Automatische Bereitstellung - AWS IAM Identity Center
Überlegungen zur Verwendung der automatischen BereitstellungWie überwacht man den Ablauf von ZugriffstokenWie aktiviert man die automatische BereitstellungWie deaktiviere ich die automatische BereitstellungWie generiert man ein neues ZugriffstokenWie lösche ich ein ZugriffstokenWie rotiert man ein Zugriffstoken

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Automatische Bereitstellung

IAM Identity Center unterstützt die automatische Bereitstellung (Synchronisation) von Benutzer- und Gruppeninformationen von Ihrem Identity Provider (IdP) in IAM Identity Center mithilfe des Systems for Cross-Domain Identity Management (SCIM) v2.0-Protokoll. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Identity Provider (IdP) -Benutzerattribute zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und Ihrem IdP überein. Sie konfigurieren diese Verbindung in Ihrem IdP mithilfe Ihres SCIM-Endpunkts für IAM Identity Center und eines Bearer-Tokens, das Sie in IAM Identity Center erstellen.

Überlegungen zur Verwendung der automatischen Bereitstellung

Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, zunächst die folgenden wichtigen Überlegungen zur Funktionsweise von SCIM mit IAM Identity Center zu lesen. Weitere Überlegungen zur Bereitstellung finden Sie in den für Ihren IdP Erste Schritte mit Tutorials geltenden Bestimmungen.

  • Wenn Sie eine primäre E-Mail-Adresse bereitstellen, muss dieser Attributwert für jeden Benutzer eindeutig sein. In einigen IdPs Fällen ist die primäre E-Mail-Adresse möglicherweise keine echte E-Mail-Adresse. Beispielsweise könnte es sich um einen Universal Principal Name (UPN) handeln, der nur wie eine E-Mail aussieht. Diese IdPs können eine sekundäre oder „andere“ E-Mail-Adresse haben, die die tatsächliche E-Mail-Adresse des Benutzers enthält. Sie müssen SCIM in Ihrem IdP so konfigurieren, dass die eindeutige E-Mail-Adresse ungleich NULL dem primären E-Mail-Adressattribut von IAM Identity Center zugeordnet wird. Und Sie müssen die eindeutige Anmelde-ID des Benutzers, die nicht NULL ist, dem Benutzernamenattribut von IAM Identity Center zuordnen. Prüfen Sie, ob Ihr IdP einen einzigen Wert hat, der sowohl die Anmelde-ID als auch den E-Mail-Namen des Benutzers ist. Wenn ja, können Sie dieses IdP-Feld sowohl der primären IAM Identity Center-E-Mail-Adresse als auch dem IAM Identity Center-Benutzernamen zuordnen.

  • Damit die SCIM-Synchronisierung funktioniert, müssen für jeden Benutzer die Werte Vorname, Nachname, Benutzername und Anzeigename angegeben werden. Wenn einer dieser Werte bei einem Benutzer fehlt, wird diesem Benutzer keine Provisionierung zugewiesen.

  • Wenn Sie Anwendungen von Drittanbietern verwenden müssen, müssen Sie zunächst das Betreffattribut für ausgehende SAML dem Benutzernamenattribut zuordnen. Wenn die Drittanbieteranwendung eine routbare E-Mail-Adresse benötigt, müssen Sie Ihrem IdP das E-Mail-Attribut zur Verfügung stellen.

  • Die SCIM-Bereitstellungs- und Aktualisierungsintervalle werden von Ihrem Identitätsanbieter gesteuert. Änderungen an Benutzern und Gruppen in Ihrem Identity Provider werden erst in IAM Identity Center übernommen, nachdem Ihr Identity Provider diese Änderungen an IAM Identity Center gesendet hat. Einzelheiten zur Häufigkeit von Benutzer- und Gruppenaktualisierungen erhalten Sie bei Ihrem Identitätsanbieter.

  • Derzeit werden mehrwertige Attribute (wie mehrere E-Mails oder Telefonnummern für einen bestimmten Benutzer) nicht mit SCIM bereitgestellt. Versuche, mehrwertige Attribute mit SCIM mit IAM Identity Center zu synchronisieren, schlagen fehl. Um Fehler zu vermeiden, stellen Sie sicher, dass für jedes Attribut nur ein einziger Wert übergeben wird. Wenn Sie Benutzer mit mehrwertigen Attributen haben, entfernen oder ändern Sie die doppelten Attributzuordnungen in SCIM bei Ihrem IdP für die Verbindung zum IAM Identity Center.

  • Stellen Sie sicher, dass die externalId SCIM-Zuordnung bei Ihrem IdP einem Wert entspricht, der eindeutig und immer vorhanden ist und sich für Ihre Benutzer am wenigsten ändert. Beispielsweise kann Ihr IdP eine garantierte objectId oder eine andere Kennung bereitstellen, auf die sich Änderungen an Benutzerattributen wie Name und E-Mail nicht auswirken. Wenn ja, können Sie diesen Wert dem externalId SCIM-Feld zuordnen. Dadurch wird sichergestellt, dass Ihre Benutzer keine AWS Berechtigungen, Zuweisungen oder Berechtigungen verlieren, wenn Sie ihren Namen oder ihre E-Mail-Adresse ändern müssen.

  • Benutzer, denen noch keine Anwendung zugewiesen wurde oder denen AWS-Konto keine Bereitstellung für IAM Identity Center möglich ist. Um Benutzer und Gruppen zu synchronisieren, stellen Sie sicher, dass sie der Anwendung oder einem anderen Setup zugewiesen sind, das die Verbindung Ihres IdP zum IAM Identity Center darstellt.

  • Das Verhalten bei der Deprovisionierung von Benutzern wird vom Identitätsanbieter verwaltet und kann je nach Implementierung variieren. Einzelheiten zur Deprovisionierung von Benutzern erhalten Sie bei Ihrem Identitätsanbieter.

Weitere Informationen zur SCIM-Implementierung von IAM Identity Center finden Sie im IAM Identity Center SCIM Implementation Developer Guide.

Wie überwacht man den Ablauf von Zugriffstoken

SCIM-Zugriffstoken werden mit einer Gültigkeit von einem Jahr generiert. Wenn Ihr SCIM-Zugriffstoken so eingestellt ist, dass es in 90 Tagen oder weniger abläuft, AWS sendet es Ihnen in der IAM Identity Center-Konsole und über das AWS Health Dashboard Erinnerungen, damit Sie das Token wechseln können. Indem Sie das SCIM-Zugriffstoken rotieren, bevor es abläuft, stellen Sie kontinuierlich die automatische Bereitstellung von Benutzer- und Gruppeninformationen sicher. Wenn das SCIM-Zugriffstoken abläuft, wird die Synchronisation von Benutzer- und Gruppeninformationen von Ihrem Identitätsanbieter mit dem IAM Identity Center beendet, sodass bei der automatischen Bereitstellung keine Aktualisierungen mehr vorgenommen oder Informationen erstellt und gelöscht werden können. Eine Unterbrechung der automatischen Bereitstellung kann zu erhöhten Sicherheitsrisiken führen und den Zugriff auf Ihre Dienste beeinträchtigen.

Die Erinnerungen der Identity Center-Konsole bleiben bestehen, bis Sie das SCIM-Zugriffstoken rotieren und alle ungenutzten oder abgelaufenen Zugriffstoken löschen. Die AWS Health Dashboard-Ereignisse werden wöchentlich zwischen 90 und 60 Tagen, zweimal pro Woche zwischen 60 und 30 Tagen, dreimal pro Woche zwischen 30 und 15 Tagen und täglich zwischen 15 Tagen, bis die SCIM-Zugriffstoken ablaufen, erneuert.

Wie aktiviert man die automatische Bereitstellung

Gehen Sie wie folgt vor, um die automatische Bereitstellung von Benutzern und Gruppen von Ihrem IdP an das IAM Identity Center mithilfe des SCIM-Protokolls zu aktivieren.

Anmerkung

Bevor Sie mit diesem Verfahren beginnen, empfehlen wir Ihnen, zunächst die Überlegungen zur Bereitstellung zu überprüfen, die für Ihren IdP gelten. Weitere Informationen finden Sie unter Erste Schritte mit Tutorials Für Ihren IdP.

Um die automatische Bereitstellung im IAM Identity Center zu aktivieren

  1. Nachdem Sie die Voraussetzungen erfüllt haben, öffnen Sie die IAM Identity Center-Konsole.

  2. Wählen Sie im linken Navigationsbereich Einstellungen aus.

  3. Suchen Sie auf der Seite Einstellungen das Informationsfeld Automatische Bereitstellung und wählen Sie dann Aktivieren aus. Dadurch wird sofort die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.

  4. Kopieren Sie im Dialogfeld Automatische Bereitstellung für eingehende Nachrichten die einzelnen Werte für die folgenden Optionen. Sie müssen diese später einfügen, wenn Sie die Bereitstellung in Ihrem IdP konfigurieren.

    1. SCIM-Endpunkt

    2. Zugriffstoken

  5. Klicken Sie auf Schließen.

Nachdem Sie dieses Verfahren abgeschlossen haben, müssen Sie die automatische Bereitstellung in Ihrem IdP konfigurieren. Weitere Informationen finden Sie unter Erste Schritte mit Tutorials Für Ihren IdP.

Wie deaktiviere ich die automatische Bereitstellung

Gehen Sie wie folgt vor, um die automatische Bereitstellung in der IAM Identity Center-Konsole zu deaktivieren.

Wichtig

Sie müssen das Zugriffstoken löschen, bevor Sie dieses Verfahren starten. Weitere Informationen finden Sie unter Wie lösche ich ein Zugriffstoken.

Um die automatische Bereitstellung in der IAM Identity Center-Konsole zu deaktivieren

  1. Wählen Sie in der IAM Identity Center-Konsole im linken Navigationsbereich Einstellungen aus.

  2. Wählen Sie auf der Seite „Einstellungen“ die Registerkarte „Identitätsquelle“ und dann „Aktionen“ > „Bereitstellung verwalten“.

  3. Wählen Sie auf der Seite Automatische Bereitstellung die Option Deaktivieren aus.

  4. Überprüfen Sie im Dialogfeld Automatische Bereitstellung deaktivieren die Informationen, geben Sie DISABLE ein, und wählen Sie dann Automatische Bereitstellung deaktivieren aus.

Wie generiert man ein neues Zugriffstoken

Gehen Sie wie folgt vor, um ein neues Zugriffstoken in der IAM Identity Center-Konsole zu generieren.

Anmerkung

Für dieses Verfahren müssen Sie zuvor die automatische Bereitstellung aktiviert haben. Weitere Informationen finden Sie unter Wie aktiviert man die automatische Bereitstellung.

Um ein neues Zugriffstoken zu generieren

  1. Wählen Sie in der IAM Identity Center-Konsole im linken Navigationsbereich Einstellungen aus.

  2. Wählen Sie auf der Seite „Einstellungen“ die Registerkarte „Identitätsquelle“ und dann „Aktionen“ > „Bereitstellung verwalten“.

  3. Wählen Sie auf der Seite Automatische Bereitstellung unter Zugriffstoken die Option Token generieren aus.

  4. Kopieren Sie im Dialogfeld Neues Zugriffstoken generieren das neue Zugriffstoken und speichern Sie es an einem sicheren Ort.

  5. Klicken Sie auf Schließen.

Wie lösche ich ein Zugriffstoken

Gehen Sie wie folgt vor, um ein vorhandenes Zugriffstoken in der IAM Identity Center-Konsole zu löschen.

Um ein vorhandenes Zugriffstoken zu löschen

  1. Wählen Sie in der IAM Identity Center-Konsole im linken Navigationsbereich Einstellungen aus.

  2. Wählen Sie auf der Seite „Einstellungen“ die Registerkarte „Identitätsquelle“ und dann „Aktionen“ > „Bereitstellung verwalten“.

  3. Wählen Sie auf der Seite Automatische Bereitstellung unter Zugriffstoken das Zugriffstoken aus, das Sie löschen möchten, und wählen Sie dann Löschen aus.

  4. Überprüfen Sie im Dialogfeld Zugriffstoken löschen die Informationen, geben Sie DELETE ein, und wählen Sie dann Zugriffstoken löschen aus.

Wie rotiert man ein Zugriffstoken

Ein IAM Identity Center-Verzeichnis unterstützt bis zu zwei Zugriffstoken gleichzeitig. Um vor jeder Rotation ein zusätzliches Zugriffstoken zu generieren, löschen Sie alle abgelaufenen oder ungenutzten Zugriffstoken.

Wenn Ihr SCIM-Zugriffstoken bald abläuft, können Sie das folgende Verfahren verwenden, um ein vorhandenes Zugriffstoken in der IAM Identity Center-Konsole rotieren zu lassen.

Um ein Zugriffstoken zu rotieren

  1. Wählen Sie in der IAM Identity Center-Konsole im linken Navigationsbereich Einstellungen aus.

  2. Wählen Sie auf der Seite „Einstellungen“ die Registerkarte „Identitätsquelle“ und dann „Aktionen“ > „Bereitstellung verwalten“.

  3. Notieren Sie sich auf der Seite Automatische Bereitstellung unter Zugriffstoken die Token-ID des Tokens, das Sie rotieren möchten.

  4. Folgen Sie den Schritten unterWie generiert man ein neues Zugriffstoken, um ein neues Token zu erstellen. Wenn Sie bereits die maximale Anzahl von SCIM-Zugriffstoken erstellt haben, müssen Sie zunächst eines der vorhandenen Token löschen.

  5. Rufen Sie die Website Ihres Identitätsanbieters auf und konfigurieren Sie das neue Zugriffstoken für die SCIM-Bereitstellung. Testen Sie dann die Konnektivität zum IAM Identity Center mithilfe des neuen SCIM-Zugriffstokens. Sobald Sie bestätigt haben, dass die Bereitstellung mit dem neuen Token erfolgreich funktioniert, fahren Sie mit dem nächsten Schritt in diesem Verfahren fort.

  6. Folgen Sie den Schritten unterWie lösche ich ein Zugriffstoken, um das alte Zugriffstoken zu löschen, das Sie zuvor notiert haben. Sie können das Erstellungsdatum des Tokens auch als Hinweis dafür verwenden, welches Token entfernt werden soll.