Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bereitstellung eines externen Identitätsanbieters in IAM Identity Center mit SCIM
IAMIdentity Center unterstützt die automatische Bereitstellung (Synchronisation) von Benutzer- und Gruppeninformationen von Ihrem Identity Provider (IdP) in IAM Identity Center mithilfe des System for Cross-Domain Identity Management (SCIM) v2.0-Protokolls. Wenn Sie die SCIM Synchronisation konfigurieren, erstellen Sie eine Zuordnung der Benutzerattribute Ihres Identity Providers (IdP) zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und Ihrem IdP überein. Sie konfigurieren diese Verbindung in Ihrem IdP mit Ihrem SCIM Endpunkt für IAM Identity Center und einem Bearer-Token, das Sie in IAM Identity Center erstellen.
Themen
- Überlegungen zur Verwendung der automatischen Bereitstellung
- Wie überwacht man den Ablauf von Zugriffstoken
- Aktivieren Sie die automatische Bereitstellung
- Deaktivieren Sie die automatische Bereitstellung
- Generieren Sie ein Zugriffstoken
- Löschen Sie ein Zugriffstoken
- Ein Zugriffstoken rotieren
- Manuelle Bereitstellung
Überlegungen zur Verwendung der automatischen Bereitstellung
Bevor Sie mit der Bereitstellung beginnenSCIM, empfehlen wir Ihnen, zunächst die folgenden wichtigen Überlegungen zur Funktionsweise mit IAM Identity Center zu lesen. Weitere Überlegungen zur Bereitstellung finden Sie in den für Ihren IdP IAMTutorials für die ersten Schritte mit Identity Center geltenden Bestimmungen.
-
Wenn Sie eine primäre E-Mail-Adresse bereitstellen, muss dieser Attributwert für jeden Benutzer eindeutig sein. In einigen IdPs Fällen ist die primäre E-Mail-Adresse möglicherweise keine echte E-Mail-Adresse. Beispielsweise könnte es sich um einen universellen Prinzipalnamen (UPN) handeln, der nur wie eine E-Mail aussieht. Diese IdPs können eine sekundäre oder „andere“ E-Mail-Adresse haben, die die tatsächliche E-Mail-Adresse des Benutzers enthält. Sie müssen Ihren IdP so konfigurierenSCIM, dass die eindeutige E-Mail-Adresse, die nicht NULL ist, dem primären E-Mail-Adressattribut von IAM Identity Center zugeordnet wird. Und Sie müssen die eindeutige Anmelde-ID des Benutzers, die nicht NULL ist, dem IAM Identity Center-Benutzernamenattribut zuordnen. Prüfen Sie, ob Ihr IdP einen einzigen Wert hat, der sowohl die Anmelde-ID als auch den E-Mail-Namen des Benutzers ist. Wenn ja, können Sie dieses IdP-Feld sowohl der primären IAM Identity Center-E-Mail-Adresse als auch dem IAM Identity Center-Benutzernamen zuordnen.
-
Damit die SCIM Synchronisation funktioniert, müssen für jeden Benutzer die Werte Vorname, Nachname, Benutzername und Anzeigename angegeben werden. Wenn einer dieser Werte bei einem Benutzer fehlt, wird diesem Benutzer keine Provisionierung zugewiesen.
-
Wenn Sie Anwendungen von Drittanbietern verwenden müssen, müssen Sie zunächst das Attribut für den ausgehenden SAML Betreff dem Benutzernamenattribut zuordnen. Wenn die Drittanbieteranwendung eine routbare E-Mail-Adresse benötigt, müssen Sie Ihrem IdP das E-Mail-Attribut zur Verfügung stellen.
-
SCIMDie Bereitstellungs- und Aktualisierungsintervalle werden von Ihrem Identitätsanbieter gesteuert. Änderungen an Benutzern und Gruppen in Ihrem Identity Provider werden erst in IAM Identity Center übernommen, nachdem Ihr Identity Provider diese Änderungen an IAM Identity Center gesendet hat. Einzelheiten zur Häufigkeit von Benutzer- und Gruppenaktualisierungen erhalten Sie bei Ihrem Identitätsanbieter.
-
Derzeit werden mehrwertige Attribute (wie mehrere E-Mails oder Telefonnummern für einen bestimmten Benutzer) nicht bereitgestellt. SCIM Versuche, mehrwertige Attribute mit IAM Identity Center zu synchronisieren, schlagen fehl. SCIM Um Fehler zu vermeiden, stellen Sie sicher, dass für jedes Attribut nur ein einziger Wert übergeben wird. Wenn Sie Benutzer mit mehrwertigen Attributen haben, entfernen oder ändern Sie die doppelten Attributzuordnungen in SCIM Ihrem IdP für die Verbindung mit Identity Center. IAM
-
Stellen Sie sicher, dass die
externalIdSCIM Zuordnung bei Ihrem IdP einem Wert entspricht, der eindeutig und immer präsent ist und sich für Ihre Benutzer am wenigsten ändern wird. Beispielsweise kann Ihr IdP eine garantierteobjectIdoder eine andere Kennung bereitstellen, auf die sich Änderungen an Benutzerattributen wie Name und E-Mail nicht auswirken. Wenn ja, können Sie diesen Wert dem SCIMexternalIdFeld zuordnen. Dadurch wird sichergestellt, dass Ihre Benutzer nicht verlieren AWS Berechtigungen, Zuweisungen oder Berechtigungen, falls Sie ihren Namen oder ihre E-Mail-Adresse ändern müssen. -
Benutzer, die noch keiner Anwendung zugewiesen wurden oder AWS-Konto kann nicht in IAM Identity Center bereitgestellt werden. Um Benutzer und Gruppen zu synchronisieren, stellen Sie sicher, dass sie der Anwendung oder einem anderen Setup zugewiesen sind, das die Verbindung Ihres IdP mit IAM Identity Center darstellt.
-
Das Verhalten bei der Deprovisionierung von Benutzern wird vom Identitätsanbieter verwaltet und kann je nach Implementierung variieren. Einzelheiten zur Deprovisionierung von Benutzern erhalten Sie bei Ihrem Identitätsanbieter.
Weitere Informationen zur SCIM Implementierung von IAM Identity Center finden Sie im IAMIdentity Center SCIM Implementation Developer Guide.
Wie überwacht man den Ablauf von Zugriffstoken
SCIMZugriffstoken werden mit einer Gültigkeit von einem Jahr generiert. Wenn Ihr SCIM Zugriffstoken so eingestellt ist, dass es in 90 Tagen oder weniger abläuft, AWS sendet Ihnen Erinnerungen in der IAM Identity Center-Konsole und über AWS Health Dashboard, das Ihnen hilft, den Token zu rotieren. Indem Sie das SCIM Zugriffstoken rotieren, bevor es abläuft, stellen Sie kontinuierlich die automatische Bereitstellung von Benutzer- und Gruppeninformationen sicher. Wenn das SCIM Zugriffstoken abläuft, wird die Synchronisation von Benutzer- und Gruppeninformationen von Ihrem Identitätsanbieter mit IAM Identity Center beendet, sodass bei der automatischen Bereitstellung keine Aktualisierungen mehr vorgenommen oder Informationen erstellt und gelöscht werden können. Eine Unterbrechung der automatischen Bereitstellung kann zu erhöhten Sicherheitsrisiken führen und den Zugriff auf Ihre Dienste beeinträchtigen.
Die Erinnerungen der Identity Center-Konsole bleiben bestehen, bis Sie das SCIM Zugriffstoken wechseln und alle ungenutzten oder abgelaufenen Zugriffstoken löschen. Das Tool AWS Health Dashboard-Ereignisse werden wöchentlich zwischen 90 und 60 Tagen, zweimal pro Woche zwischen 60 und 30 Tagen, dreimal pro Woche zwischen 30 und 15 Tagen und täglich zwischen 15 Tagen, bis die SCIM Zugriffstoken ablaufen, erneuert.
Manuelle Bereitstellung
Einige IdPs bieten keine Unterstützung für System for Cross-Domain Identity Management (SCIM) oder haben eine inkompatible SCIM Implementierung. In diesen Fällen können Sie Benutzer manuell über die IAM Identity Center-Konsole bereitstellen. Wenn Sie Benutzer zu IAM Identity Center hinzufügen, stellen Sie sicher, dass Sie den Benutzernamen so einstellen, dass er mit dem Benutzernamen identisch ist, den Sie in Ihrem IdP haben. Sie müssen mindestens eine eindeutige E-Mail-Adresse und einen eindeutigen Benutzernamen haben. Weitere Informationen finden Sie unter Eindeutigkeit von Benutzername und E-Mail-Adresse.
Außerdem müssen Sie alle Gruppen manuell in IAM Identity Center verwalten. Dazu erstellen Sie die Gruppen und fügen sie mithilfe der IAM Identity Center-Konsole hinzu. Diese Gruppen müssen nicht mit dem übereinstimmen, was in Ihrem IdP vorhanden ist. Weitere Informationen finden Sie unter Gruppen.
