Konfigurasikan SAML dan SCIM dengan Microsoft Entra ID dan Pusat IAM Identitas - AWS IAM Identity Center
PrasyaratPertimbanganLangkah 1: Siapkan penyewa Microsoft AndaLangkah 2: Siapkan AWS akun AndaLangkah 3: Konfigurasikan dan uji SAML koneksi AndaLangkah 4: Konfigurasikan dan uji SCIM sinkronisasi AndaLangkah 5: Konfigurasikan ABAC - OpsionalTetapkan akses ke Akun AWSPemecahan Masalah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan SAML dan SCIM dengan Microsoft Entra ID dan Pusat IAM Identitas

AWS IAM Identity Center mendukung integrasi dengan Security Assertion Markup Language (SAML) 2.0 serta penyediaan otomatis (sinkronisasi) informasi pengguna dan grup dari Microsoft Entra ID (sebelumnya dikenal sebagai Azure Active Directory atau Azure AD) ke Pusat IAM Identitas menggunakan protokol System for Cross-domain Identity Management (SCIM) 2.0. Untuk informasi selengkapnya, lihat Menggunakan federasi identitas SAMP dan SCIM dengan penyedia identitas eksternal.

Objektif

Dalam tutorial ini, Anda akan menyiapkan lab uji dan mengkonfigurasi SAML koneksi dan SCIM penyediaan antara Microsoft Entra ID dan pusat IAM identitas. Selama langkah persiapan awal, Anda akan membuat pengguna uji (Nikki Wolf) di keduanya Microsoft Entra ID dan Pusat IAM Identitas yang akan Anda gunakan untuk menguji SAML koneksi di kedua arah. Nanti, sebagai bagian dari SCIM langkah-langkah, Anda akan membuat pengguna uji yang berbeda (Richard Roe) untuk memverifikasi atribut baru di Microsoft Entra ID disinkronkan ke Pusat IAM Identitas seperti yang diharapkan.

Prasyarat

Sebelum Anda dapat memulai dengan tutorial ini, Anda harus terlebih dahulu mengatur yang berikut:

Pertimbangan

Berikut ini adalah pertimbangan penting tentang Microsoft Entra ID yang dapat memengaruhi cara Anda berencana untuk menerapkan penyediaan otomatis dengan IAM Identity Center di lingkungan produksi Anda menggunakan protokol SCIM v2.

Penyediaan Otomatis

Sebelum Anda mulai menerapkanSCIM, kami sarankan Anda meninjau Pertimbangan untuk menggunakan penyediaan otomatis terlebih dahulu.

Atribut untuk kontrol akses

Atribut untuk kontrol akses digunakan dalam kebijakan izin yang menentukan siapa di sumber identitas Anda yang dapat mengakses AWS sumber daya Anda. Jika atribut dihapus dari pengguna di Microsoft Entra ID, atribut itu tidak akan dihapus dari pengguna yang sesuai di Pusat IAM Identitas. Ini adalah batasan yang diketahui dalam Microsoft Entra ID. Jika atribut diubah ke nilai yang berbeda (tidak kosong) pada pengguna, perubahan itu akan disinkronkan ke Pusat IAM Identitas.

Grup Bersarang

Bagian Microsoft Entra ID layanan penyediaan pengguna tidak dapat membaca atau menyediakan pengguna dalam grup bersarang. Hanya pengguna yang merupakan anggota langsung dari grup yang ditetapkan secara eksplisit yang dapat dibaca dan disediakan. Microsoft Entra ID tidak secara rekursif membongkar keanggotaan grup dari pengguna atau grup yang ditetapkan secara tidak langsung (pengguna atau grup yang merupakan anggota grup yang ditugaskan secara langsung). Untuk informasi selengkapnya, lihat Pelingkupan berbasis tugas di Microsoft dokumentasi. Atau, Anda dapat menggunakan IAMIdentity Center ID AD Sync untuk mengintegrasikan Active Directory kelompok dengan Pusat IAM Identitas.

Grup Dinamis

Bagian Microsoft Entra ID layanan penyediaan pengguna dapat membaca dan menyediakan pengguna dalam grup dinamis. Lihat di bawah untuk contoh yang menunjukkan struktur pengguna dan grup saat menggunakan grup dinamis dan bagaimana mereka ditampilkan di Pusat IAM Identitas. Pengguna dan grup ini disediakan dari Microsoft Entra ID ke Pusat IAM Identitas melalui SCIM

Misalnya, jika Microsoft Entra ID struktur untuk kelompok dinamis adalah sebagai berikut:

  1. Grup A dengan anggota ua1, ua2

  2. Grup B dengan anggota ub1

  3. Grup C dengan anggota uc1

  4. Grup K dengan aturan untuk memasukkan anggota Grup A, B, C

  5. Grup L dengan aturan untuk memasukkan anggota Grup B dan C

Setelah informasi pengguna dan grup disediakan dari Microsoft Entra ID ke Pusat IAM Identitas melaluiSCIM, strukturnya adalah sebagai berikut:

  1. Grup A dengan anggota ua1, ua2

  2. Grup B dengan anggota ub1

  3. Grup C dengan anggota uc1

  4. Grup K dengan anggota ua1, ua2, ub1, uc1

  5. Grup L dengan anggota ub1, uc1

Saat Anda mengonfigurasi penyediaan otomatis menggunakan grup dinamis, ingatlah pertimbangan berikut.

  • Grup dinamis dapat mencakup grup bersarang. Namun, Microsoft Entra ID layanan penyediaan tidak meratakan grup bersarang. Misalnya, jika Anda memiliki yang berikut Microsoft Entra ID struktur untuk kelompok dinamis:

    • Grup A adalah induk dari kelompok B.

    • Grup A memiliki ua1 sebagai anggota.

    • Grup B memiliki ub1 sebagai anggota.

Grup dinamis yang mencakup Grup A hanya akan mencakup anggota langsung grup A (yaitu, ua1). Ini tidak akan secara rekursif mencakup anggota grup B.

  • Grup dinamis tidak dapat berisi grup dinamis lainnya. Untuk informasi selengkapnya, lihat Mempratinjau batasan di Microsoft dokumentasi.

Langkah 1: Siapkan penyewa Microsoft Anda

Pada langkah ini, Anda akan menelusuri cara menginstal dan mengkonfigurasi aplikasi AWS IAM Identity Center perusahaan Anda dan menetapkan akses ke yang baru dibuat Microsoft Entra ID pengguna uji.

Step 1.1 >

Langkah 1.1: Siapkan aplikasi AWS IAM Identity Center perusahaan di Microsoft Entra ID

Dalam prosedur ini, Anda menginstal aplikasi AWS IAM Identity Center perusahaan di Microsoft Entra ID. Anda akan memerlukan aplikasi ini nanti untuk mengonfigurasi SAML koneksi Anda AWS.

  1. Masuk ke pusat admin Microsoft Entra setidaknya sebagai Administrator Aplikasi Cloud.

  2. Arahkan ke Identity > Applications > Enterprise Applications, lalu pilih New application.

  3. Pada halaman Browse Microsoft Entra Gallery, masukkan AWS IAM Identity Centerdi kotak pencarian.

  4. Pilih AWS IAM Identity Centerdari hasilnya.

  5. Pilih Buat.

Step 1.2 >

Langkah 1.2: Buat pengguna uji di Microsoft Entra ID

Nikki Wolf adalah nama Anda Microsoft Entra ID uji pengguna yang akan Anda buat dalam prosedur ini.

  1. Di konsol pusat admin Microsoft Entra, navigasikan ke Identity > Users > All users.

  2. Pilih Pengguna baru, lalu pilih Buat pengguna baru di bagian atas layar.

  3. Di Nama utama pengguna, masukkan NikkiWolf, lalu pilih domain dan ekstensi pilihan Anda. Misalnya, NikkiWolf@example.org.

  4. Di Nama tampilan, masukkan NikkiWolf.

  5. Di Kata Sandi, masukkan kata sandi yang kuat atau pilih ikon mata untuk menampilkan kata sandi yang dibuat secara otomatis, dan salin atau tuliskan nilai yang ditampilkan.

  6. Pilih Properti, di Nama depan, masukkan Nikki. Di Nama belakang, masukkan Wolf.

  7. Pilih Review + create, lalu pilih Create.

Step 1.3

Langkah 1.3: Uji pengalaman Nikki sebelum menetapkan izinnya AWS IAM Identity Center

Dalam prosedur ini, Anda akan memverifikasi apa yang Nikki berhasil masuk ke portal Microsoft My Account-nya.

  1. Di browser yang sama, buka tab baru, buka halaman masuk portal Akun Saya, dan masukkan alamat email lengkap Nikki. Misalnya, NikkiWolf@example.org.

  2. Saat diminta, masukkan kata sandi Nikki, lalu pilih Masuk. Jika ini adalah kata sandi yang dibuat secara otomatis, Anda akan diminta untuk mengubah kata sandi.

  3. Pada halaman Action Required, pilih Tanya nanti untuk melewati prompt untuk metode keamanan tambahan.

  4. Pada halaman Akun saya, di panel navigasi kiri, pilih Aplikasi Saya. Perhatikan bahwa selain Add-in, tidak ada aplikasi yang ditampilkan saat ini. Anda akan menambahkan AWS IAM Identity Centeraplikasi yang akan muncul di sini di langkah selanjutnya.

Step 1.4

Langkah 1.4: Tetapkan izin untuk Nikki di Microsoft Entra ID

Sekarang setelah Anda memverifikasi bahwa Nikki berhasil mengakses portal Akun saya, gunakan prosedur ini untuk menetapkan penggunanya ke aplikasi. AWS IAM Identity Center

  1. Di konsol pusat admin Microsoft Entra, navigasikan ke Identity > Applications > Enterprise Applications dan kemudian pilih AWS IAM Identity Centerdari daftar.

  2. Di sebelah kiri, pilih Pengguna dan grup.

  3. Pilih Tambahkan pengguna/grup. Anda dapat mengabaikan pesan yang menyatakan bahwa grup tidak tersedia untuk penetapan. Tutorial ini tidak menggunakan grup untuk tugas.

  4. Pada halaman Tambahkan Penugasan, di bawah Pengguna, pilih Tidak Ada yang Dipilih.

  5. Pilih NikkiWolf, lalu pilih Pilih.

  6. Pada halaman Add Assignment, pilih Assign. NikkiWolf sekarang muncul di daftar pengguna yang ditugaskan ke AWS IAM Identity Centeraplikasi.

Langkah 2: Siapkan AWS akun Anda

Pada langkah ini, Anda akan membahas cara menggunakan IAM Identity Centeruntuk mengonfigurasi izin akses (melalui set izin), buat pengguna Nikki Wolf yang sesuai secara manual, dan tetapkan izin yang diperlukan untuk mengelola sumber daya di. AWS

Step 2.1 >

Langkah 2.1: Buat RegionalAdmin izin yang ditetapkan IAM Identity Center

Set izin ini akan digunakan untuk memberikan Nikki izin AWS akun yang diperlukan yang diperlukan untuk mengelola Wilayah dari halaman Akun di dalam. AWS Management Console Semua izin lain untuk melihat atau mengelola informasi lain untuk akun Nikki ditolak secara default.

  1. Buka konsol Pusat IAM Identitas.

  2. Di bawah Izin multi-akun, pilih Set izin.

  3. Pilih Buat set izin.

  4. Pada halaman Pilih jenis set izin, pilih Set izin khusus, lalu pilih Berikutnya.

  5. Pilih Kebijakan sebaris untuk memperluasnya, lalu buat kebijakan untuk set izin menggunakan langkah-langkah berikut:

    1. Pilih Tambahkan pernyataan baru untuk membuat pernyataan kebijakan.

    2. Di bawah Edit pernyataan, pilih Akun dari daftar, lalu pilih kotak centang berikut.

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

    3. Di samping Tambahkan sumber daya, pilih Tambah.

    4. Pada halaman Tambahkan sumber daya, di bawah Jenis sumber daya, pilih Semua Sumber Daya, lalu pilih Tambah sumber daya. Verifikasi bahwa kebijakan Anda terlihat seperti berikut:

      {
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions",
                "account:DisableRegion",
                "account:EnableRegion",
                "account:GetRegionOptStatus"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  6. Pilih Berikutnya.

  7. Pada halaman Tentukan detail set izin, di bawah Nama set izin RegionalAdmin, masukkan, lalu pilih Berikutnya.

  8. Pada halaman Tinjau dan buat, pilih Buat. Anda akan melihat RegionalAdminditampilkan dalam daftar set izin.

Step 2.2 >

Langkah 2.2: Buat NikkiWolf pengguna yang sesuai di IAM Identity Center

Karena SAML protokol tidak menyediakan mekanisme untuk menanyakan IDP (Microsoft Entra ID) dan secara otomatis membuat pengguna di sini di Pusat IAM Identitas, gunakan prosedur berikut untuk membuat pengguna secara manual di Pusat IAM Identitas yang mencerminkan atribut inti dari pengguna Nikki Wolfs di Microsoft Entra ID.

  1. Buka konsol Pusat IAM Identitas.

  2. Pilih Pengguna, pilih Tambahkan pengguna, lalu berikan informasi berikut:

    1. Untuk Nama Pengguna dan Alamat Email — Masukkan NikkiWolf@ yang sama dengan yourcompanydomain.extension yang Anda gunakan saat membuat Microsoft Entra ID pengguna. Misalnya, NikkiWolf@example.org.

    2. Konfirmasikan alamat email — Masukkan kembali alamat email dari langkah sebelumnya

    3. Nama depan — Enter Nikki

    4. Nama belakang — Enter Wolf

    5. Nama tampilan - Enter Nikki Wolf

  3. Pilih Berikutnya dua kali, lalu pilih Tambah pengguna.

  4. Pilih Tutup.

Step 2.3

Langkah 2.3: Tetapkan Nikki ke RegionalAdmin izin yang ditetapkan IAM Identity Center

Di sini Anda menemukan tempat Nikki akan mengelola Wilayah, dan kemudian menetapkan izin yang diperlukan agar dia berhasil mengakses portal akses. Akun AWS AWS

  1. Buka konsol Pusat IAM Identitas.

  2. Di bawah Izin multi-akun, pilih. Akun AWS

  3. Pilih kotak centang di sebelah nama akun (misalnya,Sandbox) tempat Anda ingin memberikan Nikki akses untuk mengelola Wilayah, lalu pilih Tetapkan pengguna dan grup.

  4. Pada halaman Tetapkan pengguna dan grup, pilih tab Pengguna, temukan dan centang kotak di sebelah Nikki, lalu pilih Berikutnya.

Langkah 3: Konfigurasikan dan uji SAML koneksi Anda

Pada langkah ini, Anda mengonfigurasi SAML koneksi Anda menggunakan aplikasi AWS IAM Identity Center perusahaan di Microsoft Entra ID bersama dengan pengaturan iDP eksternal di IAM Identity Center.

Step 3.1 >

Langkah 3.1: Kumpulkan metadata penyedia layanan yang diperlukan dari IAM Identity Center

Pada langkah ini, Anda akan meluncurkan wizard Ubah sumber identitas dari dalam konsol Pusat IAM Identitas dan mengambil file metadata dan login AWS spesifik yang harus URL Anda masukkan saat mengonfigurasi koneksi dengan Microsoft Entra ID pada langkah selanjutnya.

  1. Di konsol Pusat IAM Identitas, pilih Pengaturan.

  2. Pada halaman Pengaturan, pilih tab Sumber identitas, lalu pilih Tindakan > Ubah sumber identitas.

  3. Pada halaman Pilih sumber identitas, pilih Penyedia identitas eksternal, lalu pilih Berikutnya.

  4. Pada halaman Konfigurasi penyedia identitas eksternal, di bawah metadata penyedia layanan, pilih Unduh file metadata untuk mengunduh file. XML

  5. Di bagian yang sama, cari URL nilai masuk portal AWS akses dan salin. Anda harus memasukkan nilai ini saat diminta pada langkah berikutnya.

  6. Biarkan halaman ini terbuka, dan lanjutkan ke langkah berikutnya (Step 3.2) untuk mengonfigurasi aplikasi AWS IAM Identity Center perusahaan di Microsoft Entra ID. Kemudian, Anda akan kembali ke halaman ini untuk menyelesaikan prosesnya.

Step 3.2 >

Langkah 3.2: Konfigurasikan aplikasi AWS IAM Identity Center perusahaan di Microsoft Entra ID

Prosedur ini menetapkan setengah dari SAML koneksi di sisi Microsoft menggunakan nilai dari file metadata dan Sign-On yang URL Anda peroleh pada langkah terakhir.

  1. Di konsol pusat admin Microsoft Entra, navigasikan ke Identity > Applications > Enterprise Applications dan kemudian pilih AWS IAM Identity Center.

  2. Di sebelah kiri, pilih 2. Siapkan Single sign-on.

  3. Pada SAML halaman Set up Single Sign-On with, pilih. SAML Kemudian pilih Unggah file metadata, pilih ikon folder, pilih file metadata penyedia layanan yang Anda unduh di langkah sebelumnya, lalu pilih Tambah.

  4. Pada halaman SAMLKonfigurasi Dasar, verifikasi bahwa URL nilai Identifier dan Reply sekarang menunjuk ke titik akhir di awal AWS itu. https://<REGION>.signin.aws.amazon.com/platform/saml/

  5. Di bawah Masuk URL (Opsional), tempel URL nilai masuk portal AWS akses yang Anda salin di langkah sebelumnya (Step 3.1), pilih Simpan, lalu pilih X untuk menutup jendela.

  6. Jika diminta untuk menguji sistem masuk tunggal AWS IAM Identity Center, pilih Tidak, saya akan menguji nanti. Anda akan melakukan verifikasi ini di langkah selanjutnya.

  7. Pada SAML halaman Set up Single Sign-On with, di bagian SAMLSertifikat, di sebelah Metadata Federasi XML, pilih Unduh untuk menyimpan file metadata ke sistem Anda. Anda harus mengunggah file ini saat diminta pada langkah berikutnya.

Step 3.3 >

Langkah 3.3: Konfigurasikan Microsoft Entra ID iDP eksternal di AWS IAM Identity Center

Di sini Anda akan kembali ke wizard Ubah sumber IAM identitas di konsol Pusat Identitas untuk menyelesaikan paruh kedua SAML koneksi di. AWS

  1. Kembali ke sesi browser yang Anda biarkan terbuka Step 3.1di konsol Pusat IAM Identitas.

  2. Pada halaman Konfigurasi penyedia identitas eksternal, di bagian metadata penyedia identitas, di bawah metadata iDP, pilih tombol Pilih file, dan pilih file SAML metadata penyedia identitas yang Anda unduh Microsoft Entra ID pada langkah sebelumnya, lalu pilih Buka.

  3. Pilih Berikutnya.

  4. Setelah Anda membaca disclaimer dan siap untuk melanjutkan, masukkan. ACCEPT

  5. Pilih Ubah sumber identitas untuk menerapkan perubahan Anda.

Step 3.4 >

Langkah 3.4: Uji bahwa Nikki diarahkan ke portal akses AWS

Dalam prosedur ini, Anda akan menguji SAML koneksi dengan masuk ke portal Akun Saya Microsoft dengan kredensi Nikki. Setelah diautentikasi, Anda akan memilih AWS IAM Identity Center aplikasi yang akan mengarahkan Nikki ke portal akses. AWS

  1. Buka halaman masuk portal Akun Saya, dan masukkan alamat email lengkap Nikki. Misalnya, NikkiWolf@example.org.

  2. Saat diminta, masukkan kata sandi Nikki, lalu pilih Masuk.

  3. Pada halaman Akun saya, di panel navigasi kiri, pilih Aplikasi Saya.

  4. Pada halaman Aplikasi Saya, pilih aplikasi bernama AWS IAM Identity Center. Ini akan meminta Anda untuk otentikasi tambahan.

  5. Pada halaman masuk Microsoft, pilih NikkiWolf kredensialnya. Jika diminta untuk kedua kalinya untuk otentikasi, pilih NikkiWolf kredensialnya lagi. Ini akan secara otomatis mengarahkan Anda ke portal AWS akses.

    Tip

    Jika Anda tidak berhasil dialihkan, periksa untuk memastikan URL nilai masuk portal AWS akses yang Anda masukkan Step 3.2cocok dengan nilai yang Anda salin. Step 3.1

  6. Verifikasi bahwa Akun AWS tampilan Anda.

    Tip

    Jika halaman kosong dan tidak ada Akun AWS tampilan, konfirmasikan bahwa Nikki berhasil ditugaskan ke set RegionalAdminizin (lihat Step 2.3).

Step 3.5

Langkah 3.5: Uji tingkat akses Nikki untuk mengelolanya Akun AWS

Pada langkah ini, Anda akan memeriksa untuk menentukan tingkat akses Nikki untuk mengelola pengaturan Wilayah untuknya Akun AWS. Nikki seharusnya hanya memiliki hak administrator yang cukup untuk mengelola Wilayah dari halaman Akun.

  1. Di portal AWS akses, pilih tab Akun untuk menampilkan daftar akun. Nama akun, akunIDs, dan alamat email yang terkait dengan akun mana pun yang telah Anda tetapkan set izin muncul.

  2. Pilih nama akun (misalnya,Sandbox) tempat Anda menerapkan set izin (lihat Step 2.3). Ini akan memperluas daftar set izin yang dapat dipilih Nikki untuk mengelola akunnya.

  3. Di samping RegionalAdminmemilih Konsol manajemen untuk mengambil peran yang Anda tetapkan dalam set RegionalAdminizin. Ini akan mengarahkan Anda ke halaman AWS Management Console beranda.

  4. Di sudut kanan atas konsol, pilih nama akun Anda, lalu pilih Akun. Ini akan membawa Anda ke halaman Akun. Perhatikan bahwa semua bagian lain di halaman ini menampilkan pesan bahwa Anda tidak memiliki izin yang diperlukan untuk melihat atau mengubah pengaturan tersebut.

  5. Pada halaman Akun, gulir ke bawah ke bagian AWS Wilayah. Pilih kotak centang untuk Wilayah yang tersedia dalam tabel. Perhatikan bahwa Nikki memang memiliki izin yang diperlukan untuk Mengaktifkan atau Menonaktifkan daftar Wilayah untuk akunnya seperti yang dimaksudkan.

Dilakukan dengan baik!

Langkah 1 hingga 3 membantu Anda untuk berhasil menerapkan dan menguji SAML koneksi Anda. Sekarang, untuk menyelesaikan tutorial, kami mendorong Anda untuk beralih ke Langkah 4 untuk menerapkan penyediaan otomatis.

Langkah 4: Konfigurasikan dan uji SCIM sinkronisasi Anda

Pada langkah ini, Anda akan mengatur penyediaan otomatis (sinkronisasi) informasi pengguna dari Microsoft Entra ID ke Pusat IAM Identitas menggunakan protokol SCIM v2.0. Anda mengonfigurasi koneksi ini di Microsoft Entra ID menggunakan SCIM endpoint Anda untuk IAM Identity Center dan token pembawa yang dibuat secara otomatis oleh IAM Identity Center.

Saat mengonfigurasi SCIM sinkronisasi, Anda membuat pemetaan atribut pengguna Anda di Microsoft Entra ID ke atribut bernama di Pusat IAM Identitas. Hal ini menyebabkan atribut yang diharapkan cocok antara IAM Identity Center dan Microsoft Entra ID.

Langkah-langkah berikut memandu Anda melalui cara mengaktifkan penyediaan otomatis pengguna yang terutama berada di Microsoft Entra ID ke Pusat IAM Identitas menggunakan aplikasi Pusat IAM Identitas di Microsoft Entra ID.

Step 4.1 >

Langkah 4.1: Buat pengguna uji kedua di Microsoft Entra ID

Untuk tujuan pengujian, Anda akan membuat pengguna baru (Richard Roe) di Microsoft Entra ID. Kemudian, setelah Anda mengatur SCIM sinkronisasi, Anda akan menguji bahwa pengguna ini dan semua atribut yang relevan berhasil disinkronkan ke Pusat IAM Identitas.

  1. Di konsol pusat admin Microsoft Entra, navigasikan ke Identity > Users > All users.

  2. Pilih Pengguna baru, lalu pilih Buat pengguna baru di bagian atas layar.

  3. Di Nama utama pengguna, masukkan RichRoe, lalu pilih domain dan ekstensi pilihan Anda. Misalnya, RichRoe@example.org.

  4. Di Nama tampilan, masukkan RichRoe.

  5. Di Kata Sandi, masukkan kata sandi yang kuat atau pilih ikon mata untuk menampilkan kata sandi yang dibuat secara otomatis, dan salin atau tuliskan nilai yang ditampilkan.

  6. Pilih Properties, dan kemudian berikan nilai-nilai berikut:

    • Nama depan - Enter Richard

    • Nama belakang - Enter Roe

    • Judul Pekerjaan - Enter Marketing Lead

    • Departemen - Masuk Sales

    • ID Karyawan - Masukkan 12345

  7. Pilih Review + create, lalu pilih Create.

Step 4.2 >

Langkah 4.2: Aktifkan penyediaan otomatis di Pusat Identitas IAM

Dalam prosedur ini, Anda akan menggunakan konsol Pusat IAM Identitas untuk mengaktifkan penyediaan otomatis pengguna dan grup yang berasal Microsoft Entra ID masuk ke pusat IAM identitas.

  1. Buka konsol Pusat IAM Identitas, dan pilih Pengaturan di panel navigasi kiri.

  2. Pada halaman Pengaturan, di bawah tab Sumber identitas, perhatikan bahwa metode Penyediaan diatur ke Manual.

  3. Temukan kotak Informasi penyediaan otomatis, lalu pilih Aktifkan. Ini segera memungkinkan penyediaan otomatis di Pusat IAM Identitas dan menampilkan SCIM titik akhir yang diperlukan dan informasi token akses.

  4. Dalam kotak dialog Penyediaan otomatis masuk, salin setiap nilai untuk opsi berikut. Anda harus menempelkan ini di langkah berikutnya saat Anda mengonfigurasi penyediaan di Microsoft Entra ID.

    1. SCIMtitik akhir - Misalnya, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Access token - Pilih Tampilkan token untuk menyalin nilainya.

    Awas

    Ini adalah satu-satunya waktu di mana Anda dapat memperoleh SCIM titik akhir dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju.

  5. Pilih Tutup.

  6. Di bawah tab Identity source, perhatikan bahwa metode Provisioning sekarang diatur ke. SCIM

Step 4.3 >

Langkah 4.3: Konfigurasikan penyediaan otomatis di Microsoft Entra ID

Sekarang setelah Anda memiliki pengguna RichRoe uji dan telah mengaktifkan SCIM di Pusat IAM Identitas, Anda dapat melanjutkan dengan mengonfigurasi pengaturan SCIM sinkronisasi di Microsoft Entra ID.

  1. Di konsol pusat admin Microsoft Entra, navigasikan ke Identity > Applications > Enterprise Applications dan kemudian pilih AWS IAM Identity Center.

  2. Pilih Penyediaan, di bawah Kelola, pilih Penyediaan lagi.

  3. Dalam Mode Penyediaan pilih Otomatis.

  4. Di bawah Kredensial Admin, di Tenant URL tempel di URL nilai SCIMtitik akhir yang Anda salin sebelumnya. Step 4.2 Di Token Rahasia, rekatkan nilai token Access.

  5. Pilih Uji Koneksi. Anda akan melihat pesan yang menunjukkan bahwa kredenal yang diuji berhasil diotorisasi untuk mengaktifkan penyediaan.

  6. Pilih Simpan.

  7. Di bawah Kelola, pilih Pengguna dan grup, lalu pilih Tambahkan pengguna/grup.

  8. Pada halaman Tambahkan Penugasan, di bawah Pengguna, pilih Tidak Ada yang Dipilih.

  9. Pilih RichRoe, lalu pilih Pilih.

  10. Pada halaman Add Assignment, pilih Assign.

  11. Pilih Ikhtisar, lalu pilih Mulai penyediaan.

Step 4.4

Langkah 4.4: Verifikasi bahwa sinkronisasi terjadi

Di bagian ini, Anda akan memverifikasi bahwa pengguna Richard berhasil disediakan dan bahwa semua atribut ditampilkan di Pusat IAM Identitas.

  1. Di konsol Pusat IAM Identitas, pilih Pengguna.

  2. Pada halaman Pengguna, Anda akan melihat RichRoepengguna Anda ditampilkan. Perhatikan bahwa di kolom Dibuat oleh nilai diatur ke SCIM.

  3. Pilih RichRoe, di bawah Profil, verifikasi bahwa atribut berikut telah disalin dari Microsoft Entra ID.

    • Nama depan - Richard

    • Nama belakang - Roe

    • Departemen - Sales

    • Judul - Marketing Lead

    • Nomor karyawan - 12345

    Sekarang pengguna Richard telah dibuat di Pusat IAM Identitas, Anda dapat menetapkannya ke set izin apa pun sehingga Anda dapat mengontrol tingkat akses yang dia miliki ke AWS sumber daya Anda. Misalnya, Anda dapat menetapkan RichRoeke set RegionalAdmin izin yang Anda gunakan sebelumnya untuk memberikan Nikki izin untuk mengelola Wilayah (lihat Step 2.3) dan kemudian menguji tingkat aksesnya menggunakan. Step 3.5

Selamat!

Anda telah berhasil mengatur SAML koneksi antara Microsoft dan AWS dan telah memverifikasi bahwa penyediaan otomatis berfungsi untuk menjaga semuanya tetap sinkron. Sekarang Anda dapat menerapkan apa yang telah Anda pelajari untuk mengatur lingkungan produksi Anda dengan lebih lancar.

Langkah 5: Konfigurasikan ABAC - Opsional

Sekarang setelah Anda berhasil mengonfigurasi SAML danSCIM, Anda dapat memilih untuk mengonfigurasi kontrol akses berbasis atribut (). ABAC ABACadalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut.

Dengan Microsoft Entra ID, Anda dapat menggunakan salah satu dari dua metode berikut untuk mengkonfigurasi ABAC untuk digunakan dengan Pusat IAM Identitas.

Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center

Konfigurasikan atribut pengguna di Microsoft Entra ID untuk kontrol akses di Pusat IAM Identitas

Dalam prosedur berikut, Anda akan menentukan atribut mana yang Microsoft Entra ID harus digunakan oleh Pusat IAM Identitas untuk mengelola akses ke AWS sumber daya Anda. Setelah didefinisikan, Microsoft Entra ID mengirimkan atribut ini ke Pusat IAM Identitas melalui SAML pernyataan. Anda kemudian perlu Buat set izin di Pusat IAM Identitas untuk mengelola akses berdasarkan atribut yang Anda lewati Microsoft Entra ID.

Sebelum Anda memulai prosedur ini, Anda harus mengaktifkan Atribut untuk kontrol akses fitur terlebih dahulu. Untuk informasi selengkapnya tentang cara melakukan ini, lihat Aktifkan dan konfigurasikan atribut untuk kontrol akses.

  1. Di konsol pusat admin Microsoft Entra, navigasikan ke Identity > Applications > Enterprise Applications dan kemudian pilih AWS IAM Identity Center.

  2. Pilih Single sign-on.

  3. Di bagian Atribut & Klaim, pilih Edit.

  4. Pada halaman Atribut & Klaim, lakukan hal berikut:

    1. Pilih Tambahkan klaim baru

    2. Untuk Nama, masukkan AccessControl:AttributeName. Ganti AttributeName dengan nama atribut yang Anda harapkan di Pusat IAM Identitas. Misalnya, AccessControl:Department.

    3. Untuk Namespace, masukkan https://aws.amazon.com/SAML/Attributes.

    4. Untuk Sumber, pilih Atribut.

    5. Untuk atribut Source, gunakan daftar drop-down untuk memilih Microsoft Entra ID atribut pengguna. Misalnya, user.department.

  5. Ulangi langkah sebelumnya untuk setiap atribut yang perlu Anda kirim ke Pusat IAM Identitas dalam SAML pernyataan.

  6. Pilih Simpan.

Configure ABAC using IAM Identity Center

Konfigurasikan ABAC menggunakan Pusat IAM Identitas

Dengan metode ini, Anda menggunakan Atribut untuk kontrol akses fitur di Pusat IAM Identitas untuk meneruskan Attribute elemen dengan Name atribut yang disetel kehttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Anda dapat menggunakan elemen ini untuk meneruskan atribut sebagai tag sesi dalam SAML pernyataan. Untuk informasi selengkapnya tentang tag sesi, lihat Melewati tag sesi AWS STS di Panduan IAM Pengguna.

Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen AttributeValue yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tagDepartment=billing, gunakan atribut berikut:

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Jika Anda perlu menambahkan beberapa atribut, sertakan Attribute elemen terpisah untuk setiap tag.

Tetapkan akses ke Akun AWS

Langkah-langkah berikut hanya diperlukan untuk memberikan akses ke Akun AWS saja. Langkah-langkah ini tidak diperlukan untuk memberikan akses ke AWS aplikasi.

Langkah 1: Pusat IAM Identitas: Hibah Microsoft Entra ID akses pengguna ke akun

  1. Kembali ke konsol Pusat IAM Identitas. Di panel navigasi Pusat IAM Identitas, di bawah izin Multi-akun, pilih. Akun AWS

  2. Pada Akun AWShalaman, struktur Organisasi menampilkan akar organisasi Anda dengan akun Anda di bawahnya dalam hierarki. Pilih kotak centang untuk akun manajemen Anda, lalu pilih Tetapkan pengguna atau grup.

  3. Tampilan alur kerja Tetapkan pengguna dan grup. Ini terdiri dari tiga langkah:

    1. Untuk Langkah 1: Pilih pengguna dan grup pilih pengguna yang akan melakukan fungsi pekerjaan administrator. Lalu pilih Berikutnya.

    2. Untuk Langkah 2: Pilih set izin pilih Buat set izin untuk membuka tab baru yang memandu Anda melalui tiga sub-langkah yang terlibat dalam membuat set izin.

      1. Untuk Langkah 1: Pilih jenis set izin lengkapi yang berikut ini:

        • Dalam Jenis set Izin, pilih Set izin yang telah ditentukan sebelumnya.

        • Dalam Kebijakan untuk set izin yang telah ditentukan sebelumnya, pilih AdministratorAccess.

        Pilih Berikutnya.

      2. Untuk Langkah 2: Tentukan detail set izin, pertahankan pengaturan default, dan pilih Berikutnya.

        Pengaturan default membuat set izin bernama AdministratorAccess dengan durasi sesi diatur ke satu jam.

      3. Untuk Langkah 3: Tinjau dan buat, verifikasi bahwa jenis set Izin menggunakan kebijakan AWS terkelola AdministratorAccess. Pilih Buat. Pada halaman Set izin, pemberitahuan muncul memberi tahu Anda bahwa set izin telah dibuat. Anda dapat menutup tab ini di browser web Anda sekarang.

      4. Pada tab Tetapkan pengguna dan grup browser, Anda masih pada Langkah 2: Pilih set izin dari mana Anda memulai alur kerja set izin buat.

      5. Di area set Izin, pilih tombol Refresh. Set AdministratorAccess izin yang Anda buat muncul dalam daftar. Pilih kotak centang untuk set izin tersebut dan kemudian pilih Berikutnya.

    3. Untuk Langkah 3: Tinjau dan kirimkan ulasan pengguna dan set izin yang dipilih, lalu pilih Kirim.

      Halaman diperbarui dengan pesan bahwa Anda Akun AWS sedang dikonfigurasi. Tunggu sampai proses selesai.

      Anda dikembalikan ke Akun AWS halaman. Pesan notifikasi memberi tahu Anda bahwa pesan Anda Akun AWS telah direvisi dan set izin yang diperbarui diterapkan. Saat pengguna masuk, mereka akan memiliki opsi untuk memilih AdministratorAccess peran.

Langkah 2: Microsoft Entra ID: Konfirmasikan Microsoft Entra ID akses pengguna ke AWS sumber daya

  1. Kembali ke Microsoft Entra IDkonsol dan arahkan ke aplikasi Sign-on SAML berbasis Pusat IAM Identitas Anda.

  2. Pilih Pengguna dan grup dan pilih Tambahkan pengguna atau grup. Anda akan menambahkan pengguna yang Anda buat dalam tutorial ini di Langkah 4 ke Microsoft Entra ID aplikasi. Dengan menambahkan pengguna, Anda akan mengizinkan mereka untuk AWS masuk. Cari pengguna yang Anda buat di Langkah 4. Jika Anda mengikuti langkah ini, itu akan terjadiRichardRoe.

    1. Untuk demo, lihat Menggabungkan instans Pusat IAM Identitas Anda yang ada dengan Microsoft Entra ID

Pemecahan Masalah

Untuk umum SCIM dan SAML pemecahan masalah dengan Microsoft Entra ID, lihat bagian berikut:

Masalah sinkronisasi dengan Microsoft Entra ID dan Pusat IAM Identitas

Jika Anda mengalami masalah dengan Microsoft Entra ID pengguna tidak menyinkronkan ke Pusat IAM Identitas, mungkin karena masalah sintaks yang ditandai oleh Pusat IAM Identitas saat pengguna baru ditambahkan ke IAM Pusat Identitas. Anda dapat mengonfirmasi hal ini dengan memeriksa Microsoft Entra ID log audit untuk peristiwa yang gagal, seperti file'Export'. Alasan Status untuk acara ini akan menyatakan:

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

Anda juga dapat memeriksa AWS CloudTrail acara yang gagal. Ini dapat dilakukan dengan mencari di konsol Riwayat Acara CloudTrail menggunakan filter berikut:

"eventName":"CreateUser"

Kesalahan dalam CloudTrail acara tersebut akan menyatakan sebagai berikut:

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

Pada akhirnya, pengecualian ini berarti bahwa salah satu nilai dilewatkan Microsoft Entra ID mengandung lebih banyak nilai dari yang diantisipasi. Solusinya adalah meninjau atribut pengguna di Microsoft Entra ID, memastikan bahwa tidak ada yang mengandung nilai duplikat. Salah satu contoh umum dari nilai duplikat adalah memiliki beberapa nilai yang ada untuk nomor kontak seperti ponsel, pekerjaan, dan faks. Meskipun nilai terpisah, mereka semua diteruskan ke Pusat IAM Identitas di bawah atribut induk tunggal phoneNumbers.

Untuk tips SCIM pemecahan masalah umum, lihat Pemecahan masalah.

Microsoft Entra ID Sinkronisasi Akun Tamu

Jika Anda ingin menyinkronkan Microsoft Entra ID pengguna tamu ke Pusat IAM Identitas, lihat prosedur berikut.

Microsoft Entra ID Email pengguna tamu berbeda dari Microsoft Entra ID pengguna. Perbedaan ini menyebabkan masalah saat mencoba menyinkronkan Microsoft Entra ID pengguna tamu dengan Pusat IAM Identitas. Misalnya, lihat alamat email berikut untuk pengguna tamu:

exampleuser_domain.com#EXT@domain.onmicrosoft.com.

IAMIdentity Center mengharapkan alamat email pengguna tidak berisi EXT@domain format.

  1. Masuk ke pusat admin Microsoft Entra dan navigasikan ke Identity > Applications > Enterprise applications lalu pilih AWS IAM Identity Center

  2. Arahkan ke tab Single Sign On di panel kiri.

  3. Pilih Edit yang muncul di sebelah Atribut & Klaim Pengguna.

  4. Pilih Pengenal Pengguna Unik (ID Nama) mengikuti Klaim yang Diperlukan.

  5. Anda akan membuat dua ketentuan klaim untuk Microsoft Entra ID pengguna dan pengguna tamu:

    1. Untuk Microsoft Entra ID pengguna, buat tipe pengguna untuk anggota dengan atribut sumber disetel ke user.userprincipalname.

    2. Untuk Microsoft Entra ID pengguna tamu, buat tipe pengguna untuk tamu eksternal dengan atribut sumber disetel keuser.mail.

    3. Pilih Simpan dan coba lagi masuk sebagai Microsoft Entra ID pengguna tamu.

Sumber daya tambahan

Sumber daya berikut dapat membantu Anda memecahkan masalah saat Anda bekerja dengan: AWS

  • AWS re:Post- Temukan FAQs dan tautkan ke sumber daya lain untuk membantu Anda memecahkan masalah.

  • AWS Dukungan- Dapatkan dukungan teknis