設定SAML並SCIM使用 Microsoft Entra ID 和IAM身分識別中心

AWS IAM Identity Center 支援與安全性宣告標記語言 (SAML) 2.0 整合，以及自動佈建 (同步處理) 來源的使用者和群組資訊 Microsoft Entra ID (以前稱為 Azure Active Directory 或 Azure AD) 使用系統進行跨網域IAM身分識別管理 (SCIM) 2.0 通訊協定進入身分識別中心。

目的

在本教程中，您將設置測試實驗室並配置之間的SAML連接和SCIM佈建 Microsoft Entra ID 和IAM身分識別中心。在初始準備步驟中，您將在兩者中創建一個測試用戶（Nikki Wolf） Microsoft Entra ID 和IAM身份中心，您將使用它來測試兩個方向的SAML連接。稍後，作為SCIM步驟的一部分，您將創建一個不同的測試用戶（Richard Roe）以驗證新屬性 Microsoft Entra ID 正如預期同步至IAM身分識別中心。

必要條件

您必須先設定下列項目，才能開始使用本教學課程：

• A Microsoft Entra ID 租戶。如需詳細資訊，請參閱快速入門：在 Microsoft 文件中)。

• 同時 AWS IAM Identity Center啟用的帳戶。如需詳細資訊，請參閱中的啟用IAM身分識別中心 AWS IAM Identity Center 使用者指南。

考量事項

以下是有關的重要注意事項 Microsoft Entra ID 這可能會影響您計劃如何使用 SCIM v2 通訊協定在生產環境中使用 IAM Identity Center 實作自動佈建。

自動佈建

在開始部署之前SCIM，我們建議您先檢閱使用自動佈建的考量。

存取控制的屬性

存取控制屬性用於決定身分識別來源中誰可以存取您的權限原則 AWS 的費用。如果從中的使用者移除屬性 Microsoft Entra ID，該屬性將不會從IAM身分識別中心的對應使用者中移除。這是一個已知的限制 Microsoft Entra ID。 如果將屬性變更為使用者的其他 (非空白) 值，則該變更將同步至IAM身分識別中心。

巢狀群組

所以此 Microsoft Entra ID 使用者佈建服務無法讀取或佈建巢狀群組中的使用者。只有屬於明確指派之群組直接成員的使用者才能讀取和佈建。Microsoft Entra ID 不會以遞迴方式解壓縮間接指派的使用者或群組 (屬於直接指派之群組成員的使用者或群組) 的群組成員資格。如需詳細資訊，請參閱 Microsoft 文件中)。或者，您也可以使用IAM身分識別中心 ID AD 同步進行整合 Active Directory 群組與IAM身分識別中心。

動態群組

所以此 Microsoft Entra ID 使用者佈建服務可以讀取和佈建動態群組中的使用者。請參閱以下範例，顯示使用動態群組時的使用者和群組結構，以及它們在 IAM Identity Center 中的顯示方式。這些使用者和群組是從 Microsoft Entra ID 進入IAM身分識別中心 SCIM

例如，如果 Microsoft Entra ID 動態群組的結構如下：

1. A 組，成員為 ua1，ua2

2. B 組成員為 ub1

3. C 組，其成員為 uc1

4. 規定包括 A、B、C 組成員的 K 組

5. 群組 L，其規則包括 B 和 C 組成員

從佈建使用者和群組資訊之後 Microsoft Entra ID 通過進入IAM身份中心SCIM，結構將如下所示：

1. A 組，成員為 ua1，ua2

2. B 組成員為 ub1

3. C 組，其成員為 uc1

4. K 組成員為 ua1、UA2、ub1、uc1

5. 群組 L，其成員為 ub1，uc1

使用動態群組設定自動佈建時，請記住下列考量事項。

• 動態群組可以包含巢狀群組。然而，Microsoft Entra ID 佈建服務不會扁平化巢狀群組。例如，如果您有以下內容 Microsoft Entra ID 動態組的結構：

  • 群組 A 是群組 B 的父系。

  • A 組有 ua1 作為成員。

  • B 組有 ub1 作為成員。

包含群組 A 的動態群組只會包含群組 A (也就是 ua1) 的直接成員。它不會遞歸包含 B 組的成員。

• 動態群組不能包含其他動態群組。如需詳細資訊，請參閱 Microsoft 文件中)。

步驟 1：準備您的 Microsoft 租戶

在此步驟中，您將逐步介紹如何安裝和配置 AWS IAM Identity Center 企業應用程式，並將存取權指派給新建立的 Microsoft Entra ID 測試用戶。

Step 1.1 >

步驟 1.1：設定 AWS IAM Identity Center 企業應用程式 Microsoft Entra ID

在此程序中，您可以安裝 AWS IAM Identity Center 企業應用程式 Microsoft Entra ID。 您稍後將需要此應用程序來配置您的SAML連接 AWS.

1. 至少以雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心。

2. 導覽至身分識別 > 應用程式 > 企業應用程式，然後選擇 [新增應用程式

3. 在 [瀏覽 Microsoft 項目庫] 頁面上，在搜尋方塊AWS IAM Identity Center中輸入。

4. 選取 AWS IAM Identity Center從結果。

5. 選擇 Create (建立)。

Step 1.2 >

步驟 1.2：建立測試使用者 Microsoft Entra ID

尼克狼是你的名字 Microsoft Entra ID 測試您將在此程序中建立的使用者。

1. 在 Microsoft Entra 系統管理中心主控台中，瀏覽至身分識別 > 使用者 > 所有使用者。

2. 選取 [新增使用者]，然後選擇畫面頂端的 [建立新使用者]。

3. 在 [使用者主要名稱] 中，輸入 NikkiWolf，然後選取您偏好的網域和擴充功能。例如，NikkiWolf@example.org.

4. 在 [顯示名稱] 中，輸入NikkiWolf。

5. 在密碼中，輸入強式密碼或選取眼睛圖示以顯示自動產生的密碼，然後複製或記下顯示的值。

6. 選擇「內容」，在「名字」中輸入Nikki。在姓氏中，輸入Wolf。

7. 選擇 [檢閱 + 建立]，然後選擇 [建立]。

Step 1.3

步驟 1.3：在將權限分配給 Nikki 之前測試她的經驗 AWS IAM Identity Center

在此過程中，您將驗證什麼 Nikki 可以成功登錄到她的 Microsoft 我的帳戶門戶。

1. 在同一瀏覽器中，打開一個新標籤，轉到「我的帳戶」門戶登錄頁面，然後輸入 Nikki 的完整電子郵件地址。例如，NikkiWolf@example.org.

2. 出現提示時，輸入 Nikki 的密碼，然後選擇「登入」。如果這是自動產生的密碼，系統會提示您變更密碼。

3. 在「需要採取處理行動」頁面上，選擇「稍後詢問」以略過其他安全性方法的提示。

4. 在 [我的帳戶] 頁面的左側導覽窗格中，選擇 [我的應用程式]。請注意，除了增益集之外，此時不會顯示任何應用程式。您將添加一個 AWS IAM Identity Center應用程序將在稍後的步驟中出現在此處。

Step 1.4

步驟 1.4：將權限分配給尼克 Microsoft Entra ID

現在，您已經驗證了 Nikki 可以成功訪問「我的帳戶」門戶，請使用此過程將其用戶分配給 AWS IAM Identity Center應用程式。

1. 在 Microsoft Entra 系統管理中心主控台中，瀏覽至身分識別 > 應用程式 > 企業應用程式，然後選擇 AWS IAM Identity Center從列表中。

2. 在左側，選擇 [使用者和群組]。

3. 選擇 Add user/group (新增使用者/群組)。您可以忽略說明群組無法指派的訊息。此自學課程不會使用群組進行指派。

4. 在「新增指定」頁面的「使用者」下，選擇「無選取項目」。

5. 選取 NikkiWolf，然後選擇 [選取]。

6. 在「新增指派」頁面上，選擇指派。 NikkiWolf 現在會顯示在指定給 AWS IAM Identity Center應用程式。

步驟 2：準備您的 AWS 帳戶

在此步驟中，您將逐步介紹如何使用 IAM Identity Center以配置訪問權限（通過權限集），手動創建對應的 Nikki Wolf 用戶，並為其分配必要的權限來管理資源 AWS.

Step 2.1 >

步驟 2.1：建立 RegionalAdmin 權限集 IAM Identity Center

此權限集將用於授予 Nikki 必要的 AWS 從「帳戶」頁面管理區域所需的帳戶權限 AWS Management Console。 默認情況下，拒絕查看或管理 Nikki 帳戶任何其他信息的所有其他權限。

1. 開啟IAM身分識別中心主控台。

2. 在 [多帳戶權限] 下，選擇 [權限集]。

3. 選擇 Create permission set (建立許可集合)。

4. 在 [選取權限集類型] 頁面上，選取 [自訂權限集]，然後選擇 [下一步]。

5. 選取 [內嵌原則] 將其展開，然後使用下列步驟建立權限集的原則：

   1. 選擇新增陳述式來建立政策聲明。

   2. 在 [編輯對帳單] 下方，從清單中選取 [帳戶]，然後選擇下列核取方塊。

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

   3. 在 Add a resource (新增資源) 旁邊，選擇 Add (新增)。

   4. 在 [新增資源] 頁面的 [資源類型] 下，選取 [所有資源]，然後選擇 [新增資源]。確認您的政策如下所示：

      {
          "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": [
                      "account:ListRegions",
                      "account:DisableRegion",
                      "account:EnableRegion",
                      "account:GetRegionOptStatus"
                  ],
                  "Resource": [
                      "*"
                  ]
              }
          ]
      }

6. 選擇 Next (下一步)。

7. 在 [指定權限集詳細資料] 頁面上的 [權限集名稱] 下，輸入 RegionalAdmin，然後選擇 [下一步]。

8. 在 Review and create (檢閱和建立) 頁面上，選取 Create (建立)。您應該RegionalAdmin會看到顯示在權限集清單中。

Step 2.2 >

步驟 2.2：建立對應的 NikkiWolf 使用者 IAM Identity Center

由於SAML協議不提供查詢 IdP 的機制（Microsoft Entra ID）並在IAM身份中心自動創建用戶，使用以下步驟在身IAM份中心手動創建用戶，該用戶鏡像 Nikki Wolfs 用戶的核心屬性 Microsoft Entra ID.

1. 開啟IAM身分識別中心主控台。

2. 選擇 [使用者]，選擇 [新增使用者]，然後提供下列資訊：

   1. 對於用戶名和電子郵件地址-輸入相同的 NikkiWolf @yourcompanydomain.extension您在創建時使用 Microsoft Entra ID 使用者。例如，NikkiWolf@example.org.

   2. 確認電子郵件地址 — 重新輸入上一步的電子郵件地址

   3. 名字 — 輸入 Nikki

   4. 姓氏 — 輸入 Wolf

   5. 顯示名稱 — 輸入 Nikki Wolf

3. 選擇「下一步」兩次，然後選擇「新增用戶

4. 請選擇 Close (關閉)。

Step 2.3

步驟 2.3：將 Nikki 分配給中設置的 RegionalAdmin 權限 IAM Identity Center

在這裡，您可以找到 AWS 帳戶 其中尼克將管理區域，然後分配成功訪問所需的必要權限 AWS 存取入口網站。

1. 開啟IAM身分識別中心主控台。

2. 在「多帳戶權限」下，選擇 AWS 帳戶.

3. 選取帳戶名稱旁邊的核取方塊 (例如，Sandbox) 您要授與 Nikki 管理區域的存取權，然後選擇 [指派使用者和群組]。

4. 在 [指派使用者和群組] 頁面上，選擇 [使用者] 索引標籤，尋找並勾選 Nikki 旁邊的核取方塊，然後選擇 [下一步]。

步驟 3：設定並測試您的SAML連線

在此步驟中，您可以使SAML用 AWS IAM Identity Center 企業應用程式 Microsoft Entra ID 以及IAM身分識別中心中的外部 IdP 設定。

Step 3.1 >

步驟 3.1：從身分識別中心收集必要的服務提供IAM者中繼

在此步驟中，您將從 Identity Center 主控台中啟動 [變更IAM身分識別來源] 精靈，並擷取中繼資料檔案和 AWS 設定連線時，URL您需要輸入的特定登入 Microsoft Entra ID 在下一個步驟中。

1. 在IAM身分識別中心主控台中，選擇 [設定]。

2. 在 [設定] 頁面上，選擇 [識別來源] 索引標籤，然後選擇 [動作] > [變更身分識別來源]

3. 在 [選擇身分識別來源] 頁面上，選取 [外部身分識別提供者]，然後選擇 [下

4. 在 [設定外部身分識別提供者] 頁面的 [服務提供者中繼資料] 下，選擇 [下載中繼資料XML檔案] 以下載

5. 在同一部分中，找到 AWS 訪問門戶登錄URL值並將其複制。在下一個步驟中出現提示時，您將需要輸入此值。

6. 保持此頁面開啟，然後移至下一個步驟 (Step 3.2) 以設定 AWS IAM Identity Center 企業應用程式 Microsoft Entra ID。 稍後，您將返回此頁面以完成該過程。

Step 3.2 >

步驟 3.2：配置 AWS IAM Identity Center 企業應用程式 Microsoft Entra ID

此程序會使用URL您在最後一個步驟中取得的中繼資料檔案和登入值，在 Microsoft 端建立一半的SAML連線。

1. 在 Microsoft Entra 系統管理中心主控台中，瀏覽至身分識別 > 應用程式 > 企業應用程式，然後選擇 AWS IAM Identity Center.

2. 在左側，選擇 2。設定單一登入。

3. 在 [設定單一登入方式SAML] 頁面上，選擇SAML。然後選擇 [上傳中繼資料檔案]、選擇資料夾圖示、選取您在上一個步驟中下載的服務提供者中繼資料檔案，然後選擇 [新增]。

4. 在 [基本SAML組態] 頁面上，確認 [識別碼] 和 [回覆] URL 值現在都指向中的端點 AWS 開始於https://<REGION>.signin.aws.amazon.com/platform/saml/.

5. 在登錄URL（可選）下，粘貼 AWS 存取您在上一個步驟 (Step 3.1) 中複製的入口網站登入URL值，選擇 [儲存]，然後選擇 [X] 以關閉視窗。

6. 如果系統提示您測試單一登入 AWS IAM Identity Center，選擇否，我稍後再測試。您將在稍後的步驟中進行此驗證。

7. 在 [設定單一登入方式SAML] 頁面的 [SAML憑證] 區段中，選擇 [同盟中繼資料] 旁邊的 [下載]XML，將中繼資料檔案儲存至您的系統。在下一個步驟中出現提示時，您將需要上傳此檔案。

Step 3.3 >

步驟 3.3：設定 Microsoft Entra ID 中的外部 IdP AWS IAM Identity Center

在這裡，您將返回 Identity Center 主控台中的 [變更IAM身分識別來源] 精靈，以完成下半年的SAML連線 AWS.

1. 返回您Step 3.1在 IAM Identity Center 主控台中保持開啟狀態的瀏覽器工作階段。

2. 在 [設定外部身分識別提供者] 頁面的 [身分識別提供者中繼資料] 區段的 [IdP 中SAML繼資料] 底下，選擇 [選擇檔案] 按鈕，然後選取您下載的身分識別提供者中繼資料 Microsoft Entra ID 在上一個步驟中，然後選擇 [開啟]。

3. 選擇 Next (下一步)。

4. 閱讀免責聲明並準備繼續之後，請輸入ACCEPT。

5. 選擇 [變更身分識別來源] 以套用變更。

Step 3.4 >

步驟 3.4：測試尼克被重定向到 AWS 訪問門戶

在此過程中，您將通過使用 Nikki 的憑據登錄到 Microsoft 的「我的帳戶」門戶來測試SAML連接。通過身份驗證後，您將選擇 AWS IAM Identity Center 應用程序將重定向尼克到 AWS 存取入口網站。

1. 轉到「我的帳戶」門戶登錄頁面，然後輸入 Nikki 的完整電子郵件地址。例如，NikkiWolf@example.org.

2. 出現提示時，輸入 Nikki 的密碼，然後選擇「登入」。

3. 在 [我的帳戶] 頁面的左側導覽窗格中，選擇 [我的應用程式]。

4. 在我的應用程式頁面上，選取名為的應用程式 AWS IAM Identity Center。 這應該會提示您進行額外的驗證。

5. 在微軟的登入頁面上，選擇您的 NikkiWolf 認證。如果系統再次出現驗證提示，請再次選擇您的 NikkiWolf 認證。這應該會自動將您重定向到 AWS 存取入口網站。

   提示

   如果您未成功重新導向，請檢查以確定 AWS 您在中輸入的 Access 入口網站登URL入值Step 3.2與您複製來源的值相符Step 3.1。

6. 驗證您的 AWS 帳戶 顯示。

   提示

   如果頁面為空且沒有 AWS 帳戶 顯示，確認 Nikki 已成功指派給RegionalAdmin權限集 (請參閱 Step 2.3)。

Step 3.5

步驟 3.5：測試尼克的訪問級別以管理她 AWS 帳戶

在此步驟中，您將檢查以確定 Nikki 的訪問級別以管理她的區域設置 AWS 帳戶。 Nikki 應該只有足夠的管理員權限才能從「帳戶」頁面管理區域。

1. 在 AWS 訪問門戶，選擇帳戶選項卡以顯示帳戶列表。與您已定義權限集的任何帳戶相關聯的帳戶名稱IDs、帳戶和電子郵件地址都會顯示出來。

2. 選擇帳戶名稱 (例如，Sandbox) 您套用權限集的位置 (請參閱 Step 2.3)。這將擴大 Nikki 可以選擇來管理其帳戶的權限集列表。

3. 接下來，RegionalAdmin選擇 [管理主控台]，以承擔您在RegionalAdmin權限集中定義的角色。這會將您重定向到 AWS Management Console 主頁。

4. 在主機右上角，選擇您的帳戶名稱，然後選擇 [帳戶]。這將帶您進入「帳戶」頁面。請注意，此頁面上的所有其他區段都會顯示一則訊息，指出您沒有檢視或修改這些設定的必要權限。

5. 在 [帳戶] 頁面上，向下捲動至區段 AWS 區域。選取表格中任何可用「區域」的核取方塊。請注意，Nikki 確實具有必要的權限來啟用或禁用她的帳戶的區域列表。

做得很好！

步驟 1 到 3 可協助您成功實作和測試SAML連線。現在，若要完成教學課程，我們建議您繼續執行步驟 4 以實作自動佈建。

步驟 4：設定並測試您的SCIM同步

在此步驟中，您將設定使用者資訊的自動佈建 (同步處理) Microsoft Entra ID 使用 SCIM v2.0 通訊協定進入IAM身分識別中心。您可以在中配置此連接 Microsoft Entra ID 使用身IAM分識別中心的SCIM端點，以及身分IAM識別中心自動建立的承載權杖。

當您配置SCIM同步時，您可以在中建立使用者屬性的對應 Microsoft Entra ID 至IAM身分識別中心中的具名屬性。這會導致IAM身分識別中心與之間的預期屬性相符 Microsoft Entra ID.

下列步驟將逐步引導您如何啟用主要駐留在其中的使用者的自動佈建功能 Microsoft Entra ID 使用IAM身分識別中心應用程式的IAM身分識別中心 Microsoft Entra ID.

Step 4.1 >

步驟 4.1：建立第二個測試使用者 Microsoft Entra ID

出於測試目的，您將創建一個新用戶（理查德·羅伊） Microsoft Entra ID。 稍後，在您設定同步SCIM處理之後，您將測試此使用者和所有相關屬性是否已成功同步至 IAM Identity Center。

1. 在 Microsoft Entra 系統管理中心主控台中，瀏覽至身分識別 > 使用者 > 所有使用者。

2. 選取 [新增使用者]，然後選擇畫面頂端的 [建立新使用者]。

3. 在 [使用者主要名稱] 中，輸入 RichRoe，然後選取您偏好的網域和擴充功能。例如，RichRoe@example.org.

4. 在 [顯示名稱] 中，輸入RichRoe。

5. 在密碼中，輸入強式密碼或選取眼睛圖示以顯示自動產生的密碼，然後複製或記下顯示的值。

6. 選擇 [內容]，然後提供下列值：

   • 名字-輸入 Richard

   • 姓氏-輸入 Roe

   • Job 稱-輸入 Marketing Lead

   • 部門-輸入 Sales

   • 員工識別碼-輸入 12345

7. 選擇 [檢閱 + 建立]，然後選擇 [建立]。

Step 4.2 >

步驟 4.2：在IAM身分識別中心啟用自動佈建

在此程序中，您將使用 IAM Identity Center 主控台啟用自動佈建來源的使用者和群組 Microsoft Entra ID 進入IAM身分識別中心。

1. 開啟IAM身分識別中心主控台，然後在左側導覽窗格中選擇 [設定]。

2. 在 [設定] 頁面的 [身分識別來源] 索引標籤下，請注意佈建方法已設定為手動。

3. 找到 [自動佈建資訊] 方塊，然後選擇 [啟用]。這會立即在 IAM Identity Center 中啟用自動佈建，並顯示必要的SCIM端點和存取權杖資訊。

4. 在「輸入自動佈建」對話方塊中，複製下列選項的每個值。當您在中配置佈建時，您將需要在下一個步驟中粘貼這些內容 Microsoft Entra ID.

   1. SCIM端點-例如，https://scim。us-east-2. 亞馬遜. COM/11111111111-2222-3333-4444-555555555555/scim/V2

   2. 存取權杖-選擇顯示權杖以複製值。

   警告

   這是您唯一可以獲取SCIM端點和訪問令牌的時間。請務必先複製這些值，然後再繼續前進。

5. 選擇關閉。

6. 在 [身分識別來源] 索引標籤下，請注意佈建方法現在已設定為SCIM。

Step 4.3 >

步驟 4.3：在中配置自動佈建 Microsoft Entra ID

現在您已經準備好 RichRoe 測試使用者，並且已在 IAM Identity Center SCIM 中啟用，您可以繼續在中設定SCIM同步處理設定 Microsoft Entra ID.

1. 在 Microsoft Entra 系統管理中心主控台中，瀏覽至身分識別 > 應用程式 > 企業應用程式，然後選擇 AWS IAM Identity Center.

2. 選擇佈建，在管理下，再次選擇佈建。

3. 在佈建模式中，選取自動。

4. 在 [管理認證] 下的 [租用戶] 中，URL貼上您先前在其中複製的SCIM端點URL值Step 4.2。在秘密權杖中，貼上存取權杖值。

5. 選擇 Test Connection (測試連接)。您應該會看到一則訊息，指出已成功授權測試的認證可以啟用佈建。

6. 選擇 Save (儲存)。

7. 在 [管理] 下，選擇 [使用者和群組]，然後選擇 [新增使用者/群組]。

8. 在「新增指定」頁面的「使用者」下，選擇「無選取項目」。

9. 選取 RichRoe，然後選擇 [選取]。

10. 在 Add Assignment (新增指派) 頁面上，選擇 Assign (指派)。

11. 選擇 [概觀]，然後選擇 [開始佈建]。

Step 4.4

步驟 4.4：確認同步處理已發生

在此段落中，您將驗證 Richard 的使用者已成功佈建，以及所有屬性都顯示在IAM身分識別中心中。

1. 在IAM身分識別中心主控台中，選擇使用者。

2. 在 [使用者] 頁面上，您應該會看到您的RichRoe使用者已顯示。請注意，在「建立者」欄中，值設定為SCIM。

3. 在「設定檔」下選擇 RichRoe，確認下列屬性是否已複製來源 Microsoft Entra ID.

   • 名字-Richard

   • 姓氏-Roe

   • 部門-Sales

   • 標題-Marketing Lead

   • 員工編號-12345

   現在 Richard 的使用者已在 IAM Identity Center 中建立，您可以將其指派給任何權限集，以便您可以控制他對您的存取權限等級 AWS 的費用。例如，您可以指派RichRoe給先前用來授與 Nikki 管理區域的權限集 (請參閱 Step 2.3)，然後使Step 3.5用來測試其存取層級。RegionalAdmin

恭喜您！

您已成功設SAML定 Microsoft 和 AWS 並驗證了自動配置正在努力使所有內容保持同步。現在，您可以應用所學到的知識，以更順暢地設置您的生產環境。

疑難排解SCIM問題 Microsoft Entra ID

如果您遇到問題 Microsoft Entra ID 使用者未同步處理至 IAM Identity Center，可能是因為當新使用者新增至IAM身分識別中心時，Identity Center 已標記語法問題所致IAM。您可以通過檢查來確認這一點 Microsoft Entra ID 失敗事件的稽核記錄檔，例如'Export'. 此事件的「狀態原因」 會說明：

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

您也可以檢查 AWS CloudTrail 對於失敗的事件。這可以通過 CloudTrail 使用以下過濾器在事件歷史記錄控制台中搜索來完成：

"eventName":"CreateUser"

CloudTrail 事件中的錯誤將說明以下內容：

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

最終，這個異常意味著從傳遞的值之一 Microsoft Entra ID 包含的值超過預期。這裡的解決方案是查看用戶的屬性 Microsoft Entra ID，確保沒有包含重複值。重複值的一個常見例子是具有多個值存在於聯繫電話，如移動，工作和傳真。雖然值不同，但它們都會傳遞至單一父項屬性下的IAM身分識別中心phoneNumbers。

如需一般SCIM疑難排解提示，請參閱IAM 身分中心問題疑難排解。

步驟 5：（可選）配置 ABAC

現在您已成功配置SCIM，SAML並且可以選擇性地選擇配置以屬性為基礎的存取控制 () ABAC。ABAC是一種根據屬性定義權限的授權策略。

同 Microsoft Entra ID，您可以使用下列兩種方法之一來規劃以搭配ABACIAM身分識別中心使用。

Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center

設定使用者屬性 Microsoft Entra ID 用於IAM身分識別中心的存取控制

在下列程序中，您將決定哪些屬性 Microsoft Entra ID 應由IAM身分識別中心用來管理您的存取 AWS 的費用。一旦定義，Microsoft Entra ID 透過SAML宣告將這些屬性傳送至IAM身分識別中心。然後，您將需要建立許可集合在IAM身分識別中心，根據您傳遞的屬性來管理存取 Microsoft Entra ID.

開始此程序之前，您必須先啟用此存取控制的屬性功能。如需如何進行該服務的詳細資訊，請參閱啟用和設定存取控制的屬性。

1. 在 Microsoft Entra 系統管理中心主控台中，瀏覽至身分識別 > 應用程式 > 企業應用程式，然後選擇 AWS IAM Identity Center.

2. 選擇 Single sign-on (單一登入)。

3. 在「屬性與聲明」區段中，選擇 「編輯」。

4. 在「屬性與宣告」頁面上，執行下列動作：

   1. 選擇 [新增索賠]

   2. 針對名稱，輸入 AccessControl:AttributeName。Replace (取代) AttributeName 使用您在IAM身分識別中心預期的屬性名稱。例如：AccessControl:Department。

   3. 針對 Namespace (命名空間)，輸入 https://aws.amazon.com/SAML/Attributes。

   4. 針對 Source (來源)，選擇 Attribute (屬性)。

   5. 若為「來源」屬性，請使用下拉式清單來選擇 Microsoft Entra ID 使用者屬性。例如：user.department。

5. 針對SAML宣告中需要傳送至IAM身分識別中心的每個屬性重複上述步驟。

6. 選擇 Save (儲存)。

Configure ABAC using IAM Identity Center

ABAC使用IAM身分識別中心進

使用此方法時，您可以使用IAM識別中心中的存取控制的屬性功能來傳遞Name屬性設定為的Attribute元素https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}。您可以使用此元素在SAML斷言中傳遞屬性作為會話標籤。如需工作階段標籤的詳細資訊，請參閱傳遞工作階段標籤 AWS STS (在 IAM 使用者指南中)

若要將屬性做為工作階段標籤傳遞，請包含指定標籤值的 AttributeValue 元素。例如，若要傳遞標籤鍵值配對Department=billing，請使用下列屬性：

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

如果您需要新增多個屬性，請為每個標籤包含單獨的Attribute元素。