确认 IAM Identity Center 中的身份源
您在 IAM Identity Center 中的身份源定义了用户和组的管理位置。启用 IAM Identity Center 后,请确认您使用的是您选择的身份源。若已有分配的身份源,可以继续使用。
确认身份源
-
在控制面板页面的推荐设置步骤部分下方,选择确认身份源。您也可以通过选择设置,然后选择身份源选项卡,访问此页面。
-
如果您想保留已分配的身份源,则无需执行任何操作。如果您想对其做出更改,请选择操作,然后选择更改身份源。
您可以选择以下一个选项作为身份源:
- Identity Center 目录
首次启用 IAM Identity Center 后,它会自动配置 Identity Center 目录作为您的默认身份源。如果您尚未使用其他外部身份提供商,您可以开始创建用户和组,并为其分配对 AWS 账户 和应用程序的访问权限级别。有关使用此身份源的教程,请参阅 使用默认 IAM Identity Center 目录配置用户访问权限。
- Active Directory
-
如果您已经在使用 AWS Directory Service 管理 AWS Managed Microsoft AD 目录中的用户和组,或已经在管理 Active Directory (AD) 自托管式目录中的用户和组,我们建议您在启用 IAM Identity Center 时连接该目录。请勿在默认的 Identity Center 目录中创建任何用户和组。IAM Identity Center 使用 AWS Directory Service 提供的连接将用户、组和成员资格信息从 Active Directory 中的源目录同步到 IAM Identity Center 身份存储。有关更多信息,请参阅 连接到 Microsoft AD 目录。
注意
IAM Identity Center 不支持基于 SAMBA4 的 Simple AD 作为身份源。
- 外部身份提供商
-
对于 Okta 或 Microsoft Entra ID 等外部身份提供商 (IdP),您可以使用 IAM Identity Center 通过安全断言标记语言 (SAML) 2.0 标准对 IdP 的身份进行验证。SAML 协议不提供查询 IdP 以了解用户和组的方法。您可以通过将这些用户和组预置到 IAM Identity Center,使 IAM Identity Center 了解这些用户和组。在 IdP 支持的情况下,您可以使用跨域身份管理 (SCIM) v2.0 协议系统将用户和组的信息从 IdP 自动预置(同步)到 IAM Identity Center。如果不支持,您可以在 IAM Identity Center 手动输入用户名、电子邮件地址和组,手动预置用户和组。
有关设置身份源的详细说明,请参阅 IAM Identity Center 身份源教程。
注意
如果您计划使用外部身份提供商,请注意将由外部 IdP(而不是 IAM Identity Center)管理多重身份验证 (MFA) 设置。不支持外部身份提供者使用 IAM Identity Center 中的 MFA。有关更多信息,请参阅 提示用户完成 MFA。
您选择的身份源决定 IAM Identity Center 在何处搜索需要单点登录访问的用户和组。确认或更改身份源后,您将创建或指定用户,并为其分配对 AWS 账户 的管理权限。
重要
如果您已经在管理 Active Directory 或外部 IdP 中的用户和组,我们建议您在启用 IAM Identity Center 和选择身份源时考虑连接此身份源。在默认 Identity Center 目录中创建任何用户和组并进行任何分配之前,应先完成此操作。
如果您已经在 IAM Identity Center 中的一个身份源中管理用户和组,则更改为其他身份源可能会移除您在 IAM Identity Center 中配置的所有用户和组分配。如果发生这种情况,所有用户(包括 IAM Identity Center 中的管理用户)都将失去对其 AWS 账户 和应用程序的单点登录访问权限。有关更多信息,请参阅 更改身份源的注意事项。
完成身份源配置后,您可以查找用户或组,然后向他们授予单点登录访问 AWS 账户 帐户和/或云应用程序的权限。
