连接 Active Directory 或其他 IdP 并指定用户 - AWS 设置

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

连接 Active Directory 或其他 IdP 并指定用户

如果您已经在使用 Active Directory 或外部身份提供商(IdP),则以下主题可帮助您将目录连接到 IAM Identity Center。

您可以将 AWS Managed Microsoft AD 目录、Active Directory 中的自托管式目录或外部 IdP 与 IAM Identity Center 连接起来。如果您计划连接 Active Directory 中的 AWS Managed Microsoft AD 目录或自托管式目录,请确保您的 Active Directory 配置满足 Active Directory 或外部 IdP 中的先决条件。

注意

强烈建议您启用多重验证,这是最佳安全实践。如果您计划连接 Active Directory 中的 AWS Managed Microsoft AD 目录或自托管式目录,但未将 RADIUS MFA 与 AWS Directory Service 搭配使用,请在 IAM Identity Center 中启用 MFA。如果您计划使用外部身份提供商,请注意由外部 IdP(而不是 IAM Identity Center)管理 MFA 设置。外部 IdP 不支持使用 IAM Identity Center 中的 MFA。有关更多信息,请参阅AWS IAM Identity Center 用户指南中的启用 MFA

AWS Managed Microsoft AD

  1. 查看连接到 Microsoft Active Directory 中的指导。

  2. 按照将 AWS Managed Microsoft AD 中的目录连接到 IAM Identity Center 的步骤执行操作。

  3. 配置 Active Directory 以将您要向其授予管理权限的用户同步到 IAM Identity Center。有关更多信息,请参阅将管理用户同步到 IAM Identity Center 中

Active Directory 中的自托管式目录

  1. 查看连接到 Microsoft Active Directory 中的指导。

  2. 按照将 Active Directory 中的自托管式目录连接到 IAM Identity Center 中的步骤进行操作。

  3. 配置 Active Directory 以将您要向其授予管理权限的用户同步到 IAM Identity Center。有关更多信息,请参阅将管理用户同步到 IAM Identity Center 中

外部 IdP

  1. 查看连接到外部身份提供商中的指导。

  2. 按照如何连接到外部身份提供商中的步骤进行操作。

  3. 配置您的 IdP 以将用户预置到 IAM Identity Center 中。

    注意

    在设置所有人力身份的基于组的自动预置(从 IdP 到 IAM Identity Center)之前,我们建议您将要向其授予管理权限的一个用户同步到 IAM Identity Center 中。

将管理用户同步到 IAM Identity Center 中

将您的目录连接到 IAM Identity Center 后,您可以指定要向其授予管理权限的用户,然后将该用户从您的目录同步到 IAM Identity Center 中。

  1. 打开 IAM Identity Center 控制台

  2. 选择设置

  3. 设置页面上,选择身份源选项卡,从中选择操作,然后选择管理同步

  4. 管理同步页面上,选择用户选项卡,然后选择添加用户和组

  5. 用户选项卡的用户下,输入确切的用户名并选择添加

  6. 已添加用户和群组下,执行以下操作:

    1. 确认已指定您要向其授予管理权限的用户。

    2. 选中该用户名左边的复选框。

    3. 选择提交

  7. 管理同步页面中,您指定的用户将显示在同步范围内的用户列表中。

  8. 在导航窗格中,选择用户

  9. 用户页面上,您指定的用户可能需要一些时间才会出现在列表中。选择刷新图标以更新用户列表。

此时,您的用户无权访问管理账户。您可以通过创建管理权限集并将用户分配给该权限集来设置对此账户的管理访问权限。

下一步: 步骤 3:创建管理权限集