Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Was ist IAM Identity Center?
AWS IAM Identity Center wird AWS-Service für die Verwaltung des Zugriffs menschlicher Benutzer auf AWS Ressourcen empfohlen. Es handelt sich um einen zentralen Ort, an dem Sie Ihren Mitarbeitern Benutzern — auch bekannt als workforce identities konsistenten Zugriff — auf mehrere AWS-Konten Anwendungen zuweisen können. IAM Identity Center wird ohne zusätzliche Kosten angeboten.
Mit IAM Identity Center können Sie Workforce-Benutzer erstellen oder verbinden und deren Zugriff auf all ihre AWS-Konten Anwendungen zentral verwalten. Sie können Berechtigungen für mehrere Konten verwenden, um Ihren Mitarbeitern Zugriff darauf zuzuweisen. AWS-Konten Sie können Anwendungszuweisungen verwenden, um Ihren Benutzern Zugriff auf AWS verwaltete und vom Kunden verwaltete Anwendungen zuzuweisen.
Anmerkung
Obwohl der Dienstname AWS Single Sign-On eingestellt wurde, wird in diesem Handbuch immer noch der Begriff Single Sign-On verwendet, um das Authentifizierungsschema zu beschreiben, das es Benutzern ermöglicht, sich gleichzeitig anzumelden, um auf mehrere Anwendungen und Websites zuzugreifen.
Funktionen von IAM Identity Center
IAM Identity Center umfasst die folgenden Kernfunktionen und Funktionen:
- Identitäten von Mitarbeitern verwalten
-
Menschliche Benutzer, die Workloads erstellen oder verwalten, AWS werden auch als Workforce-Benutzer oder Mitarbeiteridentitäten bezeichnet. Workforce-Benutzer sind Mitarbeiter oder Auftragnehmer, auf die Sie AWS-Konten in Ihrem Unternehmen und in internen Geschäftsanwendungen Zugriff gewähren. Bei diesen Personen kann es sich um Entwickler handeln, die Ihre internen und kundenorientierten Systeme entwickeln, oder um Benutzer interner Datenbanksysteme und -anwendungen. Sie können Workforce-Benutzer und -Gruppen in IAM Identity Center erstellen oder eine Verbindung zu einer vorhandenen Gruppe von Benutzern und Gruppen in Ihrer eigenen Identitätsquelle herstellen und diese synchronisieren, um sie in all Ihren AWS-Konten Anwendungen zu verwenden. Weitere Informationen finden Sie unter Verwalte deine Identitätsquelle.
- Instanzen von IAM Identity Center verwalten
-
IAM Identity Center unterstützt zwei Arten von Instanzen: Organisationsinstanzen und Kontoinstanzen. Eine Organisationsinstanz ist die bewährte Methode. Es ist die einzige Instanz, mit der Sie den Zugriff auf Anwendungen verwalten können, AWS-Konten und sie wird für alle produktiven Anwendungen empfohlen. Eine Organisationsinstanz wird im AWS Organizations Verwaltungskonto bereitgestellt und bietet Ihnen einen zentralen Punkt, von dem aus Sie den Benutzerzugriff in der gesamten AWS Umgebung verwalten können.
Kontoinstanzen sind an das gebunden, AWS-Konto in dem sie aktiviert sind. Verwenden Sie Kontoinstanzen von IAM Identity Center nur zur Unterstützung isolierter Bereitstellungen ausgewählter AWS verwalteter Anwendungen. Weitere Informationen finden Sie unter Organisations- und Kontoinstanzen von IAM Identity Center verwalten.
- Verwalten Sie den Zugriff auf mehrere AWS-Konten
-
Mit Berechtigungen für mehrere Konten können Sie Berechtigungen für mehrere Konten AWS-Konten gleichzeitig planen und zentral implementieren, ohne jedes Ihrer Konten manuell konfigurieren zu müssen. Sie können Berechtigungen auf der Grundlage gängiger Aufgabenfunktionen erstellen oder benutzerdefinierte Berechtigungen definieren, die Ihren Sicherheitsanforderungen entsprechen. Sie können diese Berechtigungen dann Workforce-Benutzern zuweisen, um deren Zugriff auf bestimmte Konten zu kontrollieren.
Diese optionale Funktion ist nur für Organisationsinstanzen verfügbar. Wenn Sie die IAM-Rollenverwaltung pro Konto in Ihrer Umgebung verwenden, können beide Systeme koexistieren. Wenn Sie Berechtigungen für mehrere Konten ausprobieren möchten, können Sie zunächst dieses System auf begrenzter Basis implementieren und im Laufe der Zeit einen größeren Teil Ihrer Umgebung migrieren, um dieses System zu verwenden.
- Verwalten Sie den Zugriff auf Anwendungen
-
Mit IAM Identity Center können Sie die Verwaltung des Anwendungszugriffs vereinfachen. Mit IAM Identity Center können Sie Ihren Mitarbeitern in IAM Identity Center Single Sign-On-Zugriff auf Anwendungen gewähren.
- AWS verwaltete Anwendungen
-
AWS bietet Anwendungen wie Amazon Redshift Amazon Managed Grafana und Amazon Monitron, die in IAM Identity Center integriert sind. Diese Anwendungen können IAM Identity Center für Authentifizierung, Verzeichnisdienste und die Verbreitung vertrauenswürdiger Identitäten verwenden. Ihre Benutzer profitieren von einem konsistenten Single Sign-On-Erlebnis, und da die Anwendungen eine gemeinsame Ansicht von Benutzern, Gruppen und Gruppenmitgliedschaften haben, haben Benutzer auch ein einheitliches Erlebnis, wenn sie Anwendungsressourcen mit anderen teilen. Sie können AWS verwaltete Anwendungen direkt in den entsprechenden Anwendungskonsolen oder über die APIs so konfigurieren, dass sie mit IAM Identity Center funktionieren.
- Vom Kunden verwaltete Anwendungen
-
Sie können Ihren Mitarbeitern in IAM Identity Center Single Sign-On-Zugriff auf Anwendungen gewähren, die den Identitätsverbund mit SAML 2.0 unterstützen. Viele häufig verwendete SAML 2.0-Anwendungen, wie Salesforce und Microsoft 365, funktionieren mit IAM Identity Center und sind im Anwendungskatalog in der IAM Identity Center-Konsole verfügbar. Dies ist eine optionale Funktion, die hilfreich sein kann, wenn Sie solche Anwendungen verwenden und Ihre Benutzer und Gruppen im IAM Identity Center erstellen oder wenn Sie Microsoft Active Directory Domain Service als Identitätsquelle verwenden.
- Vertrauenswürdige Identitätsverteilung zwischen Anwendungen
-
Trusted Identity Propagation bietet Benutzern von Abfragetools und Business Intelligence (BI) -Anwendungen, die Zugriff auf Daten in Diensten benötigen, ein optimiertes Single Sign-On-Erlebnis. AWS Das Datenzugriffsmanagement basiert auf der Identität eines Benutzers, sodass Administratoren den Zugriff auf der Grundlage der vorhandenen Benutzer- und Gruppenmitgliedschaften gewähren können. Der Benutzerzugriff auf AWS Dienste und andere Ereignisse wird in dienstspezifischen Protokollen und in CloudTrail Ereignissen aufgezeichnet, sodass Prüfer wissen, welche Aktionen die Benutzer ausgeführt haben und auf welche Ressourcen sie zugegriffen haben.
- AWS Zugriff auf das Portal für Ihre Benutzer
-
Das AWS Zugriffsportal ist ein einfaches Webportal, das Ihren Benutzern einen nahtlosen Zugriff auf alle ihnen zugewiesenen AWS-Konten Anwendungen bietet.
IAM Identity Center umbenennen
Am 26. Juli 2022 wurde AWS Single Sign-On in umbenannt. AWS IAM Identity Center Für Bestandskunden sollen in der folgenden Tabelle einige der gängigsten Begriffsänderungen beschrieben werden, die aufgrund der Umbenennung in diesem Handbuch aktualisiert wurden.
| Veralteter Begriff | Aktuelle Laufzeit |
|---|---|
| AWS SSO-Benutzer oder SSO-Benutzer | Workforce-Benutzer oder Benutzer |
| AWS SSO-Benutzerportal oder Benutzerportal | AWS Zugangsportal |
| AWS SSO-integrierte Anwendungen | AWS verwaltete Anwendungen |
| AWS SSO-Verzeichnis | Identity-Center-Verzeichnis |
| AWS SSO-Speicher oder AWS SSO-Identitätsspeicher | Identitätsspeicher, der von IAM Identity Center verwendet wird |
In der folgenden Tabelle werden die entsprechenden Namensänderungen für Benutzer, Entwickler und API-Referenzhandbücher beschrieben, die ebenfalls als Folge dieser Umbenennung vorgenommen wurden.
| Legacy-Leitfaden | Aktueller Leitfaden |
|---|---|
| AWS Single Sign-On-Benutzerhandbuch | IAM Identity Center-Benutzerhandbuch |
| AWS Entwicklerhandbuch zur Single Sign-On-SCIM-Implementierung | Leitfaden für Entwickler zur SCIM-Implementierung von IAM Identity Center |
| AWS Referenzhandbuch zur Single Sign-On-API | Referenz zur IAM Identity Center API |
| AWS Referenzhandbuch zur Single Sign-On Identity Store-API | Referenz zur Identity Store-API |
| AWS Referenzhandbuch zur OIDC-API für Single Sign-On | Referenz zur OIDC-API von IAM Identity Center |
| AWS Referenzhandbuch zur Single Sign-On-Portal-API | API-Referenz für das IAM Identity Center Portal |
Ältere Namespaces bleiben unverändert
Die Namespaces sso und die identitystore API-Namespaces sowie die folgenden verwandten Namespaces bleiben aus Gründen der Abwärtskompatibilität unverändert.
-
CLI-Befehle
-
Verwaltete Richtlinien, die Präfixe
AWSSSOundAWSIdentitySyncPräfixe enthalten -
Dienstendpunkte, die und enthalten
ssoidentitystore -
AWS CloudFormationRessourcen, die Präfixe enthalten
AWS::SSO -
Mit dem Dienst verknüpfte Rolle, die enthält
AWSServiceRoleForSSO -
Konsolen-URLs, die und enthalten
ssosinglesignon -
Dokumentations-URLs, die Folgendes enthalten
singlesignon
