查询 IdP 以了解用户和群组的方法。通过将这些用户和群组配置到 Identity Center 中,您可以让IAMIAM身份中心知道这些用户和群组。如果您的 IdP 支持,您可以使用跨域IAM身份管理系统 () v2.0 协议将来自您的 IdP 的用户和群组信息自动配置(同步SCIM)到 Identity Center。SCIM否则,您可以通过在 Ident IAM ity Center 中手动输入用户名、电子邮件地址和群组来手动配置用户和群组。

    有关设置身份源的详细说明,请参阅入门教程

    注意

    如果您计划使用外部身份提供商,请注意由外部 IdP(而非 Ident IAM ity Center)管理多因素身份验证 () MFA 设置。MFAin IAM In Identity Center 不支持外部身份提供商使用。有关更多信息,请参阅 提示用户完成 MFA

    您选择的身份源决定了 Ident IAM ity Center 在哪里搜索需要单点登录访问的用户和群组。确认或更改身份源后,您将创建或指定用户,并为其分配对 AWS 账户的管理权限。

重要

如果您已经在Active Directory或外部 IdP 中管理用户和群组,我们建议您在启用 Identity Center 并选择您的IAM身份源时考虑连接此身份源。在默认 Identity Center 目录中创建任何用户和组并进行任何分配之前,应先完成此操作。

如果您已经在 Identity Center 中管理一个身份源中的IAM用户和群组,则更改为其他身份源可能会删除您在 Identity Center 中IAM配置的所有用户和群组分配。如果发生这种情况,所有用户(包括 Ident IAM ity Center 中的管理用户)都将失去对其 AWS 账户 和应用程序的单点登录访问权限。有关更多信息,请参阅 更改身份源的注意事项

配置身份源后,您可以查找用户或群组,向他们授予对云应用程序或两者的单点登录访问权限。 AWS 账户