Konfigurieren SAML und SCIM mit Google Workspace und IAM Identity Center - AWS IAM Identity Center

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren SAML und SCIM mit Google Workspace und IAM Identity Center

Wenn Ihre Organisation verwendet Google Workspace Sie können Ihre Benutzer von integrieren Google Workspace in IAM Identity Center, um ihnen Zugriff auf AWS Ressourcen zu geben. Sie können diese Integration erreichen, indem Sie Ihre IAM Identity Center-Identitätsquelle von der standardmäßigen IAM Identity Center-Identitätsquelle auf ändern Google Workspace.

Benutzerinformationen von Google Workspace wird mithilfe des Systems for Cross-Domain IAM Identity Management (SCIM) 2.0-Protokoll mit Identity Center synchronisiert. Sie konfigurieren diese Verbindung in Google Workspace indem Sie Ihren SCIM Endpunkt für IAM Identity Center und ein IAM Identity Center-Bearer-Token verwenden. Wenn Sie die SCIM Synchronisation konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute in Google Workspace zu den benannten Attributen in IAM Identity Center. Diese Zuordnung entspricht den erwarteten Benutzerattributen zwischen IAM Identity Center und Google Workspace. Um dies zu tun, müssen Sie Folgendes einrichten Google Workspace als IAM Identitätsanbieter und IAM Identity Center-Identitätsanbieter.

Zielsetzung

Die Schritte in diesem Tutorial helfen Ihnen beim Herstellen der SAML Verbindung zwischen Google Workspace und AWS. Später synchronisieren Sie Benutzer von Google Workspace verwendenSCIM. Um zu überprüfen, ob alles korrekt konfiguriert ist, melden Sie sich nach Abschluss der Konfigurationsschritte als Google Workspace Benutzer und verifizieren den Zugriff auf AWS Ressourcen. Beachten Sie, dass dieses Tutorial auf einem kleinen basiert Google Workspace Verzeichnistestumgebung. Verzeichnisstrukturen wie Gruppen und Organisationseinheiten sind in diesem Tutorial nicht enthalten. Nach Abschluss dieses Tutorials können Ihre Benutzer mit Ihrem auf das AWS Zugriffsportal zugreifen Google Workspace Anmeldeinformationen.

Anmerkung

Um sich für eine kostenlose Testversion von anzumelden Google Workspace besuchen Google Workspaceauf Google's Webseite.

Wenn Sie IAM Identity Center noch nicht aktiviert haben, finden Sie weitere Informationen unterAktivieren AWS IAM Identity Center.

  • Bevor Sie die SCIM Bereitstellung konfigurieren zwischen Google Workspace und IAM Identity Center, wir empfehlen Ihnen, diese zuerst zu überprüfenÜberlegungen zur Verwendung der automatischen Bereitstellung.

  • SCIMautomatische Synchronisation von Google Workspace ist derzeit auf die Benutzerbereitstellung beschränkt. Die automatische Gruppenbereitstellung wird derzeit nicht unterstützt. Gruppen können manuell mit dem AWS CLI Identity Store-Befehl create-group oder AWS Identity and Access Management () erstellt werden. IAM API CreateGroup Alternativ können Sie ssosync zum Synchronisieren verwenden Google Workspace Benutzer und Gruppen in IAM Identity Center.

  • Jeder Google Workspace Für den Benutzer müssen die Werte Vorname, Nachname, Benutzername und Anzeigename angegeben werden.

  • Jeder Google Workspace Ein Benutzer hat nur einen einzigen Wert pro Datenattribut, z. B. E-Mail-Adresse oder Telefonnummer. Alle Benutzer mit mehreren Werten können nicht synchronisiert werden. Wenn es Benutzer gibt, deren Attribute mehrere Werte enthalten, entfernen Sie die doppelten Attribute, bevor Sie versuchen, den Benutzer in IAM Identity Center bereitzustellen. Beispielsweise kann nur ein Telefonnummernattribut synchronisiert werden, da das Standard-Telefonnummernattribut „Geschäftstelefon“ ist. Verwenden Sie das Attribut „Geschäftstelefon“, um die Telefonnummer des Benutzers zu speichern, auch wenn es sich bei der Telefonnummer für den Benutzer um ein Festnetz oder ein Mobiltelefon handelt.

  • Attribute werden weiterhin synchronisiert, wenn der Benutzer in IAM Identity Center deaktiviert, aber immer noch aktiv ist Google Workspace.

  • Wenn im Identity Center-Verzeichnis bereits ein Benutzer mit demselben Benutzernamen und derselben E-Mail-Adresse vorhanden ist, wird der Benutzer mit dem Befehl von überschrieben und synchronisiert SCIM Google Workspace.

  • Bei der Änderung Ihrer Identitätsquelle sind weitere Überlegungen zu beachten. Weitere Informationen finden Sie unter Wechsel von IAM Identity Center zu einem externen IdP.

  1. Melden Sie sich bei Ihrem an Google Admin-Konsole mit einem Konto mit Superadministratorrechten.

  2. Im linken Navigationsbereich Ihres Google Wählen Sie in der Admin-Konsole Apps und dann Web- und Mobilanwendungen aus.

  3. Wählen Sie in der Dropdownliste App hinzufügen die Option Nach Apps suchen aus.

  4. Geben Sie in das Suchfeld Amazon Web Services ein und wählen Sie dann die Amazon Web Services (SAML) -App aus der Liste aus.

  5. Auf der Google Angaben zum Identitätsanbieter — Auf der Seite Amazon Web Services können Sie einen der folgenden Schritte ausführen:

    1. Laden Sie IdP-Metadaten herunter.

    2. Kopieren Sie die SSO URL Informationen zur Entitäts-ID URL und zum Zertifikat.

    Sie benötigen entweder die XML Datei oder die URL Informationen aus Schritt 2.

  6. Bevor Sie mit dem nächsten Schritt in der Google Admin-Konsole, lassen Sie diese Seite geöffnet und wechseln Sie zur IAM Identity Center-Konsole.

  1. Melden Sie sich mit einer Rolle mit Administratorrechten bei der IAMIdentity Center-Konsole an.

  2. Wählen Sie im linken Navigationsbereich Einstellungen aus.

  3. Wählen Sie auf der Seite Einstellungen die Option Aktionen und dann Identitätsquelle ändern aus.

    • Wenn Sie IAM Identity Center nicht aktiviert haben, finden Sie Aktivieren AWS IAM Identity Center weitere Informationen unter. Nachdem Sie IAM Identity Center zum ersten Mal aktiviert und darauf zugegriffen haben, gelangen Sie zum Dashboard, wo Sie Ihre Identitätsquelle auswählen können.

  4. Wählen Sie auf der Seite Identitätsquelle auswählen die Option Externer Identitätsanbieter und dann Weiter aus.

  5. Die Seite Externen Identitätsanbieter konfigurieren wird geöffnet. Um diese Seite zu vervollständigen und Google Workspace Auf der Seite in Schritt 1 müssen Sie die folgenden Schritte ausführen:

    1. Im Abschnitt Metadaten des Identitätsanbieters in der IAMIdentity Center-Konsole müssen Sie einen der folgenden Schritte ausführen:

      1. Laden Sie das hoch Google SAMLMetadaten als SAMLIdP-Metadaten in der IAM Identity Center-Konsole.

      2. Kopieren und fügen Sie die Google SSOURLin das IdP-Anmeldefeld URL, Google Emittent URL in das URLIdP-Emittentenfeld und laden Sie das hoch Google Zertifikat als IdP-Zertifikat.

  6. Nach der Bereitstellung der Google Kopieren Sie die Metadaten im Bereich Identity Provider-Metadaten der IAMIdentity Center-Konsole den IAMIdentity Assertion Consumer Service (ACS) URL und den IAMIdentity Center-Aussteller URL. Sie müssen diese URLs in der Google Admin-Konsole im nächsten Schritt.

  7. Lassen Sie die Seite mit der IAM Identity Center-Konsole geöffnet und kehren Sie zur Google Admin-Konsole. Sie sollten sich auf der Seite Amazon Web Services — Service Provider-Details befinden. Wählen Sie Weiter aus.

  8. Geben Sie auf der Seite mit den Serviceanbieter-Details die Werte ACSURLund Entitäts-ID ein. Sie haben diese Werte im vorherigen Schritt kopiert und sie befinden sich in der IAM Identity Center-Konsole.

    • Fügen Sie den IAMIdentity Center Assertion Consumer Service (ACS) URL in das ACSURLFeld ein

    • Fügen Sie den IAMIdentity Center-Aussteller URL in das Feld Entitäts-ID ein.

  9. Füllen Sie auf der Seite mit den Angaben zum Dienstanbieter die Felder unter Name ID wie folgt aus:

    • Wählen Sie für das Format Name ID die Option EMAIL

    • Wählen Sie für Name ID die Option Basisinformationen > Primäre E-Mail-Adresse aus

  10. Klicken Sie auf Weiter.

  11. Wählen Sie auf der Seite Attributzuordnung unter Attribute diese Felder aus ADDMAPPING, und konfigurieren Sie sie dann unter Google Verzeichnisattribut:

    • Wählen Sie für das https://aws.amazon.com/SAML/Attributes/RoleSessionName App-Attribut das Feld Basisinformationen, Primäre E-Mail-Adresse aus der Google Directory Attribute.

    • Wählen Sie für das https://aws.amazon.com/SAML/Attributes/Role App-Attribut ein beliebiges Google Directory Attribute. A Google Das Verzeichnisattribut könnte Abteilung sein.

  12. Wählen Sie Fertig stellen

  13. Kehren Sie zur IAMIdentity Center-Konsole zurück und wählen Sie Weiter. Überprüfen Sie auf der Seite Überprüfen und Bestätigen die Informationen und geben Sie sie dann ACCEPTin das dafür vorgesehene Feld ein. Wählen Sie Identitätsquelle ändern aus.

Sie sind jetzt bereit, die Amazon Web Services Services-App in zu aktivieren Google Workspace damit Ihre Benutzer in IAM Identity Center bereitgestellt werden können.

  1. Kehren Sie zurück zum Google Admin-Konsole und Ihre AWS IAM Identity Center Anwendung, die Sie unter Apps und Web- und Mobil-Apps finden.

  2. Klicken Sie im Bereich Benutzerzugriff neben Benutzerzugriff auf den Abwärtspfeil, um Benutzerzugriff zu erweitern und das Dienststatusfenster anzuzeigen.

  3. Wählen Sie im Bereich Servicestatus die Option ON für alle aus und wählen Sie dann SAVE.

Anmerkung

Um das Prinzip der geringsten Rechte beizubehalten, empfehlen wir, nach Abschluss dieses Tutorials den Dienststatus in „OFFFür alle zu ändern. Nur für Benutzer, die Zugriff auf benötigen, AWS sollte der Dienst aktiviert sein. Sie können Folgendes verwenden … Google Workspace Gruppen oder Organisationseinheiten, um Benutzern Zugriff auf eine bestimmte Untergruppe Ihrer Benutzer zu gewähren.

  1. Kehren Sie zur IAM Identity Center-Konsole zurück.

  2. Suchen Sie auf der Seite Einstellungen das Informationsfeld Automatische Bereitstellung und wählen Sie dann Aktivieren aus. Dadurch wird sofort die automatische Bereitstellung in IAM Identity Center aktiviert und die erforderlichen SCIM Endpunkt- und Zugriffstoken-Informationen werden angezeigt.

  3. Kopieren Sie im Dialogfeld Automatische Bereitstellung für eingehende Nachrichten jeden der Werte für die folgenden Optionen. In Schritt 5 dieses Tutorials geben Sie diese Werte ein, um die automatische Bereitstellung in zu konfigurieren Google Workspace.

    1. SCIMEndpunkt — Zum Beispiel https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. Zugriffstoken — Wählen Sie Token anzeigen, um den Wert zu kopieren.

    Warnung

    Dies ist das einzige Mal, dass Sie den SCIM Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren.

  4. Klicken Sie auf Close (Schließen).

    Nachdem Sie die Bereitstellung in der IAM Identity Center-Konsole eingerichtet haben, konfigurieren Sie im nächsten Schritt die auto Bereitstellung in Google Workspace.

  1. Kehren Sie zurück zum Google Admin-Konsole und Ihre AWS IAM Identity Center Anwendung, die Sie unter Apps und Web- und Mobil-Apps finden. Wählen Sie im Abschnitt auto Bereitstellung die Option Automatische Bereitstellung konfigurieren aus.

  2. Im vorherigen Verfahren haben Sie den Wert des Zugriffstokens in die IAM Identity Center-Konsole kopiert. Fügen Sie diesen Wert in das Feld Zugriffstoken ein und wählen Sie Weiter. Außerdem haben Sie im vorherigen Verfahren den SCIMEndpunktwert in die IAM Identity Center-Konsole kopiert. Fügen Sie diesen Wert in das URL Feld Endpoint ein und wählen Sie Weiter.

  3. Stellen Sie sicher, dass alle obligatorischen IAM Identity Center-Attribute (die mit einem* markierten) zugeordnet sind Google Cloud Directory Attribute. Wenn nicht, wählen Sie den Abwärtspfeil und ordnen Sie das entsprechende Attribut zu. Klicken Sie auf Weiter.

  4. Im Abschnitt Umfang der Bereitstellung können Sie eine Gruppe mit Ihrem auswählen Google Workspace Verzeichnis für den Zugriff auf die Amazon Web Services Services-App. Überspringen Sie diesen Schritt und wählen Sie Weiter.

  5. Im Abschnitt Deprovisioning können Sie auswählen, wie auf verschiedene Ereignisse reagiert werden soll, die einem Benutzer den Zugriff entziehen. Für jede Situation können Sie den Zeitraum bis zum Beginn der Deprovisionierung angeben, um:

    • innerhalb von 24 Stunden

    • nach einem Tag

    • nach sieben Tagen

    • nach 30 Tagen

    In jeder Situation gibt es eine Zeiteinstellung, in der festgelegt wird, wann der Zugriff auf ein Konto gesperrt und wann das Konto gelöscht werden soll.

    Tipp

    Lege immer mehr Zeit für das Löschen eines Benutzerkontos fest als für die Sperrung eines Benutzerkontos.

  6. Wählen Sie Finish (Abschließen). Sie werden zur Amazon Web Services Services-App-Seite zurückgeleitet.

  7. Schalten Sie im Bereich Automatische Bereitstellung den Kippschalter ein, um ihn von Inaktiv in Aktiv zu ändern.

    Anmerkung

    Der Aktivierungsschieberegler ist deaktiviert, wenn IAM Identity Center für Benutzer nicht aktiviert ist. Wählen Sie Benutzerzugriff und schalten Sie die App ein, um den Schieberegler zu aktivieren.

  8. Wählen Sie im Bestätigungsdialogfeld die Option Einschalten aus.

  9. Um zu überprüfen, ob Benutzer erfolgreich mit IAM Identity Center synchronisiert wurden, kehren Sie zur IAM Identity Center-Konsole zurück und wählen Sie Benutzer aus. Auf der Seite „Benutzer“ werden die Benutzer aus Ihrem aufgeführt Google Workspace Verzeichnis, das von erstellt wurdeSCIM. Wenn Benutzer noch nicht aufgeführt sind, kann es sein, dass die Bereitstellung noch im Gange ist. Die Bereitstellung kann bis zu 24 Stunden dauern, obwohl sie in den meisten Fällen innerhalb von Minuten abgeschlossen ist. Achten Sie darauf, das Browserfenster alle paar Minuten zu aktualisieren.

    Wählen Sie einen Benutzer aus und sehen Sie sich dessen Details an. Die Informationen sollten mit den Informationen in der übereinstimmen Google Workspace Verzeichnis.

Herzlichen Glückwunsch!

Sie haben erfolgreich eine SAML Verbindung hergestellt zwischen Google Workspace AWS und haben überprüft, ob die automatische Bereitstellung funktioniert. Sie können diese Benutzer jetzt Konten und Anwendungen in IAMIdentity Center zuweisen. Für dieses Tutorial bestimmen wir im nächsten Schritt einen der Benutzer als IAM Identity Center-Administrator, indem wir ihm Administratorrechte für das Verwaltungskonto gewähren.

  1. Kehren Sie zur IAMIdentity Center-Konsole zurück. Wählen Sie im IAM Identity Center-Navigationsbereich unter Berechtigungen für mehrere Konten die Option AWS-Konten.

  2. Auf der AWS-KontenSeite „Organisationsstruktur“ wird Ihr Organisationsstamm mit Ihren Konten darunter in der Hierarchie angezeigt. Markieren Sie das Kontrollkästchen für Ihr Verwaltungskonto und wählen Sie dann Benutzer oder Gruppen zuweisen aus.

  3. Der Workflow „Benutzer und Gruppen zuweisen“ wird angezeigt. Er besteht aus drei Schritten:

    1. Wählen Sie für Schritt 1: Benutzer und Gruppen auswählen den Benutzer aus, der die Administratorfunktion ausführen soll. Wählen Sie anschließend Weiter.

    2. Wählen Sie für Schritt 2: Berechtigungssätze auswählen die Option Berechtigungssatz erstellen aus, um eine neue Registerkarte zu öffnen, die Sie durch die drei Teilschritte führt, die zur Erstellung eines Berechtigungssatzes erforderlich sind.

      1. Gehen Sie für Schritt 1: Berechtigungssatztyp auswählen wie folgt vor:

        • Wählen Sie unter Typ des Berechtigungssatzes die Option Vordefinierter Berechtigungssatz aus.

        • Wählen Sie unter Richtlinie für vordefinierten Berechtigungssatz die Option aus AdministratorAccess.

        Wählen Sie Weiter.

      2. Für Schritt 2: Geben Sie die Details zum Berechtigungssatz an, behalten Sie die Standardeinstellungen bei und wählen Sie Weiter aus.

        Mit den Standardeinstellungen wird ein Berechtigungssatz mit dem Namen erstellt AdministratorAccess wobei die Sitzungsdauer auf eine Stunde festgelegt ist.

      3. Stellen Sie für Schritt 3: Überprüfen und erstellen sicher, dass der Typ Berechtigungssatz die AWS verwaltete Richtlinie verwendet AdministratorAccess. Wählen Sie Create (Erstellen) aus. Auf der Seite Berechtigungssätze wird eine Benachrichtigung angezeigt, die Sie darüber informiert, dass der Berechtigungssatz erstellt wurde. Sie können diese Registerkarte jetzt in Ihrem Webbrowser schließen.

      4. Auf der Browser-Registerkarte „Benutzer und Gruppen zuweisen“ befinden Sie sich immer noch in Schritt 2: Wählen Sie die Berechtigungssätze aus, von denen aus Sie den Workflow zum Erstellen von Berechtigungssätzen gestartet haben.

      5. Wählen Sie im Bereich „Berechtigungssätze“ die Schaltfläche „Aktualisieren“. Das Tool AdministratorAccess Der von Ihnen erstellte Berechtigungssatz wird in der Liste angezeigt. Aktivieren Sie das Kontrollkästchen für diesen Berechtigungssatz und wählen Sie dann Weiter.

    3. Überprüfen Sie für Schritt 3: Überprüfen und Absenden den ausgewählten Benutzer und den ausgewählten Berechtigungssatz und wählen Sie dann Senden aus.

      Die Seite wird mit der Meldung aktualisiert, dass Ihr AWS-Konto System gerade konfiguriert wird. Warten Sie, bis der Vorgang abgeschlossen ist.

      Sie kehren zur AWS-Konten Seite zurück. In einer Benachrichtigung werden Sie darüber informiert, dass Ihr AWS-Konto Konto erneut bereitgestellt und der aktualisierte Berechtigungssatz angewendet wurde. Wenn sich der Benutzer anmeldet, hat er die Möglichkeit, Folgendes auszuwählen AdministratorAccess Rolle.

      Anmerkung

      SCIMautomatische Synchronisation von Google Workspace unterstützt nur die Bereitstellung von Benutzern. Die automatische Gruppenbereitstellung wird derzeit nicht unterstützt. Sie können keine Gruppen für Ihre erstellen Google Workspace Benutzer, die die verwenden AWS Management Console. Nach der Bereitstellung von Benutzern können Sie Gruppen mit dem AWS CLI Identity Store-Befehl create-group oder erstellen. IAM API CreateGroup

  1. Loggen Sie sich ein bei Google mit einem Testbenutzerkonto. Um zu erfahren, wie Sie Benutzer hinzufügen Google Workspace, siehe Google Workspace Dokumentation.

  2. Wählen Sie die Google apps Launcher-Symbol (Waffel).

  3. Scrollen Sie in der Apps-Liste ganz nach unten, wo sich Ihr benutzerdefiniertes Google Workspace Apps befinden sich. Die Amazon Web Services Services-App wird angezeigt.

  4. Wählen Sie die Amazon Web Services Services-App aus. Sie sind im AWS Zugangsportal angemeldet und können das AWS-Konto Symbol sehen. Erweitern Sie dieses Symbol, um die Liste der Elemente anzuzeigen AWS-Konten , auf die der Benutzer zugreifen kann. In diesem Tutorial haben Sie nur mit einem einzigen Konto gearbeitet, sodass beim Erweitern des Symbols nur ein Konto angezeigt wird.

  5. Wählen Sie das Konto aus, um die für den Benutzer verfügbaren Berechtigungssätze anzuzeigen. In diesem Tutorial haben Sie den AdministratorAccessBerechtigungssatz erstellt.

  6. Neben dem Berechtigungssatz befinden sich Links für den Zugriffstyp, der für diesen Berechtigungssatz verfügbar ist. Bei der Erstellung des Berechtigungssatzes haben Sie angegeben, dass sowohl die Verwaltungskonsole als auch der programmgesteuerte Zugriff aktiviert werden sollen, sodass diese beiden Optionen verfügbar sind. Wählen Sie Managementkonsole aus, um die zu öffnen. AWS Management Console

  7. Der Benutzer ist an der Konsole angemeldet.

Sie können optional die Attribute für Zugriffskontrolle Funktion in IAM Identity Center verwenden, um ein Attribute Element zu übergeben, dessen Name Attribut auf gesetzt isthttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Dieses Element ermöglicht es Ihnen, Attribute als Sitzungs-Tags in der SAML Assertion zu übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie AWS STS im IAMBenutzerhandbuch unter Übergeben von Sitzungs-Tags.

Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das AttributeValue-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar CostCenter = blue für das Tag zu übergeben.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates Attribute Element hinzu.

Jetzt, da Sie konfiguriert haben Google Workspace Als Identitätsanbieter und bereitgestellte Benutzer in IAM Identity Center können Sie:

  • Verwenden Sie den AWS CLI Identity Store-Befehl create-group oder IAM API CreateGroupum Gruppen für Ihre Benutzer zu erstellen.

    Gruppen sind nützlich, wenn Sie Zugriff auf Anwendungen zuweisen möchten AWS-Konten . Anstatt jeden Benutzer einzeln zuzuweisen, erteilen Sie einer Gruppe Berechtigungen. Wenn Sie später Benutzer zu einer Gruppe hinzufügen oder daraus entfernen, erhält oder verliert der Benutzer dynamisch Zugriff auf Konten und Anwendungen, die Sie der Gruppe zugewiesen haben.

  • Konfigurieren Sie Berechtigungen auf der Grundlage von Aufgabenfunktionen. Weitere Informationen finden Sie unter Erstellen von Berechtigungssätzen.

    Berechtigungssätze definieren die Zugriffsebene, auf die Benutzer und Gruppen zugreifen können AWS-Konto. Berechtigungssätze werden in IAM Identity Center gespeichert und können für einen oder mehrere AWS-Konten Personen bereitgestellt werden. Sie können einem Benutzer mehrere Berechtigungssätze zuweisen.

Anmerkung

Als IAM Identity Center-Administrator müssen Sie gelegentlich ältere IdP-Zertifikate durch neuere ersetzen. Beispielsweise müssen Sie möglicherweise ein IdP-Zertifikat ersetzen, wenn sich das Ablaufdatum des Zertifikats nähert. Der Vorgang, bei dem ein älteres Zertifikat durch ein neueres ersetzt wird, wird als Zertifikatsrotation bezeichnet. Lesen Sie unbedingt, wie Sie die SAML Zertifikate für verwalten Google Workspace.

Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit helfen AWS:

  • AWS re:Post- Hier finden Sie weitere Ressourcen FAQs und Links zu diesen, die Ihnen bei der Behebung von Problemen helfen.

  • AWS Support- Holen Sie sich technischen Support