通过 Microsoft Entra ID 和 IAM Identity Center 配置 SAML 和 SCIM - AWS IAM Identity Center

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过 Microsoft Entra ID 和 IAM Identity Center 配置 SAML 和 SCIM

AWS IAM Identity Center 支持与安全断言标记语言 (SAML) 2.0 集成,以及使用跨域身份管理系统 (SCIM) 2.0 协议将来自Microsoft Entra ID(以前称为Azure Active Directory或Azure AD)的用户和群组信息自动配置(同步)到 IAM Identity C enter。

目标

在本教程中,您将设置测试实验室,并配置 Microsoft Entra ID 和 IAM Identity Center 之间的 SAML 连接和 SCIM 预置。在最初的准备步骤中,您将在 Microsoft Entra ID 和 IAM Identity Center 中创建一名测试用户 (Nikki Wolf),用于双向测试 SAML 连接。稍后,作为 SCIM 步骤的一部分,您将创建一个不同的测试用户 (Richard Roe),以验证 Microsoft Entra ID 中的新属性是否按预期同步到 IAM Identity Center。

在开始本教程之前,您首先需要设置以下方面:

以下是有关 Microsoft Entra ID 的重要注意事项,它们将影响您计划如何在生产环境中使用 SCIM v2 协议通过 IAM Identity Center 实施自动预置

自动配置

在开始部署 SCIM 之前,我们建议您首先查看 使用自动预置的注意事项

访问控制属性

用于访问控制的属性用于权限策略,这些策略决定了您的身份源中的谁可以访问您的 AWS 资源。如果在 Microsoft Entra ID 中从用户中删除属性,则不会从 IAM Identity Center 中的相应用户中删除该属性。这是 Microsoft Entra ID 中已知的限制。如果用户的属性更改为不同的(非空)值,则该更改将同步到 IAM Identity Center。

嵌套组

Microsoft Entra ID 用户预置服务无法读取或预置嵌套组中的用户。只能读取和预置属于明确分配组的直接成员的用户。Microsoft Entra ID 不会以递归方式解包间接分配的用户或组(属于直接分配的组的成员的用户或组)的组成员身份。有关更多信息,请参阅 Microsoft 文档中的基于分配的范围界定。或者,您可以使用 IAM 身份中心 ID AD Sync 将Active Directory群组与 IAM 身份中心集成。

动态组

Microsoft Entra ID 用户预置服务可以读取和预置动态组中的用户。请参阅下面的示例,该示例显示使用动态组时的用户和组结构以及它们在 IAM Identity Center 中的显示方式。这些用户和组通过 SCIM 从 Microsoft Entra ID 配置到 IAM Identity Center

例如,如果动态组的 Microsoft Entra ID 结构如下:

  1. A 组,成员 ua1、ua2

  2. B 组,成员 ub1

  3. C 组,成员 uc1

  4. K组规则包括 A、B、C 组成员

  5. L 组,规则包括 B 组和 C 组成员

将 Microsoft Entra ID 中的用户和组信息通过 SCIM 预置到 IAM Identity Center 后,结构如下:

  1. A 组,成员 ua1、ua2

  2. B 组,成员 ub1

  3. C 组,成员 uc1

  4. K 组,成员 ua1、ua2、ub1、uc1

  5. L组,成员 ub1、uc1

使用动态组配置自动预置时,请记住以下注意事项。

  • 动态组可以包括嵌套组。但是,Microsoft Entra ID 预置服务不会扁平化嵌套组。例如,如果您具有以下动态组 Microsoft Entra ID 结构:

    • A 组是 B 组的父组。

    • A 组有 ua1 成员。

    • B 组有 ub1 作为成员。

包含组 A 的动态组将仅包含组 A 的直接成员(即 ua1)。它不会以递归方式包含 B 组的成员。

  • 动态组不能包含其他动态组。有关更多信息,请参阅 Microsoft 文档中的预览限制

在本步骤中,您将了解如何安装和配置 AWS IAM Identity Center 企业应用程序并为新创建的 Microsoft Entra ID 测试用户分配访问权限。

Step 1.1 >

步骤 1.1:在中设置 AWS IAM Identity Center 企业应用程序 Microsoft Entra ID

在此过程中,您将在中安装 AWS IAM Identity Center 企业应用程序Microsoft Entra ID。稍后您将需要此应用程序来配置您的 SAML 连接。 AWS

  1. 至少以云应用程序管理员的身份登录 Microsoft Entra 管理中心

  2. 导航到身份 > 应用程序 > 企业应用程序,然后选择新应用程序

  3. 浏览 Microsoft Entra Gallery页面上,在搜索框中输入 AWS IAM Identity Center

  4. AWS IAM Identity Center从结果中选择。

  5. 选择创建

Step 1.2 >

步骤 1.2:在 Microsoft Entra ID 中创建测试用户

Nikki Wolf 是您在此过程中创建的 Microsoft Entra ID 测试用户姓名。

  1. Microsoft Entra 管理中心控制台,导航到身份 > 用户 > 所有用户

  2. 选择新用户,然后选择屏幕顶部的创建新用户

  3. 用户主体名称中,输入 NikkiWolf,然后选择您喜欢的域和扩展。例如,NikkiWolf@example.org

  4. 显示名称中,输入 NikkiWolf

  5. 密码中输入高强度密码,或选择眼睛图标,显示自动生成的密码,然后复制或写下显示的值。

  6. 选择属性,在名字中输入 Nikki。在姓氏中,输入 Wolf

  7. 选择审核并创建,然后选择创建

Step 1.3

步骤 1.3:在向 Nikki 分配权限之前,先测试 Nikki 的体验 AWS IAM Identity Center

在此过程中,您将验证 Nikki 可以成功登录其 Microsoft 我的账户门户中的哪些内容。

  1. 在同一个浏览器中,打开一个新选项卡,前往 “我的账户” 门户登录页面,然后输入 Nikki 的完整电子邮件地址。例如,NikkiWolf@example.org

  2. 出现提示时,输入 Nikki 的密码,然后选择登录。如果密码是自动生成的,系统将提示您更改密码。

  3. 需要执行的操作页面,选择稍后询问,绕过关于其他安全方法的提示。

  4. 在 “我的帐户” 页面的左侧导航窗格中,选择 “我的应用程序”。请注意,除加载项外,此时不会显示任何应用程序。您将添加一个 AWS IAM Identity Center 应用程序,在稍后的步骤中,其将显示在此处。

Step 1.4

步骤 1.4:在 Microsoft Entra ID 中向 Nikki 分配权限

现在您已验证 Nikki 可以成功访问我的账户门户,请使用此过程将其用户分配至 AWS IAM Identity Center 应用程序。

  1. Microsoft Entra 管理中心控制台,导航到身份 > 应用程序 > 企业应用程序,然后从列表中选择 AWS IAM Identity Center

  2. 在左侧,选择用户和组

  3. 选择添加用户/组。您可以忽略组不可用于分配的消息。此教程不使用组进行分配。

  4. 添加分配页面,在用户下选择未选择任何对象

  5. 选择 NikkiWolf,然后选择 “选择”

  6. 在 “添加作业” 页面上,选择 “分配”。 NikkiWolf 现在出现在分配给该AWS IAM Identity Center应用程序的用户列表中。

在本步骤中,您将了解如何使用 IAM Identity Center 配置访问权限(通过权限集),手动创建相应的 Nikki Wolf 用户,并为其分配管理 AWS资源所需的权限。

Step 2.1 >

步骤 2.1:在中创建 RegionalAdmin 权限集 IAM Identity Center

此权限集将用于向 Nikki 授予必要的 AWS 账户权限,以便从中的账户页面管理区域。 AWS Management Console默认将拒绝其他所有查看或管理 Nikki 账户其他任何信息的权限。

  1. 打开 IAM Identity Center 控制台

  2. 多帐户权限下,选择权限集

  3. 选择创建权限集

  4. 选择权限集类型页面,选择自定义权限集,然后选择下一步

  5. 选择内联策略,将其展开,然后使用以下步骤为权限集创建策略:

    1. 选择添加新声明,以创建策略语句。

    2. “编辑对账单” 下,从列表中选择 “账户”,然后选择以下复选框。

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

    3. 添加资源旁边,选择添加

    4. 添加资源页面的资源类型下,选择所有资源,然后选择添加资源。验证您的策略是否如下所示:

      {
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions",
                "account:DisableRegion",
                "account:EnableRegion",
                "account:GetRegionOptStatus"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  6. 选择下一步

  7. 指定权限集详细信息页面的权限集名称下,输入 RegionalAdmin,然后选择下一步

  8. 审核和创建页面,选择创建。您应该看到权限集列表中RegionalAdmin显示了内容。

Step 2.2 >

步骤 2.2:在中创建相应的 NikkiWolf 用户 IAM Identity Center

由于 SAML 协议不提供查询 IdP (Microsoft Entra ID) 并在 IAM Identity Center 自动创建用户的机制,因此请使用以下过程在 IAM Identity Center 手动创建同步了 Microsoft Entra ID 中 Nikki Wolfs 用户核心属性的用户。

  1. 打开 IAM Identity Center 控制台

  2. 选择用户,选择添加用户,然后提供以下信息:

    1. 对于用户名电子邮件地址 - 输入创建 Microsoft Entra ID 用户时使用的 NikkiWolf@yourcompanydomain.extension。例如,NikkiWolf@example.org

    2. 确认电子邮件地址 - 重新输入上一步中的电子邮件地址

    3. 名字 - 输入 Nikki

    4. 姓氏 - 输入 Wolf

    5. 显示名称 – 输入 Nikki Wolf

  3. 选择两次下一步,然后选择添加用户

  4. 选择关闭

Step 2.3

步骤 2.3:将 Nikki 分配给中设置的 RegionalAdmin 权限 IAM Identity Center

在这里, AWS 账户 您可以找到 Nikki 将在其中管理区域,然后为她分配成功 AWS 访问门户所需的必要权限。

  1. 打开 IAM Identity Center 控制台

  2. 多帐户权限下,选择 AWS 账户

  3. 选中要授予 Nikki 管理区域权限的账户名(例如 Sandbox)旁边的复选框,然后选择 “分配用户和群组”。

  4. 分配用户和组页面,选择用户选项卡,找到并选中 Nikki 旁边的复选框,然后选择下一步

在此步骤中,您将使用 AWS IAM Identity Center 企业应用程序和 IAM Identity Cent Microsoft Entra ID er 中的外部 IdP 设置来配置 SAML 连接。

Step 3.1 >

步骤 3.1:从 IAM Identity Center 收集所需的服务提供商元数据

在此步骤中,您将从 IAM Identity Center 控制台启动更改身份源向导,并检索元数据文件和 AWS 的特定登录 URL(在下一步配置与 Microsoft Entra ID 的连接时需要输入)。

  1. IAM Identity Center 控制台中,选择设置

  2. 设置页面上,选择身份源选项卡,然后选择操作>更改身份源

  3. 选择身份源页面,选择外部身份提供商,然后选择下一步

  4. 配置外部身份提供者页面的服务提供者元数据下,选择下载元数据文件以下载 XML 文件。

  5. 在同一部分,找到 AWS 访问门户登录 URL 的值,并复制它。在下一步出现提示时,您需要输入该值。

  6. 将此页保持打开状态,然后转到下一步 (Step 3.2),在中配置 AWS IAM Identity Center 企业应用程序Microsoft Entra ID。稍后,您将返回此页面,完成整个过程。

Step 3.2 >

步骤 3.2:在中配置 AWS IAM Identity Center 企业应用程序 Microsoft Entra ID

此过程使用您在上一步获得的元数据文件和登录 URL 的值,在 Microsoft 端完成一半的 SAML 连接设置。

  1. Microsoft Entra 管理中心控制台,导航到身份 > 应用程序 > 企业应用程序,然后选择 AWS IAM Identity Center

  2. 在左边,选择 2。设置单点登录

  3. 在 “使用 SAML 设置单点登录” 页面上,选择 SAML然后选择上传元数据文件,选择文件夹图标,选择您在上一步中下载的服务提供商元数据文件,然后选择添加

  4. 在 “基本 SAML 配置” 页面上,验证 “标识符” 和 “回复 URL” 值现在是否都指向以开头 AWS 的https://<REGION>.signin.aws.amazon.com/platform/saml/终端节点。

  5. 登录 URL(可选)下,粘贴您在上一步(Step 3.1)复制的 AWS 访问门户登录 URL 值,选择保存,然后点击 X 关闭窗口。

  6. 如果系统提示使用测试单点登录 AWS IAM Identity Center,请选择 “否”,我稍后再测试。您将在稍后的步骤中进行此项验证。

  7. 使用 SAML 设置单点登录页面的 SAML 证书部分,在联合身份验证元数据 XML 旁边,选择下载,将元数据文件保存到您的系统中。在下一步出现提示时,您需要上传此文件。

Step 3.3 >

步骤 3.3:在 AWS IAM Identity Center配置 Microsoft Entra ID 外部 IdP

在这里,您将返回到 IAM Identity Center 控制台的更改身份源向导,完成 AWS中 SAML 连接设置的后半部分。

  1. 返回在 Step 3.1 中,您在 IAM Identity Center 控制台中保留为打开状态的浏览器会话。

  2. 配置外部身份提供商页面的身份提供商元数据部分,选择 IdP SAML 元数据下的选择文件按钮,然后选择您在上一步从 Microsoft Entra ID 下载的身份提供商元数据文件,然后选择打开

  3. 选择下一步

  4. 在阅读免责声明并准备继续操作后,输入 ACCEPT

  5. 选择更改身份源,以应用您的更改。

Step 3.4 >

步骤 3.4:测试 Nikki 是否被重定向到 AWS 访问门户

在此过程中,您将使用 Nikki 的凭证登录 Microsoft 的我的账户门户,测试 SAML 连接。通过身份验证后,您将选择将 Nikki 重定向到 AWS 访问门户的 AWS IAM Identity Center 应用程序。

  1. 前往我的账户门户登录页面,输入 Nikki 的完整电子邮件地址。例如,NikkiWolf@example.org

  2. 出现提示时,输入 Nikki 的密码,然后选择登录

  3. 在 “我的帐户” 页面的左侧导航窗格中,选择 “我的应用程序”。

  4. 我的应用程序页面,选择名为 AWS IAM Identity Center 的应用程序。这应该会提示您进行额外的身份验证。

  5. 在微软的登录页面上,选择你的 NikkiWolf 凭据。如果再次提示您进行身份验证,请再次选择您的 NikkiWolf 凭据。这应该会自动将您重定向到 AWS 访问门户。

    提示

    如果您未成功重定向,请进行检查,确保您在 Step 3.2 中输入的 AWS 访问门户登录 URL 的值与您在 Step 3.1 中复制的值相匹配。

  6. 确认是否显示 AWS 账户图标

    提示

    如果页面为空且未显示 “AWS 帐户” 图标,请确认 Nikki 已成功分配给RegionalAdmin权限集(请参阅 Step 2.3)。

Step 3.5

步骤 3.5:测试 Nikki 对于管理其 AWS 账户的访问权限级别

在此步骤中,您将进行检查,以确定 Nikki 对于管理其 AWS 账户区域设置的访问权限级别。Nikki 应该只有刚好足够的管理员权限,可从账户页面管理区域。

  1. 在 AWS 访问门户中,选择AWS 账户图标 以展开账户列表。选择该图标后,对于您在其中定义了权限集的任何账户,其账户名称、账户 ID 和与之关联的电子邮件地址都将显示出来。

  2. 选择对其应用了权限集的账户名称,例如沙盒(请参阅 Step 2.3)。这将展开权限集列表,Nikki 可以从中选择,以管理其账户。

  3. 接下来RegionalAdmin选择管理控制台来代入您在RegionalAdmin权限集中定义的角色。这会将您重定向至 AWS Management Console 主页。

  4. 在控制台的右上角,选择您的账户名称,然后选择账户。您将进入账户页面。请注意,此页面上的所有其他部分都会显示一条消息,说明您没有查看或修改这些设置的必要权限。

  5. 账户页面,向下滚动至 AWS 区域部分。选中表格中任何可用区域的复选框。注意 Nikki 确实拥有必要的权限,可按预期为其账户启用禁用区域列表。

做得不错!

步骤 1 到步骤 3 帮助您成功实施并测试了 SAML 连接。现在,我们建议您继续执行步骤 4,实现自动预置,以完成本教程。

在此步骤中,您将使用 SCIM v2.0 协议,设置将用户信息从 Microsoft Entra ID 自动预置(同步)到 IAM Identity Center。您可以使用 IAM Identity Center 的 SCIM 端点和 IAM Identity Center 自动创建的持有者令牌在 Microsoft Entra ID 中配置此连接。

配置 SCIM 同步时,您将创建从 Microsoft Entra ID 中的用户属性到 IAM Identity Center 中的命名属性的映射。这会导致 IAM Identity Center 和 Microsoft Entra ID 之间的预期属性匹配。

以下步骤将指导您使用 Microsoft Entra ID 中的 IAM Identity Center 应用程序,实现将主要驻留在 Microsoft Entra ID 中的用户自动预置到 IAM Identity Center。

Step 4.1 >

步骤 4.1:在 Microsoft Entra ID 中创建第二名测试用户

出于测试目的,您将在 Microsoft Entra ID 中创建新用户 (Richard Roe)。稍后,在设置 SCIM 同步后,您将测试此用户和所有相关属性是否已成功同步到 IAM Identity Center。

  1. Microsoft Entra 管理中心控制台,导航到身份 > 用户 > 所有用户

  2. 选择新用户,然后选择屏幕顶部的创建新用户

  3. 用户主体名称中,输入 RichRoe,然后选择您喜欢的域和扩展。例如,RichRoe@example.org

  4. 显示名称中,输入 RichRoe

  5. 密码中输入高强度密码,或选择眼睛图标,显示自动生成的密码,然后复制或写下显示的值。

  6. 选择属性,然后提供以下值:

    • 名字 - 输入 Richard

    • 姓氏 - 输入 Roe

    • 职位名称 - 输入 Marketing Lead

    • 部门 - 输入 Sales

    • 员工 ID - 输入 12345

  7. 选择审核并创建,然后选择创建

Step 4.2 >

步骤 4.2:在 IAM Identity Center 启用自动预置

在此过程中,您将使用 IAM Identity Center 控制台,实现将 Microsoft Entra ID 中的用户和组自动预置到 IAM Identity Center。

  1. 打开 IAM Identity Center 控制台,在左侧导航窗格中选择设置

  2. 设置页面的身份源选项卡下,请注意预置方法已设置为手动

  3. 找到自动预置信息框,然后选择启用。这会立即在 IAM Identity Center 中启用自动预置,并显示必要的 SCIM 端点和访问令牌信息。

  4. 入站自动预置对话框中,复制以下选项的每个值。下一步在 Microsoft Entra ID 中配置预置时,您需要粘贴这些值。

    1. SCIM 端点 - 例如,https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2/

    2. 访问令牌 - 选择显示令牌以复制该值。

  5. 选择关闭

  6. 身份源选项卡下,请注意预置方法现在设置为 SCIM

Step 4.3 >

步骤 4.3:在 Microsoft Entra ID 中配置自动预置

现在,您的 RichRoe 测试用户已经准备就绪,并已在 IAM Identity Center 中启用了 SCIM,您可以继续在中配置 SCIM 同步设置。Microsoft Entra ID

  1. Microsoft Entra 管理中心控制台,导航到身份 > 应用程序 > 企业应用程序,然后选择 AWS IAM Identity Center

  2. 选择预置,在管理下,再次选择预置

  3. 预置模式下,选择自动

  4. 管理员凭证下的租户 URL 中,粘贴您之前在 Step 4.1 中复制的 SCIM 端点 URL 值。在密钥令牌中,粘贴访问令牌的值。

  5. 选择测试连接。您应该会看到一条消息,表明经过测试的凭证已成功得到授权,可以启用预置。

  6. 选择保存

  7. 管理下,选择用户和组,然后选择添加用户/组

  8. 添加分配页面,在用户下选择未选择任何对象

  9. 选择 RichRoe,然后选择 “选择”

  10. 添加分配页面,选择分配

  11. 选择概述,然后选择开始预置

Step 4.4

步骤 4.4:验证是否已进行同步

在本节中,您将验证 Richard 的用户是否已成功预置,并且所有属性均显示在 IAM Identity Center 中。

  1. IAM Identity Center 控制台中,选择用户

  2. 在 “用户” 页面上,您应该会看到显示您的RichRoe用户。请注意,在创建者列,值将设置为 SCIM

  3. 选择 “配置文件” 下 RichRoe,确认以下属性是从中复制的Microsoft Entra ID。

    • 名字 - Richard

    • 姓氏 - Roe

    • 部门 - Sales

    • 职位 - Marketing Lead

    • 员工编号 - 12345

    现在,Richard 的用户已在 IAM Identity Center 中创建,您可以将其分配给任何权限集,这样您就可以控制他对您 AWS 资源的访问权限级别。例如,您可以分配RichRoe给之前使用的RegionalAdmin权限集,授予 Nikki 管理区域的权限(请参阅 Step 2.3),然后使用Step 3.5测试其访问级别。

恭喜您!

你已成功在 Microsoft 和 Microsoft 之间建立了 SAML 连接, AWS 并已验证自动配置可以使所有内容保持同步。现在,您可以运用所学到的方法,更顺利地设置生产环境。

如果您遇到 Microsoft Entra ID 用户未同步到 IAM Identity Center 的问题,可能是由于在向 IAM Identity Center 添加新用户时,IAM Identity Center 已经标记的语法问题。您可以通过检查 Microsoft Entra ID 审核日志中的失败事件(例如 'Export')来确认这一点。此事件的状态原因将说明:

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

您也可以检查 AWS CloudTrail 失败的事件。这可以通过在 “事件历史记录” 控制台中搜索 CloudTrail 或使用以下过滤器来完成:

"eventName":"CreateUser"

CloudTrail 事件中的错误将说明以下内容:

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

最终,此异常意味着从 Microsoft Entra ID 传递的某个值包含的值比预期多。这里的解决方案是检查 Microsoft Entra ID 中用户的属性,确保不包含重复值。重复值的一个常见示例是,联系电话(例如手机工作电话和传真)存在多个值。尽管是单独的值,但它们都会在单父属性 phoneNumbers 下传递到 IAM Identity Center。

有关故障排除提示,请参阅 排查 IAM Identity Center 问题

现在,您已成功配置了 SAML 和 SCIM,可以选择配置基于属性的访问权限控制 (ABAC)。ABAC 是一种基于属性定义权限的授权策略。

通过 Microsoft Entra ID,您可以使用以下两种方法中的任何一种配置 ABAC,与 IAM Identity Center 配合使用。

Configure user attributes in 微软 Entra ID for access control in IAM Identity Center

在 IAM Identity Center 中配置用户属性以Microsoft Entra ID进行访问控制

在以下步骤中,您将确定 IAM Identity Center Microsoft Entra ID 应使用中的哪些属性来管理对您的 AWS 资源的访问权限。定义后,Microsoft Entra ID 通过 SAML 断言将这些属性发送到 IAM Identity Center。然后,您需要在 IAM Identity Center 中 创建权限集 根据您从 Microsoft Entra ID 传递的属性来管理访问权限。

在开始此过程之前,您首先需要启用 访问控制属性 功能。有关此操作的详细信息,请参阅 启用并配置访问控制属性

  1. Microsoft Entra 管理中心控制台,导航到身份 > 应用程序 > 企业应用程序,然后选择 AWS IAM Identity Center

  2. 选择 Single sign-on(单点登录)。

  3. 属性和声明部分,选择编辑

  4. 属性和声明页面,执行以下操作:

    1. 选择添加新声明

    2. 对于名称,请输入 AccessControl:AttributeNameAttributeName替换为您在 IAM 身份中心中期望的属性的名称。例如,AccessControl:Department

    3. 对于命名空间,请输入 https://aws.amazon.com/SAML/Attributes

    4. 对于,请选择属性

    5. 对于来源属性,使用下拉列表选择 Microsoft Entra ID 用户属性。例如,user.department

  5. 对需要在 SAML 断言中发送到 IAM Identity Center 的每个属性重复上一步。

  6. 选择保存

Configure ABAC using IAM Identity Center

使用 IAM 身份中心配置 ABAC

通过此方法,您可以使用 IAM Identity Center 中的 访问控制属性 功能来传递 Name 属性设置为 https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}Attribute 元素。您可以使用此元素将属性作为 SAML 断言中的会话标记传递。有关会话标签的更多信息,请参阅 IAM 用户指南在 AWS STS中的传递会话标签

要将属性作为会话标签传递,请包含指定标签值的 AttributeValue 元素。例如,要传递标签键值对 Department=billing,请使用以下属性:

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

如果您需要添加多个属性,请为每个标签包含一个单独的 Attribute 元素。