管理外部身份提供者
借助 IAM Identity Center,您可以通过安全断言标记语言(SAML)2.0 和跨域身份管理系统(SCIM)协议,将现有员工身份从外部身份提供者(IdP)进行连接。这使您的用户能够使用其公司凭证登录 AWS 访问门户。然后,他们可以导航到外部 IdP 中托管的为其分配的帐户、角色和应用程序。
例如,您可以将 Okta 或 Microsoft Entra ID 等外部 IdP 连接到 IAM Identity Center。然后,您的用户可以使用其现有 Okta 或 Microsoft Entra ID 凭证登录 AWS 访问门户。要控制用户在登录后可以执行的操作,您可以集中为他们分配 AWS 组织中所有账户和应用程序的访问权限。此外,开发人员可以使用现有凭证简单地登录 AWS Command Line Interface (AWS CLI),并从自动短期凭证生成和轮换中受益。
如果您使用的是 Active Directory 中的自行管理目录或 AWS Managed Microsoft AD,请参阅 连接到 Microsoft AD 目录。
注意
SAML 协议不提供查询 IdP 以了解用户和组的方法。因此,您必须通过将这些用户和组预置到 IAM Identity Center 来使 IAM Identity Center 了解这些用户和组。
当用户来自外部 IdP 时进行预置
使用外部 IdP 时,您必须先将所有适用的用户和组配置到 IAM Identity Center,然后才能对 AWS 账户 或应用程序进行任何分配。为此,您可以为用户和组配置 使用 SCIM 将外部身份提供者预置到 IAM Identity Center 中,也可以使用 手动预置。无论您如何配置用户,IAM Identity Center 都会将 AWS Management Console、命令行界面和应用程序身份验证重定向到您的外部 IdP。然后,IAM Identity Center 根据您在 IAM Identity Center 中创建的策略授予对这些资源的访问权限。有关预置的更多信息,请参阅 用户和组预调配。