使用将外部身份提供商配置到IAM身份中心 SCIM - AWS IAM Identity Center
使用自动预置的注意事项如何监控访问令牌过期手动预置

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用将外部身份提供商配置到IAM身份中心 SCIM

IAMIdentity Center 支持使用跨域身份管理系统 () v2.0 协议将来自您的身份提供商 (IdP) 的用户和群组信息自动配置(同步SCIM)到IAM身份中心。配置SCIM同步时,您可以在 Identity Center 中创建身份提供商 (IdP) 用户属性与 Identit IAM y Center 中命名属性的映射。这会导致 Ident IAM ity Center 和你的 IdP 之间的预期属性匹配。您可以使用IAM身份中心的SCIM终端节点和在 Identity Center 中创建的不记名令牌在 IdP 中IAM配置此连接。

主题

使用自动预置的注意事项

在开始部署之前SCIM,我们建议您先查看以下有关其如何与 Ident IAM ity Center 配合的重要注意事项。有关其他配置注意事项,请参阅IAM身份中心入门教程适用于您的 IdP 的。

  • 如果您要预置主电子邮件地址,则此属性值对于每个用户必须是唯一的。在某些 IdPs情况下,主电子邮件地址可能不是真实的电子邮件地址。例如,它可能是一个只看起来像电子邮件的通用主体名称 (UPN)。它们 IdPs 可能有一个包含用户真实电子邮件地址的辅助或 “其他” 电子邮件地址。您必须在 IdP SCIM 中进行配置,以将非空的唯一电子邮件地址映射到 Ident IAM ity Center 的主电子邮件地址属性。而且您必须将用户的非空唯一登录标识符映射到 Ident IAM ity Center 用户名属性。检查您的 IdP 是否具有既是登录标识符又是用户电子邮件名称的单一值。如果是,则可以将该 IdP 字段映射到IAM身份中心主电子邮件地址和IAM身份中心用户名。

  • 要使SCIM同步正常运行,必须为每个用户指定名字姓氏用户名显示名称值。如果用户缺少这些值中的任何一个,则不会配置该用户。

  • 如果您需要使用第三方应用程序,则需要先将出站SAML主题属性映射到用户名属性。如果第三方应用程序需要可路由的电子邮件地址,您必须向您的 IdP 提供电子邮件属性。

  • SCIM配置和更新间隔由您的身份提供商控制。只有在您的身份提供商将这些更改发送到 Identity Center 之后,对IAM身份提供商中的用户和群组所做的更改才会反映在 Ident IAM ity Center 中。请咨询您的身份提供商,了解有关用户和组更新频率的详细信息。

  • 当前,未配置多值属性(例如给定用户的多个电子邮件或电话号码)。SCIM尝试使用将多值属性同步到 Ident IAM ity Center SCIM 将失败。为了避免失败,请确保为每个属性仅传递一个值。如果您的用户具有多值属性,请移除或修改您的 IdP 中用于连接到 Identit SCIM y Center 的重复属性映射。IAM

  • 验证您的 IdP 上的externalIdSCIM映射是否对应于一个唯一的、始终存在且不太可能对您的用户进行更改的值。例如,您的 IdP 可能会提供有保证的 objectId 或其他标识符,这些标识符不会受到姓名和电子邮件等用户属性更改的影响。如果是,则可以将该值映射到SCIMexternalId字段。这样可以确保您的用户不会丢失 AWS 权利、分配或权限(如果您需要更改其名称或电子邮件)。

  • 尚未分配到应用程序的用户或 AWS 账户 无法配置到IAM身份中心。要同步用户和群组,请确保将他们分配给代表您的 IdP 与 Ident IAM ity Center 连接的应用程序或其他设置。

  • 用户取消配置行为由身份提供商管理,可能因实施情况而异。有关取消用户配置的详细信息,请咨询您的身份提供商。

有关 Ident IAM ity Center SCIM 实施的更多信息,请参阅《IAM身份中心SCIM实施开发人员指南》

如何监控访问令牌过期

SCIM访问令牌生成的有效期为一年。当您的SCIM访问令牌设置为 90 天或更短时间后到期时, AWS 在 Identity C IAM enter 控制台中以及通过 AWS Health 仪表板可帮助您轮换代币。通过在SCIM访问令牌到期之前轮换访问令牌,您可以持续保护用户和群组信息的自动配置。如果SCIM访问令牌过期,则您的身份提供商将用户和群组信息同步到 Ident IAM ity Center 将停止,因此自动配置将无法再进行更新或创建和删除信息。自动预置中断可能会增加安全风险并影响对服务的访问。

在您轮换SCIM访问令牌并删除所有未使用或过期的访问令牌之前,Identity Center 控制台的提醒一直有效。这些区域有: AWS Health 仪表板事件每周续订 90 到 60 天,每周更新两次,从 60 到 30 天,每周更新三次,从 30 到 15 天,每天更新 15 天,直到SCIM访问令牌到期。

手动预置

有些 IdPs 不支持跨域身份管理系统 (SCIM),或者SCIM实现方式不兼容。在这种情况下,您可以通过 Ident IAM ity Center 控制台手动配置用户。将用户添加到 Ident IAM ity Center 时,请确保将用户名设置为与 IdP 中的用户名相同。您至少必须拥有唯一的电子邮件地址和用户名。有关更多信息,请参阅 用户名和电子邮件地址的唯一性

您还必须在 Ident IAM ity Center 中手动管理所有群组。为此,您需要创建群组并使用 Ident IAM ity Center 控制台添加群组。这些组不需要与您的 IdP 中存在的组匹配。有关更多信息,请参阅