Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Tutorials zu Identitätsquellen im IAM Identity Center
Sie können Ihre bestehende Identitätsquelle in Ihrem AWS Organizations Verwaltungskonto mit [einer Organisationsinstanz von IAM Identity](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) Center verbinden. Wenn Sie noch keinen Identitätsanbieter haben, können Sie Benutzer direkt im standardmäßigen IAM Identity Center-Verzeichnis erstellen und verwalten. Sie können eine Identitätsquelle pro Organisation haben.
In den Tutorials in diesem Abschnitt wird beschrieben, wie Sie eine Organisationsinstanz von IAM Identity Center mit einer häufig verwendeten Identitätsquelle einrichten, einen Administratorbenutzer erstellen und ob Sie IAM Identity Center verwenden, um den Zugriff zu verwalten AWS-Konten, Berechtigungssätze zu erstellen und zu konfigurieren. Wenn Sie IAM Identity Center nur für den Anwendungszugriff verwenden, müssen Sie keine Berechtigungssätze verwenden.
In diesen Tutorials wird nicht beschrieben, wie Kontoinstanzen von IAM Identity Center eingerichtet werden. Sie können Kontoinstanzen verwenden, um Benutzern und Gruppen Anwendungen zuzuweisen, aber Sie können diesen Instanztyp nicht verwenden, um den Benutzerzugriff auf diese zu AWS-Konten verwalten. Weitere Informationen finden Sie unter [Konto-Instances von IAM Identity Center.](account-instances-identity-center.md).
**Anmerkung**
Bevor Sie mit einem dieser Tutorials beginnen, aktivieren Sie IAM Identity Center. Weitere Informationen finden Sie unter [IAM Identity Center aktivieren](enable-identity-center.md).
**Topics**
+ [
# Verwenden von Active Directory als Identitätsquelle
](gs-ad.md)
+ [
# Setting up SCIM provisioning between CyberArk and IAM Identity Center
](cyberark-idp.md)
+ [
# Konfiguration von SAML und SCIM mit einem IAM Google Workspace Identity Center
](gs-gwp.md)
+ [
# Verwenden von IAM Identity Center für die Verbindung mit Ihrer JumpCloud Verzeichnisplattform
](jumpcloud-idp.md)
+ [
# Konfiguration von SAML und SCIM mit einem IAM Microsoft Entra ID Identity Center
](idp-microsoft-entra.md)
+ [
# Konfiguration von SAML und SCIM mit einem IAM Okta Identity Center
](gs-okta.md)
+ [
# Einrichtung der SCIM-Bereitstellung zwischen OneLogin und IAM Identity Center
](onelogin-idp.md)
+ [
# Ping IdentityProdukte mit IAM Identity Center verwenden
](pingidentity.md)
+ [
# Benutzerzugriff mit dem standardmäßigen IAM Identity Center-Verzeichnis konfigurieren
](quick-start-default-idc.md)
+ [
## Video-Tutorials
](#w2aac15c31)
# Verwenden von Active Directory als Identitätsquelle
Wenn Sie Benutzer in Ihrem AWS Managed Microsoft AD Verzeichnis mithilfe von Active Directory (AD) Directory Service oder Ihrem selbstverwalteten Verzeichnis in Active Directory (AD) verwalten, können Sie Ihre IAM Identity Center-Identitätsquelle so ändern, dass sie mit diesen Benutzern funktioniert. Wir empfehlen Ihnen, eine Verbindung zu dieser Identitätsquelle in Betracht zu ziehen, wenn Sie IAM Identity Center aktivieren und Ihre Identitätsquelle auswählen. Wenn Sie dies tun, bevor Sie Benutzer und Gruppen im standardmäßigen Identity Center-Verzeichnis erstellen, können Sie die zusätzliche Konfiguration vermeiden, die erforderlich ist, wenn Sie Ihre Identitätsquelle später ändern.
Um Active Directory als Identitätsquelle verwenden zu können, muss Ihre Konfiguration die folgenden Voraussetzungen erfüllen:
+ Wenn Sie IAM Identity Center verwenden AWS Managed Microsoft AD, müssen Sie es dort aktivieren AWS-Region , wo Ihr AWS Managed Microsoft AD Verzeichnis eingerichtet ist. IAM Identity Center speichert die Zuweisungsdaten in derselben Region wie das Verzeichnis. Um IAM Identity Center zu verwalten, müssen Sie möglicherweise zu der Region wechseln, in der IAM Identity Center konfiguriert ist. Beachten Sie außerdem, dass das AWS Zugriffsportal dieselbe Zugriffs-URL wie Ihr Verzeichnis verwendet.
+ Verwenden Sie ein Active Directory, das sich im Verwaltungskonto befindet:
Sie müssen einen vorhandenen AD Connector oder ein AWS Managed Microsoft AD Verzeichnis eingerichtet haben AWS Directory Service, und es muss sich in Ihrem AWS Organizations Verwaltungskonto befinden. Sie können jeweils nur ein AD Connector Connector-Verzeichnis oder ein Verzeichnis verbinden. AWS Managed Microsoft AD Wenn Sie mehrere Domänen oder Gesamtstrukturen unterstützen müssen, verwenden Sie AWS Managed Microsoft AD. Weitere Informationen finden Sie unter:
+ [Ein Verzeichnis mit dem IAM Identity Center Connect AWS Managed Microsoft AD](connectawsad.md)
+ [Ein selbstverwaltetes Verzeichnis in Active Directory mit IAM Identity Center Connect](connectonpremad.md)
+ Verwenden Sie ein Active Directory, das sich im delegierten Administratorkonto befindet:
Wenn Sie planen, einen delegierten IAM Identity Center-Administrator zu aktivieren und Active Directory als Ihre IAM Identity Center-Identitätsquelle zu verwenden, können Sie einen vorhandenen AD Connector oder ein Verzeichnis verwenden, das im AWS Managed Microsoft AD Verzeichnis eingerichtet ist und sich im AWS delegierten Administratorkonto befindet.
Wenn Sie beschließen, die IAM Identity Center-Identitätsquelle von einer anderen Quelle in Active Directory zu ändern oder sie von Active Directory in eine andere Quelle zu ändern, muss sich das Verzeichnis in dem delegierten IAM Identity Center-Administrator-Mitgliedskonto befinden (diesem gehören), falls eines existiert; andernfalls muss es sich im Verwaltungskonto befinden.
Dieses Tutorial führt Sie durch die grundlegenden Einstellungen für die Verwendung von Active Directory als IAM Identity Center-Identitätsquelle.
# Schritt 1: Active Directory Connect und einen Benutzer angeben
Wenn Sie Active Directory bereits verwenden, helfen Ihnen die folgenden Themen bei der Vorbereitung der Verbindung Ihres Verzeichnisses mit IAM Identity Center.
**Anmerkung**
Wenn Sie beabsichtigen, ein AWS Managed Microsoft AD Verzeichnis oder ein selbstverwaltetes Verzeichnis in Active Directory zu verbinden und Sie RADIUS MFA nicht mit verwenden AWS Directory Service, aktivieren Sie MFA in IAM Identity Center.
**AWS Managed Microsoft AD**
1. Lesen Sie die Anleitung unter. [Microsoft ADVerzeichnis](manage-your-identity-source-ad.md)
1. Führen Sie die Schritte unter [Ein Verzeichnis mit dem IAM Identity Center Connect AWS Managed Microsoft AD](connectawsad.md) aus.
1. Konfigurieren Sie Active Directory so, dass der Benutzer, dem Sie Administratorrechte gewähren möchten, mit IAM Identity Center synchronisiert wird. Weitere Informationen finden Sie unter [Synchronisieren Sie einen Administratorbenutzer mit IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).
**Selbstverwaltetes Verzeichnis in Active Directory**
1. Lesen Sie die Anleitung unter[Microsoft ADVerzeichnis](manage-your-identity-source-ad.md).
1. Führen Sie die Schritte unter [Ein selbstverwaltetes Verzeichnis in Active Directory mit IAM Identity Center Connect](connectonpremad.md) aus.
1. Konfigurieren Sie Active Directory so, dass der Benutzer, dem Sie Administratorrechte gewähren möchten, mit IAM Identity Center synchronisiert wird. Weitere Informationen finden Sie unter [Synchronisieren Sie einen Administratorbenutzer mit IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).
## Schritt 2: Synchronisieren Sie einen Administratorbenutzer mit IAM Identity Center
Nachdem Sie Ihr Verzeichnis mit IAM Identity Center verbunden haben, können Sie einen Benutzer angeben, dem Sie Administratorrechte gewähren möchten, und diesen Benutzer dann aus Ihrem Verzeichnis mit IAM Identity Center synchronisieren.
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite **„Einstellungen**“ die Registerkarte „**Identitätsquelle**“, klicken Sie auf „**Aktionen**“ und anschließend auf „Synchronisation **verwalten**“.
1. Wählen Sie auf der Seite „**Synchronisation verwalten**“ die Registerkarte „**Benutzer**“ und dann „**Benutzer und Gruppen hinzufügen**“ aus.
1. Geben Sie auf der Registerkarte **Benutzer** unter **Benutzer** den genauen Benutzernamen ein und wählen Sie **Hinzufügen** aus.
1. Gehen Sie unter **Hinzugefügte Benutzer und Gruppen** wie folgt vor:
1. Vergewissern Sie sich, dass der Benutzer, dem Sie Administratorrechte gewähren möchten, angegeben ist.
1. Aktivieren Sie das Kontrollkästchen links neben dem Benutzernamen.
1. Wählen Sie **Absenden** aus.
1. Auf der Seite **„Synchronisation verwalten**“ wird der von Ihnen angegebene Benutzer in der Liste „**Synchronisierte Benutzer“** angezeigt.
1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.
1. Auf der Seite **Benutzer** kann es einige Zeit dauern, bis der von Ihnen angegebene Benutzer in der Liste erscheint. Wählen Sie das Aktualisierungssymbol, um die Benutzerliste zu aktualisieren.
Zu diesem Zeitpunkt hat Ihr Benutzer keinen Zugriff auf das Verwaltungskonto. Sie richten den Administratorzugriff auf dieses Konto ein, indem Sie einen Administratorberechtigungssatz erstellen und den Benutzer diesem Berechtigungssatz zuweisen. Weitere Informationen finden Sie unter [Erstellen Sie einen Berechtigungssatz](howtocreatepermissionset.md).
# Setting up SCIM provisioning between CyberArk and IAM Identity Center
IAM Identity Center unterstützt die automatische Bereitstellung (Synchronisation) von Benutzerinformationen aus dem CyberArk Directory Platform IAM Identity Center. Bei dieser Bereitstellung wird das SCIM-Protokoll (System for Cross-Domain Identity Management) v2.0 verwendet. Weitere Informationen finden Sie unter [Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern](other-idps.md).
**Anmerkung**
CyberArkunterstützt derzeit den SAML Multiple Assertion Consume Service (ACS) in der Anwendung nicht. URLs AWS IAM Identity Center Diese SAML-Funktion ist erforderlich, um die [Unterstützung mehrerer Regionen](multi-region-iam-identity-center.md) in IAM Identity Center in vollem Umfang nutzen zu können. Wenn Sie planen, IAM Identity Center in weitere Regionen zu replizieren, beachten Sie, dass die Verwendung einer einzigen ACS-URL die Benutzererfahrung in diesen zusätzlichen Regionen beeinträchtigen kann. Ihre primäre Region wird weiterhin normal funktionieren. Wir empfehlen Ihnen, mit Ihrem IdP-Anbieter zusammenzuarbeiten, um diese Funktion zu aktivieren. Weitere Informationen zur Benutzererfahrung in weiteren Regionen mit einer einzigen ACS-URL finden Sie unter [Verwendung AWS verwalteter Anwendungen ohne mehrere ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) und[AWS-Konto Ausfallsicherheit beim Zugriff ohne mehrere ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, zunächst die [Überlegungen zur Verwendung der automatischen Bereitstellung](provision-automatically.md#auto-provisioning-considerations) zu lesen. Lesen Sie dann im nächsten Abschnitt weitere Überlegungen durch.
**Topics**
+ [
## Voraussetzungen
](#cyberark-prereqs)
+ [
## Überlegungen zu SCIM
](#cyberark-considerations)
+ [
## Schritt 1: Aktivieren Sie die Bereitstellung im IAM Identity Center
](#cyberark-step1)
+ [
## Schritt 2: Konfigurieren Sie die Bereitstellung in CyberArk
](#cyberark-step2)
+ [
## (Optional) Schritt 3: Konfigurieren Sie Benutzerattribute CyberArk für die Zugriffskontrolle (ABAC) im IAM Identity Center
](#cyberark-step3)
+ [
## (Optional) Übergabe von Attributen für die Zugriffskontrolle
](#cyberark-passing-abac)
## Voraussetzungen
Sie benötigen Folgendes, bevor Sie beginnen können:
+ CyberArkAbonnement oder kostenlose Testversion. Um sich für eine kostenlose Testversion anzumelden, besuchen Sie uns [https://www.cyberark.com/try-buy/](https://www.cyberark.com/try-buy/).
+ Ein IAM Identity Center-fähiges Konto ([kostenlos](https://aws.amazon.com/single-sign-on/)). Weitere Informationen finden Sie unter [IAM Identity Center aktivieren](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Eine SAML-Verbindung von Ihrem CyberArk Konto zum IAM Identity Center, wie in der [CyberArkDokumentation für IAM](https://docs.cyberark.com/identity/Latest/en/Content/Applications/AppsWeb/AWS_SAML_SSO.htm#) Identity Center beschrieben.
+ Ordnen Sie den IAM Identity Center-Connector den Rollen, Benutzern und Organisationen zu, denen Sie Zugriff gewähren möchten. AWS-Konten
## Überlegungen zu SCIM
Bei der Verwendung von CyberArk Federation für IAM Identity Center sollten Sie Folgendes beachten:
+ Nur Rollen, die im Abschnitt Anwendungsbereitstellung zugeordnet sind, werden mit IAM Identity Center synchronisiert.
+ Das Provisioning-Skript wird nur in seinem Standardstatus unterstützt. Sobald es geändert wurde, schlägt das SCIM-Provisioning möglicherweise fehl.
+ Es kann nur ein Telefonnummernattribut synchronisiert werden. Die Standardeinstellung ist „Geschäftstelefon“.
+ Wenn die Rollenzuweisung in der CyberArk IAM Identity Center-Anwendung geändert wird, wird das folgende Verhalten erwartet:
+ Wenn die Rollennamen geändert werden — keine Änderungen an den Gruppennamen in IAM Identity Center.
+ Wenn die Gruppennamen geändert werden, werden neue Gruppen in IAM Identity Center erstellt. Alte Gruppen bleiben bestehen, haben aber keine Mitglieder.
+ Das Benutzersynchronisierungs- und Deprovisionierungsverhalten kann in der CyberArk IAM Identity Center-Anwendung eingerichtet werden. Stellen Sie sicher, dass Sie das richtige Verhalten für Ihre Organisation einrichten. Dies sind die Optionen, die Ihnen zur Verfügung stehen:
+ Benutzer im Identity Center-Verzeichnis mit demselben Prinzipalnamen überschreiben (oder nicht).
+ Heben Sie die Benutzerbereitstellung für IAM Identity Center auf, wenn der Benutzer aus der Rolle entfernt wird. CyberArk
+ Benutzerverhalten aufheben — deaktivieren oder löschen.
## Schritt 1: Aktivieren Sie die Bereitstellung im IAM Identity Center
In diesem ersten Schritt verwenden Sie die IAM Identity Center-Konsole, um die automatische Bereitstellung zu aktivieren.
**Um die automatische Bereitstellung in IAM Identity Center zu aktivieren**
1. Nachdem Sie die Voraussetzungen erfüllt haben, öffnen Sie die [IAM Identity](https://console.aws.amazon.com/singlesignon) Center-Konsole.
1. Wählen Sie im linken Navigationsbereich **Einstellungen** aus.
1. Suchen Sie auf der Seite **Einstellungen** das Informationsfeld **Automatische Bereitstellung** und wählen Sie dann **Aktivieren** aus. Dadurch wird sofort die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.
1. Kopieren Sie im Dialogfeld **Automatische Bereitstellung für eingehende Nachrichten** den SCIM-Endpunkt und das Zugriffstoken. Sie müssen diese später einfügen, wenn Sie die Bereitstellung in Ihrem IdP konfigurieren.
1. **SCIM-Endpunkt** — Zum Beispiel https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Zugriffstoken — Wählen Sie Token anzeigen****, um den Wert zu kopieren.**
**Warnung**
Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren. Sie werden diese Werte eingeben, um die automatische Bereitstellung in Ihrem IdP später in diesem Tutorial zu konfigurieren.
1. Klicken Sie auf **Schließen**.
Nachdem Sie die Bereitstellung in der IAM Identity Center-Konsole eingerichtet haben, müssen Sie die verbleibenden Aufgaben mithilfe der CyberArk IAM Identity Center-Anwendung ausführen. Diese Schritte werden im folgenden Verfahren beschrieben.
## Schritt 2: Konfigurieren Sie die Bereitstellung in CyberArk
Verwenden Sie das folgende Verfahren in der CyberArk IAM Identity Center-Anwendung, um die Bereitstellung mit IAM Identity Center zu aktivieren. **Bei diesem Verfahren wird davon ausgegangen, dass Sie die CyberArk IAM Identity Center-Anwendung bereits zu Ihrer CyberArk Admin-Konsole unter Web Apps hinzugefügt haben.** Falls Sie dies noch nicht getan haben, lesen Sie unter und führen Sie dann dieses Verfahren aus[Voraussetzungen](#cyberark-prereqs), um die SCIM-Bereitstellung zu konfigurieren.
**So konfigurieren Sie die Bereitstellung in CyberArk**
1. Öffnen Sie die CyberArk IAM Identity Center-Anwendung, die Sie im Rahmen der Konfiguration von SAML für hinzugefügt haben CyberArk (**Apps > Web-App**). Siehe [Voraussetzungen](#cyberark-prereqs).
1. **Wählen Sie die **IAM Identity Center-Anwendung** aus und gehen Sie zum Abschnitt Provisioning.**
1. **Markieren Sie das Kästchen „**Bereitstellung für diese Anwendung aktivieren**“ und wählen Sie „Live-Modus“.**
1. Im vorherigen Verfahren haben Sie den **SCIM-Endpunktwert** aus dem IAM Identity Center kopiert. **Fügen Sie diesen Wert in das Feld **SCIM-Dienst-URL** ein und legen Sie in der CyberArk IAM Identity Center-Anwendung den **Autorisierungstyp auf Authorization Header** fest.**
1. Stellen Sie den **Header-Typ** auf **Bearer-Token** ein.
1. Aus dem vorherigen Verfahren haben Sie den Wert des **Zugriffstokens** in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld **Bearer Token** in der CyberArk IAM Identity Center-Anwendung ein.
1. Klicken Sie auf **Überprüfen**, um die Konfiguration zu testen und anzuwenden.
1. Wählen Sie unter den **Synchronisierungsoptionen** das Verhalten aus, für das die ausgehende Bereitstellung funktionieren CyberArk soll. Sie können festlegen, ob bestehende IAM Identity Center-Benutzer mit einem ähnlichen Prinzipalnamen überschrieben (oder nicht) und wie die Bereitstellung aufgehoben werden soll.
1. **Richten Sie unter **Rollenzuordnung** die Zuordnung von CyberArk Rollen im Feld **Name** zur IAM Identity Center-Gruppe unter Zielgruppe ein.**
1. Wenn Sie fertig sind, klicken Sie unten auf **Speichern**.
1. **Um zu überprüfen, ob Benutzer erfolgreich mit IAM Identity Center synchronisiert wurden, kehren Sie zur IAM Identity Center-Konsole zurück und wählen Sie Benutzer aus.** Synchronisierte Benutzer von CyberArk werden auf der Seite **Benutzer** angezeigt. Diese Benutzer können jetzt Konten zugewiesen werden und können sich innerhalb von IAM Identity Center verbinden.
## (Optional) Schritt 3: Konfigurieren Sie Benutzerattribute CyberArk für die Zugriffskontrolle (ABAC) im IAM Identity Center
Dies ist ein optionales Verfahren für den FallCyberArk, dass Sie Attribute für IAM Identity Center konfigurieren möchten, um den Zugriff auf Ihre Ressourcen zu verwalten. AWS Die Attribute, die Sie definieren, CyberArk werden in einer SAML-Assertion an IAM Identity Center übergeben. Anschließend erstellen Sie in IAM Identity Center einen Berechtigungssatz, um den Zugriff auf der Grundlage der Attribute zu verwalten, die Sie übergeben haben. CyberArk
Bevor Sie mit diesem Verfahren beginnen, müssen Sie zuerst die [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) Funktion aktivieren. Weitere Information dazu finden Sie unter [Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle](configure-abac.md).
**Um Benutzerattribute CyberArk für die Zugriffskontrolle im IAM Identity Center zu konfigurieren**
1. Öffnen Sie die CyberArk IAM Identity Center-Anwendung, die Sie im Rahmen der Konfiguration von SAML für installiert haben CyberArk (**Apps > Web-Apps**).
1. Gehen Sie zur Option **SAML Response.**
1. Fügen Sie der Tabelle unter **Attribute** die entsprechenden Attribute gemäß der folgenden Logik hinzu:
1. **Attributname** ist der ursprüngliche Attributname vonCyberArk.
1. **Attributwert** ist der Attributname, der in der SAML-Assertion an IAM Identity Center gesendet wird.
1. Wählen Sie **Speichern**.
## (Optional) Übergabe von Attributen für die Zugriffskontrolle
Sie können optional die [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) Funktion in IAM Identity Center verwenden, um ein `Attribute` Element zu übergeben, dessen `Name` Attribut auf `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` gesetzt ist. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie [AWS STS im *IAM-Benutzerhandbuch* unter Sitzungs-Tags übergeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).
Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das `AttributeValue`-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar `CostCenter = blue` für das Tag zu übergeben.
```
blue
```
Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates `Attribute` Element hinzu.
# Konfiguration von SAML und SCIM mit einem IAM Google Workspace Identity Center
Wenn Ihr Unternehmen IAM Identity Center verwendet, können Google Workspace Sie Ihre Benutzer aus dem Google Workspace IAM Identity Center integrieren, um ihnen Zugriff auf Ressourcen zu AWS gewähren. Sie können diese Integration erreichen, indem Sie Ihre IAM Identity Center-Identitätsquelle von der standardmäßigen IAM Identity Center-Identitätsquelle auf ändern. Google Workspace
**Anmerkung**
Google Workspaceunterstützt derzeit den SAML Multiple Assertion Consume Service (ACS) URLs in der Anwendung nicht. AWS IAM Identity Center Diese SAML-Funktion ist erforderlich, um die [Unterstützung mehrerer Regionen](multi-region-iam-identity-center.md) in IAM Identity Center in vollem Umfang nutzen zu können. Wenn Sie planen, IAM Identity Center in weitere Regionen zu replizieren, beachten Sie, dass die Verwendung einer einzigen ACS-URL die Benutzererfahrung in diesen zusätzlichen Regionen beeinträchtigen kann. Ihre Hauptregion wird weiterhin normal funktionieren. Wir empfehlen, dass Sie mit Ihrem IdP-Anbieter zusammenarbeiten, um diese Funktion zu aktivieren. Weitere Informationen zur Benutzererfahrung in weiteren Regionen mit einer einzigen ACS-URL finden Sie unter [Verwendung AWS verwalteter Anwendungen ohne mehrere ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) und[AWS-Konto Ausfallsicherheit beim Zugriff ohne mehrere ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
Benutzerinformationen von Google Workspace werden mithilfe des [SCIM 2.0-Protokolls (System for Cross-Domain Identity Management) mit IAM Identity](scim-profile-saml.md#scim-profile) Center synchronisiert. Weitere Informationen finden Sie unter [Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern](other-idps.md).
Sie konfigurieren diese Verbindung Google Workspace mithilfe Ihres SCIM-Endpunkts für IAM Identity Center und eines IAM Identity Center-Trägertoken. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute Google Workspace zu den benannten Attributen in IAM Identity Center. Diese Zuordnung entspricht den erwarteten Benutzerattributen zwischen IAM Identity Center und. Google Workspace Dazu müssen Sie sich Google Workspace als Identitätsanbieter einrichten und eine Verbindung zu Ihrem IAM Identity Center herstellen.
**Zielsetzung**
Die Schritte in diesem Tutorial helfen Ihnen beim Herstellen der SAML-Verbindung zwischen Google Workspace und AWS. Später werden Sie Benutzer Google Workspace mithilfe von SCIM synchronisieren. Um zu überprüfen, ob alles korrekt konfiguriert ist, melden Sie sich nach Abschluss der Konfigurationsschritte als Google Workspace Benutzer an und überprüfen den Zugriff AWS auf Ressourcen. Beachten Sie, dass dieses Tutorial auf einer Testumgebung mit kleinen Google Workspace Verzeichnissen basiert. Verzeichnisstrukturen wie Gruppen und Organisationseinheiten sind in diesem Tutorial nicht enthalten. Nach Abschluss dieses Tutorials können Ihre Benutzer mit Ihren Google Workspace Anmeldeinformationen auf das AWS Zugriffsportal zugreifen.
**Anmerkung**
Um sich für eine kostenlose Testversion anzumelden, Google Workspace besuchen Sie [https://workspace.google.com/](https://workspace.google.com/)unsere Google's Website.
Wenn Sie IAM Identity Center noch nicht aktiviert haben, finden Sie weitere Informationen unter[IAM Identity Center aktivieren](enable-identity-center.md).
## Überlegungen
+ Bevor Sie die SCIM-Bereitstellung zwischen Google Workspace und IAM Identity Center konfigurieren, empfehlen wir Ihnen, dies zunächst zu überprüfen. [Überlegungen zur Verwendung der automatischen Bereitstellung](provision-automatically.md#auto-provisioning-considerations)
+ Die automatische SCIM-Synchronisierung von Google Workspace ist derzeit auf die Benutzerbereitstellung beschränkt. Die automatische Gruppenbereitstellung wird derzeit nicht unterstützt. Gruppen können manuell mit dem AWS CLI Identity Store-Befehl [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) oder der AWS Identity and Access Management (IAM) -API erstellt werden. [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html) Alternativ können Sie [ssosync](https://github.com/awslabs/ssosync) verwenden, um Google Workspace Benutzer und Gruppen mit dem IAM Identity Center zu synchronisieren.
+ Für jeden Google Workspace Benutzer müssen die Werte **Vorname**, **Nachname**, **Benutzername** und **Anzeigename angegeben werden**.
+ Jeder Google Workspace Benutzer hat nur einen einzigen Wert pro Datenattribut, z. B. E-Mail-Adresse oder Telefonnummer. Alle Benutzer mit mehreren Werten können nicht synchronisiert werden. Wenn es Benutzer gibt, deren Attribute mehrere Werte enthalten, entfernen Sie die doppelten Attribute, bevor Sie versuchen, den Benutzer in IAM Identity Center bereitzustellen. Beispielsweise kann nur ein Telefonnummernattribut synchronisiert werden, da das Standard-Telefonnummernattribut „Geschäftstelefon“ ist. Verwenden Sie das Attribut „Geschäftstelefon“, um die Telefonnummer des Benutzers zu speichern, auch wenn es sich bei der Telefonnummer des Benutzers um ein Festnetz oder ein Mobiltelefon handelt.
+ Attribute werden weiterhin synchronisiert, wenn der Benutzer in IAM Identity Center deaktiviert, aber immer noch aktiv ist. Google Workspace
+ Wenn im Identity Center-Verzeichnis bereits ein Benutzer mit demselben Benutzernamen und derselben E-Mail-Adresse vorhanden ist, wird der Benutzer überschrieben und mit SCIM von synchronisiert. Google Workspace
+ Bei der Änderung Ihrer Identitätsquelle sind weitere Überlegungen zu beachten. Weitere Informationen finden Sie unter [Wechsel von IAM Identity Center zu einem externen IdP](manage-your-identity-source-considerations.md#changing-from-idc-and-idp).
## Schritt 1Google Workspace: Konfigurieren Sie die SAML-Anwendung
1. Melden Sie sich mit einem Konto mit **GoogleSuperadministratorrechten bei Ihrer Admin-Konsole** an.
1. Wählen Sie im linken Navigationsbereich Ihrer **GoogleAdmin-Konsole** **Apps** und dann **Web- und Mobilanwendungen** aus.
1. Wählen Sie in der Dropdownliste **App hinzufügen** die Option **Nach Apps suchen** aus.
1. Geben Sie im Suchfeld **Amazon Web Services** ein und wählen Sie dann die **Amazon Web Services (SAML)** -App aus der Liste aus.
1. Auf der Seite **GoogleIdentity Provider-Details — Amazon Web Services** können Sie einen der folgenden Schritte ausführen:
1. Laden Sie IdP-Metadaten herunter.
1. Kopieren Sie die SSO-URL, die Entitäts-ID-URL und die Zertifikatsinformationen.
In Schritt 2 benötigen Sie entweder die XML-Datei oder die URL-Informationen.
1. Lassen Sie diese Seite geöffnet und wechseln Sie zur IAM Identity Center-Konsole, bevor Sie mit dem nächsten Schritt in der Google Admin-Konsole fortfahren.
## Schritt 2: IAM Identity Center undGoogle Workspace: Ändern Sie die IAM Identity Center-Identitätsquelle und richten Sie sie Google Workspace als SAML-Identitätsanbieter ein
1. Melden Sie sich mit einer Rolle mit Administratorrechten bei der [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) an.
1. Wählen Sie im linken Navigationsbereich **Einstellungen** aus.
1. Wählen Sie auf der Seite **Einstellungen** die Option **Aktionen** und dann **Identitätsquelle ändern** aus.
+ Wenn Sie IAM Identity Center nicht aktiviert haben, finden Sie [IAM Identity Center aktivieren](enable-identity-center.md) weitere Informationen unter. Nachdem Sie IAM Identity Center zum ersten Mal aktiviert und darauf zugegriffen haben, gelangen Sie zum **Dashboard**, wo Sie **Ihre Identitätsquelle auswählen** können.
1. **Wählen Sie auf der Seite Identitätsquelle** auswählen die Option **Externer Identitätsanbieter** und dann **Weiter** aus.
1. Die Seite **Externen Identitätsanbieter konfigurieren** wird geöffnet. Um diese Seite und die Google Workspace Seite in Schritt 1 abzuschließen, müssen Sie Folgendes ausführen:
1. Im Abschnitt mit den **Metadaten des Identitätsanbieters** in der **IAM Identity Center-Konsole** müssen Sie einen der folgenden Schritte ausführen:
1. Laden Sie die **GoogleSAML-Metadaten** als **IdP-SAML-Metadaten** in die IAM Identity Center-Konsole hoch.
1. **Kopieren Sie die **GoogleSSO-URL** und fügen Sie sie in das Feld **IdP-Anmelde-URL** und die **GoogleAussteller-URL** in das Feld **IdP-Aussteller-URL** ein und laden Sie das **GoogleZertifikat als IdP-Zertifikat** hoch.**
1. **Nachdem Sie die Google Metadaten im Abschnitt mit den Metadaten des **Identitätsanbieters** der IAM Identity **Center-Konsole angegeben haben, kopieren Sie die IAM Identity** **Assertion Consumer Service (ACS) -URL und die IAM Identity** Center-Aussteller-URL.** Sie müssen diese URLs im nächsten Schritt in der Google Admin-Konsole angeben.
1. Lassen Sie die Seite mit der IAM Identity Center-Konsole geöffnet und kehren Sie zur Google Admin-Konsole zurück. Sie sollten sich auf der Seite **Amazon Web Services — Service Provider-Details** befinden. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite mit den **Service Provider-Details** die **ACS-URL** und die **Entitäts-ID** ein. Sie haben diese Werte im vorherigen Schritt kopiert und sie befinden sich in der IAM Identity Center-Konsole.
+ **Fügen Sie die URL des **IAM Identity Center Assertion Consumer Service (ACS) in das ACS-URL-Feld** ein**
+ **Fügen Sie die **IAM Identity Center-Aussteller-URL** in das Feld Entitäts-ID ein.**
1. Füllen Sie auf der Seite mit den **Service Provider-Details** die Felder unter **Name ID wie folgt** aus:
+ Wählen Sie für **das Format Name ID** die Option **EMAIL** aus
+ Wählen Sie für **Name ID** die Option **Basisinformationen > Primäre E-Mail-Adresse**
1. Klicken Sie auf **Weiter**.
1. Wählen Sie auf der Seite **Attributzuordnung** unter **Attribute** die Option **ZUORDNUNG HINZUFÜGEN** aus, und konfigurieren Sie dann diese Felder unter **GoogleVerzeichnisattribut**:
+ Wählen Sie für das `https://aws.amazon.com/SAML/Attributes/RoleSessionName` **App-Attribut** das Feld **Basisinformationen, Primäre E-Mail-Adresse** aus den **Google DirectoryAttributen** aus.
+ Wählen Sie für das `https://aws.amazon.com/SAML/Attributes/Role` **App-Attribut** beliebige **Google DirectoryAttribute** aus. Ein Google Verzeichnisattribut könnte **Abteilung** sein.
1. Wählen Sie **Fertig stellen**
1. Kehren Sie zur **IAM Identity Center-Konsole** zurück und wählen Sie **Weiter**. Überprüfen Sie auf der Seite **Überprüfen und Bestätigen** die Informationen und geben Sie dann **ACCEPT** in das dafür vorgesehene Feld ein. Wählen Sie **Identitätsquelle ändern aus.**
Sie sind jetzt bereit, die Amazon Web Services Services-App zu aktivieren, Google Workspace damit Ihre Benutzer im IAM Identity Center bereitgestellt werden können.
## Schritt 3Google Workspace: Aktivieren Sie die Apps
1. Kehren Sie zur **GoogleAdmin-Konsole** und zu Ihrer AWS IAM Identity Center Anwendung zurück, die Sie unter **Apps** sowie **Web- und Mobil-Apps** finden.
1. Klicken Sie im Bereich **Benutzerzugriff** neben **Benutzerzugriff auf** den Abwärtspfeil, um den **Benutzerzugriff** zu erweitern und den **Dienststatusbereich** anzuzeigen.
1. Wählen Sie im Bereich „**Servicestatus**“ die Option „**Für alle** aktiviert“ und anschließend „**SPEICHERN**“.
**Anmerkung**
Um das Prinzip der geringsten Rechte beizubehalten, empfehlen wir, den **Dienststatus** nach Abschluss dieses Tutorials **für alle auf AUS** zu ändern. Nur für Benutzer, die Zugriff auf benötigen, AWS sollte der Dienst aktiviert sein. Sie können Google Workspace Gruppen oder Organisationseinheiten verwenden, um Benutzern Zugriff auf eine bestimmte Teilmenge Ihrer Benutzer zu gewähren.
## Schritt 4: IAM Identity Center: Richten Sie die automatische Bereitstellung von IAM Identity Center ein
1. Kehren Sie zur IAM Identity Center-Konsole zurück.
1. **Suchen Sie auf der Seite **Einstellungen** das Informationsfeld **Automatische Bereitstellung** und wählen Sie dann Aktivieren aus.** Dadurch wird sofort die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.
1. Kopieren Sie im Dialogfeld **Automatische Bereitstellung für eingehende** Nachrichten die einzelnen Werte für die folgenden Optionen. In Schritt 5 dieses Tutorials geben Sie diese Werte ein, um die automatische Bereitstellung zu konfigurieren. Google Workspace
1. **SCIM-Endpunkt** — Zum Beispiel
+ IPv4`https://scim.Region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ Dualer Stack `https://scim.Region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **Zugriffstoken** — Wählen Sie **Token anzeigen**, um den Wert zu kopieren.
**Warnung**
Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren.
1. Klicken Sie auf **Schließen**.
Nachdem Sie die Bereitstellung in der IAM Identity Center-Konsole eingerichtet haben, konfigurieren Sie im nächsten Schritt die auto Bereitstellung in. Google Workspace
## Schritt 5Google Workspace: auto Bereitstellung konfigurieren
1. Kehren Sie zur Google Admin-Konsole und zu Ihrer AWS IAM Identity Center Anwendung zurück, die Sie unter **Apps** sowie **Web- und Mobil-Apps** finden. Wählen Sie im Abschnitt **auto Bereitstellung** die Option **Automatische Bereitstellung konfigurieren** aus.
1. Im vorherigen Verfahren haben Sie den Wert des **Zugriffstokens** in die IAM Identity Center-Konsole kopiert. Fügen Sie diesen Wert in das Feld **Zugriffstoken** ein und wählen Sie **Weiter**. Außerdem haben Sie im vorherigen Verfahren den **SCIM-Endpunktwert** in die IAM Identity Center-Konsole kopiert. **Fügen Sie diesen Wert in das Feld **Endpunkt-URL** ein und wählen Sie Weiter.**
1. Stellen Sie sicher, dass alle obligatorischen IAM Identity Center-Attribute (die mit einem\$1 markierten) Attributen zugeordnet Google Cloud Directory sind. Wenn nicht, wählen Sie den Abwärtspfeil und ordnen Sie das entsprechende Attribut zu. Klicken Sie auf **Weiter**.
1. Im Abschnitt **Bereitstellungsbereich** können Sie eine Gruppe mit Ihrem Google Workspace Verzeichnis auswählen, um Zugriff auf die Amazon Web Services Services-App zu gewähren. Überspringen Sie diesen Schritt und wählen Sie **Weiter**.
1. Im Abschnitt **Deprovisioning** können Sie auswählen, wie auf verschiedene Ereignisse reagiert werden soll, die einem Benutzer den Zugriff entziehen. Für jede Situation können Sie den Zeitraum bis zum Beginn der Deprovisionierung angeben, um:
+ innerhalb von 24 Stunden
+ nach einem Tag
+ nach sieben Tagen
+ nach 30 Tagen
In jeder Situation gibt es eine Zeiteinstellung, in der festgelegt wird, wann der Zugriff auf ein Konto gesperrt und wann das Konto gelöscht werden soll.
**Tipp**
Lege immer mehr Zeit für das Löschen eines Benutzerkontos fest als für die Sperrung eines Benutzerkontos.
1. Wählen Sie **Finish** (Abschließen). Sie werden zur Amazon Web Services Services-App-Seite zurückgeleitet.
1. **Schalten Sie im Bereich **Automatische Bereitstellung** den Kippschalter ein, um ihn von **Inaktiv** in Aktiv zu ändern.**
**Anmerkung**
Der Aktivierungsschieberegler ist deaktiviert, wenn IAM Identity Center für Benutzer nicht aktiviert ist. Wählen Sie **Benutzerzugriff** und schalten Sie die App ein, um den Schieberegler zu aktivieren.
1. Wählen Sie im Bestätigungsdialogfeld die Option **Einschalten** aus.
1. **Um zu überprüfen, ob Benutzer erfolgreich mit IAM Identity Center synchronisiert wurden, kehren Sie zur IAM Identity Center-Konsole zurück und wählen Sie Benutzer aus.** Auf der Seite **Benutzer** werden die Benutzer aus Ihrem Google Workspace Verzeichnis aufgeführt, die von SCIM erstellt wurden. Wenn Benutzer noch nicht aufgeführt sind, ist die Bereitstellung möglicherweise noch im Gange. Die Bereitstellung kann bis zu 24 Stunden dauern, obwohl sie in den meisten Fällen innerhalb von Minuten abgeschlossen ist. Achten Sie darauf, das Browserfenster alle paar Minuten zu aktualisieren.
Wählen Sie einen Benutzer aus und sehen Sie sich dessen Details an. Die Informationen sollten mit den Informationen im Google Workspace Verzeichnis übereinstimmen.
**Herzlichen Glückwunsch\$1**
Sie haben erfolgreich eine SAML-Verbindung zwischen Google Workspace und eingerichtet AWS und sich vergewissert, dass die automatische Bereitstellung funktioniert. Sie können diese Benutzer jetzt Konten und Anwendungen in **IAM** Identity Center zuweisen. Für dieses Tutorial bestimmen wir im nächsten Schritt einen der Benutzer als IAM Identity Center-Administrator, indem wir ihm Administratorrechte für das Verwaltungskonto gewähren.
## *Übergabe von Attributen für die Zugriffskontrolle — optional*
Sie können optional die [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) Funktion in IAM Identity Center verwenden, um ein `Attribute` Element zu übergeben, dessen `Name` Attribut auf `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` gesetzt ist. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie [AWS STS im *IAM-Benutzerhandbuch* unter Sitzungs-Tags übergeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).
Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das `AttributeValue`-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar `CostCenter = blue` für das Tag zu übergeben.
```
blue
```
Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates `Attribute` Element hinzu.
## Weisen Sie Zugriff zu AWS-Konten
Die folgenden Schritte sind nur erforderlich, um AWS-Konten nur Zugriff zu gewähren. Diese Schritte sind nicht erforderlich, um Zugriff auf AWS Anwendungen zu gewähren.
**Anmerkung**
Um diesen Schritt abzuschließen, benötigen Sie eine Organisationsinstanz von IAM Identity Center. Weitere Informationen finden Sie unter [Organisations- und Kontoinstanzen von IAM Identity Center](identity-center-instances.md).
### Schritt 1: IAM Identity Center: Gewähren Sie Google Workspace Benutzern Zugriff auf Konten
1. Kehren Sie zur **IAM Identity Center-Konsole** zurück. Wählen Sie im IAM Identity Center-Navigationsbereich unter **Berechtigungen für mehrere Konten** die Option. **AWS-Konten**
1. Auf der **AWS-Konten**Seite „**Organisationsstruktur**“ wird Ihr Organisationsstamm mit Ihren Konten darunter in der Hierarchie angezeigt. Markieren Sie das Kontrollkästchen für Ihr Verwaltungskonto und wählen Sie dann **Benutzer oder Gruppen zuweisen** aus.
1. Der Workflow **„Benutzer und Gruppen zuweisen**“ wird angezeigt. Er besteht aus drei Schritten:
1. **Wählen Sie für Schritt 1: Benutzer und Gruppen** auswählen den Benutzer aus, der die Administratorfunktion ausführen soll. Klicken Sie anschließend auf **Weiter**.
1. **Wählen Sie für Schritt 2: Berechtigungssätze** auswählen die Option **Berechtigungssatz erstellen**, um eine neue Registerkarte zu öffnen, die Sie durch die drei Teilschritte zur Erstellung eines Berechtigungssatzes führt.
1. Gehen Sie für **Schritt 1: Berechtigungssatztyp auswählen** wie folgt vor:
+ Wählen Sie unter **Typ des Berechtigungssatzes** die Option **Vordefinierter Berechtigungssatz** aus.
+ Wählen Sie unter **Richtlinie für vordefinierten Berechtigungssatz** die Option aus **AdministratorAccess**.
Wählen Sie **Weiter** aus.
1. Für **Schritt 2: Geben Sie Details zum Berechtigungssatz** an, behalten Sie die Standardeinstellungen bei und wählen Sie **Weiter** aus.
Mit den Standardeinstellungen wird ein Berechtigungssatz *AdministratorAccess* mit einem Namen erstellt, dessen Sitzungsdauer auf eine Stunde festgelegt ist.
1. Stellen Sie für **Schritt 3: Überprüfen und erstellen** sicher, dass der **Typ Berechtigungssatz** die AWS verwaltete Richtlinie verwendet **AdministratorAccess**. Wählen Sie **Erstellen** aus. Auf der Seite **Berechtigungssätze** wird eine Benachrichtigung angezeigt, die Sie darüber informiert, dass der Berechtigungssatz erstellt wurde. Sie können diese Registerkarte jetzt in Ihrem Webbrowser schließen.
1. Auf der Browser-Registerkarte „**Benutzer und Gruppen zuweisen**“ befinden Sie sich immer noch in **Schritt 2: Wählen Sie die Berechtigungssätze** aus, von denen aus Sie den Workflow zum Erstellen von Berechtigungssätzen gestartet haben.
1. Wählen Sie im Bereich „**Berechtigungssätze**“ die Schaltfläche „**Aktualisieren**“. Der von Ihnen erstellte *AdministratorAccess* Berechtigungssatz wird in der Liste angezeigt. Aktivieren Sie das Kontrollkästchen für diesen Berechtigungssatz und wählen Sie dann **Weiter**.
1. Überprüfen **Sie für Schritt 3: Überprüfen und Absenden** den ausgewählten Benutzer und den ausgewählten Berechtigungssatz und wählen Sie dann **Senden** aus.
Die Seite wird mit der Meldung aktualisiert, dass Ihr AWS-Konto System gerade konfiguriert wird. Warten Sie, bis der Vorgang abgeschlossen ist.
Sie kehren zur AWS-Konten Seite zurück. In einer Benachrichtigung werden Sie darüber informiert, dass Ihr AWS-Konto Konto erneut bereitgestellt und der aktualisierte Berechtigungssatz angewendet wurde. Wenn sich der Benutzer anmeldet, hat er die Möglichkeit, die Rolle auszuwählen. *AdministratorAccess*
**Anmerkung**
Die automatische SCIM-Synchronisierung von unterstützt Google Workspace nur die Bereitstellung von Benutzern. Die automatische Gruppenbereitstellung wird derzeit nicht unterstützt. Mit dem können Sie keine Gruppen für Ihre Google Workspace Benutzer erstellen. AWS-Managementkonsole Nach der Bereitstellung von Benutzern können Sie Gruppen mit dem AWS CLI Identity Store-Befehl [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) oder der IAM-API erstellen. [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html)
### Schritt 2Google Workspace: Bestätigen Sie Google Workspace den Benutzerzugriff auf Ressourcen AWS
1. Melden Sie sich Google mit einem Testbenutzerkonto an. Informationen zum Hinzufügen von Benutzern finden Sie in Google Workspace der [Google WorkspaceDokumentation](https://knowledge.workspace.google.com/kb/how-to-create-a-new-user-000007668).
1. Wählen Sie das Google apps Launcher-Symbol (Waffel) aus.
1. Scrollen Sie zum Ende der App-Liste, in der sich Ihre benutzerdefinierten Google Workspace Apps befinden. Die **Amazon Web Services Services-App** wird angezeigt.
1. Wählen Sie die **Amazon Web Services Services-App** aus. Sie sind im AWS Zugangsportal angemeldet und können das AWS-Konto Symbol sehen. Erweitern Sie dieses Symbol, um die Liste der Elemente zu sehen AWS-Konten , auf die der Benutzer zugreifen kann. In diesem Tutorial haben Sie nur mit einem einzigen Konto gearbeitet, sodass beim Erweitern des Symbols nur ein Konto angezeigt wird.
1. Wählen Sie das Konto aus, um die für den Benutzer verfügbaren Berechtigungssätze anzuzeigen. In diesem Tutorial haben Sie den **AdministratorAccess**Berechtigungssatz erstellt.
1. Neben dem Berechtigungssatz befinden sich Links für den Zugriffstyp, der für diesen Berechtigungssatz verfügbar ist. Bei der Erstellung des Berechtigungssatzes haben Sie angegeben, dass sowohl die Verwaltungskonsole als auch der programmgesteuerte Zugriff aktiviert werden sollen, sodass diese beiden Optionen verfügbar sind. Wählen Sie **Managementkonsole** aus, um die zu öffnen. AWS-Managementkonsole
1. Der Benutzer ist an der Konsole angemeldet.
## Nächste Schritte
Nachdem Sie nun Google Workspace als Identitätsanbieter konfiguriert und Benutzer in IAM Identity Center bereitgestellt haben, können Sie:
+ Verwenden Sie den AWS CLI Identity Store-Befehl [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) oder die IAM-API, um Gruppen [CreateGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_CreateGroup.html)für Ihre Benutzer zu erstellen.
Gruppen sind nützlich, wenn Sie Zugriff auf Anwendungen zuweisen möchten. AWS-Konten Anstatt jeden Benutzer einzeln zuzuweisen, erteilen Sie einer Gruppe Berechtigungen. Wenn Sie später Benutzer zu einer Gruppe hinzufügen oder daraus entfernen, erhält oder verliert der Benutzer dynamisch Zugriff auf Konten und Anwendungen, die Sie der Gruppe zugewiesen haben.
+ Konfigurieren Sie Berechtigungen auf der Grundlage von Aufgabenfunktionen. Weitere Informationen finden [Sie unter Erstellen von Berechtigungssätzen](howtocreatepermissionset.md).
Berechtigungssätze definieren die Zugriffsebene, auf die Benutzer und Gruppen zugreifen können AWS-Konto. Berechtigungssätze werden im IAM Identity Center gespeichert und können für einen oder mehrere Personen bereitgestellt werden. AWS-Konten Sie können einem Benutzer mehrere Berechtigungssätze zuweisen.
**Anmerkung**
Als IAM Identity Center-Administrator müssen Sie gelegentlich ältere IdP-Zertifikate durch neuere ersetzen. Beispielsweise müssen Sie möglicherweise ein IdP-Zertifikat ersetzen, wenn sich das Ablaufdatum des Zertifikats nähert. Der Vorgang, bei dem ein älteres Zertifikat durch ein neueres ersetzt wird, wird als Zertifikatsrotation bezeichnet. Lesen Sie unbedingt, wie [Sie die SAML-Zertifikate für Google Workspace verwalten](managesamlcerts.md).
## Fehlerbehebung
Informationen zur allgemeinen SCIM- und SAML-Problembehandlung mit Google Workspace finden Sie in den folgenden Abschnitten:
+ [Bestimmte Benutzer können sich von einem externen SCIM-Anbieter nicht mit dem IAM Identity Center synchronisieren](troubleshooting.md#issue2)
+ [Probleme mit dem Inhalt von SAML-Assertionen, die von IAM Identity Center erstellt wurden](troubleshooting.md#issue1)
+ [Beim Bereitstellen von Benutzern oder Gruppen mit einem externen Identitätsanbieter ist ein Fehler beim Duplizieren von Benutzern oder Gruppen aufgetreten](troubleshooting.md#duplicate-user-group-idp)
+ [Informationen zur Google Workspace Fehlerbehebung finden Sie in der DokumentationGoogle Workspace.](https://support.google.com/a/topic/7579248?sjid=11091727091254312767-NA)
Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit helfen AWS:
+ [AWS re:Post](https://repost.aws/)- Hier finden Sie weitere Ressourcen FAQs und Links zu diesen, die Ihnen bei der Behebung von Problemen helfen.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)- Holen Sie sich technischen Support
# Verwenden von IAM Identity Center für die Verbindung mit Ihrer JumpCloud Verzeichnisplattform
IAM Identity Center unterstützt die automatische Bereitstellung (Synchronisation) von Benutzerinformationen von JumpCloud Directory Platform in IAM Identity Center. Diese Bereitstellung verwendet das SAML 2.0-Protokoll ([Security Assertion Markup Language](scim-profile-saml.md)). Weitere Informationen finden Sie unter [Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern](other-idps.md).
Sie konfigurieren diese Verbindung JumpCloud mithilfe Ihres IAM Identity Center SCIM-Endpoints und Ihres Zugriffstokens. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute JumpCloud zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und überein. JumpCloud
Dieser Leitfaden basiert auf dem JumpCloud Stand von Juni 2021. Die Schritte für neuere Versionen können variieren. Dieses Handbuch enthält einige Hinweise zur Konfiguration der Benutzerauthentifizierung über SAML.
In den folgenden Schritten erfahren Sie, wie Sie mithilfe des SCIM-Protokolls die automatische Bereitstellung von Benutzern und Gruppen von JumpCloud bis zum IAM Identity Center aktivieren.
**Anmerkung**
Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, zunächst die zu lesen. [Überlegungen zur Verwendung der automatischen Bereitstellung](provision-automatically.md#auto-provisioning-considerations) Lesen Sie dann im nächsten Abschnitt weitere Überlegungen durch.
**Topics**
+ [
## Voraussetzungen
](#jumpcloud-prereqs)
+ [
## Überlegungen zu SCIM
](#jumpcloud-scim)
+ [
## Schritt 1: Aktivieren Sie die Bereitstellung im IAM Identity Center
](#jumpcloud-step1)
+ [
## Schritt 2: Konfigurieren Sie die Bereitstellung in JumpCloud
](#jumpcloud-step2)
+ [
## (Optional) Schritt 3: Konfigurieren Sie Benutzerattribute JumpCloud für die Zugriffskontrolle im IAM Identity Center
](#jumpcloud-step3)
+ [
## (Optional) Übergabe von Attributen für die Zugriffskontrolle
](#jumpcloud-passing-abac)
## Voraussetzungen
Sie benötigen Folgendes, bevor Sie beginnen können:
+ JumpCloudAbonnement oder kostenlose Testversion. Um sich für eine kostenlose Testversion anzumelden, besuchen Sie uns [https://console.jumpcloud.com/signup](https://console.jumpcloud.com/signup).
+ Ein IAM Identity Center-fähiges Konto ([kostenlos](https://aws.amazon.com/single-sign-on/)). Weitere Informationen finden Sie unter [IAM Identity Center aktivieren](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Eine SAML-Verbindung von Ihrem JumpCloud Konto zum IAM Identity Center, wie in der [JumpCloudDokumentation für IAM](https://support.jumpcloud.com/support/s/article/Single-Sign-On-SSO-With-AWS-SSO) Identity Center beschrieben.
+ Wenn Sie IAM Identity Center in weitere Regionen repliziert haben, müssen Sie Ihre Identity Provider-Konfiguration aktualisieren, um den Zugriff auf AWS verwaltete Anwendungen und von diesen Regionen aus zu ermöglichen. AWS-Konten Weitere Details finden Sie unter [Schritt 3: Aktualisieren Sie das externe IdP-Setup](replicate-to-additional-region.md#update-external-idp-setup). Weitere Informationen finden Sie in der JumpCloud Dokumentation.
+ Ordnen Sie den IAM Identity Center-Connector den Gruppen zu, denen Sie Zugriff auf AWS Konten gewähren möchten.
## Überlegungen zu SCIM
Im Folgenden finden Sie Überlegungen zur Verwendung des JumpCloud Verbunds für IAM Identity Center.
+ Nur Gruppen, die dem AWS Single Sign-On-Connector zugeordnet sind, JumpCloud werden mit SCIM synchronisiert.
+ Es kann nur ein Telefonnummernattribut synchronisiert werden, und die Standardeinstellung ist „Geschäftstelefon“.
+ Für Benutzer im JumpCloud Verzeichnis müssen Vor- und Nachnamen so konfiguriert sein, dass sie mit SCIM mit IAM Identity Center synchronisiert werden können.
+ Attribute werden weiterhin synchronisiert, wenn der Benutzer in IAM Identity Center deaktiviert, aber trotzdem aktiviert ist. JumpCloud
+ Sie können die SCIM-Synchronisierung nur für Benutzerinformationen aktivieren, indem Sie im Connector die Option „Verwaltung von Benutzergruppen und Gruppenmitgliedschaft aktivieren“ deaktivieren.
## Schritt 1: Aktivieren Sie die Bereitstellung im IAM Identity Center
In diesem ersten Schritt verwenden Sie die IAM Identity Center-Konsole, um die automatische Bereitstellung zu aktivieren.
**Um die automatische Bereitstellung in IAM Identity Center zu aktivieren**
1. Nachdem Sie die Voraussetzungen erfüllt haben, öffnen Sie die [IAM Identity](https://console.aws.amazon.com/singlesignon) Center-Konsole.
1. Wählen Sie im linken Navigationsbereich **Einstellungen** aus.
1. Suchen Sie auf der Seite **Einstellungen** das Informationsfeld **Automatische Bereitstellung** und wählen Sie dann **Aktivieren** aus. Dadurch wird sofort die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.
1. Kopieren Sie im Dialogfeld **Automatische Bereitstellung für eingehende Nachrichten** den SCIM-Endpunkt und das Zugriffstoken. Sie müssen diese später einfügen, wenn Sie die Bereitstellung in Ihrem IdP konfigurieren.
1. **SCIM-Endpunkt** — Zum Beispiel https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Zugriffstoken — Wählen Sie Token anzeigen****, um den Wert zu kopieren.**
**Warnung**
Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren. Sie werden diese Werte eingeben, um die automatische Bereitstellung in Ihrem IdP später in diesem Tutorial zu konfigurieren.
1. Klicken Sie auf **Schließen**.
Nachdem Sie die Bereitstellung in der IAM Identity Center-Konsole eingerichtet haben, müssen Sie die verbleibenden Aufgaben mit dem JumpCloud IAM Identity Center Connector erledigen. Diese Schritte werden im folgenden Verfahren beschrieben.
## Schritt 2: Konfigurieren Sie die Bereitstellung in JumpCloud
Verwenden Sie das folgende Verfahren im JumpCloud IAM Identity Center Connector, um die Bereitstellung mit IAM Identity Center zu aktivieren. Bei diesem Verfahren wird davon ausgegangen, dass Sie den JumpCloud IAM Identity Center-Connector bereits zu Ihrem JumpCloud Admin-Portal und Ihren Gruppen hinzugefügt haben. Falls Sie dies noch nicht getan haben, finden Sie weitere Informationen unter diesem Verfahren zur [Voraussetzungen](#jumpcloud-prereqs) Konfiguration der SCIM-Bereitstellung und führen Sie es anschließend aus.
**So konfigurieren Sie die Bereitstellung in JumpCloud**
1. Öffnen Sie den JumpCloud IAM Identity Center-Connector, den Sie im Rahmen der Konfiguration von SAML für installiert haben JumpCloud (**Benutzerauthentifizierung** > **IAM** Identity Center). Siehe [Voraussetzungen](#jumpcloud-prereqs).
1. **Wählen Sie den **IAM Identity Center-Connector** und dann die dritte Registerkarte Identity Management.**
1. **Aktivieren Sie das Kontrollkästchen Verwaltung von Benutzergruppen und Gruppenmitgliedschaften in dieser Anwendung** aktivieren, wenn Sie möchten, dass Gruppen mit SCIM synchronisiert werden.
1. Klicken Sie auf **Konfigurieren**.
1. Im vorherigen Verfahren haben Sie den **SCIM-Endpunktwert** in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld **Basis-URL** im JumpCloud IAM Identity Center-Connector ein.
1. Aus dem vorherigen Verfahren haben Sie den Wert des **Zugriffstokens** in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld **Token-Schlüssel** im JumpCloud IAM Identity Center-Connector ein.
1. Klicken Sie auf **Aktivieren**, um die Konfiguration zu übernehmen.
1. Vergewissern Sie sich, dass neben **Single Sign-On aktiviert** eine grüne Anzeige angezeigt wird.
1. Gehen Sie zur vierten Registerkarte **Benutzergruppen** und markieren Sie die Gruppen, für die Sie SCIM bereitstellen möchten.
1. Wenn Sie fertig sind, klicken Sie unten auf **Speichern**.
1. **Um zu überprüfen, ob Benutzer erfolgreich mit IAM Identity Center synchronisiert wurden, kehren Sie zur IAM Identity Center-Konsole zurück und wählen Sie Benutzer aus.** Synchronisierte Benutzer von JumpCloud werden auf der Seite **Benutzer** angezeigt. Diese Benutzer können jetzt Konten in IAM Identity Center zugewiesen werden.
## (Optional) Schritt 3: Konfigurieren Sie Benutzerattribute JumpCloud für die Zugriffskontrolle im IAM Identity Center
Dies ist ein optionales Verfahren für den FallJumpCloud, dass Sie Attribute für das IAM Identity Center konfigurieren möchten, um den Zugriff auf Ihre AWS Ressourcen zu verwalten. Die Attribute, die Sie definieren, JumpCloud werden in einer SAML-Assertion an IAM Identity Center übergeben. Anschließend erstellen Sie in IAM Identity Center einen Berechtigungssatz, um den Zugriff auf der Grundlage der Attribute zu verwalten, die Sie übergeben haben. JumpCloud
Bevor Sie mit diesem Verfahren beginnen, müssen Sie zunächst die Funktion „[Attribute für die Zugriffskontrolle](https://docs.aws.amazon.com/singlesignon/latest/userguide/attributesforaccesscontrol.html)“ aktivieren. Weitere Informationen dazu finden Sie unter [Aktivieren und Konfigurieren von Attributen für die Zugriffskontrolle](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html).
****So konfigurieren Sie Benutzerattribute JumpCloud für die Zugriffskontrolle im IAM Identity Center****
1. Öffnen Sie den JumpCloud IAM Identity Center-Connector, den Sie im Rahmen der Konfiguration von SAML für installiert haben JumpCloud (**Benutzerauthentifizierung** > **IAM** Identity Center).
1. Wählen Sie den **IAM** Identity Center-Connector aus. Wählen Sie dann die zweite Registerkarte **IAM Identity Center**.
1. Unten auf dieser Registerkarte befindet sich die **Benutzerattribute-Zuordnung**. Wählen Sie **Neues Attribut hinzufügen** aus, und gehen Sie dann wie folgt vor: Sie müssen diese Schritte für jedes Attribut ausführen, das Sie zur Verwendung in IAM Identity Center für die Zugriffskontrolle hinzufügen möchten.
1. Geben Sie im Feld **Name des Serviceprovider-Attributs** den `https://aws.amazon.com/SAML/Attributes/AccessControl: AttributeName.` Text Replace ` AttributeName ` durch den Namen des Attributs ein, das Sie in IAM Identity Center erwarten. Beispiel, ` https://aws.amazon.com/SAML/Attributes/AccessControl: Email `.
1. Wählen Sie im Feld **JumpCloudAttributname** Benutzerattribute aus Ihrem JumpCloud Verzeichnis aus. Zum Beispiel **E-Mail (Arbeit)**.
1. Wählen Sie **Speichern**.
## (Optional) Übergabe von Attributen für die Zugriffskontrolle
Sie können optional die [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) Funktion in IAM Identity Center verwenden, um ein `Attribute` Element zu übergeben, dessen `Name` Attribut auf `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` gesetzt ist. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie [AWS STS im *IAM-Benutzerhandbuch* unter Sitzungs-Tags übergeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).
Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das `AttributeValue`-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar `CostCenter = blue` für das Tag zu übergeben.
```
blue
```
Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates `Attribute` Element hinzu.
# Konfiguration von SAML und SCIM mit einem IAM Microsoft Entra ID Identity Center
AWS IAM Identity Center unterstützt die Integration mit [Security Assertion Markup Language (SAML) 2.0](scim-profile-saml.md) sowie die [automatische Bereitstellung](provision-automatically.md) (Synchronisation) von Benutzer- und Gruppeninformationen aus Microsoft Entra ID (früher bekannt als Azure Active Directory oder) in IAM Identity Center mithilfe des [Systems for](scim-profile-saml.md#scim-profile) Cross-Domain Identity Management (SCIMAzure AD) 2.0-Protokoll. Weitere Informationen finden Sie unter [Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern](other-idps.md).
**Zielsetzung**
In diesem Tutorial richten Sie ein Testlabor ein und konfigurieren eine SAML-Verbindung und SCIM-Bereitstellung zwischen dem IAM Identity Microsoft Entra ID Center. Während der ersten Vorbereitungsschritte erstellen Sie sowohl in IAM Identity Center als auch in IAM Identity Center einen Testbenutzer (Nikki Wolf), mit dem Sie die SAML-Verbindung in beide Microsoft Entra ID Richtungen testen können. Später, im Rahmen der SCIM-Schritte, erstellen Sie einen anderen Testbenutzer (Richard Roe), um zu überprüfen, ob neue Attribute erwartungsgemäß mit IAM Microsoft Entra ID Identity Center synchronisiert werden.
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen können, müssen Sie zunächst Folgendes einrichten:
+ Ein Microsoft Entra ID Mieter. Weitere Informationen finden Sie in der Microsoft Dokumentation unter [Schnellstart: Einen Mandanten einrichten](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-create-new-tenant).
+ Ein AWS IAM Identity Center-aktiviertes Konto. Weitere Informationen finden Sie unter [Aktivieren von IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html) im *AWS IAM Identity Center Benutzerhandbuch*.
## Überlegungen
Im Folgenden finden Sie wichtige ÜberlegungenMicrosoft Entra ID, die sich darauf auswirken können, wie Sie die [automatische Bereitstellung](provision-automatically.md) mit IAM Identity Center in Ihrer Produktionsumgebung mithilfe des SCIM v2-Protokolls implementieren möchten.
**Automatische Bereitstellung**
Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, dies zunächst zu überprüfen. [Überlegungen zur Verwendung der automatischen Bereitstellung](provision-automatically.md#auto-provisioning-considerations)
**Attribute für die Zugriffskontrolle**
Attribute für die Zugriffskontrolle werden in Berechtigungsrichtlinien verwendet, die festlegen, wer in Ihrer Identitätsquelle auf Ihre AWS Ressourcen zugreifen kann. Wenn ein Attribut von einem Benutzer in entfernt wirdMicrosoft Entra ID, wird dieses Attribut nicht aus dem entsprechenden Benutzer in IAM Identity Center entfernt. Dies ist eine bekannte Einschränkung inMicrosoft Entra ID. Wenn ein Attribut für einen Benutzer in einen anderen (nicht leeren) Wert geändert wird, wird diese Änderung mit IAM Identity Center synchronisiert.
**Verschachtelte Gruppen**
Der Microsoft Entra ID Benutzerbereitstellungsdienst kann Benutzer in verschachtelten Gruppen nicht lesen oder bereitstellen. Nur Benutzer, die unmittelbare Mitglieder einer explizit zugewiesenen Gruppe sind, können gelesen und Zugriffsberechtigungen zugewiesen werden. Microsoft Entra IDentpackt nicht rekursiv die Gruppenmitgliedschaften indirekt zugewiesener Benutzer oder Gruppen (Benutzer oder Gruppen, die Mitglieder einer direkt zugewiesenen Gruppe sind). Weitere Informationen finden Sie in der Dokumentation unter [Zuweisungsbasiertes Scoping](https://learn.microsoft.com/en-us/azure/active-directory/app-provisioning/how-provisioning-works#assignment-based-scoping). Microsoft Alternativ können Sie die [konfigurierbare AD-Synchronisierung von IAM Identity Center](https://aws.amazon.com/blogs//security/managing-identity-source-transition-for-aws-iam-identity-center/) verwenden, um Active Directory Gruppen in IAM Identity Center zu integrieren.
**Dynamische Gruppen**
Der Microsoft Entra ID Benutzerbereitstellungsdienst kann Benutzer in [dynamischen Gruppen](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-create-rule) lesen und bereitstellen. Im Folgenden finden Sie ein Beispiel, das die Benutzer- und Gruppenstruktur bei der Verwendung dynamischer Gruppen und deren Anzeige im IAM Identity Center zeigt. Diese Benutzer und Gruppen wurden über SCIM aus dem Microsoft Entra ID IAM Identity Center bereitgestellt
Wenn die Microsoft Entra ID Struktur für dynamische Gruppen beispielsweise wie folgt aussieht:
1. Gruppe A mit den Mitgliedern ua1, ua2
1. Gruppe B mit Mitgliedern ub1
1. Gruppe C mit Mitgliedern uc1
1. Gruppe K mit der Regel, Mitglieder der Gruppe A, B, C einzubeziehen
1. Gruppe L mit einer Regel, die Mitglieder der Gruppen B und C einschließt
Nachdem die Benutzer- und Gruppeninformationen über SCIM aus dem Microsoft Entra ID IAM Identity Center bereitgestellt wurden, sieht die Struktur wie folgt aus:
1. Gruppe A mit den Mitgliedern ua1, ua2
1. Gruppe B mit Mitgliedern ub1
1. Gruppe C mit Mitgliedern uc1
1. Gruppe K mit den Mitgliedern ua1, ua2, ub1, uc1
1. Gruppe L mit den Mitgliedern ub1, uc1
Beachten Sie bei der Konfiguration der automatischen Bereitstellung mithilfe dynamischer Gruppen die folgenden Überlegungen.
+ Eine dynamische Gruppe kann eine verschachtelte Gruppe enthalten. Der Microsoft Entra ID Provisioning Service reduziert die verschachtelte Gruppe jedoch nicht. Wenn Sie beispielsweise die folgende Microsoft Entra ID Struktur für dynamische Gruppen haben:
+ Gruppe A ist der Gruppe B übergeordnet.
+ Gruppe A hat ua1 als Mitglied.
+ Gruppe B hat ub1 als Mitglied.
Die dynamische Gruppe, zu der Gruppe A gehört, umfasst nur die direkten Mitglieder der Gruppe A (d. h. ua1). Sie schließt nicht rekursiv Mitglieder der Gruppe B ein.
+ Dynamische Gruppen können keine anderen dynamischen Gruppen enthalten. Weitere Informationen finden Sie in der Microsoft Dokumentation unter [Einschränkungen der Vorschauversion](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-dynamic-rule-member-of#preview-limitations).
## Schritt 1: Bereiten Sie Ihren Microsoft-Mandanten vor
In diesem Schritt erfahren Sie, wie Sie Ihre AWS IAM Identity Center Unternehmensanwendung installieren und konfigurieren und einem neu erstellten Microsoft Entra ID Testbenutzer Zugriff zuweisen.
------
#### [ Step 1.1 > ]
**Schritt 1.1: Richten Sie die AWS IAM Identity Center Unternehmensanwendung ein in Microsoft Entra ID**
In diesem Verfahren installieren Sie die AWS IAM Identity Center Unternehmensanwendung inMicrosoft Entra ID. Sie benötigen diese Anwendung später, um Ihre SAML-Verbindung mit AWS zu konfigurieren.
1. Melden Sie sich mindestens als [Cloud-Anwendungsadministrator im Microsoft Entra Admin Center](https://entra.microsoft.com/) an.
1. Navigieren Sie zu **Identität > Anwendungen > Unternehmensanwendungen** und wählen Sie dann **Neue Anwendung** aus.
1. Geben Sie auf der Seite **Microsoft Entra Gallery durchsuchen ****AWS IAM Identity Center******in das Suchfeld ein.
1. Wählen Sie **AWS IAM Identity Center**aus den Ergebnissen aus.
1. Wählen Sie **Erstellen** aus.
------
#### [ Step 1.2 > ]
**Schritt 1.2: Erstellen Sie einen Testbenutzer in Microsoft Entra ID**
Nikki Wolf ist der Name Ihres Microsoft Entra ID Testbenutzers, den Sie in diesem Verfahren erstellen werden.
1. Navigieren Sie in der [Microsoft Entra Admin Center-Konsole](https://entra.microsoft.com/) zu **Identität > Benutzer > Alle Benutzer**.
1. Wählen Sie **Neuer Benutzer** und dann oben auf dem Bildschirm **Neuen Benutzer erstellen** aus.
1. Geben Sie ****NikkiWolf****im Feld **Benutzerprinzipalname** Ihre bevorzugte Domain und Erweiterung ein und wählen Sie sie aus. Zum Beispiel *NikkiWolf*@*example.org*.
1. Geben Sie im Feld **Anzeigename** den Wert ein ****NikkiWolf****.
1. Geben Sie unter **Passwort** ein sicheres Passwort ein oder klicken Sie auf das Augensymbol, um das automatisch generierte Passwort anzuzeigen, und kopieren Sie den angezeigten Wert entweder oder notieren Sie ihn.
1. Wählen Sie **Eigenschaften** und geben Sie im Feld **Vorname den** Text ein ****Nikki****. Geben Sie im Feld **Nachname** den Wert ein ****Wolf****.
1. Wählen Sie **Überprüfen \$1 Erstellen** und dann **Erstellen** aus.
------
#### [ Step 1.3 ]
**Schritt 1.3: Testen Sie Nikkis Erfahrung, bevor Sie ihr die Berechtigungen zuweisen AWS IAM Identity Center**
In diesem Verfahren überprüfen Sie, was Nikki erfolgreich in ihrem Microsoft [My Account-Portal](https://myaccount.microsoft.com/) anmelden kann.
1. Öffnen Sie im selben Browser eine neue Registerkarte, rufen Sie die Anmeldeseite des [Portals Mein Konto](https://myaccount.microsoft.com/) auf und geben Sie die vollständige E-Mail-Adresse von Nikki ein. Zum Beispiel @. *NikkiWolf**example.org*
1. Wenn Sie dazu aufgefordert werden, geben Sie Nikkis Passwort ein und wählen Sie dann **Anmelden**. Wenn es sich um ein automatisch generiertes Passwort handelt, werden Sie aufgefordert, das Passwort zu ändern.
1. Wählen Sie auf der Seite **Aktion erforderlich** die Option **Später fragen** aus, um die Aufforderung zur Angabe zusätzlicher Sicherheitsmethoden zu umgehen.
1. Wählen Sie auf der Seite **Mein Konto** im linken Navigationsbereich **Meine Apps** aus. Beachten Sie, dass außer **Add-ins** derzeit keine Apps angezeigt werden. Sie werden eine **AWS IAM Identity Center**App hinzufügen, die in einem späteren Schritt hier angezeigt wird.
------
#### [ Step 1.4 ]
**Schritt 1.4: Weisen Sie Nikki Berechtigungen zu in Microsoft Entra ID**
Nachdem Sie nun verifiziert haben, dass Nikki erfolgreich auf das **Portal Mein Konto zugreifen kann, gehen** Sie wie folgt vor, um ihren Benutzer der **AWS IAM Identity Center**App zuzuweisen.
1. Navigieren Sie in der [Microsoft Entra Admin Center-Konsole](https://entra.microsoft.com/) zu **Identität > Anwendungen > Unternehmensanwendungen** und wählen Sie dann **AWS IAM Identity Center**aus der Liste aus.
1. Wählen Sie auf der linken Seite **Benutzer und Gruppen** aus.
1. Wählen Sie **Add user/group** (Benutzer/Gruppe hinzufügen) aus. Sie können die Meldung ignorieren, dass Gruppen nicht zugewiesen werden können. In diesem Tutorial werden keine Gruppen für Aufgaben verwendet.
1. Wählen Sie auf der Seite **Zuweisung hinzufügen** unter **Benutzer** die Option **Keine ausgewählt** aus.
1. Wählen Sie **NikkiWolf**und wählen Sie dann **Auswählen aus**.
1. Wählen Sie auf der Seite „**Zuweisung hinzufügen**“ die Option „**Zuweisen**“. NikkiWolf erscheint jetzt in der Liste der Benutzer, die der **AWS IAM Identity Center**App zugewiesen sind.
------
## Schritt 2: Bereiten Sie Ihr AWS Konto vor
In diesem Schritt erfahren Sie, wie Sie Zugriffsberechtigungen (über einen Berechtigungssatz) konfigurieren, manuell einen entsprechenden Nikki Wolf-Benutzer erstellen und ihr die erforderlichen Berechtigungen für die Verwaltung von Ressourcen in zuweisen. **IAM Identity Center** AWS
------
#### [ Step 2.1 > ]
**Schritt 2.1: Erstellen Sie einen RegionalAdmin Berechtigungssatz in IAM Identity Center**
Dieser Berechtigungssatz wird verwendet, um Nikki die erforderlichen AWS Kontoberechtigungen zu gewähren, die für die Verwaltung von Regionen auf der **Kontoseite** innerhalb von erforderlich sind. AWS-Managementkonsole Alle anderen Berechtigungen zum Anzeigen oder Verwalten anderer Informationen für Nikkis Konto sind standardmäßig verweigert.
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wähle unter Berechtigungen für **mehrere Konten die Option **Berechtigungssätze**** aus.
1. Wählen Sie **Create permission set (Berechtigungssatz erstellen)** aus.
1. **Wählen Sie auf der Seite Berechtigungssatztyp** auswählen die Option **Benutzerdefinierter Berechtigungssatz** und dann **Weiter** aus.
1. Wählen Sie **Inline-Richtlinie** aus, um sie zu erweitern, und erstellen Sie dann mithilfe der folgenden Schritte eine Richtlinie für den Berechtigungssatz:
1. Wählen Sie **Neue Erklärung hinzufügen**, um eine Richtlinienerklärung zu erstellen.
1. Wählen Sie unter **Kontoauszug bearbeiten** die Option **Konto** aus der Liste aus und aktivieren Sie dann die folgenden Kontrollkästchen.
+ **`ListRegions`**
+ **`GetRegionOptStatus`**
+ **`DisableRegion`**
+ **`EnableRegion`**
1. Wählen Sie neben **Eine Ressource hinzufügen** die Option **Hinzufügen** aus.
1. Wählen Sie auf der Seite **Ressource hinzufügen** unter **Ressourcentyp** die Option **Alle Ressourcen** und dann **Ressource hinzufügen** aus. Vergewissern Sie sich, dass Ihre Richtlinie wie folgt aussieht:
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"account:ListRegions",
"account:DisableRegion",
"account:EnableRegion",
"account:GetRegionOptStatus"
],
"Resource": [
"*"
]
}
]
}
```
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Details zum Berechtigungssatz angeben** unter **Name des Berechtigungssatzes** die Eingabe ein ****RegionalAdmin****, und wählen Sie dann **Weiter** aus.
1. Wählen Sie auf der Seite **Überprüfen und erstellen** die Option **Erstellen** aus. In der Liste der Berechtigungssätze sollte diese Option **RegionalAdmin**angezeigt werden.
------
#### [ Step 2.2 > ]
**Schritt 2.2: Erstellen Sie einen entsprechenden NikkiWolf Benutzer in IAM Identity Center**
Da das SAML-Protokoll keinen Mechanismus bietet, um den IdP (Microsoft Entra ID) abzufragen und Benutzer hier in IAM Identity Center automatisch zu erstellen, gehen Sie wie folgt vor, um manuell einen Benutzer in IAM Identity Center zu erstellen, der die Kernattribute von Nikki Wolfs Benutzer in widerspiegelt. Microsoft Entra ID
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Benutzer** aus, wählen Sie **Benutzer hinzufügen** und geben Sie dann die folgenden Informationen ein:
1. Sowohl für den **Benutzernamen** als auch für die **E-Mail-Adresse** — Geben Sie dasselbe ****NikkiWolf**@** ein*yourcompanydomain.extension*, das Sie bei der Erstellung Ihres Microsoft Entra ID Benutzers verwendet haben. Zum Beispiel *NikkiWolf*@*example.org*.
1. **E-Mail-Adresse bestätigen** — Geben Sie die E-Mail-Adresse aus dem vorherigen Schritt erneut ein
1. **Vorname — Geben Sie** ein ****Nikki****
1. **Nachname** — Geben Sie ein ****Wolf****
1. **Anzeigename** — Geben Sie ein ****Nikki Wolf****
1. Wählen Sie zweimal „**Weiter**“ und anschließend „**Benutzer hinzufügen**“.
1. Klicken Sie auf **Schließen**.
------
#### [ Step 2.3 ]
**Schritt 2.3: Weisen Sie Nikki den in festgelegten RegionalAdmin Berechtigungen zu IAM Identity Center**
Hier finden Sie die Regionen, AWS-Konto in denen Nikki die Regionen verwalten wird, und weisen ihr dann die erforderlichen Berechtigungen zu, damit sie erfolgreich auf das AWS Zugriffsportal zugreifen kann.
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie unter **Berechtigungen für mehrere Konten** die Option. **AWS-Konten**
1. Markiere das Kästchen neben dem Kontonamen (zum Beispiel*Sandbox*), für den du Nikki Zugriff auf die Verwaltung von Regionen gewähren möchtest, und wähle dann **Benutzer und Gruppen zuweisen** aus.
1. **Wähle auf der Seite „**Benutzer und Gruppen zuweisen**“ den Tab „**Benutzer**“, suche das Kästchen neben Nikki, markiere es und wähle dann Weiter aus.**
1.
**Example**
1. Überprüfen Sie auf der Seite **Überprüfen und abschicken** Ihre Auswahl und wählen Sie dann **Senden** aus.
------
## Schritt 3: Konfigurieren und testen Sie Ihre SAML-Verbindung
In diesem Schritt konfigurieren Sie Ihre SAML-Verbindung mithilfe der AWS IAM Identity Center Unternehmensanwendung Microsoft Entra ID zusammen mit den externen IdP-Einstellungen in IAM Identity Center.
------
#### [ Step 3.1 > ]
**Schritt 3.1: Sammeln Sie die erforderlichen Dienstanbieter-Metadaten aus dem IAM Identity Center**
In diesem Schritt starten Sie den Assistenten zum **Ändern der Identitätsquelle** in der IAM Identity Center-Konsole und rufen die Metadatendatei und die AWS spezifische Anmelde-URL ab, die Sie bei der Konfiguration der Verbindung Microsoft Entra ID im nächsten Schritt eingeben müssen.
1. **Wählen Sie in der [IAM Identity Center-Konsole Einstellungen](https://console.aws.amazon.com/singlesignon) aus.**
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“ und dann „**Aktionen“ > „Identitätsquelle ändern**“.
1. **Wählen Sie auf der Seite Identitätsquelle** auswählen die Option **Externer Identitätsanbieter** und dann **Weiter** aus.
1. Wählen Sie auf der Seite **Externen Identitätsanbieter konfigurieren** unter **Metadaten des Dienstanbieters** die Option **Standard IPv4** oder **Dual-Stack** aus. Sie können die Metadatendatei des Dienstanbieters herunterladen, nachdem Sie die Änderung der Identitätsquelle abgeschlossen haben.
1. Suchen Sie im selben Abschnitt den Wert für die **Anmelde-URL für das AWS Access Portal** und kopieren Sie ihn. Sie müssen diesen Wert eingeben, wenn Sie im nächsten Schritt dazu aufgefordert werden.
1. Lassen Sie diese Seite geöffnet und fahren Sie mit dem nächsten Schritt (**`Step 3.2`**) fort, um die AWS IAM Identity Center Unternehmensanwendung zu konfigurierenMicrosoft Entra ID. Später kehren Sie zu dieser Seite zurück, um den Vorgang abzuschließen.
------
#### [ Step 3.2 > ]
**Schritt 3.2: Konfigurieren Sie die AWS IAM Identity Center Unternehmensanwendung in Microsoft Entra ID**
Dieses Verfahren stellt die Hälfte der SAML-Verbindung auf Microsoft-Seite mithilfe der Werte aus der Metadatendatei und der Anmelde-URL her, die Sie im letzten Schritt abgerufen haben.
1. Navigieren Sie in der [Microsoft Entra Admin Center-Konsole](https://entra.microsoft.com/) zu **Identität > Anwendungen > Unternehmensanwendungen** und wählen Sie **AWS IAM Identity Center**dann.
1. Wählen Sie auf der linken Seite **2 aus. Richten Sie Single Sign-On** ein.
1. **Wählen Sie auf der Seite **Single Sign-On mit SAML einrichten die Option SAML** aus.** **Wählen Sie dann **Metadatendatei hochladen**, klicken Sie auf das Ordnersymbol, wählen Sie die Metadatendatei des Dienstanbieters aus, die Sie im vorherigen Schritt heruntergeladen haben, und klicken Sie dann auf Hinzufügen.**
1. Vergewissern Sie sich auf der Seite **Basic SAML Configuration**, dass sowohl die Werte für den **Identifier** als auch für die **Antwort-URL (Assertion Consumer Service URL)** jetzt auf Endpunkte in verweisen. AWS
+ **Identifier** — Dies ist die **Aussteller-URL aus dem IAM** Identity Center. Derselbe Wert gilt unabhängig davon, ob Sie Only-Endpoints oder IPv4 Dual-Stack-Endpoints verwenden.
+ **Antwort-URL (Assertion Consumer Service URL)** — Die Werte hier beinhalten sowohl IPv4 reine Endpunkte als auch Dual-Stack-Endpunkte aus allen aktivierten Regionen Ihres IAM Identity Center. Sie können die ACS-URL der primären Region als Standardadresse verwenden, sodass Benutzer in die primäre Region umgeleitet werden, wenn sie die Amazon Web Services Services-Anwendung von startenMicrosoft Entra ID. Weitere Informationen zu ACS URLs finden Sie unter[ACS-Endpunkte im primären und weiteren AWS-Regionen](multi-region-workforce-access.md#acs-endpoints).
+ (Optional) Wenn Sie IAM Identity Center in weitere Regionen repliziert haben, können Sie in jeder weiteren Region auch eine Lesezeichen-App Microsoft Entra ID für das AWS Zugriffsportal erstellen. Auf diese Weise können Ihre Benutzer von aus auf das AWS Zugriffsportal in weiteren Regionen zugreifen. Microsoft Entra ID Stellen Sie sicher, dass Sie Ihren Benutzern Berechtigungen für den Zugriff auf die Lesezeichen-Apps in Microsoft Entra ID gewähren. Weitere Informationen finden Sie in der [Microsoft Entra IDDokumentation](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on). Wenn Sie planen, IAM Identity Center zu einem späteren Zeitpunkt in weitere Regionen zu replizieren, finden Sie [Microsoft Entra IDKonfiguration für den Zugriff auf zusätzliche Regionen](#gs-microsoft-entra-multi-region) unter Anleitung, wie Sie nach dieser ersten Einrichtung den Zugriff auf die zusätzlichen Regionen aktivieren können.
1. Fügen **Sie unter Anmelde-URL (optional)** den Wert für die **Anmelde-URL für das AWS Access Portal** ein, den Sie im vorherigen Schritt kopiert haben (**`Step 3.1`**), wählen Sie **Speichern** und dann **X aus, um das Fenster** zu schließen.
1. Wenn Sie aufgefordert werden, Single Sign-On mit zu testen AWS IAM Identity Center, wählen Sie **Nein, ich werde es später testen**. Sie werden diese Überprüfung in einem späteren Schritt durchführen.
1. Wählen Sie auf der Seite **Single Sign-On mit SAML einrichten** im Abschnitt **SAML-Zertifikate** neben **Federation Metadata XML die Option **Herunterladen** aus, um die Metadatendatei** auf Ihrem System zu speichern. Sie müssen diese Datei hochladen, wenn Sie im nächsten Schritt dazu aufgefordert werden.
------
#### [ Step 3.3 > ]
**Schritt 3.3: Konfigurieren Sie den Microsoft Entra ID externen IdP in AWS IAM Identity Center**
Hier kehren Sie zum Assistenten zum **Ändern der Identitätsquelle** in der IAM Identity Center-Konsole zurück, um die zweite Hälfte der SAML-Verbindung abzuschließen. AWS
1. Kehren Sie in der IAM Identity Center-Konsole zu der Browsersitzung zurück, die Sie geöffnet haben. **`Step 3.1`**
1. **Klicken Sie auf der Seite **Externen Identitätsanbieter konfigurieren** im Abschnitt **Identitätsanbieter-Metadaten** unter **IdP-SAML-Metadaten** auf die Schaltfläche **Datei auswählen, wählen** Sie die Identitätsanbieter-Metadatendatei aus, aus der Sie Microsoft Entra ID im vorherigen Schritt heruntergeladen haben, und wählen Sie dann Öffnen aus.**
1. Wählen Sie **Weiter** aus.
1. Nachdem Sie den Haftungsausschluss gelesen haben und bereit sind, fortzufahren, geben Sie ihn ein. ****ACCEPT****
1. Wählen Sie **Identitätsquelle ändern**, um Ihre Änderungen zu übernehmen.
------
#### [ Step 3.4 > ]
**Schritt 3.4: Testen Sie, ob Nikki zum AWS Zugangsportal weitergeleitet wird**
In diesem Verfahren testen Sie die SAML-Verbindung, indem Sie sich mit den Anmeldeinformationen von Nikki beim **My Account-Portal** von Microsoft anmelden. Nach der Authentifizierung wählen Sie die AWS IAM Identity Center Anwendung aus, die Nikki zum Zugangsportal weiterleitet. AWS
1. Gehen Sie zur Anmeldeseite des [Portals „Mein Konto](https://myaccount.microsoft.com/)“ und geben Sie die vollständige E-Mail-Adresse von Nikki ein. Zum Beispiel ***NikkiWolf**@**example.org*.
1. Wenn Sie dazu aufgefordert werden, geben Sie Nikkis Passwort ein und wählen Sie dann **Anmelden**.
1. Wählen Sie auf der Seite **Mein Konto** im linken Navigationsbereich **Meine Apps** aus.
1. Wählen Sie auf der Seite **Meine Apps** die App mit dem Namen aus **AWS IAM Identity Center**. Daraufhin sollten Sie zu einer zusätzlichen Authentifizierung aufgefordert werden.
1. Wählen Sie auf der Anmeldeseite von Microsoft Ihre NikkiWolf Anmeldeinformationen aus. Wenn Sie ein zweites Mal zur Authentifizierung aufgefordert werden, wählen Sie Ihre NikkiWolf Anmeldeinformationen erneut aus. Dadurch sollten Sie automatisch zum AWS Zugangsportal weitergeleitet werden.
**Tipp**
Wenn Sie nicht erfolgreich umgeleitet wurden, überprüfen Sie, ob der von Ihnen eingegebene Wert für die **Anmelde-URL für das AWS Access Portal** mit dem Wert **`Step 3.2`**übereinstimmt, von **`Step 3.1`**dem Sie kopiert haben.
1. Vergewissern Sie sich, dass Ihr AWS-Konten Display angezeigt wird.
**Tipp**
Wenn die Seite leer ist und keine AWS-Konten Anzeige angezeigt wird, vergewissern Sie sich, dass Nikki dem **RegionalAdmin**Berechtigungssatz erfolgreich zugewiesen wurde (siehe **`Step 2.3`**).
------
#### [ Step 3.5 ]
**Schritt 3.5: Testen Sie Nikkis Zugriffsrechte, um sie zu verwalten AWS-Konto**
In diesem Schritt überprüfst du, ob Nikki Zugriffsrechte hat, um die Regionseinstellungen für sie zu verwalten. AWS-Konto Nikki sollte nur über ausreichende Administratorrechte verfügen, um Regionen von der **Kontoseite** aus zu verwalten.
1. Wählen Sie im AWS Zugangsportal die Registerkarte **Konten**, um die Liste der Konten anzuzeigen. Die Kontonamen IDs, Konten und E-Mail-Adressen aller Konten, für die Sie Berechtigungssätze definiert haben, werden angezeigt.
1. Wählen Sie den Kontonamen (z. B.*Sandbox*), auf den Sie den Berechtigungssatz angewendet haben (siehe **`Step 2.3`**). Dadurch wird die Liste der Berechtigungssätze erweitert, aus denen Nikki für die Verwaltung ihres Kontos auswählen kann.
1. **RegionalAdmin**Wählen Sie als Nächstes die **Verwaltungskonsole** aus, um die Rolle anzunehmen, die Sie im **RegionalAdmin**Berechtigungssatz definiert haben. Dadurch werden Sie zur AWS-Managementkonsole Startseite weitergeleitet.
1. **Wählen Sie in der oberen rechten Ecke der Konsole Ihren Kontonamen und dann Konto aus.** Dadurch gelangen Sie zur **Kontoseite**. Beachten Sie, dass in allen anderen Abschnitten auf dieser Seite eine Meldung angezeigt wird, dass Sie nicht über die erforderlichen Berechtigungen zum Anzeigen oder Ändern dieser Einstellungen verfügen.
1. Scrollen Sie auf der **Kontoseite** nach unten zum Abschnitt **AWS Regionen**. Wählen Sie ein Kontrollkästchen für jede verfügbare Region in der Tabelle aus. Beachten Sie, dass Nikki über die erforderlichen Berechtigungen verfügt, um die Liste der Regionen für ihr Konto wie vorgesehen zu **aktivieren** oder zu **deaktivieren**.
**Gut gemacht\$1**
Die Schritte 1 bis 3 haben Ihnen geholfen, Ihre SAML-Verbindung erfolgreich zu implementieren und zu testen. Um das Tutorial abzuschließen, empfehlen wir Ihnen, mit Schritt 4 fortzufahren, um die automatische Bereitstellung zu implementieren.
------
## Schritt 4: Konfigurieren und testen Sie Ihre SCIM-Synchronisierung
In diesem Schritt richten Sie Microsoft Entra ID die [automatische Bereitstellung](provision-automatically.md) (Synchronisation) von Benutzerinformationen aus dem IAM Identity Center mithilfe des SCIM v2.0-Protokolls ein. Sie konfigurieren diese Verbindung, Microsoft Entra ID indem Sie Ihren SCIM-Endpunkt für IAM Identity Center und ein Trägertoken verwenden, das automatisch von IAM Identity Center erstellt wird.
Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute Microsoft Entra ID zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und überein. Microsoft Entra ID
In den folgenden Schritten erfahren Sie, wie Sie mithilfe der IAM Identity Center-App die automatische Bereitstellung von Benutzern aktivierenMicrosoft Entra ID, die hauptsächlich im IAM Identity Center ansässig sind. Microsoft Entra ID
------
#### [ Step 4.1 > ]
**Schritt 4.1: Erstellen Sie einen zweiten Testbenutzer in Microsoft Entra ID**
Zu Testzwecken erstellen Sie einen neuen Benutzer (Richard Roe) inMicrosoft Entra ID. Später, nachdem Sie die SCIM-Synchronisierung eingerichtet haben, werden Sie testen, ob dieser Benutzer und alle relevanten Attribute erfolgreich mit IAM Identity Center synchronisiert wurden.
1. Navigieren Sie in der [Microsoft Entra Admin Center-Konsole](https://entra.microsoft.com/) zu **Identität > Benutzer > Alle Benutzer**.
1. Wählen Sie **Neuer Benutzer** und dann oben auf dem Bildschirm **Neuen Benutzer erstellen** aus.
1. Geben Sie ****RichRoe****im Feld **Benutzerprinzipalname** Ihre bevorzugte Domain und Erweiterung ein und wählen Sie sie aus. Zum Beispiel *RichRoe*@*example.org*.
1. Geben Sie im Feld **Anzeigename** den Wert ein ****RichRoe****.
1. Geben Sie unter **Passwort** ein sicheres Passwort ein oder klicken Sie auf das Augensymbol, um das automatisch generierte Passwort anzuzeigen, und kopieren Sie den angezeigten Wert entweder oder notieren Sie ihn.
1. Wählen Sie **Eigenschaften** und geben Sie dann die folgenden Werte ein:
+ **Vorname** — Geben Sie ein ****Richard****
+ **Nachname** - Geben Sie ein ****Roe****
+ **Berufsbezeichnung** - Geben Sie ein ****Marketing Lead****
+ **Abteilung** — Geben Sie ein ****Sales****
+ **Mitarbeiter-ID** — Geben Sie ein ****12345****
1. Wählen Sie **Überprüfen \$1 Erstellen** und dann **Erstellen**.
------
#### [ Step 4.2 > ]
**Schritt 4.2: Aktivieren Sie die automatische Bereitstellung im IAM Identity Center**
In diesem Verfahren verwenden Sie die IAM Identity Center-Konsole, um die automatische Bereitstellung von Benutzern und Gruppen zu aktivieren, die aus dem IAM Identity Center stammenMicrosoft Entra ID.
1. Öffnen Sie die [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) und wählen Sie im linken **Navigationsbereich Einstellungen** aus.
1. **Beachten Sie auf der Seite **Einstellungen** unter dem Tab **Identitätsquelle**, dass die **Bereitstellungsmethode** auf Manuell eingestellt ist.**
1. **Suchen Sie das Informationsfeld **Automatische Bereitstellung** und wählen Sie dann Aktivieren aus.** Dadurch wird die automatische Bereitstellung im IAM Identity Center sofort aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.
1. Kopieren Sie im Dialogfeld **Automatische Bereitstellung für eingehende** Nachrichten die einzelnen Werte für die folgenden Optionen. Sie müssen diese im nächsten Schritt einfügen, wenn Sie die Bereitstellung in konfigurieren. Microsoft Entra ID
1. **SCIM-Endpunkt** — Zum Beispiel
+ IPv4: `https://scim.aws-region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ Doppelstapel: `https://scim.aws-region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **Zugriffstoken** — Wählen Sie **Token anzeigen**, um den Wert zu kopieren.
**Warnung**
Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren.
1. Klicken Sie auf **Schließen**.
1. Beachten Sie auf der Registerkarte **Identitätsquelle**, dass die **Bereitstellungsmethode** jetzt auf **SCIM** eingestellt ist.
------
#### [ Step 4.3 > ]
**Schritt 4.3: Konfigurieren Sie die automatische Bereitstellung in Microsoft Entra ID**
Nachdem Sie Ihren RichRoe Testbenutzer eingerichtet und SCIM im IAM Identity Center aktiviert haben, können Sie mit der Konfiguration der SCIM-Synchronisierungseinstellungen unter fortfahren. Microsoft Entra ID
1. Navigieren Sie in der [Microsoft Entra Admin Center-Konsole](https://entra.microsoft.com/) zu **Identität > Anwendungen > Unternehmensanwendungen** und wählen Sie **AWS IAM Identity Center**dann.
1. Wählen Sie **Provisioning** und wählen Sie unter **Verwalten erneut** **Provisioning** aus.
1. **Wählen Sie im **Bereitstellungsmodus** die Option Automatisch aus.**
1. Fügen Sie unter **Administratoranmeldedaten** in das **Feld Mandanten-URL** den Wert für die **SCIM-Endpunkt-URL** ein, den Sie zuvor kopiert haben. **`Step 4.2`** Fügen Sie in **Secret Token** den Wert für das **Zugriffstoken** ein.
1. Wählen Sie **Test Connection** (Verbindung testen) aus. Es sollte eine Meldung angezeigt werden, die darauf hinweist, dass die getesteten Anmeldeinformationen erfolgreich autorisiert wurden, um die Bereitstellung zu aktivieren.
1. Wählen Sie **Speichern**.
1. Wählen Sie unter **Verwalten** die Option **Benutzer und Gruppen** und dann **Benutzer/Gruppe hinzufügen** aus.
1. Wählen Sie auf der Seite **Zuweisung hinzufügen** unter **Benutzer die** Option **Keine** ausgewählt aus.
1. Wählen Sie **RichRoe**und wählen Sie dann **Auswählen aus**.
1. Wählen Sie auf der Seite **Add Assignment** (Zuweisung hinzufügen) **Assign** (Zuweisen) aus.
1. Wählen Sie **Überblick** und dann **Bereitstellung starten** aus.
------
#### [ Step 4.4 ]
**Schritt 4.4: Stellen Sie sicher, dass die Synchronisation stattgefunden hat**
In diesem Abschnitt überprüfen Sie, ob Richards Benutzer erfolgreich bereitgestellt wurde und ob alle Attribute im IAM Identity Center angezeigt werden.
1. **Wählen Sie in der [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) die Option Benutzer aus.**
1. Auf der Seite „**Benutzer**“ sollte Ihr **RichRoe**Benutzer angezeigt werden. Beachten Sie, dass in der Spalte **Erstellt von** der Wert auf **SCIM** gesetzt ist.
1. Stellen Sie **RichRoe**unter **Profil** sicher, dass die folgenden Attribute von Microsoft Entra ID kopiert wurden.
+ **Vorname** - ****Richard****
+ **Nachname** - ****Roe****
+ **Abteilung** - ****Sales****
+ **Titel** - ****Marketing Lead****
+ **Mitarbeiternummer** - ****12345****
Nachdem Richards Benutzer nun in IAM Identity Center erstellt wurde, können Sie ihn einem beliebigen Berechtigungssatz zuweisen, sodass Sie kontrollieren können, welche Zugriffsebene er auf Ihre AWS Ressourcen hat. Sie könnten beispielsweise dem **RegionalAdmin** Berechtigungssatz, den Sie zuvor verwendet haben, um Nikki die Berechtigungen zur Verwaltung von Regionen zu gewähren (siehe **`Step 2.3`**), zuweisen **RichRoe**und dann seine Zugriffsebene damit testen. **`Step 3.5`**
**Herzlichen Glückwunsch\$1**
Sie haben erfolgreich eine SAML-Verbindung zwischen Microsoft und eingerichtet AWS und sich vergewissert, dass die automatische Bereitstellung funktioniert, um alles synchron zu halten. Jetzt können Sie das Gelernte anwenden, um Ihre Produktionsumgebung reibungsloser einzurichten.
------
## *Schritt 5: ABAC konfigurieren — optional*
Nachdem Sie SAML und SCIM erfolgreich konfiguriert haben, können Sie optional die attributebasierte Zugriffskontrolle (ABAC) konfigurieren. ABAC ist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen definiert.
Mit können Sie eine der folgenden beiden Methoden verwendenMicrosoft Entra ID, um ABAC für die Verwendung mit IAM Identity Center zu konfigurieren.
------
#### [ Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center ]
**Konfigurieren Sie Benutzerattribute Microsoft Entra ID für die Zugriffskontrolle im IAM Identity Center**
Im folgenden Verfahren legen Sie fest, welche Attribute von IAM Identity Center zur Verwaltung des Zugriffs auf Ihre AWS Ressourcen verwendet werden Microsoft Entra ID sollen. Nach der Definition werden diese Attribute über SAML-Assertionen an IAM Identity Center Microsoft Entra ID gesendet. Anschließend müssen Sie [Erstellen Sie einen Berechtigungssatz](howtocreatepermissionset.md) im IAM Identity Center den Zugriff auf der Grundlage der Attribute verwalten, von denen Sie die Daten übergeben haben. Microsoft Entra ID
Bevor Sie mit diesem Verfahren beginnen, müssen Sie zunächst die [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) Funktion aktivieren. Weitere Information dazu finden Sie unter [Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle](configure-abac.md).
1. Navigieren Sie in der [Microsoft Entra Admin Center-Konsole](https://entra.microsoft.com/) zu **Identität > Anwendungen > Unternehmensanwendungen** und wählen Sie **AWS IAM Identity Center**dann.
1. Klicken Sie auf **Single Sign-On**.
1. Wählen Sie im Abschnitt **Attribute und Ansprüche** die Option **Bearbeiten** aus.
1. Gehen Sie auf der Seite „**Attribute und Ansprüche**“ wie folgt vor:
1. Wählen **Sie Neuen Anspruch hinzufügen**
1. Geben Sie unter **Name** `AccessControl:AttributeName` ein. *AttributeName*Ersetzen Sie es durch den Namen des Attributs, das Sie in IAM Identity Center erwarten. Beispiel, `AccessControl:Department`.
1. Geben Sie für **Namespace** ****https://aws.amazon.com/SAML/Attributes**** ein.
1. Wählen Sie unter **Source (Quelle)** die Option **Attribute (Attribut)** aus.
1. Verwenden Sie für **das Quellattribut** die Drop-down-Liste, um die Microsoft Entra ID Benutzerattribute auszuwählen. Beispiel, `user.department`.
1. Wiederholen Sie den vorherigen Schritt für jedes Attribut, das Sie in der SAML-Assertion an das IAM Identity Center senden müssen.
1. Wählen Sie **Speichern**.
------
#### [ Configure ABAC using IAM Identity Center ]
**Konfigurieren Sie ABAC mithilfe von IAM Identity Center**
Bei dieser Methode verwenden Sie die [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) Funktion in IAM Identity Center, um ein `Attribute` Element zu übergeben, dessen `Name` Attribut auf gesetzt ist. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Sie können dieses Element verwenden, um Attribute als Sitzungs-Tags in der SAML-Assertion zu übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie unter [Sitzungs-Tags übergeben AWS STS im](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) *IAM-Benutzerhandbuch*.
Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das `AttributeValue`-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar `Department=billing` für das Tag zu übergeben:
```
billing
```
Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates `Attribute` Element hinzu.
------
## Weisen Sie Zugriff zu AWS-Konten
Die folgenden Schritte sind nur erforderlich, um AWS-Konten nur Zugriff zu gewähren. Diese Schritte sind nicht erforderlich, um Zugriff auf AWS Anwendungen zu gewähren.
**Anmerkung**
Um diesen Schritt abzuschließen, benötigen Sie eine Organisationsinstanz von IAM Identity Center. Weitere Informationen finden Sie unter [Organisations- und Kontoinstanzen von IAM Identity Center](identity-center-instances.md).
### Schritt 1: IAM Identity Center: Gewähren Sie Microsoft Entra ID Benutzern Zugriff auf Konten
1. Kehren Sie zur **IAM Identity Center-Konsole** zurück. Wählen Sie im IAM Identity Center-Navigationsbereich unter **Berechtigungen für mehrere Konten** die Option aus. **AWS-Konten**
1. Auf der **AWS-Konten**Seite „**Organisationsstruktur**“ wird Ihr Organisationsstamm mit Ihren Konten darunter in der Hierarchie angezeigt. Markieren Sie das Kontrollkästchen für Ihr Verwaltungskonto und wählen Sie dann **Benutzer oder Gruppen zuweisen** aus.
1. Der Workflow **„Benutzer und Gruppen zuweisen**“ wird angezeigt. Er besteht aus drei Schritten:
1. **Wählen Sie für Schritt 1: Benutzer und Gruppen** auswählen den Benutzer aus, der die Administratorfunktion ausführen soll. Klicken Sie anschließend auf **Weiter**.
1. **Wählen Sie für Schritt 2: Berechtigungssätze** auswählen die Option **Berechtigungssatz erstellen** aus, um eine neue Registerkarte zu öffnen, die Sie durch die drei Teilschritte führt, die zur Erstellung eines Berechtigungssatzes erforderlich sind.
1. Gehen Sie für **Schritt 1: Berechtigungssatztyp auswählen** wie folgt vor:
+ Wählen Sie unter **Typ des Berechtigungssatzes** die Option **Vordefinierter Berechtigungssatz** aus.
+ Wählen Sie unter **Richtlinie für vordefinierten Berechtigungssatz** die Option aus **AdministratorAccess**.
Wählen Sie **Weiter** aus.
1. Für **Schritt 2: Geben Sie die Details zum Berechtigungssatz** an, behalten Sie die Standardeinstellungen bei und wählen Sie **Weiter** aus.
Mit den Standardeinstellungen wird ein Berechtigungssatz *AdministratorAccess* mit einem Namen erstellt, dessen Sitzungsdauer auf eine Stunde festgelegt ist.
1. Stellen Sie für **Schritt 3: Überprüfen und erstellen** sicher, dass der **Typ Berechtigungssatz** die AWS verwaltete Richtlinie verwendet **AdministratorAccess**. Wählen Sie **Erstellen** aus. Auf der Seite **Berechtigungssätze** wird eine Benachrichtigung angezeigt, die Sie darüber informiert, dass der Berechtigungssatz erstellt wurde. Sie können diese Registerkarte jetzt in Ihrem Webbrowser schließen.
1. Auf der Browser-Registerkarte **Benutzer und Gruppen zuweisen** befinden Sie sich immer noch in **Schritt 2: Wählen Sie die Berechtigungssätze** aus, von denen aus Sie den Workflow zum Erstellen von Berechtigungssätzen gestartet haben.
1. Wählen Sie im Bereich „**Berechtigungssätze**“ die Schaltfläche „**Aktualisieren**“. Der von Ihnen erstellte *AdministratorAccess* Berechtigungssatz wird in der Liste angezeigt. Aktivieren Sie das Kontrollkästchen für diesen Berechtigungssatz und wählen Sie dann **Weiter**.
1. Überprüfen **Sie für Schritt 3: Überprüfen und Absenden** den ausgewählten Benutzer und den ausgewählten Berechtigungssatz und wählen Sie dann **Senden** aus.
Die Seite wird mit der Meldung aktualisiert, dass Ihr AWS-Konto System gerade konfiguriert wird. Warten Sie, bis der Vorgang abgeschlossen ist.
Sie kehren zur AWS-Konten Seite zurück. In einer Benachrichtigung werden Sie darüber informiert, dass Ihr AWS-Konto Konto erneut bereitgestellt und der aktualisierte Berechtigungssatz angewendet wurde. Wenn sich der Benutzer anmeldet, hat er die Möglichkeit, die Rolle auszuwählen. *AdministratorAccess*
### Schritt 2Microsoft Entra ID: Bestätigen Sie den Zugriff der Microsoft Entra ID Benutzer auf AWS Ressourcen
1. Kehren Sie zur **Microsoft Entra ID**Konsole zurück und navigieren Sie zu Ihrer SAML-basierten Anmeldeanwendung für IAM Identity Center.
1. Wählen Sie **Benutzer und Gruppen und anschließend** Benutzer oder Gruppen **hinzufügen** aus. Sie fügen den Benutzer, den Sie in diesem Tutorial in Schritt 4 erstellt haben, der Microsoft Entra ID Anwendung hinzu. Indem Sie den Benutzer hinzufügen, ermöglichen Sie ihm, sich anzumelden AWS. Suchen Sie nach dem Benutzer, den Sie in Schritt 4 erstellt haben. Wenn Sie diesen Schritt befolgen würden, wäre das der Fall**RichardRoe**.
1. Eine Demo finden Sie unter Verbinden Sie [Ihre bestehende IAM Identity Center-Instanz](https://youtu.be/iSCuTJNeN6c?si=29HSAK8DgBEhSVad) mit Microsoft Entra ID
## Microsoft Entra IDKonfiguration für den Zugriff auf zusätzliche Regionen von IAM Identity Center — optional
Wenn Sie IAM Identity Center in weitere Regionen repliziert haben, müssen Sie Ihre Identity Provider-Konfiguration aktualisieren, um den Zugriff auf AWS verwaltete Anwendungen und AWS-Konten über die zusätzlichen Regionen zu ermöglichen. Die folgenden Schritte führen Sie durch das Verfahren. Weitere Informationen zu diesem Thema, einschließlich der Voraussetzungen, finden Sie unter[Verwenden von IAM Identity Center für mehrere AWS-Regionen](multi-region-iam-identity-center.md).
1. Rufen Sie ACS URLs für die zusätzlichen Regionen von der IAM Identity Center-Konsole ab, wie unter beschrieben[ACS-Endpunkte im primären und weiteren AWS-Regionen](multi-region-workforce-access.md#acs-endpoints).
1. Navigieren Sie in der [Microsoft Entra Admin Center-Konsole](https://entra.microsoft.com/) zu **Identität > Anwendungen > Unternehmensanwendungen** und wählen Sie **AWS IAM Identity Center**dann.
1. Wählen Sie auf der linken Seite **2 aus. Richten Sie Single Sign-On** ein.
1. Wählen Sie auf der Seite **Basic SAML Configuration** im Abschnitt **Antwort-URL (Assertion Consumer Service URL)** die Option **Antwort-URL hinzufügen für die ACS-URL** jeder weiteren Region aus. Sie können die ACS-URL der primären Region als Standardadresse beibehalten, sodass Benutzer beim Starten der Anwendung weiterhin zur primären Region umgeleitet werden. AWS IAM Identity Center Microsoft Entra ID
1. Wenn Sie mit dem Hinzufügen des ACS fertig URLs sind, speichern Sie die **AWS IAM Identity Center**Anwendung.
1. Sie können in jeder weiteren Region eine Lesezeichen-App Microsoft Entra ID für das AWS Zugriffsportal erstellen. Auf diese Weise können Ihre Benutzer von aus auf das AWS Zugriffsportal in weiteren Regionen zugreifenMicrosoft Entra ID. Stellen Sie sicher, dass Sie Ihren Benutzern Berechtigungen für den Zugriff auf die Lesezeichen-Apps in Microsoft Entra ID gewähren. Weitere Informationen finden Sie in der [Microsoft Entra IDDokumentation](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on).
1. Stellen Sie sicher, dass Sie sich in jeder weiteren Region beim AWS Zugangsportal anmelden können. Navigieren Sie zum [AWS Zugriffsportal URLs](multi-region-workforce-access.md#portal-endpoints) oder starten Sie die Lesezeichen-Apps vonMicrosoft Entra ID.
## Fehlerbehebung
Informationen zur allgemeinen SCIM- und SAML-Fehlerbehebung mit Microsoft Entra ID finden Sie in den folgenden Abschnitten:
+ [Synchronisierungsprobleme mit Microsoft Entra ID und IAM Identity Center](#entra-scim-troubleshooting)
+ [Bestimmte Benutzer können sich von einem externen SCIM-Anbieter nicht mit dem IAM Identity Center synchronisieren](troubleshooting.md#issue2)
+ [Probleme mit dem Inhalt von SAML-Assertionen, die von IAM Identity Center erstellt wurden](troubleshooting.md#issue1)
+ [Beim Bereitstellen von Benutzern oder Gruppen mit einem externen Identitätsanbieter ist ein Fehler beim Duplizieren von Benutzern oder Gruppen aufgetreten](troubleshooting.md#duplicate-user-group-idp)
+ [Weitere Ressourcen](#entra-scim-troubleshooting-resources)
### Synchronisierungsprobleme mit Microsoft Entra ID und IAM Identity Center
Wenn Sie Probleme mit Microsoft Entra ID Benutzern haben, die nicht mit IAM Identity Center synchronisieren, kann dies an einem Syntaxproblem liegen, das IAM Identity Center gemeldet hat, wenn ein neuer Benutzer zu IAM Identity Center hinzugefügt wird. Sie können dies überprüfen, indem Sie in den Microsoft Entra ID Audit-Logs nach fehlgeschlagenen Ereignissen suchen, wie z. B. `'Export'` Der **Statusgrund** für dieses Ereignis lautet wie folgt:
```
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
```
Sie können auch AWS CloudTrail nach dem fehlgeschlagenen Ereignis suchen. Suchen Sie dazu in der Konsole „**Event History**“ oder CloudTrail verwenden Sie den folgenden Filter:
```
"eventName":"CreateUser"
```
Der Fehler in der CloudTrail Veranstaltung wird Folgendes bedeuten:
```
"errorCode": "ValidationException",
"errorMessage": "Currently list attributes only allow single item“
```
Letztlich bedeutet diese Ausnahme, dass einer der übergebenen Werte mehr Werte als erwartet Microsoft Entra ID enthielt. Die Lösung besteht darin, die Attribute des Benutzers zu überprüfen Microsoft Entra ID und sicherzustellen, dass keine doppelten Werte enthalten. Ein häufiges Beispiel für doppelte Werte ist das Vorhandensein mehrerer Werte für Kontaktnummern wie **Handy** -, Geschäfts **-** und **Faxnummern**. Obwohl sie separate Werte sind, werden sie alle unter dem einzigen übergeordneten Attribut **PhoneNumbers** an das IAM Identity Center übergeben.
[Allgemeine Tipps zur SCIM-Fehlerbehebung finden Sie unter Problembehandlung.](troubleshooting.md#issue2)
### Microsoft Entra IDSynchronisation des Gastkontos
Wenn Sie Ihre Microsoft Entra ID Gastbenutzer mit IAM Identity Center synchronisieren möchten, gehen Sie wie folgt vor.
Microsoft Entra IDDie E-Mail-Adresse von Gastbenutzern unterscheidet sich von der E-Mail-Adresse von Microsoft Entra ID Benutzern. Dieser Unterschied führt zu Problemen beim Versuch, Microsoft Entra ID Gastbenutzer mit IAM Identity Center zu synchronisieren. Sehen Sie sich zum Beispiel die folgende E-Mail-Adresse für einen Gastbenutzer an:
`exampleuser_domain.com#EXT#@domain.onmicrosoft.com.`
IAM Identity Center geht nicht davon aus, dass die E-Mail-Adresse das *\$1EXT\$1@domain* Format enthält.
1. Melden Sie sich im [Microsoft Entra Admin Center](https://entra.microsoft.com/) an und navigieren Sie zu **Identität** > **Anwendungen** > **Unternehmensanwendungen und wählen** Sie dann **AWS IAM Identity Center**
1. Navigieren Sie im linken Bereich zur Registerkarte **Single Sign On**.
1. Wählen Sie **Bearbeiten** aus, was neben **Benutzerattribute und Ansprüche** angezeigt wird.
1. Wählen Sie **unter Erforderliche Ansprüche die Option Eindeutige Benutzerkennung (Name-ID)** **aus**.
1. Sie werden zwei Anspruchsbedingungen für Ihre Microsoft Entra ID Benutzer und Gastbenutzer erstellen:
1. Erstellen Sie für Microsoft Entra ID Benutzer einen Benutzertyp für Mitglieder, bei dem das Quellattribut auf gesetzt ist` user.userprincipalname`.
1. Erstellen Sie für Microsoft Entra ID Gastbenutzer einen Benutzertyp für externe Gäste, wobei das Quellattribut auf gesetzt ist`user.mail`.
1. Wählen Sie **Speichern** und versuchen Sie erneut, sich als Microsoft Entra ID Gastbenutzer anzumelden.
### Weitere Ressourcen
+ Allgemeine Tipps zur SCIM-Fehlerbehebung finden Sie unter. [Behebung von Problemen mit IAM Identity Center](troubleshooting.md)
+ Informationen zur Microsoft Entra ID Fehlerbehebung finden Sie in der [MicrosoftDokumentation](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial#troubleshooting-tips).
+ Weitere Informationen zum Verbund zwischen mehreren AWS-Konten finden Sie unter [Sichern AWS-Konten mit Azure Active Directory Federation](https://aws.amazon.com//blogs/apn/securing-aws-accounts-with-azure-active-directory-federation/).
Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit helfen AWS:
+ [AWS re:Post](https://repost.aws/)- Hier finden Sie weitere Ressourcen FAQs und Links zu diesen, die Ihnen bei der Behebung von Problemen helfen.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)- Holen Sie sich technischen Support
# Konfiguration von SAML und SCIM mit einem IAM Okta Identity Center
Mithilfe des SCIM 2.0-Protokolls [(System for Cross-Domain Identity Management) Okta können Sie Benutzer- und Gruppeninformationen automatisch aus dem IAM Identity](scim-profile-saml.md#scim-profile) Center bereitstellen oder synchronisieren. Weitere Informationen finden Sie unter [Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern](other-idps.md).
Um diese Verbindung zu konfigurierenOkta, verwenden Sie Ihren SCIM-Endpunkt für IAM Identity Center und ein Trägertoken, das automatisch von IAM Identity Center erstellt wird. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute Okta zu den benannten Attributen in IAM Identity Center. Diese Zuordnung entspricht den erwarteten Benutzerattributen zwischen IAM Identity Center und Ihrem Konto. Okta
Oktaunterstützt die folgenden Bereitstellungsfunktionen, wenn Sie über SCIM mit IAM Identity Center verbunden sind:
+ Benutzer erstellen — Benutzer, die der IAM Identity Center-Anwendung in zugewiesen Okta sind, werden in IAM Identity Center bereitgestellt.
+ Benutzerattribute aktualisieren — Attributänderungen für Benutzer, die der IAM Identity Center-Anwendung in zugewiesen sind, Okta werden in IAM Identity Center aktualisiert.
+ Benutzer deaktivieren — Benutzer, denen die Zuweisung zur IAM Identity Center-Anwendung in aufgehoben wurde, Okta sind in IAM Identity Center deaktiviert.
+ Gruppen-Push — Gruppen (und ihre Mitglieder) Okta werden mit IAM Identity Center synchronisiert.
**Anmerkung**
Um den Verwaltungsaufwand Okta sowohl in IAM Identity Center als auch in IAM Identity Center zu minimieren, empfehlen wir, Gruppen zuzuweisen und zu *pushen*, anstatt einzelne Benutzer zu verwenden.
+ Benutzer importieren — Benutzer können aus IAM Identity Center in importiert werden. Okta
**Ziel**
In diesem Tutorial werden Sie Schritt für Schritt die Einrichtung einer SAML-Verbindung mit Okta IAM Identity Center beschrieben. Später werden Sie Benutzer mithilfe von Okta SCIM synchronisieren. In diesem Szenario verwalten Sie alle Benutzer und Gruppen inOkta. Benutzer melden sich über das Okta Portal an. Um zu überprüfen, ob alles korrekt konfiguriert ist, melden Sie sich nach Abschluss der Konfigurationsschritte als Okta Benutzer an und verifizieren den Zugriff auf AWS Ressourcen.
Die folgenden Funktionen werden unterstützt, wenn Sie über SAML Okta eine Verbindung zum IAM Identity Center herstellen:
+ Vom IDP initiierte SAML-Anmeldung — Benutzer melden sich über das Okta Portal an und erhalten Zugriff auf das IAM Identity Center.
+ SP-initiierte SAML-Anmeldung — Benutzer greifen auf das Zugriffsportal zu, das sie AWS zur Anmeldung über das Portal weiterleitet. Okta
**Anmerkung**
Sie können sich für ein Okta Konto ([kostenlose Testversion](https://www.okta.com/free-trial/)) registrieren, auf dem die Okta's [IAM Identity Center-Anwendung installiert](https://www.okta.com/integrations/aws-single-sign-on/) ist. Bei kostenpflichtigen Okta Produkten müssen Sie möglicherweise bestätigen, dass Ihre Okta Lizenz das *Lebenszyklusmanagement* oder ähnliche Funktionen unterstützt, die die Bereitstellung ausgehender Daten ermöglichen. Diese Funktionen sind möglicherweise erforderlich, um SCIM von zu IAM Identity Center Okta zu konfigurieren.
Wenn Sie IAM Identity Center noch nicht aktiviert haben, finden Sie weitere Informationen unter. [IAM Identity Center aktivieren](enable-identity-center.md)
## Überlegungen
+ Bevor Sie die SCIM-Bereitstellung zwischen Okta und IAM Identity Center konfigurieren, empfehlen wir Ihnen, dies zunächst zu überprüfen. [Überlegungen zur Verwendung der automatischen Bereitstellung](provision-automatically.md#auto-provisioning-considerations)
+ Für jeden Okta Benutzer müssen die Werte **Vorname**, **Nachname, **Benutzername**** und **Anzeigename** angegeben werden.
+ Jeder Okta Benutzer hat nur einen einzigen Wert pro Datenattribut, z. B. E-Mail-Adresse oder Telefonnummer. Alle Benutzer mit mehreren Werten können nicht synchronisiert werden. Wenn es Benutzer gibt, deren Attribute mehrere Werte enthalten, entfernen Sie die doppelten Attribute, bevor Sie versuchen, den Benutzer in IAM Identity Center bereitzustellen. Beispielsweise kann nur ein Telefonnummernattribut synchronisiert werden, da das Standard-Telefonnummernattribut „Geschäftstelefon“ ist. Verwenden Sie das Attribut „Geschäftstelefon“, um die Telefonnummer des Benutzers zu speichern, auch wenn es sich bei der Telefonnummer des Benutzers um ein Festnetz oder ein Mobiltelefon handelt.
+ Bei Verwendung Okta mit IAM Identity Center wird IAM Identity Center in der Regel als Anwendung in konfiguriert. Okta Auf diese Weise können Sie mehrere Instanzen von IAM Identity Center als mehrere Anwendungen konfigurieren, die den Zugriff auf mehrere AWS Organizations innerhalb einer einzigen Instanz von unterstützen. Okta
+ Berechtigungen und Rollenattribute werden nicht unterstützt und können nicht mit IAM Identity Center synchronisiert werden.
+ Die Verwendung derselben Okta Gruppe sowohl für Zuweisungen als auch für Gruppen-Push wird derzeit nicht unterstützt. Um konsistente Gruppenmitgliedschaften zwischen Okta und IAM Identity Center aufrechtzuerhalten, erstellen Sie eine separate Gruppe und konfigurieren Sie sie so, dass Gruppen per Push an IAM Identity Center weitergeleitet werden.
+ Wenn Sie IAM Identity Center in weitere Regionen repliziert haben, müssen Sie Ihre Identity Provider-Konfiguration aktualisieren, um den Zugriff auf AWS verwaltete Anwendungen und über zusätzliche Regionen zu ermöglichen. AWS-Konten Weitere Informationen, einschließlich der Voraussetzungen, finden Sie unter. [Verwenden von IAM Identity Center für mehrere AWS-Regionen](multi-region-iam-identity-center.md) Okta-spezifische Schritte werden unter beschrieben [OktaKonfiguration für den Zugriff auf zusätzliche Regionen](#gs-okta-multi-region)
## Schritt 1Okta: Rufen Sie die SAML-Metadaten von Ihrem Konto ab Okta
1. Melden Sie sich bei anOkta admin dashboard, erweitern Sie **Anwendungen** und wählen Sie dann **Anwendungen** aus.
1. Wählen Sie auf der Seite **Applications** (Anwendungen) die Option **Browse App Catalog** (App-Katalog durchsuchen) aus.
1. Geben Sie in das Suchfeld die App ein ** AWS IAM Identity Center**und wählen Sie sie aus, um die IAM Identity Center-App hinzuzufügen.
1. Wählen Sie den Tab **Anmelden** aus.
1. Wählen Sie unter **SAML-Signaturzertifikate** die Option **Aktionen** und dann **IdP-Metadaten anzeigen** aus. Ein neuer Browser-Tab wird geöffnet, der den Dokumentenbaum einer XML-Datei anzeigt. Wählen Sie das gesamte XML von `` bis aus `` und kopieren Sie es in eine Textdatei.
1. Speichern Sie die Textdatei unter`metadata.xml`.
Lassen Sie das Fenster Okta admin dashboard geöffnet, Sie werden diese Konsole in den späteren Schritten weiter verwenden.
## Schritt 2: IAM Identity Center: Okta Als Identitätsquelle für IAM Identity Center konfigurieren
1. Öffnen Sie die [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) als Benutzer mit Administratorrechten.
1. Wählen Sie im linken Navigationsbereich **Einstellungen** aus.
1. Wählen Sie auf der Seite **Einstellungen** die Option **Aktionen** und dann **Identitätsquelle ändern** aus.
1. **Wählen Sie unter Identitätsquelle** auswählen die Option **Externer Identitätsanbieter** und dann **Weiter** aus.
1. Gehen **Sie unter Externen Identitätsanbieter konfigurieren** wie folgt vor:
1. Kopieren Sie unter **Metadaten des Dienstanbieters** die folgenden Elemente in eine Textdatei, um den Zugriff zu erleichtern:
+ **URL des IAM Identity Center Assertion Consumer Service (ACS)** — Sie haben die Wahl zwischen einem IPv4 reinen ACS und einem Dual-Stack-ACS. URLs Wenn Ihre IAM Identity Center-Instanz in mehreren Regionen aktiviert ist, verfügt außerdem jede weitere Region über ein eigenes IPv4 reines Dual-Stack-ACS. URLs Weitere Informationen zu ACS URLs finden Sie unter. [ACS-Endpunkte im primären und weiteren AWS-Regionen](multi-region-workforce-access.md#acs-endpoints)
+ **URL des IAM Identity Center-Ausstellers**
Sie benötigen diese Werte später in diesem Tutorial.
1. Wählen Sie unter **Identitätsanbieter-Metadaten** unter **IdP-SAML-Metadaten** die Option **Datei auswählen** und wählen Sie dann die `metadata.xml` Datei aus, die Sie im vorherigen Schritt erstellt haben.
1. Wählen Sie **Weiter** aus.
1. **Nachdem Sie den Haftungsausschluss gelesen haben und bereit sind, fortzufahren, geben Sie ACCEPT ein.**
1. Wählen Sie **Identitätsquelle ändern aus**.
Lassen Sie die AWS Konsole geöffnet, Sie werden diese Konsole im nächsten Schritt weiter verwenden.
1. Kehren Sie zur AWS IAM Identity Center App zurück Okta admin dashboard und wählen Sie die Registerkarte **Anmelden** aus. Wählen Sie dann **Bearbeiten** aus.
1. Geben Sie unter **Erweiterte Anmeldeeinstellungen** Folgendes ein:
+ Geben Sie für **ACS-URL** die Werte ein, die Sie für die **IAM Identity Center Assertion Consumer Service (ACS**) -URL kopiert haben. Sie können die ACS-URL der primären Region als Standardadresse verwenden, sodass Benutzer in die primäre Region umgeleitet werden, wenn sie die Amazon Web Services Services-Anwendung von startenOkta.
+ (Optional) Wenn Sie IAM Identity Center in weitere Regionen repliziert haben, können Sie in jeder weiteren Region auch eine Lesezeichen-App Okta für das AWS Zugriffsportal erstellen. Auf diese Weise können Ihre Benutzer von aus auf das AWS Zugriffsportal in weiteren Regionen zugreifen. Okta Stellen Sie sicher, dass Sie Ihren Benutzern Berechtigungen für den Zugriff auf die Lesezeichen-Apps in Okta gewähren. Weitere Informationen finden Sie in der [OktaDokumentation](https://support.okta.com/help/s/article/create-a-bookmark-app). Wenn Sie planen, IAM Identity Center zu einem späteren Zeitpunkt in weitere Regionen zu replizieren, finden Sie [OktaKonfiguration für den Zugriff auf zusätzliche Regionen](#gs-okta-multi-region) unter Anleitung, wie Sie nach dieser ersten Einrichtung den Zugriff auf die zusätzlichen Regionen aktivieren können.
+ Geben Sie für **Issuer URL** den Wert ein, den Sie für **IAM** Identity Center Issuer URL kopiert haben
+ Wählen Sie für **das Format des Anwendungsbenutzernamens** eine der Optionen aus dem Menü aus.
Stellen Sie sicher, dass der von Ihnen gewählte Wert für jeden Benutzer einzigartig ist. Wählen Sie für dieses Tutorial den **Okta-Benutzernamen**
1. Wählen Sie **Speichern**.
Sie sind jetzt bereit, Benutzer von IAM Identity Center aus Okta bereitzustellen. Lassen Sie das Okta admin dashboard Fenster geöffnet und kehren Sie für den nächsten Schritt zur IAM Identity Center-Konsole zurück.
## Schritt 3: IAM Identity Center undOkta: Benutzer bereitstellen Okta
1. **Suchen Sie in der IAM Identity Center-Konsole auf der Seite **Einstellungen** das Informationsfeld **Automatische Bereitstellung** und wählen Sie dann Aktivieren aus.** Dadurch wird die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpunkt- und Zugriffstoken-Informationen angezeigt.
1. Kopieren Sie im Dialogfeld **Automatische Bereitstellung für eingehende** Nachrichten die einzelnen Werte für die folgenden Optionen:
1. **SCIM-Endpunkt** — Das Endpunktformat hängt von Ihrer Konfiguration ab:
+ IPv4: https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
+ Doppelstapel: https://scim. *us-east-2*.api.aws//scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Zugriffstoken — Wählen Sie Token anzeigen****, um den Wert zu kopieren.**
**Warnung**
Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren. Sie werden diese Werte Okta später in diesem Tutorial eingeben, um die automatische Bereitstellung zu konfigurieren.
1. Klicken Sie auf **Schließen**.
1. Kehren Sie zur IAM Identity Center App zurück Okta admin dashboard und navigieren Sie zur App.
1. **Wählen Sie auf der Seite der **IAM Identity Center-App** den Tab **Provisioning** und wählen Sie dann in der linken Navigationsleiste unter **Einstellungen** die Option Integration aus.**
1. Wählen Sie **Bearbeiten** und aktivieren Sie dann das Kontrollkästchen neben **API-Integration aktivieren**, um die automatische Bereitstellung zu aktivieren.
1. Verwenden Sie für die Konfiguration Okta die SCIM-Bereitstellungswerte AWS IAM Identity Center , die Sie zuvor in diesem Schritt kopiert haben:
1. Geben Sie im Feld **Basis-URL** den **SCIM-Endpunktwert** ein.
1. Geben Sie im Feld **API-Token** den Wert für das **Zugriffstoken** ein.
1. Wählen Sie **API-Anmeldeinformationen testen**, um zu überprüfen, ob die eingegebenen Anmeldeinformationen gültig sind.
Die Nachricht **AWS IAM Identity Center wurde erfolgreich verifiziert\$1** zeigt an.
1. Wählen Sie **Speichern**. Sie werden in den Bereich **Einstellungen** verschoben, in dem **Integration** ausgewählt ist.
1. Wählen Sie unter **Einstellungen** die Option **Zur App** aus und aktivieren Sie dann das Kontrollkästchen **Aktivieren** für jede der Funktionen von **Provisioning to App,** die Sie aktivieren möchten. Wählen Sie für dieses Tutorial alle Optionen aus.
1. Wählen Sie **Speichern**.
Sie sind jetzt bereit, Ihre Benutzer Okta mit IAM Identity Center zu synchronisieren.
## Schritt 4Okta: Synchronisieren Sie Benutzer Okta mit IAM Identity Center
Standardmäßig sind Ihrer Okta IAM Identity Center-App keine Gruppen oder Benutzer zugewiesen. Durch die Bereitstellung von Gruppen werden die Benutzer bereitgestellt, die Mitglieder der Gruppe sind. Gehen Sie wie folgt vor, um Gruppen und Benutzer mit AWS IAM Identity Center zu synchronisieren.
1. Wählen Sie auf der Seite der **OktaIAM Identity Center-App** den Tab **Zuweisungen** aus. Sie können der IAM Identity Center-App sowohl Personen als auch Gruppen zuweisen.
1. So weisen Sie Personen zu:
+ Wählen Sie auf der Seite „**Aufgaben**“ die Option „**Zuweisen**“ und dann „**Personen zuweisen**“ aus.
+ Wählen Sie die Okta Benutzer aus, die Zugriff auf die IAM Identity Center-App haben sollen. Wählen Sie „**Zuweisen**“, dann „**Speichern und Zurück**“ und anschließend „**Fertig**“.
Dadurch wird der Prozess der Bereitstellung der Benutzer für IAM Identity Center gestartet.
1. Um Gruppen zuzuweisen:
+ Wählen Sie auf der Seite „**Zuweisungen**“ die Option „**Zuweisen**“ und anschließend „**Gruppen zuweisen**“.
+ Wählen Sie die Okta Gruppen aus, für die Sie Zugriff auf die IAM Identity Center-App haben möchten. Wählen Sie „**Zuweisen**“, dann „**Speichern und Zurück**“ und anschließend „**Fertig**“.
Dadurch wird der Prozess der Bereitstellung der Benutzer in der Gruppe für IAM Identity Center gestartet.
**Anmerkung**
Möglicherweise müssen Sie zusätzliche Attribute für die Gruppe angeben, wenn diese nicht in allen Benutzerdatensätzen vorhanden sind. Die für die Gruppe angegebenen Attribute haben Vorrang vor allen individuellen Attributwerten.
1. Wählen Sie die Registerkarte **Push-Gruppen**. Wählen Sie die Okta Gruppe aus, die Sie mit IAM Identity Center synchronisieren möchten. Wählen Sie **Speichern**.
Der Gruppenstatus ändert sich in **Aktiv**, nachdem die Gruppe und ihre Mitglieder per Push an IAM Identity Center weitergeleitet wurden.
1. Kehren Sie zur Registerkarte „**Zuweisungen**“ zurück.
1. Gehen Sie wie folgt vor, um einzelne Okta Benutzer zu IAM Identity Center hinzuzufügen:
1. Wählen Sie auf der Seite „**Zuweisungen**“ die Option „**Zuweisen**“ und dann „**Personen zuweisen**“.
1. Wählen Sie die Okta Benutzer aus, die Zugriff auf die IAM Identity Center-App haben sollen. Wählen Sie „**Zuweisen**“, dann „**Speichern und Zurück**“ und anschließend „**Fertig**“.
Damit wird der Prozess der Bereitstellung der einzelnen Benutzer für IAM Identity Center gestartet.
**Anmerkung**
Sie können der AWS IAM Identity Center App auch Benutzer und Gruppen zuweisen, und zwar auf der **Anwendungsseite** von. Okta admin dashboard Wählen Sie dazu das **Einstellungssymbol** aus und wählen Sie dann **Benutzern zuweisen** oder Zu **Gruppen zuweisen** und geben Sie dann den Benutzer oder die Gruppe an.
1. Kehren Sie zur IAM Identity Center-Konsole zurück. Wählen Sie in der linken Navigationsleiste **Benutzer** aus. Sie sollten die Benutzerliste mit Ihren Okta Benutzern sehen.
**Herzlichen Glückwunsch\$1**
Sie haben erfolgreich eine SAML-Verbindung zwischen Okta und eingerichtet AWS und sich vergewissert, dass die automatische Bereitstellung funktioniert. Sie können diese Benutzer jetzt Konten und Anwendungen in **IAM** Identity Center zuweisen. Für dieses Tutorial bestimmen wir im nächsten Schritt einen der Benutzer als IAM Identity Center-Administrator, indem wir ihm Administratorrechte für das Verwaltungskonto gewähren.
## *Übergabe von Attributen für die Zugriffskontrolle — optional*
Sie können optional die [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) Funktion in IAM Identity Center verwenden, um ein `Attribute` Element zu übergeben, dessen `Name` Attribut auf `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` gesetzt ist. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie [AWS STS im *IAM-Benutzerhandbuch* unter Sitzungs-Tags übergeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).
Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das `AttributeValue`-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar `CostCenter = blue` für das Tag zu übergeben.
```
blue
```
Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates `Attribute` Element hinzu.
## Weisen Sie Zugriff zu AWS-Konten
Die folgenden Schritte sind nur erforderlich, um AWS-Konten nur Zugriff zu gewähren. Diese Schritte sind nicht erforderlich, um Zugriff auf AWS Anwendungen zu gewähren.
**Anmerkung**
Um diesen Schritt abzuschließen, benötigen Sie eine Organisationsinstanz von IAM Identity Center. Weitere Informationen finden Sie unter [Organisations- und Kontoinstanzen von IAM Identity Center](identity-center-instances.md).
### Schritt 1: IAM Identity Center: Gewähren Sie Okta Benutzern Zugriff auf Konten
1. Wählen Sie im Navigationsbereich von IAM Identity Center unter **Berechtigungen für mehrere Konten** die Option. **AWS-Konten**
1. Auf der **AWS-Konten**Seite „**Organisationsstruktur**“ wird Ihr Organisationsstamm mit Ihren Konten darunter in der Hierarchie angezeigt. Markieren Sie das Kontrollkästchen für Ihr Verwaltungskonto und wählen Sie dann **Benutzer oder Gruppen zuweisen** aus.
1. Der Workflow **„Benutzer und Gruppen zuweisen**“ wird angezeigt. Er besteht aus drei Schritten:
1. **Wählen Sie für Schritt 1: Benutzer und Gruppen** auswählen den Benutzer aus, der die Administratorfunktion ausführen soll. Klicken Sie anschließend auf **Weiter**.
1. **Wählen Sie für Schritt 2: Berechtigungssätze** auswählen die Option **Berechtigungssatz erstellen** aus, um eine neue Registerkarte zu öffnen, die Sie durch die drei Teilschritte beim Erstellen eines Berechtigungssatzes führt.
1. Gehen Sie für **Schritt 1: Berechtigungssatztyp auswählen** wie folgt vor:
+ Wählen Sie unter **Typ des Berechtigungssatzes** die Option **Vordefinierter Berechtigungssatz** aus.
+ Wählen Sie unter **Richtlinie für vordefinierten Berechtigungssatz** die Option aus **AdministratorAccess**.
Wählen Sie **Weiter** aus.
1. Für **Schritt 2: Geben Sie die Details zum Berechtigungssatz** an, behalten Sie die Standardeinstellungen bei und wählen Sie **Weiter** aus.
Mit den Standardeinstellungen wird ein Berechtigungssatz *AdministratorAccess* mit einem Namen erstellt, dessen Sitzungsdauer auf eine Stunde festgelegt ist.
1. Stellen Sie für **Schritt 3: Überprüfen und erstellen** sicher, dass der **Typ Berechtigungssatz** die AWS verwaltete Richtlinie verwendet **AdministratorAccess**. Wählen Sie **Erstellen** aus. Auf der Seite **Berechtigungssätze** wird eine Benachrichtigung angezeigt, die Sie darüber informiert, dass der Berechtigungssatz erstellt wurde. Sie können diese Registerkarte jetzt in Ihrem Webbrowser schließen.
Auf der Browser-Registerkarte „**Benutzer und Gruppen zuweisen**“ befinden Sie sich immer noch in **Schritt 2: Wählen Sie die Berechtigungssätze** aus, von denen aus Sie den Workflow zum Erstellen von Berechtigungssätzen gestartet haben.
Wählen Sie im Bereich „**Berechtigungssätze**“ die Schaltfläche „**Aktualisieren**“. Der von Ihnen erstellte *AdministratorAccess* Berechtigungssatz wird in der Liste angezeigt. Aktivieren Sie das Kontrollkästchen für diesen Berechtigungssatz und wählen Sie dann **Weiter**.
1. Überprüfen **Sie für Schritt 3: Überprüfen und Absenden** den ausgewählten Benutzer und den ausgewählten Berechtigungssatz und wählen Sie dann **Absenden** aus.
Die Seite wird mit der Meldung aktualisiert, dass Ihr AWS-Konto System gerade konfiguriert wird. Warten Sie, bis der Vorgang abgeschlossen ist.
Sie kehren zur AWS-Konten Seite zurück. In einer Benachrichtigung werden Sie darüber informiert, dass Ihr AWS-Konto Konto erneut bereitgestellt und der aktualisierte Berechtigungssatz angewendet wurde. Wenn sich der Benutzer anmeldet, hat er die Möglichkeit, die Rolle auszuwählen. *AdministratorAccess*
### Schritt 2Okta: Bestätigen Sie den Okta Benutzerzugriff auf Ressourcen AWS
1. Melden Sie sich mit einem Testkonto bei der anOkta dashboard.
1. Wählen Sie unter **Meine Apps** das AWS IAM Identity Center Symbol aus.
1. Sie sollten das AWS-Konto Symbol sehen. Erweitern Sie dieses Symbol, um die Liste zu sehen, auf AWS-Konten die der Benutzer zugreifen kann. In diesem Tutorial haben Sie nur mit einem einzigen Konto gearbeitet, sodass beim Erweitern des Symbols nur ein Konto angezeigt wird.
1. Wählen Sie das Konto aus, um die für den Benutzer verfügbaren Berechtigungssätze anzuzeigen. In diesem Tutorial haben Sie den **AdministratorAccess**Berechtigungssatz erstellt.
1. Neben dem Berechtigungssatz befinden sich Links für den Zugriffstyp, der für diesen Berechtigungssatz verfügbar ist. Bei der Erstellung des Berechtigungssatzes haben Sie sowohl den Zugriff auf den als auch den AWS-Managementkonsole programmatischen Zugriff angegeben. Wählen Sie **Managementkonsole** aus, um die zu öffnen. AWS-Managementkonsole
1. Der Benutzer ist bei angemeldet AWS-Managementkonsole.
Sie können auch das AWS Zugriffsportal verwenden. Dadurch werden Sie weitergeleitet, sich über das Okta Portal anzumelden, bevor Sie zum AWS Zugangsportal weitergeleitet werden. Dieser Pfad folgt dem vom SP initiierten SAML-Anmeldeablauf.
## OktaKonfiguration für den Zugriff auf zusätzliche Regionen von IAM Identity Center — optional
Wenn Sie IAM Identity Center in weitere Regionen repliziert haben, müssen Sie Ihre Identity Provider-Konfiguration aktualisieren, um den Zugriff auf AWS verwaltete Anwendungen und AWS-Konten über die zusätzlichen Regionen zu ermöglichen. Die folgenden Schritte führen Sie durch das Verfahren. Weitere Informationen zu diesem Thema, einschließlich der Voraussetzungen, finden Sie unter[Verwenden von IAM Identity Center für mehrere AWS-Regionen](multi-region-iam-identity-center.md).
1. Rufen Sie ACS URLs für die zusätzlichen Regionen von der IAM Identity Center-Konsole ab, wie unter beschrieben[ACS-Endpunkte im primären und weiteren AWS-Regionen](multi-region-workforce-access.md#acs-endpoints).
1. Wählen Sie im Navigationsbereich des Okta Admin-Dashboards **Anwendungen** und anschließend in der erweiterten Liste erneut **Anwendungen** aus.
1. Wählen Sie die **AWS IAM Identity Center**-Anwendung.
1. Wählen Sie die Registerkarte **Sign On** (Anmelden) aus.
1. Wählen Sie unter **Erweiterte Anmeldeeinstellungen** und **Anderes anforderbares SSO URLs** die Option Weitere **hinzufügen** für die ACS-URL jeder weiteren Region aus und fügen Sie die ACS-URL in das Textfeld ein.
1. Wenn Sie mit dem Hinzufügen des ACS fertig sind URLs, speichern Sie die **AWS IAM Identity Center**Anwendung.
1. Sie können in jeder weiteren Region eine Lesezeichen-App Okta für das AWS Zugriffsportal erstellen. Auf diese Weise können Ihre Benutzer von aus auf das AWS Zugriffsportal in weiteren Regionen zugreifenOkta. Stellen Sie sicher, dass Sie Ihren Benutzern Berechtigungen für den Zugriff auf die Lesezeichen-Apps in Okta gewähren. Weitere Informationen finden Sie in der [OktaDokumentation](https://support.okta.com/help/s/article/create-a-bookmark-app).
1. Stellen Sie sicher, dass Sie sich in jeder weiteren Region beim AWS Zugangsportal anmelden können. Navigieren Sie zum [AWS Zugriffsportal URLs](multi-region-workforce-access.md#portal-endpoints) oder starten Sie die Lesezeichen-Apps vonOkta.
## Nächste Schritte
Nachdem Sie nun Okta als Identitätsanbieter konfiguriert und Benutzer in IAM Identity Center bereitgestellt haben, können Sie:
+ Zugriff gewähren auf AWS-Konten, siehe. [Weisen Sie Benutzer- oder Gruppenzugriff zu AWS-Konten](assignusers.md)
+ Zugriff auf Cloud-Anwendungen gewähren, siehe[Weisen Sie Benutzerzugriff auf Anwendungen in der IAM Identity Center-Konsole zu](assignuserstoapp.md).
+ Konfigurieren Sie Berechtigungen auf der Grundlage von Aufgabenfunktionen, siehe [Einen Berechtigungssatz erstellen](howtocreatepermissionset.md).
## Fehlerbehebung
Informationen zur allgemeinen SCIM- und SAML-Problembehandlung mit Okta finden Sie in den folgenden Abschnitten:
+ [Aus IAM Identity Center gelöschte Benutzer und Gruppen erneut bereitstellen](#reprovisioning-deleted-users-groups)
+ [Fehler bei der automatischen Bereitstellung in Okta](#okta-auto-provisioning-error)
+ [Bestimmte Benutzer können sich von einem externen SCIM-Anbieter nicht mit dem IAM Identity Center synchronisieren](troubleshooting.md#issue2)
+ [Probleme mit dem Inhalt von SAML-Assertionen, die von IAM Identity Center erstellt wurden](troubleshooting.md#issue1)
+ [Beim Bereitstellen von Benutzern oder Gruppen mit einem externen Identitätsanbieter ist ein Fehler beim Duplizieren von Benutzern oder Gruppen aufgetreten](troubleshooting.md#duplicate-user-group-idp)
+ [Weitere Ressourcen](#gs-okta-troubleshooting-resources)
### Aus IAM Identity Center gelöschte Benutzer und Gruppen erneut bereitstellen
+ Wenn Sie versuchen, einen Benutzer oder eine Gruppe zu ändern, die einmal synchronisiert und dann aus IAM Identity Center gelöscht wurdeOkta, wird möglicherweise die folgende Fehlermeldung in der Okta Konsole angezeigt:
+ Der automatische Profil-Push des Benutzers *Jane Doe* zur App ist AWS IAM Identity Center fehlgeschlagen: Fehler beim Versuch, die Profilaktualisierung für zu pushen*jane\$1doe@example.com*: Für den Benutzer wurde kein Benutzer zurückgegeben *xxxxx-xxxxxx-xxxxx-xxxxxxx*
+ Die verknüpfte Gruppe fehlt in AWS IAM Identity Center. Ändern Sie die verknüpfte Gruppe, um weiterhin Gruppenmitgliedschaften zu übertragen.
+ Möglicherweise erhalten Sie auch die folgende Fehlermeldung in den Okta Systemprotokollen für synchronisierte und gelöschte IAM Identity Center-Benutzer oder -Gruppen:
+ Okta-Fehler: Eventfailed application.provision.user.push\$1profile: Für den Benutzer wurde kein Benutzer zurückgegeben *xxxxx-xxxxxx-xxxxx-xxxxxxx*
+ Okta-Fehler: application.provision.group\$1push.mapping.update.or.delete.failed.with.error: Die verknüpfte Gruppe fehlt in. AWS IAM Identity CenterÄndern Sie die verknüpfte Gruppe, um die Übertragung von Gruppenmitgliedschaften fortzusetzen.
**Warnung**
Benutzer und Gruppen sollten Okta nicht aus dem IAM Identity Center gelöscht werden, wenn Sie das IAM Identity Center mit SCIM synchronisiert Okta haben.
**Fehlerbehebung für gelöschte IAM Identity Center-Benutzer**
Um dieses Problem mit gelöschten IAM Identity Center-Benutzern zu beheben, müssen die Benutzer von gelöscht werden. Okta Falls erforderlich, müssten diese Benutzer auch in neu erstellt werden. Okta Wenn der Benutzer neu erstellt wirdOkta, wird er ebenfalls über SCIM erneut im IAM Identity Center bereitgestellt. [Weitere Informationen zum Löschen eines Benutzers finden Sie in der Dokumentation. Okta](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-deactivate-user-account.htm)
**Anmerkung**
Wenn Sie einem Okta Benutzer den Zugriff auf IAM Identity Center entziehen müssen, sollten Sie ihn zuerst aus seinem Gruppen-Push und dann aus seiner Zuweisungsgruppe entfernen. Okta Dadurch wird sichergestellt, dass der Benutzer aus der ihm zugewiesenen Gruppenmitgliedschaft in IAM Identity Center entfernt wird. Weitere Informationen zur Fehlerbehebung bei Group Push finden Sie in der [OktaDokumentation](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm).
**Fehlerbehebung bei gelöschten IAM Identity Center-Gruppen**
Um dieses Problem mit gelöschten IAM Identity Center-Gruppen zu beheben, muss die Gruppe aus Okta gelöscht werden. Falls erforderlich, müssten diese Gruppen auch in Okta mithilfe von Group Push neu erstellt werden. Wenn der Benutzer in Okta neu erstellt wird, wird er auch über SCIM erneut im IAM Identity Center bereitgestellt. [Weitere Informationen zum Löschen einer Gruppe finden Sie in der Okta-Dokumentation.](https://help.okta.com/oie/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm)
### Fehler bei der automatischen Bereitstellung in Okta
Wenn Sie die folgende Fehlermeldung erhalten inOkta:
Die automatische Bereitstellung des Benutzers Jane Doe für die App ist AWS IAM Identity Center fehlgeschlagen: Der passende Benutzer wurde nicht gefunden
Weitere Informationen finden Sie in der [OktaDokumentation](https://support.okta.com/help/s/article/aws-iam-identity-center-provisioning-error-automatic-provisioning-of-user-name-of-user-to-app-aws-iam-identity-center-failed-matching-user-not-found?language=en_US).
### Weitere Ressourcen
+ Allgemeine Tipps zur SCIM-Fehlerbehebung finden Sie unter[Behebung von Problemen mit IAM Identity Center](troubleshooting.md).
Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit AWS helfen:
+ [AWS re:Post](https://repost.aws/)- Hier finden Sie weitere Ressourcen FAQs und Links zu diesen, die Ihnen bei der Behebung von Problemen helfen.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)- Holen Sie sich technischen Support
# Einrichtung der SCIM-Bereitstellung zwischen OneLogin und IAM Identity Center
IAM Identity Center unterstützt die automatische Bereitstellung (Synchronisation) von Benutzer- und Gruppeninformationen aus dem OneLogin IAM Identity Center mithilfe des SCIM-Protokolls (System for Cross-Domain Identity Management) v2.0. Weitere Informationen finden Sie unter [Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern](other-idps.md).
**Anmerkung**
OneLoginunterstützt derzeit den SAML Multiple Assertion Consume Service (ACS) in der Anwendung nicht. URLs AWS IAM Identity Center Diese SAML-Funktion ist erforderlich, um die [Unterstützung mehrerer Regionen](multi-region-iam-identity-center.md) in IAM Identity Center in vollem Umfang nutzen zu können. Wenn Sie planen, IAM Identity Center in weitere Regionen zu replizieren, beachten Sie, dass die Verwendung einer einzigen ACS-URL die Benutzererfahrung in diesen zusätzlichen Regionen beeinträchtigen kann. Ihre Hauptregion wird weiterhin normal funktionieren. Wir empfehlen, dass Sie mit Ihrem IdP-Anbieter zusammenarbeiten, um diese Funktion zu aktivieren. Weitere Informationen zur Benutzererfahrung in weiteren Regionen mit einer einzigen ACS-URL finden Sie unter [Verwendung AWS verwalteter Anwendungen ohne mehrere ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) und[AWS-Konto Ausfallsicherheit beim Zugriff ohne mehrere ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
Sie konfigurieren diese Verbindung inOneLogin, indem Sie Ihren SCIM-Endpunkt für IAM Identity Center und ein Trägertoken verwenden, das automatisch von IAM Identity Center erstellt wird. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute OneLogin zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und überein. OneLogin
In den folgenden Schritten erfahren Sie, wie Sie mithilfe des SCIM-Protokolls die automatische Bereitstellung von Benutzern und Gruppen von OneLogin zu IAM Identity Center aktivieren.
**Anmerkung**
Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, zunächst die zu lesen. [Überlegungen zur Verwendung der automatischen Bereitstellung](provision-automatically.md#auto-provisioning-considerations)
**Topics**
+ [
## Voraussetzungen
](#onelogin-prereqs)
+ [
## Schritt 1: Aktivieren Sie die Bereitstellung im IAM Identity Center
](#onelogin-step1)
+ [
## Schritt 2: Konfigurieren Sie die Bereitstellung in OneLogin
](#onelogin-step2)
+ [
## (Optional) Schritt 3: Konfigurieren Sie Benutzerattribute OneLogin für die Zugriffskontrolle im IAM Identity Center
](#onelogin-step3)
+ [
## (Optional) Übergabe von Attributen für die Zugriffskontrolle
](#onelogin-passing-abac)
+ [
## Fehlerbehebung
](#onelogin-troubleshooting)
## Voraussetzungen
Bevor Sie beginnen können, benötigen Sie Folgendes:
+ Ein OneLogin Konto. Wenn Sie noch kein Konto haben, können Sie auf der [OneLoginWebsite möglicherweise ein kostenloses Test- oder Entwicklerkonto beantragen](https://www.onelogin.com/free-trial).
+ [Ein IAM Identity Center-fähiges Konto (kostenlos).](https://aws.amazon.com/single-sign-on/) Weitere Informationen finden Sie unter [IAM Identity Center aktivieren](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Eine SAML-Verbindung von Ihrem OneLogin Konto zum IAM Identity Center. Weitere Informationen finden Sie unter [Aktivieren von Single Sign-On zwischen OneLogin und AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) im AWS Partner Network-Blog.
## Schritt 1: Aktivieren Sie die Bereitstellung im IAM Identity Center
In diesem ersten Schritt verwenden Sie die IAM Identity Center-Konsole, um die automatische Bereitstellung zu aktivieren.
**Um die automatische Bereitstellung in IAM Identity Center zu aktivieren**
1. Nachdem Sie die Voraussetzungen erfüllt haben, öffnen Sie die [IAM Identity](https://console.aws.amazon.com/singlesignon) Center-Konsole.
1. Wählen Sie im linken Navigationsbereich **Einstellungen** aus.
1. Suchen Sie auf der Seite **Einstellungen** das Informationsfeld **Automatische Bereitstellung** und wählen Sie dann **Aktivieren** aus. Dadurch wird sofort die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.
1. Kopieren Sie im Dialogfeld **Automatische Bereitstellung für eingehende Nachrichten** den SCIM-Endpunkt und das Zugriffstoken. Sie müssen diese später einfügen, wenn Sie die Bereitstellung in Ihrem IdP konfigurieren.
1. **SCIM-Endpunkt** — Zum Beispiel https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Zugriffstoken — Wählen Sie Token anzeigen****, um den Wert zu kopieren.**
**Warnung**
Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren. Sie werden diese Werte eingeben, um die automatische Bereitstellung in Ihrem IdP später in diesem Tutorial zu konfigurieren.
1. Klicken Sie auf **Schließen**.
Sie haben jetzt die Bereitstellung in der IAM Identity Center-Konsole eingerichtet. Jetzt müssen Sie die verbleibenden Aufgaben mithilfe der OneLogin Admin-Konsole ausführen, wie im folgenden Verfahren beschrieben.
## Schritt 2: Konfigurieren Sie die Bereitstellung in OneLogin
Verwenden Sie das folgende Verfahren in der OneLogin Admin-Konsole, um die Integration zwischen IAM Identity Center und der IAM Identity Center-App zu aktivieren. Bei diesem Verfahren wird davon ausgegangen, dass Sie die AWS Single Sign-On-Anwendung bereits OneLogin für die SAML-Authentifizierung konfiguriert haben. Wenn Sie diese SAML-Verbindung noch nicht hergestellt haben, tun Sie dies, bevor Sie fortfahren, und kehren Sie dann hierher zurück, um den SCIM-Bereitstellungsprozess abzuschließen. Weitere Informationen zur Konfiguration von SAML mit OneLogin finden Sie unter [Aktivieren von Single Sign-On zwischen OneLogin und AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) im Partner Network-Blog. AWS
**So konfigurieren Sie die Bereitstellung in OneLogin**
1. Melden Sie sich an OneLogin und navigieren Sie dann zu **Anwendungen > Anwendungen**.
1. Suchen Sie auf der Seite **Anwendungen** nach der Anwendung, die Sie zuvor erstellt haben, um Ihre SAML-Verbindung mit IAM Identity Center herzustellen. Wählen Sie sie aus und wählen Sie dann im Navigationsbereich **Konfiguration** aus.
1. Im vorherigen Verfahren haben Sie den **SCIM-Endpunktwert** in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld **SCIM-Basis-URL** in ein. OneLogin Außerdem haben Sie im vorherigen Verfahren den Wert des **Zugriffstokens** in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld **SCIM-Bearer-Token unter ein**. OneLogin
1. Klicken Sie neben **API-Verbindung** auf **Aktivieren** und dann auf **Speichern**, um die Konfiguration abzuschließen.
1. Wählen Sie im Navigationsbereich **Provisioning** (Bereitstellung) aus.
1. Aktivieren Sie die Kontrollkästchen für **Bereitstellung aktivieren**, **Benutzer erstellen, Benutzer** **löschen und Benutzer** **aktualisieren** und wählen Sie dann **Speichern** aus.
1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.
1. Klicken Sie auf **Weitere Aktionen** und wählen Sie **Logins synchronisieren** aus. Sie sollten die Meldung *Benutzer mit AWS Single Sign-On synchronisieren* erhalten.
1. Klicken Sie erneut auf **Weitere Aktionen** und wählen Sie dann Berechtigungszuordnungen **erneut anwenden** aus. Sie sollten die Meldung „*Zuordnungen* werden erneut angewendet“ erhalten.
1. Zu diesem Zeitpunkt sollte der Bereitstellungsprozess beginnen. Um dies zu bestätigen, navigieren Sie zu **Aktivität > Ereignisse** und überwachen Sie den Fortschritt. Erfolgreiche Bereitstellungsereignisse sowie Fehler sollten im Event-Stream erscheinen.
1. **Um zu überprüfen, ob Ihre Benutzer und Gruppen alle erfolgreich mit IAM Identity Center synchronisiert wurden, kehren Sie zur IAM Identity Center-Konsole zurück und wählen Sie Benutzer aus.** Ihre synchronisierten Benutzer von OneLogin werden auf der Seite **Benutzer** angezeigt. Sie können Ihre synchronisierten Gruppen auch auf der **Gruppenseite** einsehen.
1. **Um Benutzeränderungen automatisch mit IAM Identity Center zu synchronisieren, navigieren Sie zur Seite **Provisioning**, suchen Sie den Abschnitt **Administratorgenehmigung erforderlich, bevor diese Aktion ausgeführt wird**, deaktivieren Sie die Optionen **Benutzer erstellen, Benutzer** **löschen, Benutzer and/or ** **aktualisieren** und klicken Sie auf Speichern.**
## (Optional) Schritt 3: Konfigurieren Sie Benutzerattribute OneLogin für die Zugriffskontrolle im IAM Identity Center
Dies ist ein optionales Verfahren für die OneLogin Konfiguration von Attributen, die Sie in IAM Identity Center verwenden, um den Zugriff auf Ihre AWS Ressourcen zu verwalten. Die Attribute, die Sie definieren, OneLogin werden in einer SAML-Assertion an IAM Identity Center übergeben. Anschließend erstellen Sie in IAM Identity Center einen Berechtigungssatz, um den Zugriff auf der Grundlage der Attribute zu verwalten, die Sie übergeben haben. OneLogin
Bevor Sie mit diesem Verfahren beginnen, müssen Sie zuerst die [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) Funktion aktivieren. Weitere Information dazu finden Sie unter [Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle](configure-abac.md).
**Um Benutzerattribute OneLogin für die Zugriffskontrolle im IAM Identity Center zu konfigurieren**
1. Melden Sie sich an OneLogin und navigieren Sie dann zu **Anwendungen > Anwendungen**.
1. Suchen Sie auf der Seite **Anwendungen** nach der Anwendung, die Sie zuvor erstellt haben, um Ihre SAML-Verbindung mit IAM Identity Center herzustellen. Wählen Sie sie aus und klicken Sie dann im Navigationsbereich auf **Parameter**.
1. Gehen Sie im Abschnitt **Erforderliche Parameter** für jedes Attribut, das Sie in IAM Identity Center verwenden möchten, wie folgt vor:
1. Wählen Sie **\$1**.
1. Geben Sie im **Feld Feldname** den Namen des Attributs ein`https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`, das Sie in IAM Identity Center erwarten, und ersetzen **AttributeName** Sie es durch. Beispiel, `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
1. **Aktivieren Sie unter **Flags** das Kontrollkästchen neben **In SAML-Assertion einbeziehen** und wählen Sie Speichern aus.**
1. Verwenden Sie im Feld **Wert** die Dropdownliste, um die OneLogin Benutzerattribute auszuwählen. Zum Beispiel **Abteilung**.
1. Wählen Sie **Speichern**.
## (Optional) Übergabe von Attributen für die Zugriffskontrolle
Sie können optional die [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) Funktion in IAM Identity Center verwenden, um ein `Attribute` Element zu übergeben, dessen `Name` Attribut auf `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` gesetzt ist. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie [AWS STS im *IAM-Benutzerhandbuch* unter Sitzungs-Tags übergeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).
Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das `AttributeValue`-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar `CostCenter = blue` für das Tag zu übergeben.
```
blue
```
Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates `Attribute` Element hinzu.
## Fehlerbehebung
Im Folgenden können Sie einige häufig auftretende Probleme beheben, die bei der Einrichtung der automatischen Bereitstellung auftreten können. OneLogin
**Gruppen werden nicht für IAM Identity Center bereitgestellt**
Standardmäßig können Gruppen nicht vom IAM Identity Center aus OneLogin bereitgestellt werden. Stellen Sie sicher, dass Sie die Gruppenbereitstellung für Ihre IAM Identity Center-Anwendung in aktiviert haben. OneLogin Melden Sie sich dazu bei der OneLogin Admin-Konsole an und stellen Sie sicher, dass **in den Eigenschaften der IAM Identity Center-Anwendung (**IAM Identity Center-Anwendung > Parameter >** Gruppen) die Option In die Benutzerverwaltung einbeziehen** ausgewählt ist. [Weitere Informationen zum Erstellen von Gruppen inOneLogin, einschließlich der Synchronisation von OneLogin Rollen als Gruppen in SCIM, finden Sie auf der Website. OneLogin](https://onelogin.service-now.com/support)
**Es wird nichts vom OneLogin IAM Identity Center synchronisiert, obwohl alle Einstellungen korrekt sind**
Zusätzlich zu dem obigen Hinweis zur Genehmigung durch den Administrator müssen Sie die **Berechtigungszuordnungen erneut anwenden**, damit viele Konfigurationsänderungen wirksam werden. Dies finden Sie unter **Anwendungen > Anwendungen > IAM Identity Center-Anwendung >** Weitere Aktionen. Details und Protokolle zu den meisten AktionenOneLogin, einschließlich Synchronisierungsereignissen, finden Sie unter **Aktivität > Ereignisse**.
**Ich habe eine Gruppe gelöscht oder deaktiviertOneLogin, aber sie wird immer noch in IAM Identity Center angezeigt**
OneLoginunterstützt derzeit den SCIM DELETE-Vorgang für Gruppen nicht, was bedeutet, dass die Gruppe weiterhin in IAM Identity Center existiert. Sie müssen die Gruppe daher direkt aus IAM Identity Center entfernen, um sicherzustellen, dass alle entsprechenden Berechtigungen in IAM Identity Center für diese Gruppe entfernt werden.
**Ich habe eine Gruppe in IAM Identity Center gelöscht, ohne sie vorher zu löschen, OneLogin und jetzt habe ich Synchronisierungsprobleme user/group **
Um dieses Problem zu beheben, stellen Sie zunächst sicher, dass Sie keine redundanten Regeln oder Konfigurationen für die Gruppenbereitstellung eingerichtet haben. OneLogin Zum Beispiel eine Gruppe, die einer Anwendung direkt zugewiesen ist, zusammen mit einer Regel, die für dieselbe Gruppe veröffentlicht. Löschen Sie anschließend alle unerwünschten Gruppen in IAM Identity Center. **Aktualisieren Sie** abschließend die Berechtigungen (**IAM Identity Center App > Provisioning > Berechtigungen) und wenden Sie dann die Berechtigungszuordnungen** **erneut an (IAM Identity Center App > Weitere Aktionen**). OneLogin Um dieses Problem in future zu vermeiden, nehmen Sie zunächst die Änderung vor, um die Bereitstellung der Gruppe in zu beendenOneLogin, und löschen Sie dann die Gruppe aus IAM Identity Center.
# Ping IdentityProdukte mit IAM Identity Center verwenden
Die folgenden Ping Identity Produkte wurden mit IAM Identity Center getestet.
**Topics**
+ [
# PingFederate
](pingfederate-idp.md)
+ [
# PingOne
](pingone-idp.md)
# PingFederate
IAM Identity Center unterstützt die automatische Bereitstellung (Synchronisation) von Benutzer- und Gruppeninformationen aus dem PingFederate Produkt Ping Identity (im Folgenden „Ping“) in IAM Identity Center. Bei dieser Bereitstellung wird das SCIM-Protokoll (System for Cross-Domain Identity Management) v2.0 verwendet. Weitere Informationen finden Sie unter [Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern](other-idps.md).
Sie konfigurieren diese Verbindung PingFederate mithilfe Ihres IAM Identity Center SCIM-Endpoints und Ihres Zugriffstokens. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute PingFederate zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und überein. PingFederate
Dieses Handbuch basiert auf PingFederate Version 10.2. Die Schritte für andere Versionen können variieren. Wenden Sie sich anPing, um weitere Informationen zur Konfiguration der Bereitstellung im IAM Identity Center für andere Versionen von zu erhalten. PingFederate
In den folgenden Schritten erfahren Sie, wie Sie mithilfe des SCIM-Protokolls die automatische Bereitstellung von Benutzern und Gruppen von PingFederate zu IAM Identity Center aktivieren.
**Anmerkung**
Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, zunächst die zu lesen. [Überlegungen zur Verwendung der automatischen Bereitstellung](provision-automatically.md#auto-provisioning-considerations) Lesen Sie dann im nächsten Abschnitt weitere Überlegungen durch.
**Topics**
+ [
## Voraussetzungen
](#pingfederate-prereqs)
+ [
## Überlegungen
](#pingfederate-considerations)
+ [
## Schritt 1: Aktivieren Sie die Bereitstellung im IAM Identity Center
](#pingfederate-step1)
+ [
## Schritt 2: Konfigurieren Sie die Bereitstellung in PingFederate
](#pingfederate-step2)
+ [
## (Optional) Schritt 3: Konfigurieren Sie Benutzerattribute in PingFed erate für die Zugriffskontrolle im IAM Identity Center
](#pingfederate-step3)
+ [
## (Optional) Übergabe von Attributen für die Zugriffskontrolle
](#pingfederate-passing-abac)
+ [
## Fehlerbehebung
](#pingfederate-troubleshooting)
## Voraussetzungen
Bevor Sie beginnen können, benötigen Sie Folgendes:
+ Ein funktionierender PingFederate Server. Wenn Sie noch keinen PingFederate Server haben, können Sie auf der [Ping Identity-Website](https://www.pingidentity.com/developer/en/get-started.html#:~:text=Get%20started%20developing%20with%20open,a%20developer%20trial%20of%20PingOne.) möglicherweise ein kostenloses Test- oder Entwicklerkonto beantragen. Die Testversion umfasst Lizenzen und Software-Downloads sowie die zugehörige Dokumentation.
+ Eine Kopie der auf Ihrem PingFederate Server installierten PingFederate IAM Identity Center Connector-Software. Weitere Informationen zum Erwerb dieser Software finden Sie auf der Website unter [IAM Identity Center Connector](https://support.pingidentity.com/s/marketplace-integration/a7i1W000000TOZ1/). Ping Identity
+ [Ein IAM Identity Center-fähiges Konto (kostenlos).](https://aws.amazon.com/single-sign-on/) Weitere Informationen finden Sie unter [IAM Identity Center aktivieren](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Eine SAML-Verbindung von Ihrer PingFederate Instance zum IAM Identity Center. Anweisungen zur Konfiguration dieser Verbindung finden Sie in der PingFederate Dokumentation. Zusammenfassend lässt sich sagen, dass der empfohlene Weg darin besteht, den IAM Identity Center Connector zur Konfiguration von „Browser SSO“ zu verwenden und dabei die Metadaten-Funktionen „Herunterladen“ und „Importieren“ an beiden Enden zu verwenden, um SAML-Metadaten zwischen PingFederate und IAM Identity Center auszutauschen. PingFederate
+ Wenn Sie IAM Identity Center in weitere Regionen repliziert haben, müssen Sie Ihre Identity Provider-Konfiguration aktualisieren, um den Zugriff auf AWS verwaltete Anwendungen und von diesen Regionen aus zu ermöglichen. AWS-Konten Weitere Details finden Sie unter [Schritt 3: Aktualisieren Sie das externe IdP-Setup](replicate-to-additional-region.md#update-external-idp-setup). Weitere Informationen finden Sie in der PingFederate Dokumentation.
## Überlegungen
Im Folgenden finden Sie wichtige ÜberlegungenPingFederate, die sich darauf auswirken können, wie Sie die Bereitstellung mit IAM Identity Center implementieren.
+ Wenn ein Attribut (z. B. eine Telefonnummer) von einem Benutzer im in konfigurierten Datenspeicher entfernt wirdPingFederate, wird dieses Attribut nicht aus dem entsprechenden Benutzer in IAM Identity Center entfernt. Dies ist eine bekannte Einschränkung bei der Implementierung von PingFederate’s Provisionern. Wenn ein Attribut für einen Benutzer in einen anderen (nicht leeren) Wert geändert wird, wird diese Änderung mit IAM Identity Center synchronisiert.
## Schritt 1: Aktivieren Sie die Bereitstellung im IAM Identity Center
In diesem ersten Schritt verwenden Sie die IAM Identity Center-Konsole, um die automatische Bereitstellung zu aktivieren.
**Um die automatische Bereitstellung in IAM Identity Center zu aktivieren**
1. Nachdem Sie die Voraussetzungen erfüllt haben, öffnen Sie die [IAM Identity](https://console.aws.amazon.com/singlesignon) Center-Konsole.
1. Wählen Sie im linken Navigationsbereich **Einstellungen** aus.
1. Suchen Sie auf der Seite **Einstellungen** das Informationsfeld **Automatische Bereitstellung** und wählen Sie dann **Aktivieren** aus. Dadurch wird sofort die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.
1. Kopieren Sie im Dialogfeld **Automatische Bereitstellung für eingehende Nachrichten** den SCIM-Endpunkt und das Zugriffstoken. Sie müssen diese später einfügen, wenn Sie die Bereitstellung in Ihrem IdP konfigurieren.
1. **SCIM-Endpunkt** — Zum Beispiel https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Zugriffstoken — Wählen Sie Token anzeigen****, um den Wert zu kopieren.**
**Warnung**
Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren. Sie werden diese Werte eingeben, um die automatische Bereitstellung in Ihrem IdP später in diesem Tutorial zu konfigurieren.
1. Klicken Sie auf **Schließen**.
Nachdem Sie die Bereitstellung in der IAM Identity Center-Konsole eingerichtet haben, müssen Sie die verbleibenden Aufgaben über die PingFederate Verwaltungskonsole ausführen. Die Schritte werden im folgenden Verfahren beschrieben.
## Schritt 2: Konfigurieren Sie die Bereitstellung in PingFederate
Verwenden Sie das folgende Verfahren in der PingFederate Verwaltungskonsole, um die Integration zwischen IAM Identity Center und dem IAM Identity Center Connector zu aktivieren. Bei diesem Verfahren wird davon ausgegangen, dass Sie die IAM Identity Center Connector-Software bereits installiert haben. Falls Sie dies noch nicht getan haben, finden Sie weitere Informationen zur [Voraussetzungen](#pingfederate-prereqs) Konfiguration der SCIM-Bereitstellung in diesem Verfahren und führen Sie es anschließend aus.
**Wichtig**
Wenn Ihr PingFederate Server noch nicht für ausgehende SCIM-Bereitstellung konfiguriert wurde, müssen Sie möglicherweise eine Änderung der Konfigurationsdatei vornehmen, um die Bereitstellung zu aktivieren. Weitere Informationen finden Sie in der Ping-Dokumentation. Zusammenfassend müssen Sie die `pf.provisioner.mode` Einstellung in der **pingfederate-/pingfederate/bin/run.properties**Datei auf einen anderen Wert als `OFF` (Standardeinstellung) ändern und den Server neu starten, falls er gerade läuft. Sie können beispielsweise die Option verwenden, `STANDALONE` wenn Sie derzeit keine Hochverfügbarkeitskonfiguration mit PingFederate haben.
**So konfigurieren Sie die Bereitstellung in PingFederate**
1. Melden Sie sich an der PingFederate Administrationskonsole an.
1. Wählen Sie oben auf der Seite **Anwendungen** aus und klicken Sie dann auf **SP-Verbindungen**.
1. Suchen Sie die Anwendung, die Sie zuvor erstellt haben, um Ihre SAML-Verbindung mit IAM Identity Center herzustellen, und klicken Sie auf den Verbindungsnamen.
1. Wählen Sie in den dunklen Navigationsüberschriften oben auf der Seite den **Verbindungstyp** aus. Sie sollten sehen, dass **Browser-SSO** bereits aus Ihrer vorherigen SAML-Konfiguration ausgewählt wurde. Wenn nicht, müssen Sie zuerst diese Schritte ausführen, bevor Sie fortfahren können.
1. **Aktivieren Sie das Kontrollkästchen **Outbound Provisioning**, wählen Sie **IAM Identity Center Cloud Connector** als Typ aus und klicken Sie auf Speichern.** Wenn **IAM Identity Center Cloud Connector** nicht als Option angezeigt wird, stellen Sie sicher, dass Sie den IAM Identity Center Connector installiert und Ihren Server neu gestartet haben. PingFederate
1. **Klicken Sie wiederholt auf **Weiter**, bis Sie zur Seite **Outbound Provisioning** gelangen, und klicken Sie dann auf die Schaltfläche Provisioning konfigurieren.**
1. Im vorherigen Verfahren haben Sie den **SCIM-Endpunktwert** in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld **SCIM-URL** in der Konsole ein. PingFederate Außerdem haben Sie im vorherigen Verfahren den Wert des **Zugriffstokens** in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld **Zugriffstoken** in der PingFederate Konsole ein. Klicken Sie auf **Speichern**.
1. Klicken Sie auf der Seite **Kanalkonfiguration (Kanäle konfigurieren)** auf **Erstellen**.
1. Geben Sie einen **Kanalnamen** für diesen neuen Bereitstellungskanal ein (z. B.**AWSIAMIdentityCenterchannel**) und klicken Sie auf **Weiter**.
1. **Wählen Sie auf der Seite **Quelle** den **Active Data Store** aus, den Sie für Ihre Verbindung zum IAM Identity Center verwenden möchten, und klicken Sie auf Weiter.**
**Anmerkung**
Wenn Sie noch keine Datenquelle konfiguriert haben, müssen Sie dies jetzt tun. Informationen zur Auswahl und Konfiguration einer Datenquelle finden Sie in der Ping Produktdokumentation unterPingFederate.
1. Vergewissern Sie sich auf der Seite mit den **Quelleinstellungen**, dass alle Werte für Ihre Installation korrekt sind, und klicken Sie dann auf **Weiter**.
1. Geben Sie auf der Seite **Quellspeicherort** die für Ihre Datenquelle geeigneten Einstellungen ein, und klicken Sie dann auf **Weiter**. Wenn Sie beispielsweise Active Directory als LDAP-Verzeichnis verwenden:
1. Geben Sie den **Basis-DN** Ihrer AD-Gesamtstruktur ein (z. B.**DC=myforest,DC=mydomain,DC=com**).
1. Geben Sie **unter Benutzer > Gruppen-DN** eine einzelne Gruppe an, die alle Benutzer enthält, die Sie für IAM Identity Center bereitstellen möchten. Wenn keine solche einzelne Gruppe existiert, erstellen Sie diese Gruppe in AD, kehren Sie zu dieser Einstellung zurück und geben Sie dann den entsprechenden DN ein.
1. **Geben Sie an, ob Untergruppen (**verschachtelte Suche**) durchsucht werden sollen, und geben Sie alle erforderlichen LDAP-Filter an.**
1. Geben Sie **unter Gruppen > Gruppen-DN** eine einzelne Gruppe an, die alle Gruppen enthält, die Sie für IAM Identity Center bereitstellen möchten. In vielen Fällen kann es sich dabei um denselben DN handeln, den Sie im Abschnitt **Benutzer** angegeben haben. Geben Sie nach Bedarf Werte für **verschachtelte Suche** und **Filter** ein.
1. Stellen Sie auf der Seite **Attributzuordnung** Folgendes sicher, und klicken Sie dann auf **Weiter**:
1. Das Feld **UserName** muss einem **Attribut** zugeordnet werden, das als E-Mail formatiert ist (user@domain.com). Es muss auch mit dem Wert übereinstimmen, den der Benutzer für die Anmeldung bei Ping verwenden wird. Dieser Wert wird wiederum während der Verbundauthentifizierung in den `nameId` SAML-Anspruch übernommen und für den Abgleich mit dem Benutzer in IAM Identity Center verwendet. Wenn Sie beispielsweise Active Directory verwenden, können Sie den `UserPrincipalName` als **UserName** angeben.
1. Andere Felder mit dem Suffix **\$1** müssen Attributen zugeordnet werden, die für Ihre Benutzer ungleich Null sind.
1. Setzen Sie auf der Seite **Aktivierung und Zusammenfassung** den **Kanalstatus** auf **Aktiv**, damit die Synchronisation sofort nach dem Speichern der Konfiguration gestartet wird.
1. Vergewissern Sie sich, dass alle Konfigurationswerte auf der Seite korrekt sind, und klicken Sie auf **Fertig**.
1. Klicken Sie auf der Seite „**Kanäle verwalten**“ auf **Speichern**.
1. An diesem Punkt beginnt die Bereitstellung. Um die Aktivität zu bestätigen, können Sie sich die Datei **provisioner.log** ansehen, die sich standardmäßig im **pingfederate-/pingfederate/log**Verzeichnis auf Ihrem PingFederate Server befindet.
1. **Um zu überprüfen, ob Benutzer und Gruppen erfolgreich mit IAM Identity Center synchronisiert wurden, kehren Sie zur IAM Identity Center Console zurück und wählen Sie Benutzer aus.** Synchronisierte Benutzer von PingFederate werden auf der Seite **Benutzer** angezeigt. Sie können synchronisierte Gruppen auch auf der **Gruppenseite** anzeigen.
## (Optional) Schritt 3: Konfigurieren Sie Benutzerattribute in PingFed erate für die Zugriffskontrolle im IAM Identity Center
Dies ist ein optionales Verfahren für die PingFederate Konfiguration von Attributen, die Sie in IAM Identity Center verwenden, um den Zugriff auf Ihre Ressourcen zu verwalten. AWS Die Attribute, die Sie definieren, PingFederate werden in einer SAML-Assertion an IAM Identity Center übergeben. Anschließend erstellen Sie in IAM Identity Center einen Berechtigungssatz, um den Zugriff auf der Grundlage der Attribute zu verwalten, die Sie übergeben haben. PingFederate
Bevor Sie mit diesem Verfahren beginnen, müssen Sie zuerst die [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) Funktion aktivieren. Weitere Information dazu finden Sie unter [Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle](configure-abac.md).
**Um Benutzerattribute PingFederate für die Zugriffskontrolle im IAM Identity Center zu konfigurieren**
1. Melden Sie sich an der PingFederate Administrationskonsole an.
1. Wählen Sie oben auf der Seite **Anwendungen** aus und klicken Sie dann auf **SP-Verbindungen**.
1. Suchen Sie die Anwendung, die Sie zuvor erstellt haben, um Ihre SAML-Verbindung mit IAM Identity Center herzustellen, und klicken Sie auf den Verbindungsnamen.
1. Wählen Sie in den dunklen Navigationsüberschriften oben auf der Seite die Option **Browser-SSO** aus. Klicken Sie anschließend auf **Browser-SSO konfigurieren**.
1. Wählen Sie auf der Seite **Browser-SSO konfigurieren** die **Option Assertion Creation** aus und klicken Sie dann auf **Configure Assertion** Creation.
1. **Wählen Sie auf der Seite **„Assertionserstellung konfigurieren**“ die Option Attributvertrag aus.**
1. Fügen Sie auf der Seite **„Attributvertrag**“ im Abschnitt „**Vertrag verlängern**“ ein neues Attribut hinzu, indem Sie die folgenden Schritte ausführen:
1. Geben Sie in das Textfeld den Namen des Attributs ein`https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`, das Sie in IAM Identity Center erwarten, und ersetzen **AttributeName** Sie es durch. Beispiel, `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
1. Wählen Sie für **Attributnamenformat** die Option **urn:oasis:names:tc:SAML:2.0:attrname-format:uri**.
1. Wählen Sie „**Hinzufügen**“ und anschließend „**Weiter**“.
1. Wählen Sie auf der Seite „**Zuordnung der Authentifizierungsquelle**“ die mit Ihrer Anwendung konfigurierte Adapterinstanz aus.
1. Wählen Sie auf der Seite „**Erfüllung des Attributvertrags**“ die **Quelle** (*Datenspeicher*) und den **Wert** (*Datenspeicherattribut*) für den **Attributvertrag** aus`https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
**Anmerkung**
Wenn Sie noch keine Datenquelle konfiguriert haben, müssen Sie dies jetzt tun. Informationen zur Auswahl und Konfiguration einer Datenquelle finden Sie in der Ping Produktdokumentation unterPingFederate.
1. Klicken Sie wiederholt auf **Weiter**, bis Sie zur Seite **Aktivierung und Zusammenfassung** gelangen, und klicken Sie dann auf **Speichern**.
## (Optional) Übergabe von Attributen für die Zugriffskontrolle
Sie können optional die [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) Funktion in IAM Identity Center verwenden, um ein `Attribute` Element zu übergeben, dessen `Name` Attribut auf `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` gesetzt ist. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie [AWS STS im *IAM-Benutzerhandbuch* unter Sitzungs-Tags übergeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).
Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das `AttributeValue`-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar `CostCenter = blue` für das Tag zu übergeben.
```
blue
```
Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates `Attribute` Element hinzu.
## Fehlerbehebung
Informationen zur allgemeinen SCIM- und SAML-Problembehandlung mit PingFederate finden Sie in den folgenden Abschnitten:
+ [Bestimmte Benutzer können sich von einem externen SCIM-Anbieter nicht mit dem IAM Identity Center synchronisieren](troubleshooting.md#issue2)
+ [Probleme mit dem Inhalt von SAML-Assertionen, die von IAM Identity Center erstellt wurden](troubleshooting.md#issue1)
+ [Beim Bereitstellen von Benutzern oder Gruppen mit einem externen Identitätsanbieter ist ein Fehler beim Duplizieren von Benutzern oder Gruppen aufgetreten](troubleshooting.md#duplicate-user-group-idp)
+ [Weitere Informationen zu finden Sie in der PingFederate DokumentationPingFederate.](https://docs.pingidentity.com/pingfederate/latest/pf_pf_landing_page.html)
Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit helfen AWS:
+ [AWS re:Post](https://repost.aws/)- Hier finden Sie weitere Ressourcen FAQs und Links zu diesen, die Ihnen bei der Behebung von Problemen helfen.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)- Holen Sie sich technischen Support
# PingOne
IAM Identity Center unterstützt die automatische Bereitstellung (Synchronisation) von Benutzerinformationen aus dem PingOne Produkt Ping Identity (im Folgenden „Ping“) in IAM Identity Center. Bei dieser Bereitstellung wird das SCIM-Protokoll (System for Cross-Domain Identity Management) v2.0 verwendet. Sie konfigurieren diese Verbindung PingOne mithilfe Ihres IAM Identity Center SCIM-Endpoints und Ihres Zugriffstokens. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute PingOne zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und überein. PingOne
In den folgenden Schritten erfahren Sie, wie Sie mithilfe des SCIM-Protokolls die automatische Bereitstellung von Benutzern von PingOne bis zum IAM Identity Center aktivieren.
**Anmerkung**
Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, zunächst die zu lesen. [Überlegungen zur Verwendung der automatischen Bereitstellung](provision-automatically.md#auto-provisioning-considerations) Lesen Sie dann im nächsten Abschnitt weitere Überlegungen durch.
**Topics**
+ [
## Voraussetzungen
](#pingone-prereqs)
+ [
## Überlegungen
](#pingone-considerations)
+ [
## Schritt 1: Aktivieren Sie die Bereitstellung im IAM Identity Center
](#pingone-step1)
+ [
## Schritt 2: Konfigurieren Sie die Bereitstellung in PingOne
](#pingone-step2)
+ [
## (Optional) Schritt 3: Konfigurieren Sie Benutzerattribute PingOne für die Zugriffskontrolle in IAM Identity Center
](#pingone-step3)
+ [
## (Optional) Übergabe von Attributen für die Zugriffskontrolle
](#pingone-passing-abac)
+ [
## Fehlerbehebung
](#pingone-troubleshooting)
## Voraussetzungen
Bevor Sie beginnen können, benötigen Sie Folgendes:
+ Ein PingOne Abonnement oder eine kostenlose Testversion mit föderierten Authentifizierungs- und Bereitstellungsfunktionen. Weitere Informationen darüber, wie Sie eine kostenlose Testversion erhalten, finden Sie auf der [https://www.pingidentity.com/en/trials.html](https://www.pingidentity.com/en/trials.html)Website.
+ [Ein IAM Identity Center-fähiges Konto (kostenlos).](https://aws.amazon.com/single-sign-on/) Weitere Informationen finden Sie unter [IAM Identity Center aktivieren](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Die PingOne IAM Identity Center-Anwendung wurde Ihrem PingOne Admin-Portal hinzugefügt. Sie können die PingOne IAM Identity Center-Anwendung aus dem PingOne Anwendungskatalog abrufen. Allgemeine Informationen finden [Sie unter Hinzufügen einer Anwendung aus dem Anwendungskatalog](https://docs.pingidentity.com/pingone/applications/p1_applicationcatalog.html) auf der Ping Identity Website.
+ Eine SAML-Verbindung von Ihrer PingOne Instance zum IAM Identity Center. Nachdem die PingOne IAM Identity Center-Anwendung zu Ihrem PingOne Admin-Portal hinzugefügt wurde, müssen Sie sie verwenden, um eine SAML-Verbindung von Ihrer PingOne Instance zum IAM Identity Center zu konfigurieren. Verwenden Sie die Funktion „Metadaten herunterladen“ und „Importieren“ an beiden Enden, um SAML-Metadaten zwischen PingOne und IAM Identity Center auszutauschen. Anweisungen zur Konfiguration dieser Verbindung finden Sie in der PingOne Dokumentation.
+ Wenn Sie IAM Identity Center in weitere Regionen repliziert haben, müssen Sie Ihre Identity Provider-Konfiguration aktualisieren, um den Zugriff auf AWS verwaltete Anwendungen und AWS-Konten von diesen Regionen aus zu ermöglichen. Weitere Details finden Sie unter [Schritt 3: Aktualisieren Sie das externe IdP-Setup](replicate-to-additional-region.md#update-external-idp-setup). Weitere Informationen finden Sie in der PingOne Dokumentation.
## Überlegungen
Im Folgenden finden Sie wichtige ÜberlegungenPingOne, die sich darauf auswirken können, wie Sie die Bereitstellung mit IAM Identity Center implementieren.
+ PingOneunterstützt die Bereitstellung von Gruppen über SCIM nicht. Wenden Sie sich an, Ping um die neuesten Informationen zur Gruppenunterstützung in SCIM für zu erhalten. PingOne
+ Benutzer können auch PingOne nach der Deaktivierung der Bereitstellung im Admin-Portal weiterhin Provisioning erhalten. PingOne Wenn Sie die Bereitstellung sofort beenden müssen, löschen Sie das entsprechende SCIM-Bearer-Token und deaktivieren Sie es im IAM Identity Center. and/or [Stellen Sie Benutzer und Gruppen von einem externen Identitätsanbieter mithilfe von SCIM bereit](provision-automatically.md)
+ Wenn ein Attribut für einen Benutzer aus dem in konfigurierten Datenspeicher entfernt wirdPingOne, wird dieses Attribut nicht aus dem entsprechenden Benutzer in IAM Identity Center entfernt. Dies ist eine bekannte Einschränkung bei der Implementierung von PingOne’s Provisionern. Wenn ein Attribut geändert wird, wird die Änderung mit IAM Identity Center synchronisiert.
+ Im Folgenden finden Sie wichtige Hinweise zu Ihrer SAML-Konfiguration in: PingOne
+ IAM Identity Center unterstützt nur `emailaddress` als `NameId` Format. Das bedeutet, dass Sie für Ihre **SAML\$1SUBJECT-Zuordnung** in ein Benutzerattribut wählen müssenPingOne, das innerhalb Ihres Verzeichnisses eindeutig ist, einen Wert ungleich Null hat und das als email/UPN (z. B. user@domain.com) formatiert ist. PingOne **E-Mail (Arbeit)** ist ein sinnvoller Wert für Testkonfigurationen mit dem integrierten Verzeichnis. PingOne
+ Benutzer PingOne mit einer E-Mail-Adresse, die ein **\$1-Zeichen** enthält, können sich möglicherweise nicht bei IAM Identity Center anmelden, was zu Fehlern wie `'SAML_215'` oder `'Invalid input'` führt. **Um dieses Problem zu behebenPingOne, wählen Sie in unter Attributzuordnungen die Option **Erweitert** für die Zuordnung **SAML\$1SUBJECT** aus.** Legen Sie dann im Drop-down-Menü das **Name-ID-Format fest, das an SP: to **urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress**gesendet** werden soll.
## Schritt 1: Aktivieren Sie die Bereitstellung im IAM Identity Center
In diesem ersten Schritt verwenden Sie die IAM Identity Center-Konsole, um die automatische Bereitstellung zu aktivieren.
**Um die automatische Bereitstellung in IAM Identity Center zu aktivieren**
1. Nachdem Sie die Voraussetzungen erfüllt haben, öffnen Sie die [IAM Identity](https://console.aws.amazon.com/singlesignon) Center-Konsole.
1. Wählen Sie im linken Navigationsbereich **Einstellungen** aus.
1. Suchen Sie auf der Seite **Einstellungen** das Informationsfeld **Automatische Bereitstellung** und wählen Sie dann **Aktivieren** aus. Dadurch wird sofort die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.
1. Kopieren Sie im Dialogfeld **Automatische Bereitstellung für eingehende Nachrichten** den SCIM-Endpunkt und das Zugriffstoken. Sie müssen diese später einfügen, wenn Sie die Bereitstellung in Ihrem IdP konfigurieren.
1. **SCIM-Endpunkt** — Zum Beispiel https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Zugriffstoken — Wählen Sie Token anzeigen****, um den Wert zu kopieren.**
**Warnung**
Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren. Sie werden diese Werte eingeben, um die automatische Bereitstellung in Ihrem IdP später in diesem Tutorial zu konfigurieren.
1. Klicken Sie auf **Schließen**.
Nachdem Sie die Bereitstellung in der IAM Identity Center-Konsole eingerichtet haben, müssen Sie die verbleibenden Aufgaben mithilfe der PingOne IAM Identity Center-Anwendung ausführen. Diese Schritte werden im folgenden Verfahren beschrieben.
## Schritt 2: Konfigurieren Sie die Bereitstellung in PingOne
Verwenden Sie das folgende Verfahren in der PingOne IAM Identity Center-Anwendung, um die Bereitstellung mit IAM Identity Center zu aktivieren. Bei diesem Verfahren wird davon ausgegangen, dass Sie die PingOne IAM Identity Center-Anwendung bereits zu Ihrem Admin-Portal hinzugefügt haben. PingOne Falls Sie dies noch nicht getan haben, finden Sie weitere Informationen unter diesem Verfahren zur [Voraussetzungen](#pingone-prereqs) Konfiguration der SCIM-Bereitstellung und führen Sie es anschließend aus.
**So konfigurieren Sie die Bereitstellung in PingOne**
1. Öffnen Sie die PingOne IAM Identity Center-Anwendung, die Sie im Rahmen der Konfiguration von SAML für installiert haben PingOne (**Anwendungen > **Meine** Anwendungen**). Siehe [Voraussetzungen](#pingone-prereqs).
1. Scrollen Sie zum Ende der Seite. Wählen Sie unter **Benutzerbereitstellung** den **vollständigen** Link aus, um zur Benutzerbereitstellungskonfiguration Ihrer Verbindung zu gelangen.
1. Wählen Sie auf der Seite mit den **Anweisungen zur Bereitstellung** die Option **Weiter zum** nächsten Schritt aus.
1. Im vorherigen Verfahren haben Sie den **SCIM-Endpunktwert** in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld **SCIM-URL** in der PingOne IAM Identity Center-Anwendung ein. Außerdem haben Sie im vorherigen Verfahren den Wert des **Zugriffstokens** in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld **ACCESS\$1TOKEN** in der PingOne IAM Identity Center-Anwendung ein.
1. Wählen Sie für **REMOVE\$1ACTION** entweder **Deaktiviert** oder **Gelöscht (weitere** Informationen finden Sie im Beschreibungstext auf der Seite).
1. Wählen Sie auf der Seite **„Attributzuordnung**“ einen Wert aus, der für die **SAML\$1SUBJECT** (`NameId`) -Assertion verwendet werden soll. Folgen Sie dabei den Anweisungen weiter oben auf dieser Seite. [Überlegungen](#pingone-considerations) Wählen Sie dann **Weiter** zum nächsten Schritt.
1. Nehmen Sie auf der Seite **PingOneApp-Anpassung — IAM Identity Center** die gewünschten Anpassungsänderungen vor (optional) und klicken Sie auf **Weiter zum nächsten Schritt**.
1. Wählen Sie auf der Seite **Gruppenzugriff** die Gruppen aus, die die Benutzer enthalten, die Sie für die Bereitstellung und das Single Sign-On bei IAM Identity Center aktivieren möchten. Wählen Sie **Weiter zum nächsten Schritt.**
1. Scrollen Sie zum Ende der Seite und wählen Sie **Fertig stellen**, um mit der Bereitstellung zu beginnen.
1. **Um zu überprüfen, ob Benutzer erfolgreich mit IAM Identity Center synchronisiert wurden, kehren Sie zur IAM Identity Center-Konsole zurück und wählen Sie Benutzer aus.** Synchronisierte Benutzer von PingOne werden auf der Seite **Benutzer** angezeigt. Diese Benutzer können jetzt Konten und Anwendungen in IAM Identity Center zugewiesen werden.
Denken Sie daran, dass die Bereitstellung von Gruppen oder Gruppenmitgliedschaften über SCIM PingOne nicht unterstützt wird. Kontaktieren Sie uns Ping für weitere Informationen.
## (Optional) Schritt 3: Konfigurieren Sie Benutzerattribute PingOne für die Zugriffskontrolle in IAM Identity Center
Dies ist ein optionales Verfahren, PingOne wenn Sie Attribute für IAM Identity Center konfigurieren möchten, um den Zugriff auf Ihre AWS Ressourcen zu verwalten. Die von Ihnen definierten Attribute werden in PingOne einer SAML-Assertion an IAM Identity Center übergeben. Anschließend erstellen Sie in IAM Identity Center einen Berechtigungssatz, um den Zugriff auf der Grundlage der Attribute zu verwalten, die Sie übergeben haben. PingOne
Bevor Sie mit diesem Verfahren beginnen, müssen Sie zuerst die [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) Funktion aktivieren. Weitere Information dazu finden Sie unter [Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle](configure-abac.md).
**Um Benutzerattribute PingOne für die Zugriffskontrolle im IAM Identity Center zu konfigurieren**
1. Öffnen Sie die PingOne IAM Identity Center-Anwendung, die Sie im Rahmen der Konfiguration von SAML für installiert haben PingOne (**Anwendungen > Meine Anwendungen**).
1. Wählen Sie **Bearbeiten** und dann **Weiter zum nächsten Schritt**, bis Sie zur Seite **„Attributzuordnungen“** gelangen.
1. Wählen Sie auf der Seite **„Attributzuordnungen**“ die Option **Neues Attribut hinzufügen** aus, und gehen Sie dann wie folgt vor. Sie müssen diese Schritte für jedes Attribut ausführen, das Sie zur Verwendung in IAM Identity Center für die Zugriffskontrolle hinzufügen möchten.
1. Geben `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName` Sie im Feld **Anwendungsattribut** den Wert ein. *AttributeName*Ersetzen Sie es durch den Namen des Attributs, das Sie in IAM Identity Center erwarten. Beispiel, `https://aws.amazon.com/SAML/Attributes/AccessControl:Email`.
1. Wählen Sie im Feld **Identity Bridge-Attribut oder Literalwert** Benutzerattribute aus Ihrem PingOne Verzeichnis aus. Zum Beispiel **E-Mail (Arbeit)**.
1. Wählen Sie einige Male **Weiter** und dann **Fertig stellen**.
## (Optional) Übergabe von Attributen für die Zugriffskontrolle
Sie können optional die [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) Funktion in IAM Identity Center verwenden, um ein `Attribute` Element zu übergeben, dessen `Name` Attribut auf `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` gesetzt ist. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie [AWS STS im *IAM-Benutzerhandbuch* unter Sitzungs-Tags übergeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).
Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das `AttributeValue`-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar `CostCenter = blue` für das Tag zu übergeben.
```
blue
```
Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates `Attribute` Element hinzu.
## Fehlerbehebung
Informationen zur allgemeinen SCIM- und SAML-Problembehandlung mit PingOne finden Sie in den folgenden Abschnitten:
+ [Bestimmte Benutzer können sich von einem externen SCIM-Anbieter nicht mit dem IAM Identity Center synchronisieren](troubleshooting.md#issue2)
+ [Probleme mit dem Inhalt von SAML-Assertionen, die von IAM Identity Center erstellt wurden](troubleshooting.md#issue1)
+ [Beim Bereitstellen von Benutzern oder Gruppen mit einem externen Identitätsanbieter ist ein Fehler beim Duplizieren von Benutzern oder Gruppen aufgetreten](troubleshooting.md#duplicate-user-group-idp)
+ [Weitere Informationen zu finden Sie in der PingOne DokumentationPingOne.](https://docs.pingidentity.com/pingone/p1_cloud__platform_main_landing_page.html)
Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit helfen AWS:
+ [AWS re:Post](https://repost.aws/)- Hier finden Sie weitere Ressourcen FAQs und Links zu diesen, die Ihnen bei der Behebung von Problemen helfen.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)- Holen Sie sich technischen Support
# Benutzerzugriff mit dem standardmäßigen IAM Identity Center-Verzeichnis konfigurieren
Wenn Sie IAM Identity Center zum ersten Mal aktivieren, wird es automatisch mit einem Identity Center-Verzeichnis als Standard-Identitätsquelle konfiguriert, sodass Sie keine Identitätsquelle auswählen müssen. Wenn Ihre Organisation einen anderen Identitätsanbieter wieMicrosoft Active Directory, verwendet, oder Okta erwägen SieMicrosoft Entra ID, diese Identitätsquelle in IAM Identity Center zu integrieren, anstatt die Standardkonfiguration zu verwenden.
**Zielsetzung**
In diesem Tutorial verwenden Sie das Standardverzeichnis als Identitätsquelle und eine IAM Identity Center-Organisationsinstanz, um einen Administratorbenutzer einzurichten und zu testen. Dieser Administratorbenutzer erstellt und verwaltet Benutzer und Gruppen und gewährt AWS Zugriff mit Berechtigungssätzen. In den nächsten Schritten erstellen Sie Folgendes:
+ Ein Administratorbenutzer mit dem Namen *Nikki Wolf*
+ Eine Gruppe mit dem Namen *Admin team*
+ Ein Berechtigungssatz mit dem Namen *AdminAccess*
Um zu überprüfen, ob alles korrekt erstellt wurde, melden Sie sich an und legen das Passwort des Administratorbenutzers fest. Nach Abschluss dieses Tutorials können Sie den Administratorbenutzer verwenden, um weitere Benutzer in IAM Identity Center hinzuzufügen, zusätzliche Berechtigungssätze zu erstellen und den organisatorischen Zugriff auf Anwendungen einzurichten. Wenn Sie Benutzern Zugriff auf die Anwendung gewähren möchten, können Sie alternativ [Schritt 1](#gs-qs-step1) dieses Verfahrens ausführen und den [Anwendungszugriff konfigurieren](manage-your-applications.md).
## Voraussetzungen
Die folgenden Voraussetzungen sind erforderlich, um dieses Tutorial abzuschließen:
+ [IAM Identity Center aktivieren](enable-identity-center.md)und über eine [Organisationsinstanz von IAM Identity Center](organization-instances-identity-center.md) verfügen.
+ Wenn Sie über eine [Kontoinstanz](account-instances-identity-center.md) von IAM Identity Center verfügen, können Sie Benutzer und Gruppen erstellen und ihnen Zugriff auf Anwendungen gewähren. Weitere Informationen finden Sie unter [Anwendungszugriff](manage-your-applications.md).
+ Melden Sie sich bei der IAM Identity Center-Konsole an AWS-Managementkonsole und greifen Sie entweder wie folgt auf die IAM Identity Center-Konsole zu:
+ **Neu bei AWS (Root-Benutzer)** — Melden Sie sich als Kontoinhaber an, indem Sie **AWS-Konto Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.
+ **Verwenden Sie bereits AWS (IAM-Anmeldeinformationen)** — Melden Sie sich mit Ihren IAM-Anmeldeinformationen mit Administratorrechten an.
+ [Weitere Hilfe bei der Anmeldung finden AWS-Anmeldung Sie in der AWS-Managementkonsole Anleitung.](https://docs.aws.amazon.com//signin/latest/userguide/how-to-sign-in.html)
+ Sie können die Multi-Faktor-Authentifizierung für Ihre IAM Identity Center-Benutzer konfigurieren. Weitere Informationen finden Sie unter [MFA im IAM Identity Center konfigurieren](mfa-configure.md).
## Schritt 1: Fügen Sie einen Benutzer hinzu
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie im Navigationsbereich von IAM Identity Center **Benutzer** und anschließend **Benutzer hinzufügen** aus.
1. Geben Sie auf der Seite „**Benutzerdetails angeben**“ die folgenden Informationen ein:
+ **Nutzername** — Geben Sie für dieses Tutorial ein*nikkiw*.
Wählen Sie beim Erstellen von Benutzern Benutzernamen, die leicht zu merken sind. Ihre Benutzer müssen sich den Benutzernamen merken, um sich im AWS Access Portal anmelden zu können. Sie können ihn später nicht ändern.
+ **Passwort** — Wählen Sie **Diesem Benutzer eine E-Mail mit Anweisungen zur Einrichtung des Passworts senden (empfohlen)**.
Diese Option sendet dem Benutzer eine von Amazon Web Services adressierte E-Mail mit der Betreffzeile **Einladung, dem IAM Identity Center beizutreten**. Die E-Mail stammt entweder von `no-reply@signin.aws` oder`no-reply@login.awsapps.com`. Fügen Sie diese E-Mail-Adressen zu Ihrer Liste der zugelassenen Absender hinzu.
+ **E-Mail-Adresse** — Geben Sie eine E-Mail-Adresse für den Benutzer ein, an den Sie die E-Mail erhalten können. Geben Sie sie dann erneut ein, um sie zu bestätigen. Jeder Benutzer muss eine eindeutige E-Mail-Adresse haben.
+ **Vorname** — Geben Sie den Vornamen für den Benutzer ein. Geben Sie für dieses Tutorial *Nikki* ein.
+ **Nachname** — Geben Sie den Nachnamen des Benutzers ein. Geben Sie für dieses Tutorial *Wolf* ein.
+ **Anzeigename** — Der Standardwert ist der Vor- und Nachname des Benutzers. Wenn Sie den Anzeigenamen ändern möchten, können Sie einen anderen Namen eingeben. Der Anzeigename ist im Anmeldeportal und in der Benutzerliste sichtbar.
+ Füllen Sie bei Bedarf die optionalen Informationen aus. Es wird in diesem Tutorial nicht verwendet und kann später geändert werden.
1. Wählen Sie **Weiter** aus. Die Seite „**Benutzer zu Gruppen hinzufügen**“ wird angezeigt. Wir werden eine Gruppe erstellen, der wir Administratorrechte zuweisen können, anstatt sie direkt zu erteilen*Nikki*.
Wählen Sie **Gruppe erstellen**
Ein neuer Browser-Tab wird geöffnet, auf dem die Seite **Gruppe erstellen** angezeigt wird.
1. Geben Sie unter **Gruppendetails** im Feld **Gruppenname** einen Namen für die Gruppe ein. Wir empfehlen einen Gruppennamen, der die Rolle der Gruppe identifiziert. Geben Sie für dieses Tutorial *Admin team* ein.
1. Wählen Sie **Gruppe erstellen**
1. Schließen Sie den Browser-Tab „**Gruppen**“, um zum Browser-Tab „**Benutzer hinzufügen**“ zurückzukehren
1. Wählen Sie im Bereich **Gruppen** die Schaltfläche **Aktualisieren** aus. Die *Admin team* Gruppe wird in der Liste angezeigt.
Aktivieren Sie das Kontrollkästchen neben *Admin team* und wählen Sie dann **Weiter** aus.
1. Bestätigen Sie auf der Seite **Benutzer überprüfen und hinzufügen** Folgendes:
+ Die primären Informationen werden so angezeigt, wie Sie es beabsichtigt haben
+ Unter Gruppen wird der Benutzer angezeigt, der der von Ihnen erstellten Gruppe hinzugefügt wurde
Wenn Sie Änderungen vornehmen möchten, wählen Sie **Bearbeiten**. Wenn alle Angaben korrekt sind, wählen Sie **Benutzer hinzufügen**.
Eine Benachrichtigung informiert Sie darüber, dass der Benutzer hinzugefügt wurde.
Als Nächstes fügen Sie Administratorberechtigungen für die *Admin team* Gruppe hinzu, sodass diese *Nikki* auf Ressourcen zugreifen kann.
## Schritt 2: Fügen Sie Administratorberechtigungen hinzu
**Wichtig**
Folgen Sie diesen Schritten nur, wenn Sie eine [Organisationsinstanz von IAM Identity Center](identity-center-instances.md) aktiviert haben.
1. Wählen Sie im Navigationsbereich von IAM Identity Center unter **Berechtigungen für mehrere Konten** die Option. **AWS-Konten**
1. Auf der **AWS-Konten**Seite „**Organisationsstruktur**“ wird Ihre Organisation mit Ihren Konten darunter in der Hierarchie angezeigt. Aktivieren Sie das Kontrollkästchen für Ihr Verwaltungskonto und wählen Sie dann **Benutzer oder Gruppen zuweisen** aus.
1. Der Workflow **„Benutzer und Gruppen zuweisen**“ wird angezeigt. Er besteht aus drei Schritten:
1. Für **Schritt 1: Benutzer und Gruppen auswählen** wählen Sie die *Admin team* Gruppe aus, die Sie erstellt haben. Klicken Sie anschließend auf **Weiter**.
1. Für **Schritt 2: Berechtigungssätze auswählen Wählen Sie Berechtigungssatz** **erstellen** aus, um eine neue Registerkarte zu öffnen, die Sie durch die drei Teilschritte führt, die zum Erstellen eines Berechtigungssatzes erforderlich sind.
1. Gehen Sie für **Schritt 1: Berechtigungssatztyp auswählen** wie folgt vor:
+ Wählen Sie unter **Typ des Berechtigungssatzes** die Option **Vordefinierter Berechtigungssatz** aus.
+ Wählen Sie unter **Richtlinie für vordefinierten Berechtigungssatz** die Option aus **AdministratorAccess**.
Wählen Sie **Weiter** aus.
1. Für **Schritt 2: Geben Sie die Details zum Berechtigungssatz** an, behalten Sie die Standardeinstellungen bei und wählen Sie **Weiter** aus.
Mit den Standardeinstellungen wird ein Berechtigungssatz *AdministratorAccess* mit einem Namen erstellt, dessen Sitzungsdauer auf eine Stunde festgelegt ist. Sie können den Namen des Berechtigungssatzes ändern, indem Sie einen neuen Namen in das Feld **Name des Berechtigungssatzes** eingeben.
1. Stellen Sie für **Schritt 3: Überprüfen und erstellen** sicher, dass der **Typ des Berechtigungssatzes** die AWS verwaltete Richtlinie verwendet **AdministratorAccess**. Wählen Sie **Erstellen** aus. Auf der Seite **Berechtigungssätze** wird eine Benachrichtigung angezeigt, die Sie darüber informiert, dass der Berechtigungssatz erstellt wurde. Sie können diese Registerkarte jetzt in Ihrem Webbrowser schließen.
Auf der Browser-Registerkarte „**Benutzer und Gruppen zuweisen**“ befinden Sie sich immer noch in **Schritt 2: Wählen Sie die Berechtigungssätze** aus, von denen aus Sie den Workflow zum Erstellen von Berechtigungssätzen gestartet haben.
Wählen Sie im Bereich „**Berechtigungssätze**“ die Schaltfläche „**Aktualisieren**“. Der von Ihnen erstellte *AdministratorAccess* Berechtigungssatz wird in der Liste angezeigt. Aktivieren Sie das Kontrollkästchen für diesen Berechtigungssatz und wählen Sie dann **Weiter**.
1. Vergewissern Sie sich auf der Seite **Schritt 3: Aufgaben überprüfen und einreichen**, dass die *Admin team* Gruppe und der *AdministratorAccess* Berechtigungssatz ausgewählt sind, und klicken Sie dann auf **Absenden**.
Die Seite wird mit einer Meldung aktualisiert, dass Ihre gerade konfiguriert AWS-Konto wird. Warten Sie, bis der Vorgang abgeschlossen ist.
Sie kehren zur AWS-Konten Seite zurück. In einer Benachrichtigung werden Sie darüber informiert, dass Ihr AWS-Konto Konto erneut bereitgestellt und der aktualisierte Berechtigungssatz angewendet wurde.
**Herzlichen Glückwunsch\$1**
Sie haben Ihren ersten Benutzer, Ihre erste Gruppe und Ihren ersten Berechtigungssatz erfolgreich eingerichtet.
Im nächsten Teil dieses Tutorials testen Sie den *Nikki's* Zugriff, indem Sie sich mit ihren Administratoranmeldedaten beim AWS Zugriffsportal anmelden und ihr Passwort festlegen. Melden Sie sich jetzt von der Konsole ab.
## Schritt 3: Testen des Benutzerzugriffs
Da *Nikki Wolf* es sich nun um einen Benutzer in Ihrer Organisation handelt, kann er sich anmelden und auf die Ressourcen zugreifen, für die ihm gemäß seinem Berechtigungssatz Berechtigungen erteilt wurden. Um zu überprüfen, ob der Benutzer korrekt konfiguriert ist, verwenden Sie im nächsten Schritt *Nikki's* Anmeldeinformationen, um sich anzumelden und sein Passwort einzurichten. Als Sie den Benutzer *Nikki Wolf* in Schritt 1 hinzugefügt haben, haben Sie ausgewählt, dass Sie eine E-Mail mit Anweisungen zur Einrichtung des Passworts *Nikki* erhalten möchten. Es ist an der Zeit, diese E-Mail zu öffnen und wie folgt vorzugehen:
1. Wählen Sie in der E-Mail den Link **Einladung annehmen** aus, um die Einladung anzunehmen.
**Anmerkung**
Die E-Mail enthält auch den *Nikki's* Benutzernamen und die URL des AWS Zugriffsportals, mit denen sie sich bei der Organisation anmelden. Notieren Sie sich diese Informationen für future Verwendung.
Sie werden zur **Anmeldeseite für neue Benutzer weitergeleitet, auf** der Sie *Nikki's* ein Passwort festlegen und [ihr MFA-Gerät registrieren](enable-mfa.md) können.
1. Nachdem Sie *Nikki's* das Passwort festgelegt haben, werden Sie zur **Anmeldeseite weitergeleitet**. Geben Sie ein *nikkiw* und wählen Sie **Weiter**. Geben Sie dann *Nikki's* das Passwort ein und wählen Sie **Anmelden**.
1. Das AWS Zugriffsportal wird geöffnet und zeigt die Organisation und die Anwendungen an, auf die Sie zugreifen können.
Wählen Sie die Organisation aus, um sie zu einer Liste zu erweitern, und wählen Sie AWS-Konten dann das Konto aus, um die Rollen anzuzeigen, mit denen Sie auf Ressourcen im Konto zugreifen können.
Jeder Berechtigungssatz verfügt über zwei Verwaltungsmethoden, die Sie verwenden können, entweder **Rollen** - oder **Zugriffstasten**.
+ **Rolle**, zum Beispiel *AdministratorAccess* — Öffnet die AWS Console Home.
+ **Zugriffstasten** — Stellt Anmeldeinformationen bereit, die Sie mit dem AWS CLI oder und dem AWS SDK verwenden können. Enthält Informationen zur Verwendung von kurzfristigen Anmeldeinformationen, die automatisch aktualisiert werden, oder kurzfristigen Zugriffsschlüsseln. Weitere Informationen finden Sie unter [Abrufen der IAM Identity Center-Benutzeranmeldedaten für oder AWS CLI AWS SDKs](howtogetcredentials.md).
1. Wählen Sie den Link **Rolle**, um sich bei der anzumelden AWS Console Home.
Sie sind angemeldet und haben die AWS Console Home Seite aufgerufen. Erkunden Sie die Konsole und vergewissern Sie sich, dass Sie den erwarteten Zugriff haben.
## Nächste Schritte
Nachdem Sie einen Administratorbenutzer in IAM Identity Center erstellt haben, können Sie:
+ [Anwendungen zuweisen](manage-your-applications.md)
+ [Fügen Sie weitere Benutzer hinzu](addusers.md)
+ [Weisen Sie Benutzer Konten zu](assignusers.md)
+ [Konfigurieren Sie zusätzliche Berechtigungssätze](howtocreatepermissionset.md)
**Anmerkung**
Sie können demselben Benutzer mehrere Berechtigungssätze zuweisen. Um der bewährten Methode zur Anwendung von Berechtigungen mit den geringsten Rechten zu folgen, erstellen Sie nach der Erstellung Ihres Administratorbenutzers einen restriktiveren Berechtigungssatz und weisen Sie ihn demselben Benutzer zu. Auf diese Weise können Sie nur AWS-Konto mit den Berechtigungen auf Ihre zugreifen, die Sie benötigen, und nicht mit Administratorberechtigungen.
Nachdem Ihre Benutzer [ihre Einladung](howtoactivateaccount.md) zur Aktivierung ihres Kontos angenommen und sich beim AWS Access-Portal angemeldet haben, werden im Portal nur noch Elemente für die AWS-Konten Rollen und Anwendungen angezeigt, denen sie zugewiesen sind.
## Video-Tutorials
Als zusätzliche Ressource können Sie diese Video-Tutorials verwenden, um mehr über die Einrichtung externer Identitätsanbieter zu erfahren:
+ [Migration zwischen externen Identitätsanbietern in AWS IAM Identity Center](https://www.youtube.com/watch?v=A87tSiBdSnU)
+ [Föderieren Sie Ihre bestehende AWS IAM Identity Center Instanz mit Microsoft Entra ID](https://www.youtube.com/watch?v=iSCuTJNeN6c)