配置SAML和SCIM使用 Microsoft Entra ID 和IAM身份中心 - AWS IAM Identity Center
先决条件注意事项步骤 1:准备 Microsoft 租户第 2 步:准备 AWS 账户步骤 3:配置和测试您的SAML连接步骤 4:配置和测试您的SCIM同步步骤 5:配置 ABAC-可选将访问权限分配给 AWS 账户故障排除

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置SAML和SCIM使用 Microsoft Entra ID 和IAM身份中心

AWS IAM Identity Center 支持与 Sec urition Assertion Markup Langue (SAML) 2.0 集成,以及自动配置(同步)来自的用户和群组信息 Microsoft Entra ID (以前称为 Azure Active Directory 或 Azure AD) 使用跨域IAM身份管理系统 (SCIM) 2.0 协议进入身份中心。有关更多信息,请参阅 对外部身份提供者使用 SAML 和 SCIM 身份联合验证

目标

在本教程中,您将建立一个测试实验室,并在两者之间配置SAML连接和SCIM配置 Microsoft Entra ID 和IAM身份中心。在最初的准备步骤中,你将在两个步骤中创建一个测试用户(Nikki Wolf) Microsoft Entra ID 和 IAM Identity Center,你将使用它来测试双向SAML连接。稍后,作为SCIM步骤的一部分,您将创建一个不同的测试用户(Richard Roe)来验证新属性 Microsoft Entra ID 正在按预期同步到IAM身份中心。

先决条件

在开始本教程之前,您首先需要设置以下方面:

  • A Microsoft Entra ID 租户。有关更多信息,请参阅中的快速入门:设置租户 Microsoft 文档中)。

  • AWS IAM Identity Center已启用的账户。有关更多信息,请参阅《AWS IAM Identity Center 用户指南》中的 “启用IAM身份中心”。

注意事项

以下是以下方面的重要注意事项 Microsoft Entra ID 这可能会影响您计划如何使用 SCIM v2 协议在生产环境中使用 Ident IAM ity Center 实现自动配置

自动预置

在开始部署之前SCIM,我们建议您先进行审查使用自动预置的注意事项

访问控制属性

访问控制的属性用于权限策略,这些策略决定了您的身份源中的谁可以访问您的 AWS 资源。如果从用户身上移除了某个属性 Microsoft Entra ID,则该属性不会从 Ident IAM ity Center 中的相应用户中删除。这是一个已知的限制 Microsoft Entra ID。 如果用户的某个属性更改为其他(非空)值,则该更改将同步到 Ident IAM ity Center。

嵌套组

这些区域有:Microsoft Entra ID 用户配置服务无法读取或配置嵌套组中的用户。只有作为明确分配组的直接成员的用户才能被读取和配置。Microsoft Entra ID 不会以递归方式解压缩间接分配的用户或群组(直接分配的群组成员的用户或群组)的群组成员资格。有关更多信息,请参阅中基于分配的范围界定 Microsoft 文档中)。或者,你可以使用 Ident IAMity Center ID AD Sync 进行集成 Active Directory 使用IAM身份中心的群组。

动态组

这些区域有:Microsoft Entra ID 用户配置服务可以读取和配置动态组中的用户。请参阅下面的示例,该示例显示了使用动态群组时的用户和群组结构以及它们在 Ident IAM ity Center 中的显示方式。这些用户和组是从中调配的 Microsoft Entra ID 通过以下方式进入IAM身份中心 SCIM

例如,如果 Microsoft Entra ID 动态组的结构如下所示:

  1. A 组,成员 ua1、ua2

  2. B 组,成员 ub1

  3. C 组,成员 uc1

  4. K组规则包括 A、B、C 组成员

  5. L 组,规则包括 B 组和 C 组成员

置备用户和组信息后,从 Microsoft Entra ID 通过进入IAM身份中心SCIM,结构将如下所示:

  1. A 组,成员 ua1、ua2

  2. B 组,成员 ub1

  3. C 组,成员 uc1

  4. K 组,成员 ua1、ua2、ub1、uc1

  5. L组,成员 ub1、uc1

使用动态组配置自动预置时,请记住以下注意事项。

  • 动态组可以包括嵌套组。但是,Microsoft Entra ID 配置服务不会扁平化嵌套组。例如,如果你有以下几点 Microsoft Entra ID 动态组的结构:

    • A 组是 B 组的父组。

    • A 组有 ua1 成员。

    • B 组有 ub1 作为成员。

包含组 A 的动态组将仅包含组 A 的直接成员(即 ua1)。它不会以递归方式包含 B 组的成员。

  • 动态组不能包含其他动态组。有关更多信息,请参阅中的预览限制 Microsoft 文档中)。

步骤 1:准备 Microsoft 租户

在本步骤中,您将介绍如何安装和配置您的 AWS IAM Identity Center 企业应用程序以及如何为新创建的应用程序分配访问权限 Microsoft Entra ID 测试用户。

Step 1.1 >

步骤 1.1:在中设置 AWS IAM Identity Center 企业应用程序 Microsoft Entra ID

在此过程中,您将 AWS IAM Identity Center 企业应用程序安装在 Microsoft Entra ID。 稍后您将需要此应用程序来配置与的SAML连接 AWS。

  1. 至少以云应用程序管理员的身份登录 Microsoft Entra 管理中心

  2. 导航到身份 > 应用程序 > 企业应用程序,然后选择新应用程序

  3. 浏览 Microsoft Entra Gallery页面上,在搜索框中输入 AWS IAM Identity Center

  4. 从结果中选择 AWS IAM Identity Center

  5. 选择创建

Step 1.2 >

步骤 1.2:在中创建测试用户 Microsoft Entra ID

你的名字是 Nikki Wolf Microsoft Entra ID 您将在此过程中创建的测试用户。

  1. Microsoft Entra 管理中心控制台,导航到身份 > 用户 > 所有用户

  2. 选择新用户,然后选择屏幕顶部的创建新用户

  3. 用户主体名称中,输入 NikkiWolf,然后选择您喜欢的域和扩展。例如,NikkiWolf@ example.org

  4. 显示名称中,输入 NikkiWolf

  5. 密码中输入高强度密码,或选择眼睛图标,显示自动生成的密码,然后复制或写下显示的值。

  6. 选择属性,在名字中输入 Nikki。在姓氏中,输入 Wolf

  7. 选择审核并创建,然后选择创建

Step 1.3

步骤 1.3:在 Nikki 分配权限之前,先测试 Nikki 的体验 AWS IAM Identity Center

在此过程中,您将验证 Nikki 可以成功登录其 Microsoft 我的账户门户中的哪些内容。

  1. 在同一个浏览器中打开新标签页,前往我的账户门户登录页面,然后输入 Nikki 的完整电子邮件地址。例如,NikkiWolf@ example.org

  2. 出现提示时,输入 Nikki 的密码,然后选择登录。如果密码是自动生成的,系统将提示您更改密码。

  3. 需要执行的操作页面,选择稍后询问,绕过关于其他安全方法的提示。

  4. 我的账户页面的左侧导航窗格中,选择我的应用程序。请注意,除加载项外,此时不会显示任何应用程序。您将添加一个 AWS IAM Identity Center 应用程序,在稍后的步骤中,其将显示在此处。

Step 1.4

步骤 1.4:在中向 Nikki 分配权限 Microsoft Entra ID

现在您已验证 Nikki 可以成功访问我的账户门户,请使用此过程将其用户分配至 AWS IAM Identity Center 应用程序。

  1. Microsoft Entra 管理中心控制台,导航到身份 > 应用程序 > 企业应用程序,然后从列表中选择 AWS IAM Identity Center

  2. 在左侧,选择用户和组

  3. 选择添加用户/组。您可以忽略组不可用于分配的消息。此教程不使用组进行分配。

  4. 添加分配页面,在用户下选择未选择任何对象

  5. 选择 NikkiWolf,然后选择 “选择”

  6. 添加作业页面上,选择分配。 NikkiWolf 现在出现在分配给该AWS IAM Identity Center应用程序的用户列表中。

第 2 步:准备 AWS 账户

在此步骤中,您将逐步了解如何使用 IAM Identity Center要配置访问权限(通过权限集),请手动创建相应的 Nikki Wolf 用户,并为她分配管理中 AWS资源的必要权限。

Step 2.1 >

步骤 2.1:在中创建 RegionalAdmin 权限集 IAM Identity Center

此权限集将用于向 Nikki 授予必要的 AWS 账户权限,以便从中的账户页面管理区域。 AWS Management Console默认将拒绝其他所有查看或管理 Nikki 账户其他任何信息的权限。

  1. 打开IAM身份中心控制台

  2. 多帐户权限下,选择权限集

  3. 选择创建权限集

  4. 选择权限集类型页面,选择自定义权限集,然后选择下一步

  5. 选择内联策略,将其展开,然后使用以下步骤为权限集创建策略:

    1. 选择添加新声明,以创建策略语句。

    2. 编辑语句下,从列表中选择账户,然后选中以下复选框。

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

    3. 添加资源旁边,选择添加

    4. 添加资源页面的资源类型下,选择所有资源,然后选择添加资源。验证您的策略是否如下所示:

      {
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions",
                "account:DisableRegion",
                "account:EnableRegion",
                "account:GetRegionOptStatus"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  6. 选择下一步

  7. 指定权限集详细信息页面的权限集名称下,输入 RegionalAdmin,然后选择下一步

  8. 审核和创建页面,选择创建。您应该看到权限集列表中RegionalAdmin显示了内容。

Step 2.2 >

步骤 2.2:在中创建相应的 NikkiWolf 用户 IAM Identity Center

由于该SAML协议不提供查询 IdP 的机制 (Microsoft Entra ID) 并在 Ident IAM ity Center 中自动创建用户,使用以下步骤在 Ident IAM ity Center 中手动创建用户,该用户镜像来自 Nikki Wolfs 用户的核心属性 Microsoft Entra ID.

  1. 打开IAM身份中心控制台

  2. 选择用户,选择添加用户,然后提供以下信息:

    1. 对于用户名电子邮件地址 — 输入您在创建用户名和电子邮件地址时使用的相同 NikkiWolf@ yourcompanydomain.extension Microsoft Entra ID 用户。例如,NikkiWolf@ example.org

    2. 确认电子邮件地址 - 重新输入上一步中的电子邮件地址

    3. 名字 - 输入 Nikki

    4. 姓氏 - 输入 Wolf

    5. 显示名称 – 输入 Nikki Wolf

  3. 选择两次下一步,然后选择添加用户

  4. 选择关闭

Step 2.3

步骤 2.3:将 Nikki 分配给中设置的 RegionalAdmin 权限 IAM Identity Center

在这里, AWS 账户 您可以找到 Nikki 将在其中管理区域,然后为她分配成功 AWS 访问门户所需的必要权限。

  1. 打开IAM身份中心控制台

  2. 多帐户权限下,选择 AWS 账户

  3. 选中要授予 Nikki 管理区域权限的账户名(例如Sandbox)旁边的复选框,然后选择 “分配用户和群组”。

  4. 分配用户和组页面,选择用户选项卡,找到并选中 Nikki 旁边的复选框,然后选择下一步

步骤 3:配置和测试您的SAML连接

在此步骤中,您将使用中的 AWS IAM Identity Center 企业应用程序配置SAML连接 Microsoft Entra ID 以及IAM身份中心中的外部 IdP 设置。

Step 3.1 >

步骤 3.1:从IAM身份中心收集所需的服务提供商元数据

在此步骤中,您将从 Identity Center 控制台中启动更改IAM身份源向导,并检索元数据文件和配置连接时需要输入的 AWS 特定登录URL信息 Microsoft Entra ID 在下一步中。

  1. IAM身份中心控制台中,选择设置

  2. 设置页面上,选择身份源选项卡,然后选择操作>更改身份源

  3. 选择身份源页面,选择外部身份提供商,然后选择下一步

  4. 配置外部身份提供者页面的服务提供者元数据下,选择下载元数据文件以下载XML文件。

  5. 在同一部分中,找到AWS 访问门户登录URL值并将其复制。在下一步出现提示时,您需要输入该值。

  6. 将此页保持打开状态,然后转到下一步 (Step 3.2),在中配置 AWS IAM Identity Center 企业应用程序 Microsoft Entra ID。 稍后,您将返回此页面以完成该过程。

Step 3.2 >

步骤 3.2:在中配置 AWS IAM Identity Center 企业应用程序 Microsoft Entra ID

此过程使用URL您在上一步中获得的元数据文件和登录中的值在 Microsoft 端建立一半的SAML连接。

  1. Microsoft Entra 管理中心控制台,导航到身份 > 应用程序 > 企业应用程序,然后选择 AWS IAM Identity Center

  2. 在左侧选择 2. 设置单点登录

  3. 在 “设置单点登录SAML” 页面上,选择SAML。然后选择上传元数据文件,选择文件夹图标,选择您在上一步中下载的服务提供商元数据文件,然后选择添加

  4. 在 “基本SAML配置” 页面上,验证 “标识符” 和 “回复” URL 值现在是否都指向以开头 AWS 的端点https://<REGION>.signin.aws.amazon.com/platform/saml/

  5. 在 “登录URL(可选)” 下,粘贴您在上一步中复制的AWS 访问门户登录URL值(Step 3.1),选择保存,然后选择 X 关闭窗口。

  6. 如果系统提示使用测试单点登录 AWS IAM Identity Center,请选择 “否”,我稍后再测试。您将在稍后的步骤中进行此项验证。

  7. 在 “设置单点登录 SAML” 页面的 “SAML证书” 部分的 “联合元数据” 旁边XML,选择 “下载”,将元数据文件保存到您的系统中。在下一步出现提示时,您需要上传此文件。

Step 3.3 >

步骤 3.3:配置 Microsoft Entra ID 外部 IdP 输入 AWS IAM Identity Center

在这里,您将返回到 Identity Center 控制台中的更改IAM身份源向导,以完成SAML连接的后半部分。 AWS

  1. 在 Ident IAM ity Center 控制台Step 3.1中返回到您保持打开状态的浏览器会话。

  2. 配置外部身份提供者页面的身份提供者元数据部分的 IdP SAML 元数据下,选择选择文件按钮,然后选择您从中下载的身份提供者元数据文件 Microsoft Entra ID 在上一步中,然后选择 “打开”。

  3. 选择下一步

  4. 在阅读免责声明并准备继续操作后,输入 ACCEPT

  5. 选择更改身份源,以应用您的更改。

Step 3.4 >

步骤 3.4:测试 Nikki 是否被重定向到 AWS 访问门户

在此过程中,您将使用 Nikki 的凭据登录到 Microsoft 的 “我的帐户” 门户来测试SAML连接。通过身份验证后,您将选择将 Nikki 重定向到 AWS 访问门户的 AWS IAM Identity Center 应用程序。

  1. 前往我的账户门户登录页面,输入 Nikki 的完整电子邮件地址。例如,NikkiWolf@ example.org

  2. 出现提示时,输入 Nikki 的密码,然后选择登录

  3. 我的账户页面的左侧导航窗格中,选择我的应用程序

  4. 我的应用程序页面,选择名为 AWS IAM Identity Center 的应用程序。这应该会提示您进行额外的身份验证。

  5. 在微软的登录页面上,选择你的 NikkiWolf 凭据。如果再次提示您进行身份验证,请再次选择您的 NikkiWolf 凭据。这应该会自动将您重定向到 AWS 访问门户。

    提示

    如果您未成功重定向,请检查并确保您输入的AWS 访问门户登录URL值与您从Step 3.1中复制的值Step 3.2相匹配。

  6. 确认您的 AWS 账户 显示屏。

    提示

    如果页面为空且未 AWS 账户 显示,请确认 Nikki 已成功分配给RegionalAdmin权限集(请参阅 Step 2.3)。

Step 3.5

步骤 3.5:测试 Nikki 对于管理其 AWS 账户的访问权限级别

在此步骤中,您将进行检查,以确定 Nikki 对于管理其 AWS 账户区域设置的访问权限级别。Nikki 应该只有刚好足够的管理员权限,可从账户页面管理区域。

  1. 在 AWS 访问门户中,选择账户选项卡以显示账户列表。将显示与您已定义权限集的任何帐户关联的帐户名IDs、帐户和电子邮件地址。

  2. 选择您应用权限集的帐户名(例如Sandbox)(请参阅 Step 2.3)。这将展开权限集列表,Nikki 可以从中选择,以管理其账户。

  3. 接下来RegionalAdmin选择管理控制台来代入您在RegionalAdmin权限集中定义的角色。这会将您重定向至 AWS Management Console 主页。

  4. 在控制台的右上角,选择您的账户名称,然后选择账户。您将进入账户页面。请注意,此页面上的所有其他部分都会显示一条消息,说明您没有查看或修改这些设置的必要权限。

  5. 账户页面,向下滚动至 AWS 区域部分。选中表格中任何可用区域的复选框。注意 Nikki 确实拥有必要的权限,可按预期为其账户启用禁用区域列表。

做得不错!

步骤 1 到 3 帮助您成功实现和测试SAML连接。现在,我们建议您继续执行步骤 4,实现自动预置,以完成本教程。

步骤 4:配置和测试您的SCIM同步

在此步骤中,您将设置来自的用户信息的自动配置(同步) Microsoft Entra ID 使用 SCIM v2.0 协议进入IAM身份中心。您可以在中配置此连接 Microsoft Entra ID 使用您的IAM身份中心SCIM终端节点和IAM身份中心自动创建的不记名令牌。

配置SCIM同步时,可以在中创建用户属性的映射 Microsoft Entra ID 到 Ident IAM ity Center 中的命名属性。这会导致IAM身份中心和之间的预期属性匹配 Microsoft Entra ID.

以下步骤将引导您了解如何为主要居住在以下位置的用户启用自动配置 Microsoft Entra ID 使用中的IAM身份中心应用程序访问IAM身份中心 Microsoft Entra ID.

Step 4.1 >

步骤 4.1:在中创建第二个测试用户 Microsoft Entra ID

出于测试目的,你将在中创建一个新用户(Richard Roe) Microsoft Entra ID。 稍后,在设置SCIM同步后,您将测试此用户和所有相关属性是否已成功同步到 Ident IAM ity Center。

  1. Microsoft Entra 管理中心控制台,导航到身份 > 用户 > 所有用户

  2. 选择新用户,然后选择屏幕顶部的创建新用户

  3. 用户主体名称中,输入 RichRoe,然后选择您喜欢的域和扩展。例如,RichRoe@ example.org

  4. 显示名称中,输入 RichRoe

  5. 密码中输入高强度密码,或选择眼睛图标,显示自动生成的密码,然后复制或写下显示的值。

  6. 选择属性,然后提供以下值:

    • 名字 - 输入 Richard

    • 姓氏 - 输入 Roe

    • 职位名称 - 输入 Marketing Lead

    • 部门 - 输入 Sales

    • 员工 ID - 输入 12345

  7. 选择审核并创建,然后选择创建

Step 4.2 >

步骤 4.2:在IAM身份中心启用自动配置

在此过程中,您将使用 Ident IAM ity Center 控制台来自动配置来自的用户和群组 Microsoft Entra ID 进入IAM身份中心。

  1. 打开 Id ent IAM ity Center 控制台,然后在左侧导航窗格中选择设置

  2. 设置页面的身份源选项卡下,请注意预置方法已设置为手动

  3. 找到自动预置信息框,然后选择启用。这将立即启用 Ident IAM ity Center 中的自动配置,并显示必要的SCIM端点和访问令牌信息。

  4. 入站自动预置对话框中,复制以下选项的每个值。在下一步中配置配置时,您需要将这些内容粘贴到下一步中 Microsoft Entra ID.

    1. SCIM端点 ——例如,https://scim。 us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. 访问令牌 - 选择显示令牌以复制该值。

    警告

    这是您唯一一次可以获取SCIM端点和访问令牌。在继续操作之前,务必复制这些值。

  5. 选择关闭

  6. 在 “身份来源” 选项卡下,请注意,“配置方法” 现已设置为SCIM

Step 4.3 >

步骤 4.3:在中配置自动配置 Microsoft Entra ID

现在,您的 RichRoe 测试用户已经准备就绪,并已在 Ident IAM ity Center SCIM 中启用,您可以继续在中配置SCIM同步设置 Microsoft Entra ID.

  1. Microsoft Entra 管理中心控制台,导航到身份 > 应用程序 > 企业应用程序,然后选择 AWS IAM Identity Center

  2. 选择预置,在管理下,再次选择预置

  3. 预置模式下,选择自动

  4. 在 “管理员凭据” 下,在 “租户” 中,URL粘贴您之前在中复制的SCIM端点URL值Step 4.2。在密钥令牌中,粘贴访问令牌的值。

  5. 选择测试连接。您应该会看到一条消息,表明经过测试的凭证已成功得到授权,可以启用预置。

  6. 选择保存

  7. 管理下,选择用户和组,然后选择添加用户/组

  8. 添加分配页面,在用户下选择未选择任何对象

  9. 选择 RichRoe,然后选择 “选择”

  10. 添加分配页面,选择分配

  11. 选择概述,然后选择开始预置

Step 4.4

步骤 4.4:验证是否已进行同步

在本节中,您将验证 Richard 的用户是否已成功配置,并且所有属性均显示在 Ident IAM ity Center 中。

  1. IAM身份中心控制台中,选择用户

  2. 在 “用户” 页面上,您应该会看到显示您的RichRoe用户。请注意,在 “创建者” 列中,该值设置为SCIM

  3. 选择 “配置文件” 下方 RichRoe,确认以下属性是从中复制的 Microsoft Entra ID.

    • 名字 - Richard

    • 姓氏 - Roe

    • 部门 - Sales

    • 职位 - Marketing Lead

    • 员工编号 - 12345

    现在 Richard 的用户已在 Ident IAM ity Center 中创建,您可以将其分配给任何权限集,这样您就可以控制他对您的 AWS 资源的访问级别。例如,您可以分配RichRoe给之前使用的RegionalAdmin权限集,授予 Nikki 管理区域的权限(请参阅 Step 2.3),然后使用Step 3.5测试其访问级别。

恭喜您!

你已成功在 Microsoft AWS 和之间SAML建立连接,并已验证自动配置可以使所有内容保持同步。现在,您可以运用所学到的方法,更顺利地设置生产环境。

步骤 5:配置 ABAC-可选

现在您已成功配置SAML和SCIM,您可以选择配置基于属性的访问控制 () ABAC。 ABAC是一种基于属性定义权限的授权策略。

With Microsoft Entra ID,您可以使用以下两种方法中的任何一种进行配置ABAC以与 Ident IAM ity Center 配合使用。

Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center

在中配置用户属性 Microsoft Entra ID 用于IAM身份中心的访问控制

在以下步骤中,您将确定哪些属性在 Microsoft Entra ID 应由IAM身份中心用来管理对您的 AWS 资源的访问权限。定义后,Microsoft Entra ID 通过SAML断言将这些属性发送到IAM身份中心。然后,你需要创建权限集在 Ident IAM ity Center 中根据你传递的属性来管理访问权限 Microsoft Entra ID.

在开始此过程之前,您首先需要启用 访问控制属性 功能。有关此操作的详细信息,请参阅 启用并配置访问控制属性

  1. Microsoft Entra 管理中心控制台,导航到身份 > 应用程序 > 企业应用程序,然后选择 AWS IAM Identity Center

  2. 选择 Single sign-on(单点登录)。

  3. 属性和声明部分,选择编辑

  4. 属性和声明页面,执行以下操作:

    1. 选择添加新声明

    2. 对于名称,请输入 AccessControl:AttributeNameAttributeName替换为您在 Ident IAM ity Center 中期望的属性的名称。例如,AccessControl:Department

    3. 对于命名空间,请输入 https://aws.amazon.com/SAML/Attributes

    4. 对于,请选择属性

    5. 对于来源属性,使用下拉列表选择 Microsoft Entra ID 用户属性。例如,user.department

  5. 在SAML断言中,对需要发送到 Ident IAM ity Center 的每个属性重复上述步骤。

  6. 选择保存

Configure ABAC using IAM Identity Center

ABAC使用IAM身份中心进行配置

使用此方法,您可以使用 Ident IAM ity Center 中的访问控制属性功能来传递Name属性设置为的Attribute元素https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}。您可以使用此元素在SAML断言中将属性作为会话标签传递。有关会话标签的更多信息,请参阅IAM用户指南 AWS STS中的传递会话标签

要将属性作为会话标签传递,请包含指定标签值的 AttributeValue 元素。例如,要传递标签键值对 Department=billing,请使用以下属性:

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

如果您需要添加多个属性,请为每个标签包含一个单独的 Attribute 元素。

将访问权限分配给 AWS 账户

仅授予访问权限时才需要执行以下步骤。 AWS 账户 授予 AWS 应用程序访问权限不需要这些步骤。

步骤 1:IAM身份中心:授权 Microsoft Entra ID 用户对账户的访问权限

  1. 返回IAM身份中心控制台。在IAM身份中心导航窗格的多账户权限下,选择AWS 账户

  2. AWS 账户 页面,组织结构将显示您的组织根目录,您的账户将以分层结构列于其下方。选中管理账户对应的复选框,然后选择分配用户或组

  3. 此时将显示分配用户和组工作流程。它包括三个步骤:

    1. 对于步骤 1:选择用户和组,选择将要执行管理员工作职能的用户。然后选择下一步

    2. 对于步骤 2:选择权限集,选择创建权限集,以打开新的标签页,它将引导您完成创建权限集所涉及的三个子步骤。

      1. 对于步骤 1:选择权限集类型,请完成以下操作:

        • 权限集类型中,选择预定义权限集

        • 预定义权限集的策略中,选择AdministratorAccess

        选择下一步

      2. 对于步骤 2:指定权限集详细信息,保留默认设置,并选择下一步

        默认设置会创建名为AdministratorAccess、会话持续时间设置为一小时的权限集。

      3. 对于步骤 3:查看并创建,请验证权限集类型是否使用 AWS 托管策略AdministratorAccess。选择创建权限集页面会显示通知,告知您权限集已创建。您可以在网络浏览器中关闭此标签页。

      4. 分配用户和组浏览器标签页,您仍处于步骤 2:选择权限集,您将在这里启动创建权限集工作流程。

      5. 权限集区域,选择刷新按钮。您创建的AdministratorAccess权限集将出现在列表中。选择该权限集的复选框,然后选择下一步

    3. 对于步骤 3:查看并提交,请查看选定的用户和权限集,然后选择提交

      页面更新时会显示一条消息,告知您 AWS 账户 正在配置中。等待该过程完成。

      您将返回到该 AWS 账户 页面。系统会显示一条通知消息,告知您 AWS 账户 已重新配置并应用了更新的权限集。当用户登录时,他们可以选择AdministratorAccess角色。

第 2 步:Microsoft Entra ID: 确认 Microsoft Entra ID 用户对 AWS 资源的访问权限

  1. 返回到 Microsoft Entra ID控制台并导航到SAML基于 IAM Identity Center 的登录应用程序。

  2. 选择用户和群组,然后选择添加用户或群组。您需要将您在本教程的步骤 4 中创建的用户添加到 Microsoft Entra ID 应用程序的修订。通过添加用户,您将允许他们登录。 AWS搜索您在步骤 4 中创建的用户。如果你按照这个步骤操作,那就是RichardRoe

    1. 有关演示,请参阅将您现有的IAM身份中心实例与 Microsoft Entra ID

故障排除

用于常规SCIM和SAML故障排除 Microsoft Entra ID,请参阅以下章节:

的同步问题 Microsoft Entra ID 和IAM身份中心

如果您遇到以下问题 Microsoft Entra ID 用户未同步到 Ident IAM ity Center,这可能是由于 Ident IAM ity Center 在将新用户添加到 Ident IAM ity Center 时标记了语法问题。您可以通过检查来确认这一点 Microsoft Entra ID 失败事件的审核日志,例如'Export'。此事件的状态原因将说明:

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

您也可以检查 AWS CloudTrail 失败的事件。这可以通过在 “事件历史记录” 控制台中搜索 CloudTrail 或使用以下过滤器来完成:

"eventName":"CreateUser"

CloudTrail 事件中的错误将说明以下内容:

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

最终,这个异常意味着其中一个值是从 Microsoft Entra ID 包含的值比预期的要多。解决方案是在中查看用户的属性 Microsoft Entra ID,确保没有一个包含重复的值。重复值的一个常见示例是,联系电话(例如手机工作电话和传真)存在多个值。尽管值是分开的,但它们都是在单父属性下传递到IAM身份中心phoneNumbers

有关一般SCIM故障排除提示,请参阅故障排除

Microsoft Entra ID 访客账户同步

如果你想同步你的 Microsoft Entra ID IAM身份中心的访客用户,请参阅以下步骤。

Microsoft Entra ID 访客用户的电子邮件地址不同于 Microsoft Entra ID 用户。这种差异会导致尝试同步时出现问题 Microsoft Entra ID 使用IAM身份中心的访客用户。例如,查看访客用户的以下电子邮件地址:

exampleuser_domain.com#EXT@domain.onmicrosoft.com.

IAMIdentity Center 希望用户的电子邮件地址不包含该EXT@domain格式。

  1. 登录到 Microsoft Entra 管理中心,导航到身份 > 应用程序 > 企业应用程序,然后选择 AWS IAM Identity Center

  2. 导航到左侧窗格的单点登录选项卡。

  3. 选择显示在用户属性和声明旁边的编辑

  4. 依次选择必填声明唯一用户标识符(姓名 ID)

  5. 您将为自己创建两个索赔条件 Microsoft Entra ID 用户和访客用户:

    1. 对于 Microsoft Entra ID 用户,为来源属性设置为的成员创建用户类型 user.userprincipalname

    2. 对于 Microsoft Entra ID 访客用户,为外部访客创建用户类型,并将来源属性设置为user.mail

    3. 选择 “保存”,然后重试以身份登录 Microsoft Entra ID 访客用户。

其他资源

以下资源可以帮助您在使用时进行故障排除 AWS:

  • AWS re:Post-查找FAQs并链接到其他资源以帮助您解决问题。

  • AWS 支持 – 获得技术支持