Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
In questo tutorial, configurerai un laboratorio di test e configurerai una SAML connessione e un SCIM provisioning tra Microsoft Entra ID e IAM Identity Center. Durante le fasi iniziali di preparazione, creerai un utente di prova (Nikki Wolf) in entrambi Microsoft Entra ID e IAM Identity Center che utilizzerai per testare la SAML connessione in entrambe le direzioni. Successivamente, come parte dei SCIM passaggi, creerai un altro utente di test (Richard Roe) per verificare i nuovi attributi in Microsoft Entra ID si stanno sincronizzando con IAM Identity Center come previsto.
Prima di iniziare con questo tutorial, devi prima configurare quanto segue:
Di seguito sono riportate importanti considerazioni su Microsoft Entra ID ciò può influire sul modo in cui si prevede di implementare il provisioning automatico con IAM Identity Center nell'ambiente di produzione utilizzando il protocollo SCIM v2.
Provisioning automatico
Prima di iniziare la distribuzioneSCIM, ti consigliamo di esaminarlo. Considerazioni sull'utilizzo del provisioning automatico
Attributi per il controllo degli accessi
Gli attributi per il controllo degli accessi vengono utilizzati nelle politiche di autorizzazione che determinano chi nell'identità dell'utente può accedere alle AWS risorse. Se un attributo viene rimosso da un utente in Microsoft Entra ID, tale attributo non verrà rimosso dall'utente corrispondente in IAM Identity Center. Si tratta di una limitazione nota in Microsoft Entra ID. Se un attributo viene modificato con un valore diverso (non vuoto) su un utente, tale modifica verrà sincronizzata con IAM Identity Center.
Gruppi annidati
Il Microsoft Entra ID il servizio di provisioning degli utenti non è in grado di leggere o effettuare il provisioning degli utenti nei gruppi nidificati. Solo gli utenti che sono membri immediati di un gruppo assegnato in modo esplicito possono essere letti e assegnati. Microsoft Entra ID non decomprime in modo ricorsivo le appartenenze ai gruppi di utenti o gruppi assegnati indirettamente (utenti o gruppi membri di un gruppo assegnato direttamente). Per ulteriori informazioni, vedere Ambito basato sulle assegnazioni nel Microsoft documentazione. In alternativa, è possibile utilizzare IAMIdentity Center ID AD Sync per l'integrazione Active Directory gruppi con IAM Identity Center.
Gruppi dinamici
Il Microsoft Entra ID il servizio di provisioning degli utenti può leggere ed effettuare il provisioning degli utenti in gruppi dinamici. Di seguito è riportato un esempio che mostra la struttura degli utenti e dei gruppi durante l'utilizzo dei gruppi dinamici e come vengono visualizzati in IAM Identity Center. Questi utenti e gruppi sono stati forniti da Microsoft Entra ID in IAM Identity Center tramite SCIM
Ad esempio, se Microsoft Entra ID la struttura per i gruppi dinamici è la seguente:
-
Gruppo A con membri ua1, ua2
-
Gruppo B con membri ub1
-
Gruppo C con membri uc1
-
Gruppo K con una regola per includere i membri del Gruppo A, B, C
-
Gruppo L con una regola per includere i membri dei gruppi B e C
Dopo aver fornito le informazioni su utenti e gruppi da Microsoft Entra ID in IAM Identity Center tramiteSCIM, la struttura sarà la seguente:
-
Gruppo A con membri ua1, ua2
-
Gruppo B con membri ub1
-
Gruppo C con membri uc1
-
Gruppo K con membri ua1, ua2, ub1, uc1
-
Gruppo L con membri ub1, uc1
Quando configuri il provisioning automatico utilizzando gruppi dinamici, tieni presenti le seguenti considerazioni.
-
Un gruppo dinamico può includere un gruppo annidato. Tuttavia, Microsoft Entra ID il servizio di provisioning non appiattisce il gruppo annidato. Ad esempio, se si dispone di quanto segue Microsoft Entra ID struttura per gruppi dinamici:
-
Il gruppo A è un genitore del gruppo B.
-
Il gruppo A ha ua1 come membro.
-
Il gruppo B ha ub1 come membro.
Il gruppo dinamico che include il gruppo A includerà solo i membri diretti del gruppo A (ovvero ua1). Non includerà ricorsivamente i membri del gruppo B.
In questo passaggio, spiegherai come installare e configurare l'applicazione AWS IAM Identity Center
aziendale e assegnare l'accesso a una nuova applicazione creata Microsoft Entra ID utente di prova.
- Step 1.1 >
-
Fase 1.1: Configurare l'applicazione AWS IAM Identity Center aziendale in Microsoft Entra ID
In questa procedura, si installa l'applicazione AWS IAM Identity Center aziendale in Microsoft Entra ID. Questa applicazione ti servirà in seguito per configurare la SAML connessione con AWS.
-
Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno amministratore di applicazioni cloud.
-
Passa a Identità > Applicazioni > Applicazioni aziendali, quindi scegli Nuova applicazione.
-
Nella pagina Browse Microsoft Entra Gallery, inserisci AWS IAM Identity Center
nella casella di ricerca.
-
Seleziona AWS IAM Identity Centertra i risultati.
-
Scegli Create (Crea) .
- Step 1.2 >
-
Passaggio 1.2: Creare un utente di prova in Microsoft Entra ID
Nikki Wolf è il tuo nome Microsoft Entra ID utente di prova che creerai in questa procedura.
-
Nella console dell'interfaccia di amministrazione Microsoft Entra, vai a Identità > Utenti > Tutti gli utenti.
-
Seleziona Nuovo utente, quindi scegli Crea nuovo utente nella parte superiore dello schermo.
-
In Nome principale utente, inserisci NikkiWolf
, quindi seleziona il dominio e l'estensione preferiti. Ad esempio, NikkiWolf@example.org
.
-
In Nome visualizzato, immettere NikkiWolf
.
-
In Password, inserisci una password sicura o seleziona l'icona a forma di occhio per mostrare la password generata automaticamente e copia o annota il valore visualizzato.
-
Scegli Proprietà, in Nome, inserisci Nikki
. In Cognome, immettere Wolf
.
-
Scegliete Review + create, quindi scegliete Crea.
- Step 1.3
-
Passaggio 1.3: Metti alla prova l'esperienza di Nikki prima di assegnarle le autorizzazioni a AWS IAM Identity Center
In questa procedura, verificherai a cosa Nikki può accedere correttamente al suo portale Microsoft My Account.
-
Nello stesso browser, apri una nuova scheda, vai alla pagina di accesso al portale My Account e inserisci l'indirizzo email completo di Nikki. Ad esempio, @ NikkiWolfexample.org
.
-
Quando richiesto, inserisci la password di Nikki, quindi scegli Accedi. Se si tratta di una password generata automaticamente, ti verrà richiesto di cambiarla.
-
Nella pagina Azione richiesta, scegli Chiedi più tardi per ignorare la richiesta di metodi di sicurezza aggiuntivi.
-
Nella pagina Il mio account, nel riquadro di navigazione a sinistra, scegli Le mie app. Tieni presente che, oltre ai componenti aggiuntivi, al momento non viene visualizzata alcuna app. Aggiungerai un'AWS IAM Identity Centerapp che verrà visualizzata qui in un passaggio successivo.
- Step 1.4
-
Passaggio 1.4: Assegna le autorizzazioni a Nikki in Microsoft Entra ID
Ora che hai verificato che Nikki può accedere correttamente al portale Il mio account, usa questa procedura per assegnare il suo utente all'app. AWS IAM Identity Center
-
Nella console dell'interfaccia di amministrazione Microsoft Entra, accedi a Identità > Applicazioni > Applicazioni aziendali, quindi scegli AWS IAM Identity Centerdall'elenco.
-
A sinistra, scegli Utenti e gruppi.
-
Scegli Add user/group (Aggiungi utente/gruppo). Puoi ignorare il messaggio che indica che i gruppi non sono disponibili per l'assegnazione. Questo tutorial non utilizza i gruppi per le assegnazioni.
-
Nella pagina Aggiungi assegnazione, in Utenti, scegli Nessuno selezionato.
-
Seleziona NikkiWolf, quindi scegli Seleziona.
-
Nella pagina Aggiungi assegnazione, scegli Assegna. NikkiWolf ora appare nell'elenco degli utenti assegnati all'AWS IAM Identity Centerapp.
In questo passaggio, spiegherai come utilizzare IAM Identity Centerper configurare le autorizzazioni di accesso (tramite il set di autorizzazioni), creare manualmente un utente Nikki Wolf corrispondente e assegnargli le autorizzazioni necessarie per amministrare le risorse in. AWS
- Step 2.1 >
-
Passaggio 2.1: Creare un set di autorizzazioni in RegionalAdmin IAM Identity Center
Questo set di autorizzazioni verrà utilizzato per concedere a Nikki le autorizzazioni AWS dell'account necessarie per gestire le regioni dalla pagina Account all'interno di. AWS Management Console Tutte le altre autorizzazioni per visualizzare o gestire qualsiasi altra informazione relativa all'account di Nikki sono negate per impostazione predefinita.
-
Apri la console IAMIdentity Center.
-
In Autorizzazioni per più account, scegli Set di autorizzazioni.
-
Scegli Create permission set (Crea set di autorizzazioni).
-
Nella pagina Seleziona il tipo di set di autorizzazioni, seleziona Set di autorizzazioni personalizzato, quindi scegli Avanti.
-
Seleziona Criterio in linea per espanderlo, quindi crea un criterio per il set di autorizzazioni utilizzando i seguenti passaggi:
-
Scegli Aggiungi nuova dichiarazione per creare una dichiarazione politica.
-
In Modifica rendiconto, seleziona Account dall'elenco, quindi scegli le seguenti caselle di controllo.
-
ListRegions
-
GetRegionOptStatus
-
DisableRegion
-
EnableRegion
-
Vicino a Aggiungi una risorsa, scegli Aggiungi.
-
Nella pagina Aggiungi risorsa, in Tipo di risorsa, seleziona Tutte le risorse, quindi scegli Aggiungi risorsa. Verifica che la tua politica sia simile alla seguente:
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"account:ListRegions",
"account:DisableRegion",
"account:EnableRegion",
"account:GetRegionOptStatus"
],
"Resource": [
"*"
]
}
]
}
-
Scegli Next (Successivo).
-
Nella pagina Specificare i dettagli del set di autorizzazioni, in Nome del set di autorizzazioni RegionalAdmin
, immettere e quindi scegliere Avanti.
-
Nella pagina Review and create (Rivedi e crea), scegliere Create (Crea). Dovresti essere RegionalAdminvisualizzato nell'elenco dei set di autorizzazioni.
- Step 2.2 >
-
Passaggio 2.2: Creare un NikkiWolf utente corrispondente in IAM Identity Center
Poiché il SAML protocollo non fornisce un meccanismo per interrogare l'IdP (Microsoft Entra ID) e crea automaticamente gli utenti qui in IAM Identity Center, utilizza la seguente procedura per creare manualmente un utente in IAM Identity Center che rispecchi gli attributi principali dell'utente di Nikki Wolf in Microsoft Entra ID.
-
Aprire la console di IAMIdentity Center.
-
Scegli Utenti, scegli Aggiungi utente, quindi fornisci le seguenti informazioni:
-
Sia per il nome utente che per l'indirizzo e-mail, inserisci lo stesso NikkiWolf
@yourcompanydomain.extension
che hai usato durante la creazione del tuo Microsoft Entra ID utente. Ad esempio, NikkiWolf@example.org
.
-
Conferma indirizzo e-mail: inserisci nuovamente l'indirizzo e-mail del passaggio precedente
-
Nome: immettere Nikki
-
Cognome: immettere Wolf
-
Nome visualizzato: immettere Nikki Wolf
-
Scegli Avanti due volte, quindi scegli Aggiungi utente.
-
Seleziona Close (Chiudi).
- Step 2.3
-
Passaggio 2.3: Assegna Nikki all' RegionalAdmin autorizzazione impostata in IAM Identity Center
Qui si individuano le regioni Account AWS in cui Nikki amministrerà le regioni e quindi si assegnano le autorizzazioni necessarie per accedere correttamente al portale di accesso. AWS
-
Apri la console di Identity CenterIAM.
-
In Autorizzazioni per più account, scegli. Account AWS
-
Seleziona la casella di controllo accanto al nome dell'account (ad esempio, Sandbox
) dove vuoi concedere a Nikki l'accesso per gestire le regioni, quindi scegli Assegna utenti e gruppi.
-
Nella pagina Assegna utenti e gruppi, scegli la scheda Utenti, trova e seleziona la casella accanto a Nikki, quindi scegli Avanti.
In questo passaggio, si configura la SAML connessione utilizzando l'applicazione AWS IAM Identity Center aziendale in Microsoft Entra ID insieme alle impostazioni IdP esterne in IAM Identity Center.
- Step 3.1 >
-
Passaggio 3.1: Raccogli i metadati richiesti del fornitore di servizi da Identity Center IAM
In questo passaggio, avvierai la procedura guidata per la modifica dell'origine dell'IAMidentità dalla console di Identity Center e recupererai il file di metadati e l'accesso AWS
specifico URL che dovrai inserire durante la configurazione della connessione con Microsoft Entra ID nel passaggio successivo.
-
Nella console di IAM Identity Center, scegli Impostazioni.
-
Nella pagina Impostazioni, scegli la scheda Origine dell'identità, quindi scegli Azioni > Modifica l'origine dell'identità.
-
Nella pagina Scegli l'origine dell'identità, seleziona Provider di identità esterno, quindi scegli Avanti.
-
Nella pagina Configura provider di identità esterno, in Metadati del provider di servizi, scegli Scarica il file di metadati per scaricare il XML file.
-
Nella stessa sezione, individua il URL valore di AWS accesso al portale di accesso e copialo. Dovrai inserire questo valore quando richiesto nel passaggio successivo.
-
Lasciate aperta questa pagina e passate al passaggio successivo (Step 3.2
) per configurare l'applicazione AWS IAM Identity Center aziendale in Microsoft Entra ID. Successivamente, tornerai a questa pagina per completare il processo.
- Step 3.2 >
-
Passaggio 3.2: Configurare l'applicazione AWS IAM Identity Center aziendale in Microsoft Entra ID
Questa procedura stabilisce metà della SAML connessione sul lato Microsoft utilizzando i valori del file di metadati e Sign-On ottenuti nell'ultimo URL passaggio.
-
Nella console dell'interfaccia di amministrazione Microsoft Entra, accedi a Identità > Applicazioni > Applicazioni aziendali, quindi scegli AWS IAM Identity Center.
-
A sinistra, scegli 2. Configura Single Sign-on.
-
Nella pagina Configura Single Sign-On con SAML, scegli. SAML Quindi scegli Carica file di metadati, scegli l'icona della cartella, seleziona il file di metadati del fornitore di servizi che hai scaricato nel passaggio precedente, quindi scegli Aggiungi.
-
Nella pagina SAMLConfigurazione di base, verifica che entrambi i URL valori Identifier e Reply puntino ora agli endpoint che iniziano con. AWS https://<REGION>
.signin.aws.amazon.com/platform/saml/
-
In Accedi URL (facoltativo), incolla il URL valore di AWS accesso al portale di accesso che hai copiato nel passaggio precedente (Step 3.1
), scegli Salva, quindi scegli X per chiudere la finestra.
-
Se ti viene richiesto di testare il Single Sign-On con AWS IAM Identity Center, scegli No, proverò più tardi. Effettuerai questa verifica in un passaggio successivo.
-
Nella SAML pagina Configura Single Sign-On con, nella sezione SAMLCertificati, accanto a Metadati federativi XML, scegli Scarica per salvare il file di metadati sul tuo sistema. Dovrai caricare questo file quando richiesto nel passaggio successivo.
- Step 3.3 >
-
Passaggio 3.3: Configurare Microsoft Entra ID ingresso IdP esterno AWS IAM Identity Center
Qui tornerai alla procedura guidata per la modifica dell'origine dell'IAMidentità nella console di Identity Center per completare la seconda metà della connessione. SAML AWS
-
Torna alla sessione del browser da cui hai lasciato aperta Step 3.1
nella console di IAM Identity Center.
-
Nella pagina Configura provider di identità esterno, nella sezione Metadati del provider di identità, in Metadati SAMLIdP, scegli il pulsante Scegli file e seleziona il file di metadati del provider di identità da cui hai scaricato Microsoft Entra ID nel passaggio precedente, quindi scegli Apri.
-
Scegli Next (Successivo).
-
Dopo aver letto il disclaimer e essere pronti a procedere, inserisci. ACCEPT
-
Scegli Cambia origine identità per applicare le modifiche.
- Step 3.4 >
-
Passaggio 3.4: Verifica che Nikki venga reindirizzata al portale di accesso AWS
In questa procedura, testerai la SAML connessione accedendo al portale My Account di Microsoft con le credenziali di Nikki. Una volta autenticata, selezionerai l' AWS IAM Identity Center applicazione che reindirizzerà Nikki al portale di accesso. AWS
-
Vai alla pagina di accesso al portale Il mio account e inserisci l'indirizzo email completo di Nikki. Ad esempio, @ NikkiWolf
example.org
.
-
Quando richiesto, inserisci la password di Nikki, quindi scegli Accedi.
-
Nella pagina Il mio account, nel riquadro di navigazione a sinistra, scegli Le mie app.
-
Nella pagina Le mie app, seleziona l'app denominata AWS IAM Identity Center. Questo dovrebbe richiedere un'autenticazione aggiuntiva.
-
Nella pagina di accesso di Microsoft, scegli NikkiWolf le tue credenziali. Se ti viene richiesta una seconda volta l'autenticazione, scegli nuovamente NikkiWolf le tue credenziali. Questo dovrebbe reindirizzarti automaticamente al portale di accesso. AWS
Se non vieni reindirizzato correttamente, verifica che il valore di AWS accesso al portale di accesso che hai inserito Step 3.2
corrisponda al URL valore da cui hai copiato. Step 3.1
-
Verifica che lo schermo sia visualizzato. Account AWS
Se la pagina è vuota e non viene Account AWS visualizzata, conferma che Nikki è stata assegnata correttamente al set di RegionalAdminautorizzazioni (vedi Step 2.3
).
- Step 3.5
-
Passaggio 3.5: Verifica il livello di accesso di Nikki per gestirla Account AWS
In questo passaggio, controllerai il livello di accesso di Nikki per gestire le impostazioni della regione per lei. Account AWSNikki dovrebbe avere solo i privilegi di amministratore sufficienti per gestire le regioni dalla pagina Account.
-
Nel portale di AWS accesso, scegli la scheda Account per visualizzare l'elenco degli account. Vengono visualizzati i nomi degli accountIDs, gli account e gli indirizzi e-mail associati a tutti gli account in cui sono stati definiti i set di autorizzazioni.
-
Scegli il nome dell'account (ad esempio, Sandbox
) dove hai applicato il set di autorizzazioni (vedi Step
2.3
). Ciò amplierà l'elenco dei set di autorizzazioni tra cui Nikki può scegliere per gestire il suo account.
-
Quindi RegionalAdminscegli Console di gestione per assumere il ruolo definito nel set di RegionalAdminautorizzazioni. Questo ti reindirizzerà alla AWS Management Console home page.
-
Nell'angolo in alto a destra della console, scegli il nome del tuo account, quindi scegli Account. Verrai reindirizzato alla pagina Account. Nota che in tutte le altre sezioni di questa pagina viene visualizzato un messaggio che indica che non disponi delle autorizzazioni necessarie per visualizzare o modificare tali impostazioni.
-
Nella pagina Account, scorri verso il basso fino alla sezione AWS Regioni. Seleziona una casella di controllo per ogni regione disponibile nella tabella. Nota che Nikki dispone delle autorizzazioni necessarie per abilitare o disabilitare l'elenco delle regioni per il suo account, come previsto.
I passaggi da 1 a 3 ti hanno aiutato a implementare e testare con successo la tua SAML connessione. Ora, per completare il tutorial, ti invitiamo a passare alla Fase 4 per implementare il provisioning automatico.
In questo passaggio, configurerai il provisioning automatico (sincronizzazione) delle informazioni utente da Microsoft Entra ID in IAM Identity Center utilizzando il protocollo SCIM v2.0. Si configura questa connessione in Microsoft Entra ID utilizzando il tuo SCIM endpoint per IAM Identity Center e un token bearer creato automaticamente da IAM Identity Center.
Quando configuri SCIM la sincronizzazione, crei una mappatura degli attributi utente in Microsoft Entra ID agli attributi denominati in IAM Identity Center. Ciò fa sì che gli attributi previsti corrispondano tra IAM Identity Center e Microsoft Entra ID.
I passaggi seguenti illustrano come abilitare il provisioning automatico degli utenti che risiedono principalmente in Microsoft Entra ID a IAM Identity Center utilizzando l'app IAM Identity Center in Microsoft Entra ID.
- Step 4.1 >
-
Passaggio 4.1: Creare un secondo utente di prova in Microsoft Entra ID
A scopo di test, creerai un nuovo utente (Richard Roe) in Microsoft Entra ID. Successivamente, dopo aver impostato SCIM la sincronizzazione, verificherai che questo utente e tutti gli attributi pertinenti siano stati sincronizzati correttamente con IAM Identity Center.
-
Nella console dell'interfaccia di amministrazione Microsoft Entra, vai a Identità > Utenti > Tutti gli utenti.
-
Seleziona Nuovo utente, quindi scegli Crea nuovo utente nella parte superiore dello schermo.
-
In Nome principale utente, inserisci RichRoe
, quindi seleziona il dominio e l'estensione preferiti. Ad esempio, RichRoe@example.org
.
-
In Nome visualizzato, immettere RichRoe
.
-
In Password, inserisci una password sicura o seleziona l'icona a forma di occhio per mostrare la password generata automaticamente e copia o annota il valore visualizzato.
-
Scegli Proprietà, quindi fornisci i seguenti valori:
-
Nome - Invio Richard
-
Cognome - Invio Roe
-
Job title - Enter Marketing
Lead
-
Dipartimento - Entra Sales
-
ID dipendente: inserisci 12345
-
Scegli Review + create, quindi scegli Crea.
- Step 4.2 >
-
Passaggio 4.2: Abilita il provisioning automatico in IAM Identity Center
In questa procedura, utilizzerai la console IAM Identity Center per abilitare il provisioning automatico di utenti e gruppi provenienti da Microsoft Entra ID in IAM Identity Center.
-
Apri la console di IAM Identity Center e scegli Impostazioni nel riquadro di navigazione a sinistra.
-
Nella pagina Impostazioni, nella scheda Identity source, nota che il metodo di provisioning è impostato su Manuale.
-
Individua la casella Informazioni sul provisioning automatico, quindi scegli Abilita. Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'SCIMendpoint e sul token di accesso.
-
Nella finestra di dialogo di provisioning automatico in entrata, copiate ciascuno dei valori per le seguenti opzioni. Sarà necessario incollarli nel passaggio successivo quando si configura il provisioning in Microsoft Entra ID.
-
SCIMendpoint: ad esempio, https://scim.us-east-2
.amazonaws.com/11111111111-2222-3333-4444-555555555555
/scim/v2
-
Token di accesso: scegli Mostra token per copiare il valore.
Questa è l'unica volta in cui puoi ottenere l'SCIMendpoint e il token di accesso. Assicurati di copiare questi valori prima di andare avanti.
-
Scegli Chiudi.
-
Nella scheda Identity source, nota che il metodo Provisioning è ora impostato SCIMsu.
- Step 4.3 >
-
Passaggio 4.3: Configurare il provisioning automatico in Microsoft Entra ID
Dopo aver installato l'utente di RichRoe prova e averlo abilitato SCIM in IAM Identity Center, è possibile procedere con la configurazione delle impostazioni di SCIM sincronizzazione in Microsoft Entra ID.
-
Nella console dell'interfaccia di amministrazione Microsoft Entra, accedi a Identità > Applicazioni > Applicazioni aziendali, quindi scegli AWS IAM Identity Center.
-
Scegli Provisioning, in Gestisci, scegli nuovamente Provisioning.
-
In Provisioning Mode, seleziona Automatico.
-
In Admin Credentials, in Tenant, URL incolla il URL valore dell'SCIMendpoint che hai copiato in precedenza in. Step 4.2
In Secret Token, incolla il valore del token di accesso.
-
Scegli Test Connection (Connessione di prova). Dovresti visualizzare un messaggio che indica che le credenziali testate sono state autorizzate correttamente per abilitare il provisioning.
-
Seleziona Salva.
-
In Gestisci, scegli Utenti e gruppi, quindi scegli Aggiungi utente/gruppo.
-
Nella pagina Aggiungi assegnazione, in Utenti, scegli Nessuno selezionato.
-
Seleziona RichRoe, quindi scegli Seleziona.
-
Nella pagina Add Assignment (Aggiungi assegnazione), scegli Assign (Assegna).
-
Scegli Panoramica, quindi scegli Avvia provisioning.
- Step 4.4
-
Passaggio 4.4: Verifica che la sincronizzazione sia avvenuta
In questa sezione, verificherai che il provisioning dell'utente di Richard sia stato eseguito correttamente e che tutti gli attributi siano visualizzati in IAM Identity Center.
-
Nella console di IAM Identity Center, scegli Utenti.
-
Nella pagina Utenti, dovresti vedere il tuo RichRoeutente visualizzato. Notate che nella colonna Creato da il valore è impostato su SCIM.
-
Scegliete RichRoe, in Profilo, verificate che i seguenti attributi siano stati copiati da Microsoft Entra ID.
Ora che l'utente di Richard è stato creato in IAM Identity Center, puoi assegnarlo a qualsiasi set di autorizzazioni in modo da controllare il livello di accesso che ha alle tue AWS
risorse. Ad esempio, potresti RichRoeassegnare al set di RegionalAdmin
autorizzazioni che hai usato in precedenza per concedere a Nikki le autorizzazioni per gestire le regioni (vedi Step
2.3
) e quindi testare il suo livello di accesso utilizzando. Step 3.5
Hai configurato correttamente una SAML connessione tra Microsoft e AWS e hai verificato che il provisioning automatico funzioni per mantenere tutto sincronizzato. Ora puoi applicare ciò che hai imparato per configurare più agevolmente il tuo ambiente di produzione.
Ora che hai configurato SAML correttamenteSCIM, puoi facoltativamente scegliere di configurare il controllo degli accessi basato sugli attributi (). ABAC ABACè una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi.
Con Microsoft Entra ID, è possibile utilizzare uno dei due metodi seguenti ABAC per configurarlo per l'utilizzo con IAM Identity Center.
- Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center
-
Configura gli attributi utente in Microsoft Entra ID per il controllo degli accessi in IAM Identity Center
Nella procedura seguente, si determineranno gli attributi in Microsoft Entra ID deve essere utilizzato da IAM Identity Center per gestire l'accesso alle AWS risorse. Una volta definito, Microsoft Entra ID invia questi attributi a IAM Identity Center tramite SAML asserzioni. Dovrai quindi accedere Crea un set di autorizzazioni. a IAM Identity Center per gestire l'accesso in base agli attributi da cui hai trasmesso Microsoft Entra ID.
Prima di iniziare questa procedura, è necessario abilitare la Attributi per il controllo degli accessi funzionalità. Per ulteriori informazioni su come effettuare tale operazione, consulta Abilita e configura gli attributi per il controllo degli accessi.
-
Nella console dell'interfaccia di amministrazione Microsoft Entra, accedi a Identità > Applicazioni > Applicazioni aziendali, quindi scegli AWS IAM Identity Center.
-
Scegli Single Sign-On.
-
Nella sezione Attributi e reclami, scegli Modifica.
-
Nella pagina Attributi e rivendicazioni, procedi come segue:
-
Scegli Aggiungi nuovo reclamo
-
Per Nome, immetti AccessControl:AttributeName
. Replace (Sostituisci) AttributeName
con il nome dell'attributo che ti aspetti in IAM Identity Center. Ad esempio AccessControl:Department
.
-
Per Namespace (Spazio dei nomi), immettere https://aws.amazon.com/SAML/Attributes
.
-
In Source (Origine), scegliere Attribute (Attributo).
-
Per l'attributo Source, utilizza l'elenco a discesa per scegliere il Microsoft Entra ID attributi utente. Ad esempio user.department
.
-
Ripeti il passaggio precedente per ogni attributo da inviare a IAM Identity Center nell'SAMLasserzione.
-
Seleziona Salva.
- Configure ABAC using IAM Identity Center
-
Configura ABAC utilizzando IAM Identity Center
Con questo metodo, si utilizza la Attributi per il controllo degli accessi funzionalità di IAM Identity Center per passare un Attribute
elemento con l'Name
attributo impostato suhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}
. È possibile utilizzare questo elemento per passare gli attributi come tag di sessione nell'SAMLasserzione. Per ulteriori informazioni sui tag di sessione, vedete Passare i tag di sessione AWS STS nella Guida per l'IAMutente.
Per passare gli attributi come tag di sessione, includi l'elemento AttributeValue
che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tagDepartment=billing
, utilizzate il seguente attributo:
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
Se devi aggiungere più attributi, includi un Attribute
elemento separato per ogni tag.
Per informazioni generali SCIM e per la SAML risoluzione dei problemi con Microsoft Entra ID consulta le seguenti sezioni.
Problemi di sincronizzazione con Microsoft Entra ID e IAM Identity Center
Se riscontri problemi con Microsoft Entra ID gli utenti che non si sincronizzano con IAM Identity Center, ciò potrebbe essere dovuto a un problema di sintassi segnalato da IAM Identity Center quando un nuovo utente viene aggiunto a Identity Center. IAM È possibile confermarlo controllando il Microsoft Entra ID registri di controllo per eventi non riusciti, ad esempio un'Export'
. Il motivo dello stato di questo evento indicherà:
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
Puoi anche verificare la presenza AWS CloudTrail di un evento non riuscito. Questo può essere fatto effettuando una ricerca nella console Event History o CloudTrail utilizzando il seguente filtro:
"eventName":"CreateUser"
L'errore nell' CloudTrail evento indicherà quanto segue:
"errorCode": "ValidationException",
"errorMessage": "Currently list attributes only allow single item“
In definitiva, questa eccezione significa che uno dei valori è passato da Microsoft Entra ID conteneva più valori del previsto. La soluzione consiste nel rivedere gli attributi dell'utente in Microsoft Entra ID, assicurandosi che nessuno contenga valori duplicati. Un esempio comune di valori duplicati è la presenza di più valori per numeri di contatto come cellulare, ufficio e fax. Sebbene siano valori separati, vengono tutti passati a IAM Identity Center con l'attributo phoneNumberssingle parent.
Per suggerimenti generali SCIM sulla risoluzione dei problemi, vedere Risoluzione dei problemi.
Risorse aggiuntive
Le seguenti risorse possono aiutarti a risolvere i problemi mentre lavori con: AWS