Konfigurieren SAML und SCIM mit Okta und IAM Identity Center - AWS IAM Identity Center
ÜberlegungenSchritt 1: Okta: Besorgen Sie sich die SAML Metadaten von Ihrem Okta KontoSchritt 2: IAM Identity Center: Konfigurieren Okta als Identitätsquelle für IAM Identity CenterSchritt 3: IAM Identity Center und Okta: Bereitstellung Okta BenutzerSchritt 4: Okta: Synchronisieren Sie Benutzer von Okta mit IAM Identity CenterÜbergabe von Attributen für die Zugriffskontrolle — optionalWeisen Sie Zugriff zu AWS-KontenNächste SchritteFehlerbehebung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren SAML und SCIM mit Okta und IAM Identity Center

Sie können Benutzer- und Gruppeninformationen automatisch bereitstellen oder synchronisieren von Okta mithilfe des Systems for Cross-Domain Identity Management (SCIM) 2.0-Protokoll in IAM Identity Center. Weitere Informationen finden Sie unter Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern.

Um diese Verbindung zu konfigurieren in Okta, verwenden Sie Ihren SCIM Endpunkt für IAM Identity Center und ein Bearer-Token, das automatisch von IAM Identity Center erstellt wird. Wenn Sie die SCIM Synchronisation konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute in Okta zu den benannten Attributen in IAM Identity Center. Diese Zuordnung entspricht den erwarteten Benutzerattributen zwischen IAM Identity Center und Ihrem Okta Konto.

Okta unterstützt die folgenden Bereitstellungsfunktionen, wenn eine Verbindung mit IAM Identity Center hergestellt ist überSCIM:

  • Benutzer erstellen — Benutzer, die der IAM Identity Center-Anwendung zugewiesen sind in Okta werden in IAM Identity Center bereitgestellt.

  • Benutzerattribute aktualisieren — Attributänderungen für Benutzer, die der IAM Identity Center-Anwendung zugewiesen sind, in Okta werden in IAM Identity Center aktualisiert.

  • Benutzer deaktivieren — Benutzer, denen die Zuweisung zur IAM Identity Center-Anwendung in aufgehoben wurde Okta sind in IAM Identity Center deaktiviert.

  • Gruppen-Push — Gruppen (und ihre Mitglieder) in Okta sind mit IAM Identity Center synchronisiert.

    Anmerkung

    Um den Verwaltungsaufwand in beiden Fällen zu minimieren Okta und IAM Identity Center empfehlen wir, statt einzelnen Benutzern Gruppen zuzuweisen und diese per Push zu übertragen.

Zielsetzung

In diesem Tutorial erfahren Sie, wie Sie eine SAML Verbindung herstellen mit Okta IAMIdentitätszentrum. Später synchronisieren Sie Benutzer von Okta, unter Verwendung vonSCIM. In diesem Szenario verwalten Sie alle Benutzer und Gruppen in Okta. Benutzer melden sich an über Okta Portal. Um zu überprüfen, ob alles korrekt konfiguriert ist, melden Sie sich nach Abschluss der Konfigurationsschritte als Okta Benutzer und verifizieren den Zugriff auf AWS Ressourcen.

Anmerkung

Sie können sich für eine anmelden Okta Konto (kostenlose Testversion), das hat Okta's IAMDie Identity Center-Anwendung ist installiert. Gegen Bezahlung Okta Bei Produkten müssen Sie möglicherweise bestätigen, dass Ihre Okta Die Lizenz unterstützt Lebenszyklusmanagement oder ähnliche Funktionen, die die Bereitstellung ausgehender Daten ermöglichen. Diese Funktionen können für die Konfiguration von erforderlich sein SCIM Okta zum IAM Identity Center.

Wenn Sie IAM Identity Center noch nicht aktiviert haben, finden Sie weitere Informationen unterAktivieren AWS IAM Identity Center.

Überlegungen

  • Bevor Sie die SCIM Bereitstellung konfigurieren zwischen Okta und IAM Identity Center, wir empfehlen Ihnen, diese zuerst zu überprüfenÜberlegungen zur Verwendung der automatischen Bereitstellung.

  • Jeder Okta Für den Benutzer müssen die Werte Vorname, Nachname, Benutzername und Anzeigename angegeben werden.

  • Jeder Okta Ein Benutzer hat nur einen einzigen Wert pro Datenattribut, z. B. E-Mail-Adresse oder Telefonnummer. Alle Benutzer, die mehrere Werte haben, können nicht synchronisiert werden. Wenn es Benutzer gibt, deren Attribute mehrere Werte enthalten, entfernen Sie die doppelten Attribute, bevor Sie versuchen, den Benutzer in IAM Identity Center bereitzustellen. Beispielsweise kann nur ein Telefonnummernattribut synchronisiert werden, da das Standard-Telefonnummernattribut „Geschäftstelefon“ ist. Verwenden Sie das Attribut „Geschäftstelefon“, um die Telefonnummer des Benutzers zu speichern, auch wenn es sich bei der Telefonnummer für den Benutzer um ein Festnetz oder ein Mobiltelefon handelt.

  • Bei der Verwendung Okta mit IAM Identity Center wird IAM Identity Center im Allgemeinen als Anwendung konfiguriert in Okta. Auf diese Weise können Sie mehrere Instanzen von IAM Identity Center als mehrere Anwendungen konfigurieren, die den Zugriff auf mehrere AWS Organizations innerhalb einer einzigen Instanz von Okta.

  • Berechtigungen und Rollenattribute werden nicht unterstützt und können nicht mit IAM Identity Center synchronisiert werden.

  • Verwenden Sie dasselbe Okta Eine Gruppe sowohl für Aufgaben als auch für Gruppen-Push wird derzeit nicht unterstützt. Um konsistente Gruppenmitgliedschaften zwischen Okta und IAM Identity Center, erstellen Sie eine separate Gruppe und konfigurieren Sie sie so, dass Gruppen per Push an IAM Identity Center weitergeleitet werden.

Schritt 1: Okta: Besorgen Sie sich die SAML Metadaten von Ihrem Okta Konto

  1. Melden Sie sich an bei Okta admin dashboard, erweitern Sie Anwendungen und wählen Sie dann Anwendungen aus.

  2. Wählen Sie auf der Seite Applications (Anwendungen) die Option Browse App Catalog (App-Katalog durchsuchen) aus.

  3. Geben Sie in das Suchfeld die App ein AWS IAM Identity Centerund wählen Sie sie aus, um die IAM Identity Center-App hinzuzufügen.

  4. Wählen Sie den Tab Anmelden aus.

  5. Wählen Sie unter SAMLSignaturzertifikate die Option Aktionen und dann IdP-Metadaten anzeigen aus. Ein neuer Browser-Tab wird geöffnet, der den Dokumentenbaum einer XML Datei anzeigt. Wählen Sie alle Felder XML von <md:EntityDescriptor> bis aus </md:EntityDescriptor> und kopieren Sie sie in eine Textdatei.

  6. Speichern Sie die Textdatei untermetadata.xml.

Verlassen Sie die Okta admin dashboard öffnen, Sie werden diese Konsole in den späteren Schritten weiter verwenden.

Schritt 2: IAM Identity Center: Konfigurieren Okta als Identitätsquelle für IAM Identity Center

  1. Öffnen Sie die IAMIdentity Center-Konsole als Benutzer mit Administratorrechten.

  2. Wählen Sie im linken Navigationsbereich Einstellungen aus.

  3. Wählen Sie auf der Seite Einstellungen die Option Aktionen und dann Identitätsquelle ändern aus.

  4. Wählen Sie unter Identitätsquelle auswählen die Option Externer Identitätsanbieter und dann Weiter aus.

  5. Gehen Sie unter Externen Identitätsanbieter konfigurieren wie folgt vor:

    1. Wählen Sie unter Metadaten des Dienstanbieters die Option Metadatendatei herunterladen aus, um die IAM Identity Center-Metadatendatei herunterzuladen und auf Ihrem System zu speichern. Sie stellen die IAM Identity SAML Center-Metadatendatei bereit für Okta später in diesem Tutorial.

      Kopieren Sie die folgenden Elemente in eine Textdatei, um den Zugriff zu erleichtern:

      • IAMIdentity Center Assertion Kundenservice () ACS URL

      • IAMIdentity Center-Emittent URL

      Sie benötigen diese Werte später in diesem Tutorial.

    2. Wählen Sie unter Identitätsanbieter-Metadaten unter SAMLIdP-Metadaten die Option Datei auswählen und wählen Sie dann die metadata.xml Datei aus, die Sie im vorherigen Schritt erstellt haben.

    3. Wählen Sie Weiter.

  6. Nachdem Sie den Haftungsausschluss gelesen haben und bereit sind, fortzufahren, geben Sie ihn ein ACCEPT.

  7. Wählen Sie Identitätsquelle ändern aus.

    Lassen Sie die AWS Konsole geöffnet, Sie werden diese Konsole im nächsten Schritt weiter verwenden.

  8. Kehren Sie zurück zum Okta admin dashboard und wählen Sie in der AWS IAM Identity Center App den Tab Anmelden und dann Bearbeiten aus.

  9. Geben Sie unter Erweiterte Anmeldeeinstellungen Folgendes ein:

    • Geben Sie für den Wert ein ACSURL, den Sie für IAMIdentity Center Assertion Consumer Service () kopiert haben ACS URL

    • Geben Sie für Issuer den Wert einURL, den Sie für IAMIdentity Center Issuer kopiert haben URL

    • Wählen Sie für das Format des Anwendungsbenutzernamens eine der Optionen aus dem Menü aus.

      Stellen Sie sicher, dass der von Ihnen gewählte Wert für jeden Benutzer einzigartig ist. Wählen Sie für dieses Tutorial den Okta-Benutzernamen

  10. Wählen Sie Save (Speichern) aus.

Sie sind jetzt bereit, Benutzer von bereitzustellen Okta zu IAM Identity Center. Verlasse das Okta admin dashboard öffnen und für den nächsten Schritt zur IAM Identity Center-Konsole zurückkehren.

Schritt 3: IAM Identity Center und Okta: Bereitstellung Okta Benutzer

  1. Suchen Sie in der IAM Identity Center-Konsole auf der Seite Einstellungen das Informationsfeld Automatische Bereitstellung und wählen Sie dann Aktivieren aus. Dadurch wird die automatische Bereitstellung in IAM Identity Center aktiviert und die erforderlichen SCIM Endpunkt- und Zugriffstoken-Informationen werden angezeigt.

  2. Kopieren Sie im Dialogfeld Automatische Bereitstellung für eingehende Nachrichten jeden der Werte für die folgenden Optionen:

    1. SCIMEndpunkt — Zum Beispiel https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Zugriffstoken — Wählen Sie Token anzeigen, um den Wert zu kopieren.

    Warnung

    Dies ist das einzige Mal, dass Sie den SCIM Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren. Sie geben diese Werte ein, um die automatische Bereitstellung zu konfigurieren Okta später in diesem Tutorial.

  3. Klicken Sie auf Close (Schließen).

  4. Kehren Sie zurück zum Okta admin dashboard und navigieren Sie zur IAM Identity Center-App.

  5. Wählen Sie auf der IAMIdentity Center-App-Seite die Registerkarte Provisioning und wählen Sie dann in der linken Navigationsleiste unter Einstellungen die Option Integration aus.

  6. Wählen Sie Bearbeiten und aktivieren Sie dann das Kontrollkästchen neben APIIntegration aktivieren, um die automatische Bereitstellung zu aktivieren.

  7. Konfiguration Okta mit den SCIM Bereitstellungswerten AWS IAM Identity Center , aus denen Sie zuvor in diesem Schritt kopiert haben:

    1. Geben Sie im URL Feld Base den SCIMEndpunktwert ein.

    2. Geben Sie im Feld APIToken den Wert für das Zugriffstoken ein.

  8. Wählen Sie APIAnmeldeinformationen testen, um zu überprüfen, ob die eingegebenen Anmeldeinformationen gültig sind.

    Die Nachricht AWS IAM Identity Center wurde erfolgreich verifiziert! zeigt an.

  9. Wählen Sie Save (Speichern) aus. Sie werden in den Bereich Einstellungen verschoben, in dem Integration ausgewählt ist.

  10. Wählen Sie unter Einstellungen die Option Zur App aus und aktivieren Sie dann das Kontrollkästchen Aktivieren für jede der Funktionen von Provisioning to App, die Sie aktivieren möchten. Wählen Sie für dieses Tutorial alle Optionen aus.

  11. Wählen Sie Save (Speichern) aus.

Sie sind jetzt bereit, Ihre Benutzer von zu synchronisieren Okta mit IAM Identity Center.

Schritt 4: Okta: Synchronisieren Sie Benutzer von Okta mit IAM Identity Center

Standardmäßig sind Ihrem keine Gruppen oder Benutzer zugewiesen Okta IAMIdentity Center-App. Durch die Bereitstellung von Gruppen werden die Benutzer bereitgestellt, die Mitglieder der Gruppe sind. Gehen Sie wie folgt vor, um Gruppen und Benutzer mit AWS IAM Identity Center zu synchronisieren.

  1. In der Okta IAMWählen Sie auf der Seite der Identity Center-App den Tab Zuweisungen aus. Sie können der IAM Identity Center-App sowohl Personen als auch Gruppen zuweisen.

    1. So weisen Sie Personen zu:

      • Wählen Sie auf der Seite „Aufgaben“ die Option „Zuweisen“ und dann „Personen zuweisen“ aus.

      • Wählen Sie das Symbol Okta Benutzer, denen Sie Zugriff auf die IAM Identity Center-App gewähren möchten. Wählen Sie „Zuweisen“, dann „Speichern und Zurück“ und anschließend „Fertig“.

      Dadurch wird der Prozess der Bereitstellung der Benutzer für IAM Identity Center gestartet.

    2. Um Gruppen zuzuweisen:

      • Wählen Sie auf der Seite „Zuweisungen“ die Option „Zuweisen“ und anschließend „Gruppen zuweisen“.

      • Wählen Sie das Symbol Okta Gruppen, für die Sie Zugriff auf die IAM Identity Center-App haben möchten. Wählen Sie „Zuweisen“, dann „Speichern und Zurück“ und anschließend „Fertig“.

      Dadurch wird der Prozess der Bereitstellung von Benutzerberechtigungen für die Benutzer in der Gruppe für IAM Identity Center gestartet.

      Anmerkung

      Möglicherweise müssen Sie zusätzliche Attribute für die Gruppe angeben, wenn diese nicht in allen Benutzerdatensätzen vorhanden sind. Die für die Gruppe angegebenen Attribute haben Vorrang vor allen individuellen Attributwerten.

  2. Wählen Sie die Registerkarte Push-Gruppen. Wählen Sie das Symbol Okta Gruppe, die Sie mit IAM Identity Center synchronisieren möchten. Wählen Sie Save (Speichern) aus.

    Der Gruppenstatus ändert sich in Aktiv, nachdem die Gruppe und ihre Mitglieder per Push in IAM Identity Center übertragen wurden.

  3. Kehren Sie zur Registerkarte „Zuweisungen“ zurück.

  4. Um eine Person hinzuzufügen Okta Gehen Sie wie folgt vor, um Benutzer zu IAM Identity Center hinzuzufügen:

    1. Wählen Sie auf der Seite „Zuweisungen“ die Option „Zuweisen“ und dann „Personen zuweisen“.

    2. Wählen Sie das Symbol Okta Benutzer, für die Sie Zugriff auf die IAM Identity Center-App haben möchten. Wählen Sie „Zuweisen“, dann „Speichern und Zurück“ und anschließend „Fertig“.

      Dadurch wird der Prozess der Bereitstellung der einzelnen Benutzer für IAM Identity Center gestartet.

      Anmerkung

      Sie können der AWS IAM Identity Center App auch Benutzer und Gruppen zuweisen, und zwar auf der Anwendungsseite des Okta admin dashboard. Wählen Sie dazu das Einstellungssymbol und wählen Sie dann Benutzern zuweisen oder Zu Gruppen zuweisen und geben Sie dann den Benutzer oder die Gruppe an.

  5. Kehren Sie zur IAM Identity Center-Konsole zurück. Wählen Sie in der linken Navigationsleiste Benutzer aus. Sie sollten die Benutzerliste sehen, die mit Ihren Okta Benutzer.

Herzlichen Glückwunsch!

Sie haben erfolgreich eine SAML Verbindung hergestellt zwischen Okta AWS und haben überprüft, ob die automatische Bereitstellung funktioniert. Sie können diese Benutzer jetzt Konten und Anwendungen in IAMIdentity Center zuweisen. Für dieses Tutorial bestimmen wir im nächsten Schritt einen der Benutzer als IAM Identity Center-Administrator, indem wir ihm Administratorrechte für das Verwaltungskonto gewähren.

Übergabe von Attributen für die Zugriffskontrolle — optional

Sie können optional die Attribute für Zugriffskontrolle Funktion in IAM Identity Center verwenden, um ein Attribute Element zu übergeben, dessen Name Attribut auf gesetzt isthttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Dieses Element ermöglicht es Ihnen, Attribute als Sitzungs-Tags in der SAML Assertion zu übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie AWS STS im IAMBenutzerhandbuch unter Übergeben von Sitzungs-Tags.

Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das AttributeValue-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar CostCenter = blue für das Tag zu übergeben.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates Attribute Element hinzu.

Weisen Sie Zugriff zu AWS-Konten

Die folgenden Schritte sind nur erforderlich, um AWS-Konten nur Zugriff zu gewähren. Diese Schritte sind nicht erforderlich, um Zugriff auf AWS Anwendungen zu gewähren.

Schritt 1: IAM Identity Center: Grant Okta Benutzer haben Zugriff auf Konten

  1. Wählen Sie im IAM Identity Center-Navigationsbereich unter Berechtigungen für mehrere Konten die Option AWS-Konten.

  2. Auf der AWS-KontenSeite „Organisationsstruktur“ wird Ihr Organisationsstamm mit Ihren Konten darunter in der Hierarchie angezeigt. Markieren Sie das Kontrollkästchen für Ihr Verwaltungskonto und wählen Sie dann Benutzer oder Gruppen zuweisen aus.

  3. Der Workflow „Benutzer und Gruppen zuweisen“ wird angezeigt. Er besteht aus drei Schritten:

    1. Wählen Sie für Schritt 1: Benutzer und Gruppen auswählen den Benutzer aus, der die Administratorfunktion ausführen soll. Wählen Sie anschließend Weiter.

    2. Wählen Sie für Schritt 2: Berechtigungssätze auswählen die Option Berechtigungssatz erstellen aus, um eine neue Registerkarte zu öffnen, die Sie durch die drei Teilschritte beim Erstellen eines Berechtigungssatzes führt.

      1. Gehen Sie für Schritt 1: Berechtigungssatztyp auswählen wie folgt vor:

        • Wählen Sie unter Typ des Berechtigungssatzes die Option Vordefinierter Berechtigungssatz aus.

        • Wählen Sie unter Richtlinie für vordefinierten Berechtigungssatz die Option aus AdministratorAccess.

        Wählen Sie Weiter.

      2. Für Schritt 2: Geben Sie die Details zum Berechtigungssatz an, behalten Sie die Standardeinstellungen bei und wählen Sie Weiter aus.

        Mit den Standardeinstellungen wird ein Berechtigungssatz AdministratorAccess mit einem Namen erstellt, dessen Sitzungsdauer auf eine Stunde festgelegt ist.

      3. Stellen Sie für Schritt 3: Überprüfen und erstellen sicher, dass der Typ Berechtigungssatz die AWS verwaltete Richtlinie verwendet AdministratorAccess. Wählen Sie Create (Erstellen) aus. Auf der Seite Berechtigungssätze wird eine Benachrichtigung angezeigt, die Sie darüber informiert, dass der Berechtigungssatz erstellt wurde. Sie können diese Registerkarte jetzt in Ihrem Webbrowser schließen.

      Auf der Browser-Registerkarte „Benutzer und Gruppen zuweisen“ befinden Sie sich immer noch in Schritt 2: Wählen Sie die Berechtigungssätze aus, von denen aus Sie den Workflow zum Erstellen von Berechtigungssätzen gestartet haben.

      Wählen Sie im Bereich „Berechtigungssätze“ die Schaltfläche „Aktualisieren“. Der von Ihnen erstellte AdministratorAccess Berechtigungssatz wird in der Liste angezeigt. Aktivieren Sie das Kontrollkästchen für diesen Berechtigungssatz und wählen Sie dann Weiter.

    3. Überprüfen Sie für Schritt 3: Überprüfen und Absenden den ausgewählten Benutzer und den ausgewählten Berechtigungssatz und wählen Sie dann Absenden aus.

      Die Seite wird mit der Meldung aktualisiert, dass Ihr AWS-Konto System gerade konfiguriert wird. Warten Sie, bis der Vorgang abgeschlossen ist.

      Sie kehren zur AWS-Konten Seite zurück. In einer Benachrichtigung werden Sie darüber informiert, dass Ihr AWS-Konto Konto erneut bereitgestellt und der aktualisierte Berechtigungssatz angewendet wurde. Wenn sich der Benutzer anmeldet, hat er die Möglichkeit, die Rolle auszuwählen. AdministratorAccess

Schritt 2: Okta: Bestätigen Okta Benutzerzugriff auf AWS Ressourcen

  1. Melden Sie sich mit einem Testkonto an Okta dashboard.

  2. Wählen Sie unter Meine Apps die AWS IAM Identity Center .

  3. Sie sollten das AWS-Konto Symbol sehen. Erweitern Sie dieses Symbol, um die Liste zu sehen, auf AWS-Konten die der Benutzer zugreifen kann. In diesem Tutorial haben Sie nur mit einem einzigen Konto gearbeitet, sodass beim Erweitern des Symbols nur ein Konto angezeigt wird.

  4. Wählen Sie das Konto aus, um die für den Benutzer verfügbaren Berechtigungssätze anzuzeigen. In diesem Tutorial haben Sie den AdministratorAccessBerechtigungssatz erstellt.

  5. Neben dem Berechtigungssatz befinden sich Links für den Zugriffstyp, der für diesen Berechtigungssatz verfügbar ist. Bei der Erstellung des Berechtigungssatzes haben Sie sowohl den Zugriff auf den als auch den AWS Management Console programmatischen Zugriff angegeben. Wählen Sie Managementkonsole aus, um die zu öffnen. AWS Management Console

  6. Der Benutzer ist bei angemeldet AWS Management Console.

Nächste Schritte

Jetzt, da Sie konfiguriert haben Okta Als Identitätsanbieter und bereitgestellte Benutzer in IAM Identity Center können Sie:

Fehlerbehebung

Informationen zu allgemeinen Informationen SCIM und SAML zur Problembehandlung finden Sie unter Okta, siehe die folgenden Abschnitte:

Aus IAM Identity Center gelöschte Benutzer und Gruppen erneut bereitstellen

  • Möglicherweise erhalten Sie die folgende Fehlermeldung in Okta Konsole, wenn Sie versuchen, einen Benutzer oder eine Gruppe zu ändern in Okta das wurde einmal synchronisiert und dann aus IAM Identity Center gelöscht:

    • Die automatische Übertragung des Profils vom Benutzer Jane Doe zur App ist AWS IAM Identity Center fehlgeschlagen: Fehler beim Versuch, die Profilaktualisierung für zu pushenjane_doe@example.com: Es wurde kein Benutzer für den Benutzer zurückgegeben xxxxx-xxxxxx-xxxxx-xxxxxxx

    • Die verknüpfte Gruppe fehlt in AWS IAM Identity Center. Ändern Sie die verknüpfte Gruppe, um weiterhin Gruppenmitgliedschaften zu übertragen.

  • Möglicherweise erhalten Sie auch die folgende Fehlermeldung in OktaDie Systemprotokolle für synchronisierte und gelöschte IAM Identity Center-Benutzer oder Gruppen:

    • Okta-Fehler: Eventfailed application.provision.user.push_profile: Für den Benutzer wurde kein Benutzer zurückgegeben xxxxx-xxxxxx-xxxxx-xxxxxxx

    • Okta-Fehler: application.provision.group_push.mapping.update.or.delete.failed.with.error: Die verknüpfte Gruppe fehlt in. AWS IAM Identity CenterÄndern Sie die verknüpfte Gruppe, um die Übertragung von Gruppenmitgliedschaften fortzusetzen.

Warnung

Benutzer und Gruppen sollten gelöscht werden von Okta statt IAM Identity Center, wenn Sie synchronisiert haben Okta und IAM Identity Center verwendenSCIM.

Fehlerbehebung bei gelöschten IAM Identity Center-Benutzern

Um dieses Problem mit gelöschten IAM Identity Center-Benutzern zu beheben, müssen die Benutzer von gelöscht werden Okta. Falls erforderlich, müssten diese Benutzer auch in neu erstellt werden Okta. Wenn der Benutzer neu erstellt wird in Okta, über wird es auch wieder im IAM Identity Center bereitgestellt. SCIM Weitere Informationen zum Löschen eines Benutzers finden Sie unter Okta Dokumentation.

Anmerkung

Wenn Sie eine entfernen müssen Okta Den Zugriff eines Benutzers auf IAM Identity Center sollten Sie zuerst aus seinem Gruppen-Push und dann aus seiner Zuweisungsgruppe in entfernen Okta. Dadurch wird sichergestellt, dass der Benutzer aus seiner zugehörigen Gruppenmitgliedschaft in IAM Identity Center entfernt wird. Weitere Informationen zur Fehlerbehebung bei Group Push finden Sie unter Okta Dokumentation.

Fehlerbehebung bei gelöschten IAM Identity Center-Gruppen

Um dieses Problem mit gelöschten IAM Identity Center-Gruppen zu beheben, muss die Gruppe aus Okta gelöscht werden. Falls erforderlich, müssten diese Gruppen auch in Okta mithilfe von Group Push neu erstellt werden. Wenn der Benutzer in Okta neu erstellt wird, wird er auch über das Identity Center erneut bereitgestellt. IAM SCIM Weitere Informationen zum Löschen einer Gruppe finden Sie in der Okta-Dokumentation.

Fehler bei der automatischen Bereitstellung in Okta

Wenn Sie die folgende Fehlermeldung erhalten in Okta:

Die automatische Bereitstellung des Benutzers Jane Doe für die App ist AWS IAM Identity Center fehlgeschlagen: Der passende Benutzer wurde nicht gefunden

Siehe Okta Dokumentation für weitere Informationen.

Weitere Ressourcen

Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit helfen AWS:

  • AWS re:Post- Hier finden Sie weitere Ressourcen FAQs und Links zu diesen, die Ihnen bei der Behebung von Problemen helfen.

  • AWS -Support- Holen Sie sich technischen Support