本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# IAM Identity Center 身份源教程
<a name="tutorials"></a>

您可以将 AWS Organizations 管理账户中的现有身份源连接到 [IAM Identity Center 的组织实例](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。如果没有现有身份提供者，可直接在默认 IAM Identity Center 目录中创建并管理用户。每个组织有一个身份源。

本节中的教程介绍如何使用常用身份源设置 IAM Identity Center 的组织实例、如何创建管理用户，以及如何使用 IAM Identity Center 管理对权限集的访问权限 AWS 账户、创建和配置权限集。如果仅将 IAM Identity Center 用于应用程序访问，则无需使用权限集。

这些教程并未介绍如何设置 IAM Identity Center 账户实例。可使用账户实例为应用程序分配用户和组，但不能将此实例类型用于管理用户对 AWS 账户的访问权限。有关更多信息，请参阅 [IAM Identity Center 的账户实例](account-instances-identity-center.md)。

**注意**  
在开始这些教程之前，首先启用 IAM Identity Center。有关更多信息，请参阅 [启用 IAM Identity Center](enable-identity-center.md)。

**Topics**
+ [使用 Active Directory 作为身份源](gs-ad.md)
+ [Setting up SCIM provisioning between CyberArk and IAM Identity Center](cyberark-idp.md)
+ [通过 Google Workspace 和 IAM Identity Center 配置 SAML 和 SCIM](gs-gwp.md)
+ [使用 IAM Identity Center 与 JumpCloud 目录平台连接](jumpcloud-idp.md)
+ [通过 Microsoft Entra ID 和 IAM Identity Center 配置 SAML 和 SCIM](idp-microsoft-entra.md)
+ [通过 Okta 和 IAM Identity Center 配置 SAML 和 SCIM](gs-okta.md)
+ [在 OneLogin 和 IAM Identity Center 之间设置 SCIM 预置](onelogin-idp.md)
+ [将 Ping Identity 产品与 IAM Identity Center 结合使用](pingidentity.md)
+ [使用默认 IAM Identity Center 目录配置用户访问权限](quick-start-default-idc.md)
+ [教程视频](#w2aac15c31)

# 使用 Active Directory 作为身份源
<a name="gs-ad"></a>

如果您使用 Directory Service 或在 A AWS Managed Microsoft AD ctive Directory (AD) 中管理您的目录中的用户，则可以更改您的 IAM Identity Center 身份源以使用这些用户。我们建议您在启用 IAM Identity Center 并选择身份源时，考虑连接此身份源。在默认 Identity Center 目录中创建任何用户和组之前执行此操作将有助于避免在以后更改身份源时所需的额外配置。

要使用 Active Directory 作为身份源，您的配置必须满足以下先决条件：
+ 如果您正在使用 AWS Managed Microsoft AD，则必须在设置 AWS Managed Microsoft AD 目录的同一 AWS 区域 位置启用 IAM 身份中心。IAM Identity Center 会将分配数据存储在与目录相同的区域中。要管理 IAM Identity Center，您可能需要切换到配置 IAM Identity Center 的区域。另外，请注意， AWS 访问门户使用的访问网址与您的目录相同。
+ 使用驻留在管理帐户中的 Active Directory：

  您必须在中设置现有 AD Con AWS Managed Microsoft AD nector 或目录 AWS Directory Service，并且该目录必须位于您的 AWS Organizations 管理账户中。一次只能在 AWS Managed Microsoft AD 连接一个 AD Connector 目录或一个目录。如果您需要支持多个域或林，请使用 AWS Managed Microsoft AD。有关更多信息，请参阅:
  + [将目录连接 AWS Managed Microsoft AD 到 IAM 身份中心](connectawsad.md)
  + [将 Active Directory 中的自行管理目录连接到 IAM Identity Center](connectonpremad.md)
+ 使用驻留在委派管理员账户中的 Active Directory：

  如果您计划启用 IAM 身份中心委托管理员并使用 Active Directory 作为您的 IAM 身份中心身份源，则可以使用位于委托管理员账户中的现有 AD Connector 或 AWS Managed Microsoft AD AWS 目录中设置的目录。

  如果您决定将 IAM Identity Center 身分源从任何其他源更改为 Active Directory，或者将其从 Active Directory 更改为任何其他源，则该目录必须驻留在 IAM Identity Center 委派管理员成员账户（如果存在）中（归该账户所有）；否则，它必须位于管理账户中。

本教程将指导您完成使用 Active Directory 作为 IAM Identity Center 身份源的基本设置。

# 步骤 1：连接 Active Directory 并指定用户
<a name="gs-connect-id-source-ad-idp-specify-user"></a>

如果您已经在使用 Active Directory，以下主题可帮助您准备好将目录连接到 IAM Identity Center。

**注意**  
如果您计划连接 Active Directory 中的 AWS Managed Microsoft AD 目录或自管理目录，但未将 RADIUS MFA AWS Directory Service与一起使用，请在 IAM 身份中心启用 MFA。

**AWS Managed Microsoft AD**

1. 请查看 [Microsoft AD 目录](manage-your-identity-source-ad.md) 中的指南。

1. 按照 [将目录连接 AWS Managed Microsoft AD 到 IAM 身份中心](connectawsad.md) 中的步骤操作。

1. 配置 Active Directory 以将您要向其授予管理权限的用户同步到 IAM Identity Center。有关更多信息，请参阅 [将管理用户同步到 IAM Identity Center 中](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad)。

**Active Directory 中的自行管理目录**

1. 请查看 [Microsoft AD 目录](manage-your-identity-source-ad.md) 中的指南。

1. 按照 [将 Active Directory 中的自行管理目录连接到 IAM Identity Center](connectonpremad.md) 中的步骤操作。

1. 配置 Active Directory 以将您要向其授予管理权限的用户同步到 IAM Identity Center。有关更多信息，请参阅 [将管理用户同步到 IAM Identity Center 中](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad)。

## 步骤 2：将管理用户同步到 IAM Identity Center 中
<a name="gs-ad-sync-admin-user-from-ad"></a>

将您的目录连接到 IAM Identity Center 后，您可以指定要向其授予管理权限的用户，然后将该用户从您的目录同步到 IAM Identity Center 中。

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 选择**设置**。

1. 在**设置**页面上，选择**身份源**选项卡，从中选择**操作**，然后选择**管理同步**。

1. 在**管理同步**页面上，选择**用户**选项卡，然后选择**添加用户和组**。

1. 在**用户**选项卡的**用户**下，输入确切的用户名并选择**添加**。

1. 在**已添加用户和组**项下，执行以下操作：

   1. 确认已指定您要向其授予管理权限的用户。

   1. 选中该用户名左边的复选框。

   1. 选择**提交**。

1. 在**管理同步**页面中，您指定的用户将显示在**同步范围内的用户**列表中。

1. 在导航窗格中，选择 **Users**（用户）。

1. 在**用户**页面上，您指定的用户可能需要一些时间才会出现在列表中。选择刷新图标以更新用户列表。

此时，您的用户无权访问管理账户。您可以通过创建管理权限集并将用户分配给该权限集来设置对此帐户的管理访问权限。有关更多信息，请参阅 [创建权限集](howtocreatepermissionset.md)。

# Setting up SCIM provisioning between CyberArk and IAM Identity Center
<a name="cyberark-idp"></a>

IAM Identity Center 支持将用户信息从 CyberArk Directory Platform 自动预置（同步）到 IAM Identity Center。此预置使用跨域身份管理系统 (SCIM) v2.0 协议。有关更多信息，请参阅 [对外部身份提供者使用 SAML 和 SCIM 身份联合验证](other-idps.md)。

**注意**  
CyberArk目前不支持应用程序 URLs中的 SAML 多重断言使用服务 (ACS)。 AWS IAM Identity Center 要充分利用 IAM 身份中心中的[多区域支持](multi-region-iam-identity-center.md)，必须使用此 SAML 功能。如果您计划将 IAM Identity Center 复制到其他区域，请注意，使用单个 ACS URL 可能会影响这些其他区域的用户体验。您的主要区域将继续正常运行。我们建议您与 IdP 供应商合作以启用此功能。有关使用单个 ACS URL 在其他区域的用户体验的更多信息，请参阅[使用没有多个 ACS 的 AWS 托管应用程序 URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)和[AWS 账户 无需多个 ACS 即可实现访问弹性 URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。

在开始部署 SCIM 之前，我们建议您首先查看 [使用自动预置的注意事项](provision-automatically.md#auto-provisioning-considerations)。然后继续查看下一部分中的其他注意事项。

**Topics**
+ [先决条件](#cyberark-prereqs)
+ [SCIM 注意事项](#cyberark-considerations)
+ [步骤 1：在 IAM Identity Center 中启用预置](#cyberark-step1)
+ [步骤2：在 CyberArk 中配置预置](#cyberark-step2)
+ [（可选）步骤 3：在 CyberArk 中配置用户属性以在 IAM Identity Center 中进行访问控制 (ABAC)](#cyberark-step3)
+ [（可选）传递访问控制属性](#cyberark-passing-abac)

## 先决条件
<a name="cyberark-prereqs"></a>

在开始之前，您将需要以下内容：
+ CyberArk 订阅或免费试用。报名参加免费试用访问 [https://www.cyberark.com/try-buy/](https://www.cyberark.com/try-buy/)。
+ 支持 IAM Identity Center 的帐户（[免费](https://aws.amazon.com/single-sign-on/)）。有关更多信息，请参阅[启用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)。
+ 从您的 CyberArk 帐户到 IAM Identity Center 的 SAML 连接，如 [IAM Identity Center CyberArk 文档](https://docs.cyberark.com/identity/Latest/en/Content/Applications/AppsWeb/AWS_SAML_SSO.htm#)中所述。
+ 将 IAM Identity Center 连接器与您想要允许访问 AWS 账户的角色、用户和组织相关联。

## SCIM 注意事项
<a name="cyberark-considerations"></a>

以下是对 IAM Identity Center 使用 CyberArk 联合身份验证时的注意事项：
+ 只有应用程序预置部分中映射的角色才会同步到 IAM Identity Center。
+ 配置脚本仅在默认状态下受支持，一旦更改，SCIM 预置可能会失败。
  + 只能同步一种电话号码属性，默认为“工作电话”。
+ 如果 CyberArk IAM Identity Center 应用程序中的角色映射发生更改，则预计会出现以下行为：
  + 如果角色名称发生更改——IAM Identity Center 中的组名称不会发生更改。
  + 如果组名称发生更改——将在 IAM Identity Center 中创建新组，旧组将保留，但没有成员。
+ 用户同步和取消预置行为可以从 CyberArk IAM Identity Center 应用程序进行设置，请确保为您的组织设置正确的行为。您可以选择以下选项：
  + 覆盖（或不覆盖）Identity Center 目录中具有相同主体名称的用户。
  + 从 CyberArk 角色中移除用户后，从 IAM Identity Center 取消对该用户的配置。
  + 取消配置用户行为——禁用或删除。

## 步骤 1：在 IAM Identity Center 中启用预置
<a name="cyberark-step1"></a>

在第一步中，您使用 IAM Identity Center 控制台启用自动预置。

**在 IAM Identity Center 中启用自动预置**

1. 完成先决条件后，打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 在左侧导航窗格中选择**设置**。

1. 在**设置**页面上，找到**自动预置**信息框，然后选择**启用**。这会立即在 IAM Identity Center 中启用自动预置，并显示必要的 SCIM 端点和访问令牌信息。

1. 在**入站自动预置**对话框中，复制 SCIM 端点和访问令牌。稍后在 IdP 中配置预置时，您需要粘贴这些内容。

   1. **SCIM 端点** ——例如，https://scim。 *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*

   1. **访问令牌** - 选择**显示令牌**以复制该值。
**警告**  
这是唯一可以获取 SCIM 端点与访问令牌的机会。在继续操作之前，务必复制这些值。本教程的后续步骤需要输入这些值，以便在 IdP 中配置自动预置。

1. 选择**关闭**。

现在您已在 IAM Identity Center 控制台中设置了预置，您需要使用 CyberArk IAM Identity Center 应用程序完成其余任务。以下过程中描述了这些步骤。

## 步骤2：在 CyberArk 中配置预置
<a name="cyberark-step2"></a>

 在 CyberArk IAM Identity Center 应用程序中使用以下过程来启用 IAM Identity Center 的预置。此过程假设您已将 CyberArk IAM Identity Center 应用程序添加到 **Web 应用程序**下的 CyberArk 管理控制台。如果您尚未执行此操作，请参阅 [先决条件](#cyberark-prereqs)，然后完成此过程以配置 SCIM 预置。

**要在 CyberArk 中配置预置**

1. 打开您在为 CyberArk 配置 SAML 过程中添加的 CyberArk IAM Identity Center 应用程序（**应用程序 > Web 应用程序**）。请参阅 [先决条件](#cyberark-prereqs)。

1. 选择 **IAM Identity Center** 应用程序并转到**预置**部分。

1. 选中**启用此应用程序的预置**框并选择**实时模式**。

1. 在前面的过程中，您从 IAM Identity Center 复制了 **SCIM 端点**值。将该值粘贴到 **SCIM 服务 URL** 字段中，在 CyberArk IAM Identity Center 应用程序中将**授权类型**设置为 **Authorization 标头**。

1. 将**标头类型**设置为**持有者令牌**。

1. 在上一过程中，您复制了 IAM Identity Center 中的**访问令牌**值。将该值粘贴到 CyberArk IAM Identity Center 应用程序中的**持有者令牌**字段中。

1. 单击**验证**以测试和应用配置。

1. 在**同步选项**下，选择您希望 CyberArk 中的出站预置发挥作用的正确行为。您可以选择覆盖（或不覆盖）具有相似主体名称和取消预置行为的现有 IAM Identity Center 用户。

1. 在**角色映射**下，设置从**名称**字段下的 CyberArk 角色到**目标组**下的 IAM Identity Center 组的映射。

1. 完成后点击底部的**保存**。

1. 要验证用户是否已成功同步到 IAM Identity Center，请返回 IAM Identity Center 控制台并选择**用户**。来自 CyberArk 的同步用户将显示在**用户**页面上。现在可以将这些用户分配给帐户并可以在 IAM Identity Center 中进行连接。

## （可选）步骤 3：在 CyberArk 中配置用户属性以在 IAM Identity Center 中进行访问控制 (ABAC)
<a name="cyberark-step3"></a>

如果您选择为 IAM Identity Center 配置属性以管理对 AWS 资源的访问权限，则这是一个可选过程。CyberArk您在 CyberArk 中定义的属性将在 SAML 断言中传递到 IAM Identity Center。然后，您在 IAM Identity Center 中创建权限集，以根据您从 CyberArk 传递的属性管理访问权限。

在开始此过程之前，您必须首先启用 [访问控制属性](attributesforaccesscontrol.md) 功能。有关此操作的详细信息，请参阅 [启用并配置访问控制属性](configure-abac.md)。

**要在 CyberArk 中配置用户属性，用于 IAM Identity Center 的访问控制**

1. 打开您在为 CyberArk 配置 SAML 过程中安装的 CyberArk IAM Identity Center 应用程序（**应用程序 > Web 应用程序**）。

1. 转至 **SAML 响应**选项。

1. 在**属性**下，按照以下逻辑将相关属性添加到表中：

   1. **属性名称**是来自 CyberArk 的原始属性名称。

   1. **属性值**是在 SAML 断言中发送到 IAM Identity Center 的属性名称。

1. 选择**保存**。

## （可选）传递访问控制属性
<a name="cyberark-passing-abac"></a>

您可以选择使用 IAM Identity Center 中的 [访问控制属性](attributesforaccesscontrol.md) 功能来传递 `Name` 属性设置为 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` 的 `Attribute` 元素。此元素允许您将属性作为 SAML 断言中的会话标签传递。有关会话标签的更多信息，请参阅 *IAM 用户指南*在 AWS STS中的[传递会话标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

要将属性作为会话标签传递，请包含指定标签值的 `AttributeValue` 元素。例如，要传递标签键值对`CostCenter = blue`，请使用以下属性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要添加多个属性，请为每个标签包含一个单独的 `Attribute` 元素。

# 通过 Google Workspace 和 IAM Identity Center 配置 SAML 和 SCIM
<a name="gs-gwp"></a>

如果您的组织正在使用，Google Workspace则可以将您的用户集成Google Workspace到 IAM Identity Center 中，让他们访问 AWS 资源。将 IAM Identity Center 身份源从默认 IAM Identity Center 身份源改为 Google Workspace，可实现集成。

**注意**  
Google Workspace目前不支持应用程序 URLs中的 SAML 多重断言使用服务 (ACS)。 AWS IAM Identity Center 要充分利用 IAM Identity Center 中的[多区域支持](multi-region-iam-identity-center.md)，必须使用此 SAML 功能。如果您计划将 IAM Identity Center 复制到其他区域，请注意，使用单个 ACS URL 可能会影响这些其他区域的用户体验。您的主要区域将继续正常运行。我们建议您与 IdP 供应商合作以启用此功能。有关使用单个 ACS URL 在其他区域的用户体验的更多信息，请参阅[使用没有多个 ACS 的 AWS 托管应用程序 URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)和[AWS 账户 无需多个 ACS 即可实现访问弹性 URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。

Google Workspace 的用户信息通过[跨域身份管理系统（SCIM）2.0 协议](scim-profile-saml.md#scim-profile)同步到 IAM Identity Center。有关更多信息，请参阅 [对外部身份提供者使用 SAML 和 SCIM 身份联合验证](other-idps.md)。

您可以在 Google Workspace 中使用 IAM Identity Center 的 SCIM 端点和 IAM Identity Center 持有者令牌来配置此连接。配置 SCIM 同步时，您将创建从 Google Workspace 中的用户属性到 IAM Identity Center 中的命名属性的映射。此映射在 IAM Identity Center 和 Google Workspace 之间匹配预期的用户属性。为此，您需要将 Google Workspace 设置为身份提供者并与您的 IAM Identity Center 连接。

**目标**

本教程中的步骤有助于指导您在Google Workspace和 AWS之间建立 SAML 连接。稍后，您将使用 SCIM 从 Google Workspace 同步用户。要验证所有配置是否正确，完成配置步骤后，您将以Google Workspace用户身份登录并验证对 AWS 资源的访问权限。请注意，本教程基于一个小型 Google Workspace 目录测试环境。本教程不包括组和组织单位等目录结构。完成本教程后，您的用户将能够使用您的Google Workspace凭据 AWS 访问门户。

**注意**  
要注册 Google Workspace 的免费试用，请访问 Google's 网站上的 [https://workspace.google.com/](https://workspace.google.com/)。  
如果您尚未启用 IAM Identity Center，请参阅 [启用 IAM Identity Center](enable-identity-center.md)。

## 注意事项
<a name="gs-gwp-considerations"></a>
+ 在 Google Workspace 和 IAM Identity Center 之间配置 SCIM 预置之前，建议先查看 [使用自动预置的注意事项](provision-automatically.md#auto-provisioning-considerations)。
+ Google Workspace 中的 SCIM 自动同步当前仅限于用户预置。目前不支持自动组预置。可以使用 Ident AWS CLI ity Store [create-group 命令或 AWS Identity and Access Management (IAM) API 手动创建群组](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html)。[CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html)也可使用 [ssosync](https://github.com/awslabs/ssosync) 将 Google Workspace 用户和组同步至 IAM Identity Center。
+ 必须已为每位 Google Workspace 用户指定**名字**、**姓氏**、**用户名**和**显示名称**值。
+ 每位 Google Workspace 用户的每个数据属性（如电子邮件地址或电话号码）只有一个值。若用户有多个值，则无法同步。如果用户的属性中有多个值，请先删除重复的属性，然后再尝试在 IAM Identity Center 中预置用户。例如，只能同步一个电话号码属性，因为默认的电话号码属性是“工作电话”，所以即使用户的电话号码是家庭电话号码或移动电话号码，也将使用“工作电话”属性存储其电话号码。
+ 如果用户在 IAM Identity Center 中被禁用，但在 Google Workspace 中仍然处于活动状态，属性仍然会同步。
+ 如果 Identity Center 目录中存在具有相同用户名和电子邮件的现有用户，则将从 Google Workspace 开始使用 SCIM 覆盖并同步该用户。
+  更改身份源还需注意其他事项。有关更多信息，请参阅 [从 IAM Identity Center 更改为外部 IdP](manage-your-identity-source-considerations.md#changing-from-idc-and-idp)。

## 步骤 1：Google Workspace：配置 SAML 应用程序
<a name="gs-gwp-step1"></a>

1. 使用具有超级管理员权限的账户登录 **Google 管理控制台**。

1. 在 **Google 管理控制台**左侧的导航面板中，依次选择**应用程序**、**Web 和移动应用程序**。

1. 在**添加应用程序**下拉列表中选择**搜索应用程序**。

1. 在搜索框中输入 **Amazon Web Services**，然后从列表中选择 **Amazon Web Services（SAML）**应用程序。

1. 在 **Google 身份提供者详细信息 – Amazon Web Services** 页面，可执行以下任一操作：

   1. 下载 IdP 元数据。

   1. 复制 SSO URL、实体 ID URL 和证书信息。

   步骤 2 需要 XML 文件或 URL 信息。

1. 在 Google 管理控制台中进入下一步之前，让此页面保持打开状态，再移至 IAM Identity Center 控制台。

## 步骤 2：IAM Identity Center 和 Google Workspace：更改 IAM Identity Center 身份源，并将 Google Workspace 设置为 SAML 身份提供者
<a name="gs-gwp-step2"></a>

1. 使用具有管理权限的角色登录 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 在左侧导航窗格中，选择**设置**。

1. 在**设置**页面，选择**操作**，然后选择**更改身份源**。
   + 若尚未启用 IAM Identity Center，请参阅[启用 IAM Identity Center](enable-identity-center.md) 了解更多信息。首次启用并访问 IAM Identity Center 后，您将进入**控制面板**，从中选择**选择身份源**。

1. 在**选择身份源**页面，选择**外部身份提供商**，然后选择**下一步**。

1. 将打开**配置外部身份提供商**页面。要完成本页面和步骤 1 的 Google Workspace 页面，您需要完成以下操作：

   1. 在 **IAM Identity Center** 控制台的**身份提供者元数据**部分，需要执行以下任一操作：

     1. 在 IAM Identity Center 控制台中将 **Google SAML 元数据**作为 **IdP SAML 元数据**上传。

     1. 将 **Google SSO URL** 复制并粘贴到 **IdP 登录 URL** 字段，将 **Google 发布者 URL** 复制并粘贴到 **IdP 发布者 URL** 字段，将 **Google 证书**作为 **IdP 证书**上传。

1. 在 **IAM Identity Center** 控制台的**身份提供者元数据**部分提供 Google 元数据后，复制 **IAM 身份断言使用者服务（ACS）URL** 和 **IAM Identity Center 发布者 URL**。在下一步中，您需要 URLs 在Google管理员控制台中提供这些信息。

1. 让 IAM Identity Center 控制台的页面保持打开状态，然后返回 Google 管理控制台。此时应位于 **Amazon Web Services – 服务提供商详细信息**页面。选择**继续**。

1. 在**服务提供商详细信息**页面，输入 **ACS URL** 和**实体 ID** 值。您在上一步复制了这些值，这些值可在 IAM Identity Center 控制台中找到。
   + **将 IAM Identity Center 断言使用者服务（ACS）URL** 粘贴到 **ACS URL** 字段
   + 将 **IAM Identity Center 发布者 URL** 粘贴到**实体 ID** 字段。

1. 在**服务提供商详细信息**页面，按如下所示在**名称 ID** 下填写字段：
   + 对于**名称 ID 格式**，请选择**电子邮件**
   + 对于**名称 ID**，请选择**基本信息 > 主电子邮件**

1. 选择**继续**。

1. 在**属性映射**页面的**属性**下，选择**添加映射**，然后在 **Google Directory 属性**下配置这些字段：
   + 对于 `https://aws.amazon.com/SAML/Attributes/RoleSessionName` **应用程序属性**，从 **Google Directory 属性** 中选择**基本信息，主要电子邮件**字段。
   + 在 `https://aws.amazon.com/SAML/Attributes/Role` **应用程序属性**中，选择任意 **Google Directory 属性**。Google Directory 属性可以是**部门**。

1. 选择**完成**。

1. 返回 **IAM Identity Center** 控制台并选择**下一步**。在**查看并确认**页面，查看信息，然后在提供的空白处输入**接受**。选择**更改身份源**。

现在，您已准备好在 Google Workspace 中启用 Amazon Web Services 应用程序，从而将用户预置到 IAM Identity Center。

## 第 3 步：Google Workspace：启用应用程序
<a name="gs-gwp-step3"></a>

1. 返回**Google管理控制台**和您的 AWS IAM Identity Center 应用程序，可在 “应用程序” 和 “**Web 和移动**应用程序****” 下找到。

1. 在**用户访问权限**面板，选择**用户访问权限**旁边的向下箭头，展开**用户访问权限**，以显示**服务状态**面板。

1. 在**服务状态**面板中选择**为所有人开启**，然后选择**保存**。

**注意**  
为了维持最低权限原则，我们建议您在完成本教程后，将**服务状态**更改为**为所有人关闭**。只应为需要访问 AWS 的用户启用该服务。您可以使用 Google Workspace 组或组织单位，将用户访问权限授予特定的用户子集。

## 步骤 4：IAM Identity Center：设置 IAM Identity Center 自动预置
<a name="gs-gwp-step4"></a>

1. 返回 IAM Identity Center 控制台。

1. 在**设置**页面上，找到**自动预置**信息框，然后选择**启用**。这会立即在 IAM Identity Center 中启用自动预置，并显示必要的 SCIM 端点和访问令牌信息。

1. 在**入站自动预置**对话框中，复制以下选项的每个值。本教程的步骤 5 需要输入这些值，以便在 Google Workspace 中配置自动预置。

   1. **SCIM 端点**-例如，
      + IPv4`https://scim.Region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
      + 双栈 `https://scim.Region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`

   1. **访问令牌** - 选择**显示令牌**以复制该值。
**警告**  
这是唯一可以获取 SCIM 端点与访问令牌的机会。在继续操作之前，务必复制这些值。

1. 选择**关闭**。

   现在，您已在 IAM Identity Center 控制台中设置了预置，下一步您将在 Google Workspace 中配置自动预置。

## 步骤 5：Google Workspace：配置自动预置
<a name="gs-gwp-step5"></a>

1. 返回 Google 管理控制台和 AWS IAM Identity Center 应用程序，可在**应用程序**以及 **Web 和移动应用程序**下找到。在**自动预置**部分，选择**配置自动预置**。

1. 在上一步中，您复制了 IAM Identity Center 控制台中的**访问令牌**值。将该值粘贴到**访问令牌**字段，然后选择**继续**。在上一步中，您还复制了 IAM Identity Center 控制台中的 **SCIM 端点**值。将该值粘贴到**端点 URL** 字段，然后选择**继续**。

1. 验证所有必需的 IAM Identity Center 属性（即标有 \$1 的属性）是否已映射到 Google Cloud Directory 属性。如果没有，请选择向下箭头并映射到适当的属性。选择**继续**。

1. 在**预置范围**部分，您可以选择 Google Workspace 目录的一个组，来提供对 Amazon Web Services 应用程序的访问权限。跳过此步骤并选择**继续**。

1. 在**取消预置**部分，您可以选择如何响应移除用户访问权限的不同事件。对于每种情况，您都可以指定在多久之后开始取消预置：
   + 24 小时内
   + 一天后
   + 七天后
   + 30 天后

   对于每种情况，都有一个时间设置，用来确定何时暂停账户的访问权限，以及何时删除账户。
**提示**  
设置删除用户账户前的等待时间时，其长度应始终长于暂停用户账户前的等待时间。

1. 选择**结束**。您将返回到 Amazon Web Services 应用程序页面。

1. 在**自动预置**部分，打开切换开关，将其从**非活跃**更改为**活跃**。
**注意**  
如果未为用户打开 IAM Identity Center，激活滑块将被禁用。选择**用户访问权限**并打开应用程序以启用滑块。

1. 在确认对话框中，选择**打开**。

1. 要验证用户是否已成功同步到 IAM Identity Center，请返回 IAM Identity Center 控制台并选择**用户**。**用户**页面列出了您的 Google Workspace 目录中通过 SCIM 创建的用户。如果尚未列出用户，可能是由于预置仍在进行中。尽管在大多数情况下，预置可以在几分钟内完成，但最多可能需要 24 小时。确保每隔几分钟刷新一次浏览器窗口。

   选择一名用户并查看其详细信息。信息应与 Google Workspace 目录中的信息匹配。

**恭喜您！**  
您已成功在Google Workspace和之间建立 SAML 连接， AWS 并已验证自动配置正在运行。您现在可以在 **IAM Identity Center** 中将这些用户分配给账户和应用程序。在本教程的下一步，我们将指定一名用户，通过赋予其对管理账户的管理权限，使其成为 IAM Identity Center 管理员。

## 传递访问控制属性 – *可选*
<a name="gwp-passing-abac"></a>

您可以选择使用 IAM Identity Center 中的 [访问控制属性](attributesforaccesscontrol.md) 功能来传递 `Name` 属性设置为 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` 的 `Attribute` 元素。此元素允许您将属性作为 SAML 断言中的会话标签传递。有关会话标签的更多信息，请参阅 *IAM 用户指南*在 AWS STS中的[传递会话标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

要将属性作为会话标签传递，请包含指定标签值的 `AttributeValue` 元素。例如，要传递标签键值对`CostCenter = blue`，请使用以下属性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要添加多个属性，请为每个标签包含一个单独的 `Attribute` 元素。

## 将访问权限分配给 AWS 账户
<a name="gs-gwp-acct-access"></a>

仅授予访问权限时才需要执行以下步骤。 AWS 账户 授予 AWS 应用程序访问权限不需要这些步骤。

**注意**  
要完成此步骤，您需要拥有 IAM Identity Center 的 Organization 实例。有关更多信息，请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。

### 步骤 1：IAM Identity Center：向 Google Workspace 用户授予账户访问权限
<a name="gs-gwp-step6"></a>

1. 返回 **IAM Identity Center** 控制台。在 IAM Identity Center 导航窗格的**多账户权限**下，选择 **AWS 账户**。

1. 在 **AWS 账户** 页面，**组织结构**将显示您的组织根目录，您的账户将以分层结构列于其下方。选中管理账户对应的复选框，然后选择**分配用户或组**。

1. 此时将显示**分配用户和组**工作流程。它包括三个步骤：

   1. 对于**步骤 1：选择用户和组**，选择将要执行管理员工作职能的用户。然后选择**下一步**。

   1. 对于**步骤 2：选择权限集**，选择**创建权限集**，以打开新的标签页，它将引导您完成创建权限集所涉及的三个子步骤。

      1. 对于**步骤 1：选择权限集类型**，请完成以下操作：
         + 在**权限集类型**中，选择**预定义权限集**。
         + 在**预定义权限集的策略**中，选择**AdministratorAccess**。

         选择**下一步**。

      1. 对于**步骤 2：指定权限集详细信息**，保留默认设置，并选择**下一步**。

         默认设置会创建名为*AdministratorAccess*、会话持续时间设置为一小时的权限集。

      1. 对于**步骤 3：查看并创建**，请验证**权限集类型**是否使用 AWS 托管策略**AdministratorAccess**。选择**创建**。**权限集**页面会显示通知，告知您权限集已创建。您可以在网络浏览器中关闭此标签页。

      1. 在**分配用户和组**浏览器标签页，您仍处于**步骤 2：选择权限集**，您将在这里启动创建权限集工作流程。

      1. 在**权限集**区域，选择**刷新**按钮。您创建的*AdministratorAccess*权限集将出现在列表中。选择该权限集的复选框，然后选择**下一步**。

   1. 对于**步骤 3：查看并提交**，请查看选定的用户和权限集，然后选择**提交**。

      页面更新时会显示一条消息，告知您 AWS 账户 正在配置中。等待该过程完成。

      您将返回到该 AWS 账户 页面。系统会显示一条通知消息，告知您 AWS 账户 已重新配置您的权限集，并且已应用更新的权限集。当用户登录时，他们可以选择*AdministratorAccess*角色。
**注意**  
Google Workspace 的 SCIM 自动同步仅支持预置用户。目前不支持自动组预置。您无法使用 AWS 管理控制台为 Google Workspace 用户创建组。配置用户后，您可以使用 Id AWS CLI entity Store [create-group 命令或 IAM API 创建群组](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html)。[CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html)

### 步骤 2Google Workspace：确认Google Workspace用户对 AWS 资源的访问权限
<a name="gs-gwp-step7"></a>

1. 使用测试用户账户登录 Google。要了解如何向 Google Workspace 添加用户，请参阅 [Google Workspace 文档](https://knowledge.workspace.google.com/kb/how-to-create-a-new-user-000007668)。

1. 选择 Google apps 启动器（华夫饼）图标。

1. 滚动到应用程序列表底部，您的自定义 Google Workspace 应用程序就在这里。显示 **Amazon Web Services** 应用程序。

1. 选择 **Amazon Web Services** 应用程序。您已登录 AWS 访问门户并可以看到该 AWS 账户 图标。展开该图标可查看用户可以访问的 AWS 账户 列表。在本教程中，您只使用了一个账户，因此展开图标只显示一个账户。

1. 选择账户，以显示用户可用的权限集。在本教程中，您创建了**AdministratorAccess**权限集。

1. 权限集旁边是该权限集可用访问权限类型的链接。创建权限集时，您指定了同时启用管理控制台和编程访问权限，因此存在这两个选项。选择**管理控制台**，打开 AWS 管理控制台。

1. 用户已登录到控制台。

## 后续步骤
<a name="gs-gwp-next-steps"></a>

现在，您已在 IAM Identity Center 将 Google Workspace 配置为身份提供商，并预置了用户，您可以：
+  使用 Ident AWS CLI ity Stor [e create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) 命令或 IAM API [CreateGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_CreateGroup.html)为您的用户创建群组。

  在为 AWS 账户 和应用程序分配访问权限时，组非常有用。与其向每个用户单独分配访问权限，不如向组授予权限。稍后，当您在组中添加或移除用户时，该用户会自动获得或失去对您分配给该组的帐户和应用程序的访问权限。
+ 根据工作职能配置权限，请参阅[创建权限集](howtocreatepermissionset.md)。

  权限集定义用户和组对某一 AWS 账户帐户的访问级别。权限集存储在 IAM Identity Center 中，可以配置给一个或多个 AWS 账户。您可以为用户分配多个权限集。

**注意**  
作为 IAM Identity Center 管理员，您有时需要将旧的 IdP 证书替换为新的 IdP 证书。例如，当证书到期日期临近时，您可能需要更换 IdP 证书。用新证书替换旧证书的过程称为证书轮换。请务必查看如何为 Google Workspace [管理 SAML 证书](managesamlcerts.md)。

## 问题排查
<a name="gs-gwp-troubleshooting"></a>

有关使用 Google Workspace 对 SCIM 和 SAML 进行一般性问题排查，请参阅以下各部分：
+ [特定用户无法从外部 SCIM 提供商同步到 IAM Identity Center](troubleshooting.md#issue2)
+ [与 IAM Identity Center 创建的 SAML 断言内容有关的问题](troubleshooting.md#issue1)
+ [使用外部身份提供者预置用户或组时出现重复用户或组错误](troubleshooting.md#duplicate-user-group-idp)
+ 有关 Google Workspace 问题排查，请参阅 [Google Workspace 文档](https://support.google.com/a/topic/7579248?sjid=11091727091254312767-NA)。

以下资源可以帮助您在使用时进行故障排除 AWS：
+ [AWS re:Post](https://repost.aws/)-查找 FAQs 并链接到其他资源以帮助您解决问题。
+ [AWS 支持](https://aws.amazon.com/premiumsupport/) – 获得技术支持

# 使用 IAM Identity Center 与 JumpCloud 目录平台连接
<a name="jumpcloud-idp"></a>

IAM Identity Center 支持将用户信息从  JumpCloud Directory Platform 自动预置（同步）到 IAM Identity Center。此预置使用[安全断言标记语言（SAML）2.0](scim-profile-saml.md)协议。有关更多信息，请参阅 [对外部身份提供者使用 SAML 和 SCIM 身份联合验证](other-idps.md)。

您可以使用 IAM Identity Center SCIM 端点和访问令牌在 JumpCloud 中配置此连接。配置 SCIM 同步时，您将在 JumpCloud 中创建用户属性到 IAM Identity Center 中的命名属性的映射。这会导致 IAM Identity Center 和 JumpCloud 之间的预期属性匹配。

本指南基于截至 2021 年 6 月的 JumpCloud。新版本的步骤可能有所不同。本指南包含一些有关通过 SAML 配置用户身份验证的说明。

以下步骤将引导您了解如何使用 SCIM 协议将用户和组从 JumpCloud 自动预置到 IAM Identity Center。

**注意**  
在开始部署 SCIM 之前，我们建议您首先查看 [使用自动预置的注意事项](provision-automatically.md#auto-provisioning-considerations)。然后继续查看下一部分中的其他注意事项。

**Topics**
+ [先决条件](#jumpcloud-prereqs)
+ [SCIM 注意事项](#jumpcloud-scim)
+ [步骤 1：在 IAM Identity Center 中启用预置](#jumpcloud-step1)
+ [步骤2：在 JumpCloud 中配置预置](#jumpcloud-step2)
+ [（可选）第三步：在 JumpCloud IAM Identity Center 中配置用户属性进行访问控制](#jumpcloud-step3)
+ [（可选）传递访问控制属性](#jumpcloud-passing-abac)

## 先决条件
<a name="jumpcloud-prereqs"></a>

在开始之前，您将需要以下内容：
+ JumpCloud 订阅或免费试用。报名参加免费试用访问 [https://console.jumpcloud.com/signup](https://console.jumpcloud.com/signup)。
+ 启用 IAM 身份中心的账户（[免费](https://aws.amazon.com/single-sign-on/)）。有关更多信息，请参阅[启用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)。
+ 从您的 JumpCloud 帐户到 IAM Identity Center 的 SAML 连接，如 [IAM Identity Center JumpCloud 文档](https://support.jumpcloud.com/support/s/article/Single-Sign-On-SSO-With-AWS-SSO)中所述。
+ 如果您将 IAM Identity Center 复制到其他区域，则必须更新您的身份提供商配置以允许访问 AWS 托管应用程序和 AWS 账户 从这些区域访问托管应用程序。有关更多详细信息，请参阅[步骤 3：更新外部 IdP 设置](replicate-to-additional-region.md#update-external-idp-setup)。有关更多详细信息，请参阅JumpCloud文档。
+ 将 IAM Identity Center 连接器与您想要允许访问 AWS 帐户的组关联。

## SCIM 注意事项
<a name="jumpcloud-scim"></a>

 以下是使用 IAM Identity Center 联合身份验证 JumpCloud 时的注意事项。
+ 只有与中的 AWS 单点登录连接器关联的群组才 JumpCloud会与 SCIM 同步。
+ 只能同步一种电话号码属性，默认为“工作电话”。
+ JumpCloud 目录中的用户必须配置名字和姓氏才能使用 SCIM 同步到 IAM Identity Center。
+ 如果用户在 IAM Identity Center 中被禁用但在 JumpCloud 中仍然激活，属性仍然会同步。
+ 您可以通过取消选中连接器中的“启用用户组和组成员身份管理”来选择仅对用户信息启用 SCIM 同步。

## 步骤 1：在 IAM Identity Center 中启用预置
<a name="jumpcloud-step1"></a>

在第一步中，您使用 IAM Identity Center 控制台启用自动预置。

**在 IAM Identity Center 中启用自动预置**

1. 完成先决条件后，打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 在左侧导航窗格中选择**设置**。

1. 在**设置**页面上，找到**自动预置**信息框，然后选择**启用**。这会立即在 IAM Identity Center 中启用自动预置，并显示必要的 SCIM 端点和访问令牌信息。

1. 在**入站自动预置**对话框中，复制 SCIM 端点和访问令牌。稍后在 IdP 中配置预置时，您需要粘贴这些内容。

   1. **SCIM 端点** ——例如，https://scim。 *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*

   1. **访问令牌** - 选择**显示令牌**以复制该值。
**警告**  
这是唯一可以获取 SCIM 端点与访问令牌的机会。在继续操作之前，务必复制这些值。本教程的后续步骤需要输入这些值，以便在 IdP 中配置自动预置。

1. 选择**关闭**。

现在您已在 IAM Identity Center 控制台中设置了预配置，您需要使用 JumpCloud IAM Identity Center 连接器完成剩余任务。以下过程中描述了这些步骤。

## 步骤2：在 JumpCloud 中配置预置
<a name="jumpcloud-step2"></a>

在 JumpCloud IAM Identity Center 连接器中使用以下过程以启用 IAM Identity Center 预置。此过程假设您已将  JumpCloud IAM Identity Center 连接器添加到您的 JumpCloud 管理门户和组。如果您尚未执行此操作，请参阅 [先决条件](#jumpcloud-prereqs)，然后完成此过程来配置 SCIM 预置。

**要在 JumpCloud 中配置预置**

1. 打开您在为 JumpCloud 配置 SAML 过程中安装的 JumpCloud IAM Identity Center 连接器（**用户身份验证** > **IAM Identity Center**）。请参阅[先决条件](#jumpcloud-prereqs)。

1. 选择 **IAM Identity Center** 连接器，然后选择第三个选项卡**身份管理**。

1. 如果您希望组 SCIM 同步，请选中**启用此应用程序中的用户组和组成员身份管理**复选框。

1. 单击**配置**。

1. 在上一过程中，您复制了 IAM Identity Center 中的 **SCIM 端点**值。将该值粘贴到 JumpCloud IAM Identity Center 连接器的**基本 URL** 字段中。

1. 在上一过程中，您复制了 IAM Identity Center 中的**访问令牌**值。将该值粘贴到 JumpCloud IAM Identity Center 连接器中的**令牌密钥**字段中。

1. 单击**激活**以应用配置。

1. 确保**单点登录**旁边有一个绿色指示器已激活。

1. 移至第四个选项卡**用户组**并检查要使用 SCIM 配置的组。

1. 完成后点击底部的**保存**。

1. 要验证用户是否已成功同步到 IAM Identity Center，请返回 IAM Identity Center 控制台并选择**用户**。来自  JumpCloud 的同步用户出现在**用户**页面上。现在可以将这些用户分配到 IAM Identity Center 内的帐户。

## （可选）第三步：在 JumpCloud IAM Identity Center 中配置用户属性进行访问控制
<a name="jumpcloud-step3"></a>

如果您选择为 IAM Identity Center 配置属性以管理对 AWS 资源的访问权限，则这是一个可选过程。JumpCloud您在 JumpCloud 中定义的属性将在 SAML 断言中传递到 IAM Identity Center。然后，您在 IAM Identity Center 中创建权限集，以根据您从 JumpCloud 传递的属性管理访问权限。

在开始此过程之前，您必须首先启用[访问控制功能的属性](https://docs.aws.amazon.com/singlesignon/latest/userguide/attributesforaccesscontrol.html)。有关如何执行此操作的详细信息，请参阅[启用和配置访问控制属性](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html)。

****要在 JumpCloud 中配置用户属性，用于 IAM Identity Center 的访问控制****

1. 打开您在为 JumpCloud 配置 SAML 过程中安装的 JumpCloud IAM Identity Center 连接器（**用户身份验证** > **IAM Identity Center**）。

1. 选择 **IAM Identity Center** 连接器。然后，选择第二个选项卡 **IAM 身份中心**。

1. 在此选项卡底部，您可以选择**用户属性**映射，选择**添加新属性**，然后执行以下操作： 您必须对要添加以在 IAM Identity Center 中用于访问控制的每个属性执行这些步骤。

   1. 在**服务提供属性名称**字段中，输入 `https://aws.amazon.com/SAML/Attributes/AccessControl: AttributeName.` 将 ` AttributeName ` 替换为您在 IAM Identity Center 中期望的属性名称。例如，` https://aws.amazon.com/SAML/Attributes/AccessControl: Email `。

   1. 在 **JumpCloud 属性名称**字段中，从 JumpCloud 目录中选择用户属性。例如，**电子邮件（工作）**。

1. 选择**保存**。

## （可选）传递访问控制属性
<a name="jumpcloud-passing-abac"></a>

您可以选择使用 IAM Identity Center 中的 [访问控制属性](attributesforaccesscontrol.md) 功能来传递 `Name` 属性设置为 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` 的 `Attribute` 元素。此元素允许您将属性作为 SAML 断言中的会话标签传递。有关会话标签的更多信息，请参阅 *IAM 用户指南*在 AWS STS中的[传递会话标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

要将属性作为会话标签传递，请包含指定标签值的 `AttributeValue` 元素。例如，要传递标签键值对`CostCenter = blue`，请使用以下属性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要添加多个属性，请为每个标签包含一个单独的 `Attribute` 元素。

# 通过 Microsoft Entra ID 和 IAM Identity Center 配置 SAML 和 SCIM
<a name="idp-microsoft-entra"></a>

AWS IAM Identity Center 支持与[安全断言标记语言 (SAML) 2.0](scim-profile-saml.md) 集成，以及使用[跨域身份管理系统 (SCIM) 2.0 协议将来自Microsoft Entra ID（以前称为Azure Active Directory或Azure AD）的用户和群组信息[自动配置](provision-automatically.md)（同步）到 IAM Identity C](scim-profile-saml.md#scim-profile) enter。有关更多信息，请参阅 [对外部身份提供者使用 SAML 和 SCIM 身份联合验证](other-idps.md)。

**目标**

在本教程中，您将设置测试实验室，并配置 Microsoft Entra ID 和 IAM Identity Center 之间的 SAML 连接和 SCIM 预置。在最初的准备步骤中，您将在 Microsoft Entra ID 和 IAM Identity Center 中创建一名测试用户 (Nikki Wolf)，用于双向测试 SAML 连接。稍后，作为 SCIM 步骤的一部分，您将创建一个不同的测试用户 (Richard Roe)，以验证 Microsoft Entra ID 中的新属性是否按预期同步到 IAM Identity Center。

## 先决条件
<a name="prereqs-entra"></a>

在开始本教程之前，您首先需要设置以下方面：
+ Microsoft Entra ID 租户。有关更多信息，请参阅 Microsoft 文档中的[快速入门：设置租户](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-create-new-tenant)。
+  AWS IAM Identity Center已启用的账户。有关更多信息，请参阅 *AWS IAM Identity Center 用户指南*中的[启用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html)。

## 注意事项
<a name="entra-scim-considerations"></a>

以下是有关 Microsoft Entra ID 的重要注意事项，它们将影响您计划如何在生产环境中使用 SCIM v2 协议通过 IAM Identity Center 实施[自动预置](provision-automatically.md)。

**自动预置**

在开始部署 SCIM 之前，我们建议您首先查看 [使用自动预置的注意事项](provision-automatically.md#auto-provisioning-considerations)。

**访问控制属性**

用于访问控制的属性用于权限策略，这些策略决定了您的身份源中的谁可以访问您的 AWS 资源。如果在 Microsoft Entra ID 中从用户中删除属性，则不会从 IAM Identity Center 中的相应用户中删除该属性。这是 Microsoft Entra ID 中已知的限制。如果用户的属性更改为不同的（非空）值，则该更改将同步到 IAM Identity Center。

**嵌套组**

Microsoft Entra ID 用户预置服务无法读取或预置嵌套组中的用户。只能读取和预置属于明确分配组的直接成员的用户。Microsoft Entra ID 不会以递归方式解包间接分配的用户或组（属于直接分配的组的成员的用户或组）的组成员身份。有关更多信息，请参阅 Microsoft 文档中的[基于分配的范围界定](https://learn.microsoft.com/en-us/azure/active-directory/app-provisioning/how-provisioning-works#assignment-based-scoping)。您也可以使用 [IAM Identity Center 可配置 AD 同步](https://aws.amazon.com/blogs//security/managing-identity-source-transition-for-aws-iam-identity-center/)功能将 Active Directory 组与 IAM Identity Center 集成。

**动态组**

Microsoft Entra ID 用户预置服务可以读取和预置[动态组](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-create-rule)中的用户。请参阅下面的示例，该示例显示使用动态组时的用户和组结构以及它们在 IAM Identity Center 中的显示方式。这些用户和组通过 SCIM 从 Microsoft Entra ID 配置到 IAM Identity Center

例如，如果动态组的 Microsoft Entra ID 结构如下：

1. A 组，成员 ua1、ua2

1. B 组，成员 ub1

1. C 组，成员 uc1

1. K组规则包括 A、B、C 组成员

1. L 组，规则包括 B 组和 C 组成员

将 Microsoft Entra ID 中的用户和组信息通过 SCIM 预置到 IAM Identity Center 后，结构如下：

1. A 组，成员 ua1、ua2

1. B 组，成员 ub1

1. C 组，成员 uc1

1. K 组，成员 ua1、ua2、ub1、uc1

1. L组，成员 ub1、uc1

使用动态组配置自动预置时，请记住以下注意事项。
+ 动态组可以包括嵌套组。但是，Microsoft Entra ID 预置服务不会扁平化嵌套组。例如，如果您具有以下动态组 Microsoft Entra ID 结构：
  + A 组是 B 组的父组。
  + A 组有 ua1 成员。
  + B 组有 ub1 作为成员。

包含组 A 的动态组将仅包含组 A 的直接成员（即 ua1）。它不会以递归方式包含 B 组的成员。
+ 动态组不能包含其他动态组。有关更多信息，请参阅 Microsoft 文档中的[预览限制](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-dynamic-rule-member-of#preview-limitations)。

## 步骤 1：准备 Microsoft 租户
<a name="step1-entra-microsoft-prep"></a>

在本步骤中，您将介绍如何安装和配置 AWS IAM Identity Center 企业应用程序以及如何为新创建的Microsoft Entra ID测试用户分配访问权限。

------
#### [ Step 1.1 > ]

**步骤 1.1：在中设置 AWS IAM Identity Center 企业应用程序 Microsoft Entra ID**

在此过程中，您将在中安装 AWS IAM Identity Center 企业应用程序Microsoft Entra ID。稍后您将需要此应用程序来配置您的 SAML 连接。 AWS

1. 至少以云应用程序管理员的身份登录 [Microsoft Entra 管理中心](https://entra.microsoft.com/)。

1. 导航到**身份 > 应用程序 > 企业应用程序**，然后选择**新应用程序**。

1. 在**浏览 Microsoft Entra Gallery**页面上，在搜索框中输入 ****AWS IAM Identity Center****。

1. 从结果中选择 **AWS IAM Identity Center**。

1. 选择**创建**。

------
#### [ Step 1.2 > ]

**步骤 1.2：在 Microsoft Entra ID 中创建测试用户**

Nikki Wolf 是您在此过程中创建的 Microsoft Entra ID 测试用户姓名。

1. 在 [Microsoft Entra 管理中心](https://entra.microsoft.com/)控制台，导航到**身份 > 用户 > 所有用户**。

1. 选择**新用户**，然后选择屏幕顶部的**创建新用户**。

1. 在**用户主体名称**中，输入 ****NikkiWolf****，然后选择您喜欢的域和扩展。例如，*NikkiWolf*@ *example.org*。

1. 在**显示名称**中，输入 ****NikkiWolf****。

1. 在**密码**中输入高强度密码，或选择眼睛图标，显示自动生成的密码，然后复制或写下显示的值。

1. 选择**属性**，在**名字**中输入 ****Nikki****。在**姓氏**中，输入 ****Wolf****。

1. 选择**审核并创建**，然后选择**创建**。

------
#### [ Step 1.3 ]

**步骤 1.3：在 Nikki 分配权限之前，先测试 Nikki 的体验 AWS IAM Identity Center**

在此过程中，您将验证 Nikki 可以成功登录其 Microsoft [我的账户门户](https://myaccount.microsoft.com/)中的哪些内容。

1. 在同一个浏览器中打开新标签页，前往[我的账户门户](https://myaccount.microsoft.com/)登录页面，然后输入 Nikki 的完整电子邮件地址。例如，*NikkiWolf*@ *example.org*。

1. 出现提示时，输入 Nikki 的密码，然后选择**登录**。如果密码是自动生成的，系统将提示您更改密码。

1. 在**需要执行的操作**页面，选择**稍后询问**，绕过关于其他安全方法的提示。

1. 在**我的账户**页面的左侧导航窗格中，选择**我的应用程序**。请注意，除**加载项**外，此时不会显示任何应用程序。您将添加一个 **AWS IAM Identity Center** 应用程序，在稍后的步骤中，其将显示在此处。

------
#### [ Step 1.4 ]

**步骤 1.4：在 Microsoft Entra ID 中向 Nikki 分配权限**

现在您已验证 Nikki 可以成功访问**我的账户门户**，请使用此过程将其用户分配至 **AWS IAM Identity Center** 应用程序。

1. 在 [Microsoft Entra 管理中心](https://entra.microsoft.com/)控制台，导航到**身份 > 应用程序 > 企业应用程序**，然后从列表中选择 **AWS IAM Identity Center**。

1. 在左侧，选择**用户和组**。

1. 选择**添加用户/组**。您可以忽略组不可用于分配的消息。此教程不使用组进行分配。

1. 在**添加分配**页面，在**用户**下选择**未选择任何对象**。

1. 选择 **NikkiWolf**，然后选择 **“选择”**。

1. 在**添加作业**页面上，选择**分配**。 NikkiWolf 现在出现在分配给该**AWS IAM Identity Center**应用程序的用户列表中。

------

## 第 2 步：准备 AWS 账户
<a name="step2-entra-aws-prep"></a>

在本步骤中，您将了解如何使用 **IAM Identity Center** 配置访问权限（通过权限集），手动创建相应的 Nikki Wolf 用户，并为其分配管理 AWS资源所需的权限。

------
#### [ Step 2.1 > ]

**步骤 2.1：在中创建 RegionalAdmin 权限集 IAM Identity Center**

此权限集将用于向Nikki授予必要的 AWS 账户权限，以便从中的**账户**页面管理区域。 AWS 管理控制台默认将拒绝其他所有查看或管理 Nikki 账户其他任何信息的权限。

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 在**多帐户权限**下，选择**权限集**。

1. 选择**创建权限集**。

1. 在**选择权限集类型**页面，选择**自定义权限集**，然后选择**下一步**。

1. 选择**内联策略**，将其展开，然后使用以下步骤为权限集创建策略：

   1. 选择**添加新声明**，以创建策略语句。

   1. 在**编辑语句**下，从列表中选择**账户**，然后选中以下复选框。
      + **`ListRegions`**
      + **`GetRegionOptStatus`**
      + **`DisableRegion`**
      + **`EnableRegion`**

   1. 在**添加资源**旁边，选择**添加**。

   1. 在**添加资源**页面的**资源类型**下，选择**所有资源**，然后选择**添加资源**。验证您的策略是否如下所示：

      ```
      {
          "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": [
                      "account:ListRegions",
                      "account:DisableRegion",
                      "account:EnableRegion",
                      "account:GetRegionOptStatus"
                  ],
                  "Resource": [
                      "*"
                  ]
              }
          ]
      }
      ```

1. 选择**下一步**。

1. 在**指定权限集详细信息**页面的**权限集名称**下，输入 ****RegionalAdmin****，然后选择**下一步**。

1. 在**审核和创建**页面，选择**创建**。您应该看到权限集列表中**RegionalAdmin**显示了内容。

------
#### [ Step 2.2 > ]

**步骤 2.2：在中创建相应的 NikkiWolf 用户 IAM Identity Center**

由于 SAML 协议不提供查询 IdP (Microsoft Entra ID) 并在 IAM Identity Center 自动创建用户的机制，因此请使用以下过程在 IAM Identity Center 手动创建同步了 Microsoft Entra ID 中 Nikki Wolfs 用户核心属性的用户。

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 选择**用户**，选择**添加用户**，然后提供以下信息：

   1. 对于**用户名**和**电子邮件地址**-输入您在创建Microsoft Entra ID用户时使用的相同 ****NikkiWolf**@ *yourcompanydomain.extension***。例如，*NikkiWolf*@ *example.org*。

   1. **确认电子邮件地址** - 重新输入上一步中的电子邮件地址

   1. **名字** - 输入 ****Nikki****

   1. **姓氏** - 输入 ****Wolf****

   1. **显示名称** – 输入 ****Nikki Wolf****

1. 选择两次**下一步**，然后选择**添加用户**。

1. 选择**关闭**。

------
#### [ Step 2.3 ]

**步骤 2.3：将 Nikki 分配给中设置的 RegionalAdmin 权限 IAM Identity Center**

在这里， AWS 账户 您可以找到 Nikki 将在其中管理区域，然后为她分配成功 AWS 访问门户所需的必要权限。

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 在**多帐户权限**下，选择 **AWS 账户**。

1. 选中要授予 Nikki 管理区域权限的账户名（例如*Sandbox*）旁边的复选框，然后选择 “**分配用户和群组**”。

1. 在**分配用户和组**页面，选择**用户**选项卡，找到并选中 Nikki 旁边的复选框，然后选择**下一步**。

1.   
**Example**  

1. 在**查看并提交**页面上，查看您的选择，然后选择**提交**。

------

## 步骤 3：配置和测试 SAML 连接
<a name="step3-entra-saml"></a>

在此步骤中，您将使用 AWS IAM Identity Center 企业应用程序和 IAM Identity Cent Microsoft Entra ID er 中的外部 IdP 设置来配置 SAML 连接。<a name="step3-1"></a>

------
#### [ Step 3.1 > ]

**步骤 3.1：从 IAM Identity Center 收集所需的服务提供商元数据**

在此步骤中，您将从 IAM Identity Center 控制台中启动**更改身份源**向导，并检索元数据文件和Microsoft Entra ID在下一步配置连接时需要输入的 AWS 特定登录 URL。

1. 在 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)中，选择**设置**。

1. 在**设置**页面上，选择**身份源**选项卡，然后选择**操作>更改身份源**。

1. 在**选择身份源**页面，选择**外部身份提供商**，然后选择**下一步**。

1. 在 “**配置外部身份提供商**” 页面上，在 “**服务提供者元数据**” 下，选择 “**默认**” IPv4 或 “**双栈**”。完成身份源更改后，您可以下载服务提供商元数据文件。

1. 在同一部分，找到 **AWS 访问门户登录 URL** 的值，并复制它。在下一步出现提示时，您需要输入该值。

1. 将此页保持打开状态，然后转到下一步 (**`Step 3.2`**)，在中配置 AWS IAM Identity Center 企业应用程序Microsoft Entra ID。稍后，您将返回此页面，完成整个过程。

------
#### [ Step 3.2 > ]<a name="step3-2"></a>

**步骤 3.2：在中配置 AWS IAM Identity Center 企业应用程序 Microsoft Entra ID**

此过程使用您在上一步获得的元数据文件和登录 URL 的值，在 Microsoft 端完成一半的 SAML 连接设置。

1. 在 [Microsoft Entra 管理中心](https://entra.microsoft.com/)控制台，导航到**身份 > 应用程序 > 企业应用程序**，然后选择 **AWS IAM Identity Center**。

1. 在左侧选择 **2. 设置单点登录**。

1. 在**设置 SAML 单点登录**页面，选择 **SAML**。然后选择**上传元数据文件**，选择文件夹图标，选择您在上一步中下载的服务提供商元数据文件，然后选择**添加**。

1. 在 “**基本 SAML 配置**” 页面上，验证**标识符**和**回复 URL（断言使用者服务 URL）**值现在是否都指向中的端点。 AWS
   + **标识符**-这是来自 IAM 身份中心的**颁发者 URL**。无论您使用的是 IPv4仅限端点还是双栈端点，都适用相同的值。
   + **回复 URL（断言消费者服务 URL）**-此处的值包括来自 IAM 身份 IPv4中心所有已启用区域的仅限终端节点和双栈终端节点。您可以使用主要区域的 ACS URL 作为默认区域，这样当用户从中启动 Amazon Web Services 应用程序时，他们就会被重定向到主要区域Microsoft Entra ID。有关 ACS 的更多信息 URLs，请参阅[主端点和附加端点中的 ACS 端点 AWS 区域](multi-region-workforce-access.md#acs-endpoints)。
   + （可选）如果您将 IAM Identity Center 复制到其他区域，则还可以在中Microsoft Entra ID为每个其他区域的 AWS 访问门户创建书签应用程序。这使您的用户能够从中 AWS 访问其他地区的访问门户Microsoft Entra ID。请务必向您的用户授予访问中的书签应用程序的权限Microsoft Entra ID。有关更多详细信息，请参阅[Microsoft Entra ID文档](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on)。如果您计划稍后将 IAM Identity Center 复制到其他区域，请访问以获取[Microsoft Entra ID用于访问其他区域的配置](#gs-microsoft-entra-multi-region)有关如何在初始设置后启用对其他区域的访问权限的指导。

1. 在**登录 URL（可选）**下，粘贴您在上一步（**`Step 3.1`**）复制的 **AWS 访问门户登录 URL** 值，选择**保存**，然后点击 **X** 关闭窗口。

1. 如果系统提示使用测试单点登录 AWS IAM Identity Center，请选择 “**否”，我稍后再测试**。您将在稍后的步骤中进行此项验证。

1. 在**设置 SAML 单点登录**页面的 **SAML 证书**部分，选择**联合身份验证元数据 XML** 旁边的**下载**，将元数据文件保存到您的系统中。在下一步出现提示时，您需要上传此文件。

------
#### [ Step 3.3 > ]

**步骤 3.3：在 AWS IAM Identity Center配置 Microsoft Entra ID 外部 IdP**

在这里，您将返回到 IAM Identity Center 控制台的**更改身份源**向导，完成 AWS中 SAML 连接设置的后半部分。

1. 返回在 **`Step 3.1`** 中，您在 IAM Identity Center 控制台中保留为打开状态的浏览器会话。

1. 在**配置外部身份提供商**页面的**身份提供商元数据**部分，选择 **IdP SAML 元数据**下的**选择文件**按钮，然后选择您在上一步从 Microsoft Entra ID 下载的身份提供商元数据文件，然后选择**打开**。

1. 选择**下一步**。

1. 在阅读免责声明并准备继续操作后，输入 ****ACCEPT****。

1. 选择**更改身份源**，以应用您的更改。

------
#### [ Step 3.4 > ]

**步骤 3.4：测试 Nikki 是否被重定向到 AWS 访问门户**

在此过程中，您将使用 Nikki 的凭证登录 Microsoft 的**我的账户门户**，测试 SAML 连接。通过身份验证后，您将选择将 Nikki 重定向到 AWS 访问门户的 AWS IAM Identity Center 应用程序。

1. 前往[我的账户门户](https://myaccount.microsoft.com/)登录页面，输入 Nikki 的完整电子邮件地址。例如，***NikkiWolf**@* *example.org*。

1. 出现提示时，输入 Nikki 的密码，然后选择**登录**。

1. 在**我的账户**页面的左侧导航窗格中，选择**我的应用程序**。

1. 在**我的应用程序**页面，选择名为 **AWS IAM Identity Center** 的应用程序。这应该会提示您进行额外的身份验证。

1. 在微软的登录页面上，选择你的 NikkiWolf 凭据。如果再次提示您进行身份验证，请再次选择您的 NikkiWolf 凭据。这会自动将您重定向到 AWS 访问门户。
**提示**  
如果您未成功重定向，请进行检查，确保您在 **`Step 3.2`** 中输入的 **AWS 访问门户登录 URL** 的值与您在 **`Step 3.1`** 中复制的值相匹配。

1. 确认您的 AWS 账户 显示屏。
**提示**  
如果页面为空且未 AWS 账户 显示，请确认 Nikki 已成功分配给**RegionalAdmin**权限集（请参阅 **`Step 2.3`**）。

------
#### [ Step 3.5 ]

**步骤 3.5：测试 Nikki 对于管理其 AWS 账户的访问权限级别**

在此步骤中，您将进行检查，以确定 Nikki 对于管理其 AWS 账户区域设置的访问权限级别。Nikki 应该只有刚好足够的管理员权限，可从**账户**页面管理区域。

1. 在 AWS 访问门户中，选择**账户**选项卡以显示账户列表。将显示与您已定义权限集的任何帐户关联的帐户名 IDs、帐户和电子邮件地址。

1. 选择您应用权限集的帐户名（例如*Sandbox*）（请参阅 **`Step 2.3`**）。这将展开权限集列表，Nikki 可以从中选择，以管理其账户。

1. 接下来**RegionalAdmin**选择**管理控制台**来代入您在**RegionalAdmin**权限集中定义的角色。这会将您重定向至 AWS 管理控制台 主页。

1. 在控制台的右上角，选择您的账户名称，然后选择**账户**。您将进入**账户**页面。请注意，此页面上的所有其他部分都会显示一条消息，说明您没有查看或修改这些设置的必要权限。

1. 在**账户**页面，向下滚动至 **AWS 区域**部分。选中表格中任何可用区域的复选框。注意 Nikki 确实拥有必要的权限，可按预期为其账户**启用**或**禁用**区域列表。

**做得不错！**  
步骤 1 到步骤 3 帮助您成功实施并测试了 SAML 连接。现在，我们建议您继续执行步骤 4，实现自动预置，以完成本教程。

------

## 步骤 4：配置和测试 SCIM 同步
<a name="step4-entra-scim"></a>

在此步骤中，您将使用 SCIM v2.0 协议，设置将用户信息从 Microsoft Entra ID [自动预置](provision-automatically.md)（同步）到 IAM Identity Center。您可以使用 IAM Identity Center 的 SCIM 端点和 IAM Identity Center 自动创建的持有者令牌在 Microsoft Entra ID 中配置此连接。

配置 SCIM 同步时，您将创建从 Microsoft Entra ID 中的用户属性到 IAM Identity Center 中的命名属性的映射。这会导致 IAM Identity Center 和 Microsoft Entra ID 之间的预期属性匹配。

以下步骤将指导您使用 Microsoft Entra ID 中的 IAM Identity Center 应用程序，实现将主要驻留在 Microsoft Entra ID 中的用户自动预置到 IAM Identity Center。

------
#### [ Step 4.1 > ]

**步骤 4.1：在 Microsoft Entra ID 中创建第二名测试用户**

出于测试目的，您将在 Microsoft Entra ID 中创建新用户 (Richard Roe)。稍后，在设置 SCIM 同步后，您将测试此用户和所有相关属性是否已成功同步到 IAM Identity Center。

1. 在 [Microsoft Entra 管理中心](https://entra.microsoft.com/)控制台，导航到**身份 > 用户 > 所有用户**。

1. 选择**新用户**，然后选择屏幕顶部的**创建新用户**。

1. 在**用户主体名称**中，输入 ****RichRoe****，然后选择您喜欢的域和扩展。例如，*RichRoe*@ *example.org*。

1. 在**显示名称**中，输入 ****RichRoe****。

1. 在**密码**中输入高强度密码，或选择眼睛图标，显示自动生成的密码，然后复制或写下显示的值。

1. 选择**属性**，然后提供以下值：
   + **名字** - 输入 ****Richard****
   + **姓氏** - 输入 ****Roe****
   + **职位名称** - 输入 ****Marketing Lead****
   + **部门** - 输入 ****Sales****
   + **员工 ID** - 输入 ****12345****

1. 选择**审核并创建**，然后选择**创建**。

------
#### [ Step 4.2 > ]

**步骤 4.2：在 IAM Identity Center 启用自动预置**

在此过程中，您将使用 IAM Identity Center 控制台，实现将 Microsoft Entra ID 中的用户和组自动预置到 IAM Identity Center。

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)，在左侧导航窗格中选择**设置**。

1. 在**设置**页面的**身份源**选项卡下，请注意**预置方法**已设置为**手动**。

1. 找到**自动预置**信息框，然后选择**启用**。这会立即在 IAM Identity Center 中启用自动预置，并显示必要的 SCIM 端点和访问令牌信息。

1. 在**入站自动预置**对话框中，复制以下选项的每个值。下一步在 Microsoft Entra ID 中配置预置时，您需要粘贴这些值。

   1. **SCIM 端点**-例如，
      + IPv4: `https://scim.aws-region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
      + 双堆栈：`https://scim.aws-region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`

   1. **访问令牌** - 选择**显示令牌**以复制该值。
**警告**  
这是唯一可以获取 SCIM 端点与访问令牌的机会。在继续操作之前，务必复制这些值。

1. 选择**关闭**。

1. 在**身份源**选项卡下，请注意**预置方法**现在设置为 **SCIM**。

------
#### [ Step 4.3 > ]

**步骤 4.3：在 Microsoft Entra ID 中配置自动预置**

现在，您的 RichRoe 测试用户已经准备就绪，并已在 IAM Identity Center 中启用了 SCIM，您可以继续在中配置 SCIM 同步设置。Microsoft Entra ID

1. 在 [Microsoft Entra 管理中心](https://entra.microsoft.com/)控制台，导航到**身份 > 应用程序 > 企业应用程序**，然后选择 **AWS IAM Identity Center**。

1. 选择**预置**，在**管理**下，再次选择**预置**。

1. 在**预置模式**下，选择**自动**。

1. 在**管理员凭证**下的**租户 URL** 中，粘贴您之前在 **`Step 4.2`** 中复制的 **SCIM 端点** URL 值。在**密钥令牌**中，粘贴**访问令牌**的值。

1. 选择**测试连接**。您应该会看到一条消息，表明经过测试的凭证已成功得到授权，可以启用预置。

1. 选择**保存**。

1. 在**管理**下，选择**用户和组**，然后选择**添加用户/组**。

1. 在**添加分配**页面，在**用户**下选择**未选择任何对象**。

1. 选择 **RichRoe**，然后选择 **“选择”**。

1. 在**添加分配**页面，选择**分配**。

1. 选择**概述**，然后选择**开始预置**。

------
#### [ Step 4.4 ]

**步骤 4.4：验证是否已进行同步**

在本节中，您将验证 Richard 的用户是否已成功预置，并且所有属性均显示在 IAM Identity Center 中。

1. 在 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)中，选择**用户**。

1. 在 “**用户**” 页面上，您应该会看到显示您的**RichRoe**用户。请注意，在**创建者**列，值将设置为 **SCIM**。

1. 选择 “**配置文件**” 下 **RichRoe**，确认以下属性是从中复制的Microsoft Entra ID。
   + **名字** - ****Richard****
   + **姓氏** - ****Roe****
   + **部门** - ****Sales****
   + **职位** - ****Marketing Lead****
   + **员工编号** - ****12345****

   现在，Richard 的用户已在 IAM Identity Center 中创建，您可以将其分配给任何权限集，这样您就可以控制他对您 AWS 资源的访问权限级别。例如，您可以分配**RichRoe**给之前使用的**RegionalAdmin**权限集，授予 Nikki 管理区域的权限（请参阅 **`Step 2.3`**），然后使用**`Step 3.5`**测试其访问级别。

**恭喜您！**  
你已成功在 Microsoft 和 Microsoft 之间建立了 SAML 连接， AWS 并已验证自动配置可以使所有内容保持同步。现在，您可以运用所学到的方法，更顺利地设置生产环境。

------

## 步骤 5：配置 ABAC – *可选*
<a name="step5-entra-abac"></a>

现在，您已成功配置了 SAML 和 SCIM，可以选择配置基于属性的访问权限控制 (ABAC)。ABAC 是一种基于属性定义权限的授权策略。

通过 Microsoft Entra ID，您可以使用以下两种方法中的任何一种配置 ABAC，与 IAM Identity Center 配合使用。

------
#### [ Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center ]

**在 Microsoft Entra ID 中配置用户属性，用于 IAM Identity Center 的访问控制**

在以下步骤中，您将确定 IAM Identity Center Microsoft Entra ID 应使用中的哪些属性来管理对您的 AWS 资源的访问权限。定义后，Microsoft Entra ID 通过 SAML 断言将这些属性发送到 IAM Identity Center。然后，您需要在 IAM Identity Center 中 [创建权限集](howtocreatepermissionset.md) 根据您从 Microsoft Entra ID 传递的属性来管理访问权限。

在开始此过程之前，您首先需要启用 [访问控制属性](attributesforaccesscontrol.md) 功能。有关此操作的详细信息，请参阅 [启用并配置访问控制属性](configure-abac.md)。

1. 在 [Microsoft Entra 管理中心](https://entra.microsoft.com/)控制台，导航到**身份 > 应用程序 > 企业应用程序**，然后选择 **AWS IAM Identity Center**。

1. 选择 **Single sign-on**（单点登录）。

1. 在**属性和声明**部分，选择**编辑**。

1. 在**属性和声明**页面，执行以下操作：

   1. 选择**添加新声明**

   1. 对于**名称**，请输入 `AccessControl:AttributeName`。*AttributeName* 替换为您在 IAM Identity Center 中期望的属性的名称。例如 `AccessControl:Department`。

   1. 对于**命名空间**，请输入 ****https://aws.amazon.com/SAML/Attributes****。

   1. 对于**源**，请选择**属性**。

   1. 对于**来源属性**，使用下拉列表选择 Microsoft Entra ID 用户属性。例如 `user.department`。

1. 对需要在 SAML 断言中发送到 IAM Identity Center 的每个属性重复上一步。

1. 选择**保存**。

------
#### [ Configure ABAC using IAM Identity Center ]

**使用 IAM Identity Center 配置 ABAC**

通过此方法，您可以使用 IAM Identity Center 中的 [访问控制属性](attributesforaccesscontrol.md) 功能来传递 `Name` 属性设置为 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` 的 `Attribute` 元素。您可以使用此元素将属性作为 SAML 断言中的会话标记传递。有关会话标签的更多信息，请参阅 *IAM 用户指南*在 AWS STS中的[传递会话标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

要将属性作为会话标签传递，请包含指定标签值的 `AttributeValue` 元素。例如，要传递标签键值对 `Department=billing`，请使用以下属性：

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要添加多个属性，请为每个标签包含一个单独的 `Attribute` 元素。

------

## 将访问权限分配给 AWS 账户
<a name="entra-acct-access"></a>

仅授予访问权限时才需要执行以下步骤。 AWS 账户 授予 AWS 应用程序访问权限不需要这些步骤。

**注意**  
要完成此步骤，您需要拥有 IAM Identity Center 的 Organization 实例。有关更多信息，请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。

### 步骤 1：IAM Identity Center：向 Microsoft Entra ID 用户授予账户访问权限
<a name="entra-acct-access-step1"></a>

1. 返回 **IAM Identity Center** 控制台。在 IAM Identity Center 导航窗格的**多账户权限**下，选择 **AWS 账户**。

1. 在 **AWS 账户** 页面，**组织结构**将显示您的组织根目录，您的账户将以分层结构列于其下方。选中管理账户对应的复选框，然后选择**分配用户或组**。

1. 此时将显示**分配用户和组**工作流程。它包括三个步骤：

   1. 对于**步骤 1：选择用户和组**，选择将要执行管理员工作职能的用户。然后选择**下一步**。

   1. 对于**步骤 2：选择权限集**，选择**创建权限集**，以打开新的标签页，它将引导您完成创建权限集所涉及的三个子步骤。

      1. 对于**步骤 1：选择权限集类型**，请完成以下操作：
         + 在**权限集类型**中，选择**预定义权限集**。
         + 在**预定义权限集的策略**中，选择**AdministratorAccess**。

         选择**下一步**。

      1. 对于**步骤 2：指定权限集详细信息**，保留默认设置，并选择**下一步**。

         默认设置会创建名为*AdministratorAccess*、会话持续时间设置为一小时的权限集。

      1. 对于 “**步骤 3：查看并创建**”，请验证**权限集类型**是否使用 AWS 托管策略**AdministratorAccess**。选择**创建**。**权限集**页面会显示通知，告知您权限集已创建。您可以在网络浏览器中关闭此标签页。

      1. 在**分配用户和组**浏览器标签页，您仍处于**步骤 2：选择权限集**，您将在这里启动创建权限集工作流程。

      1. 在**权限集**区域，选择**刷新**按钮。您创建的*AdministratorAccess*权限集将出现在列表中。选择该权限集的复选框，然后选择**下一步**。

   1. 对于**步骤 3：查看并提交**，请查看选定的用户和权限集，然后选择**提交**。

      页面更新时会显示一条消息，告知您 AWS 账户 正在配置中。等待该过程完成。

      您将返回到该 AWS 账户 页面。系统会显示一条通知消息，告知您 AWS 账户 已重新配置您的权限集，并且已应用更新的权限集。当用户登录时，他们可以选择*AdministratorAccess*角色。

### 步骤 2Microsoft Entra ID：确认Microsoft Entra ID用户对 AWS 资源的访问权限
<a name="entra-acct-access-step2"></a>

1. 返回到 **Microsoft Entra ID** 控制台，并导航到您的 IAM Identity Center 基于 SAML 的登录应用程序。

1. 选择**用户和组**，然后选择**添加用户或组**。您将把在本教程步骤 4 中创建的用户添加到 Microsoft Entra ID 应用程序。通过添加该用户，您将允许他们登录到 AWS。搜索您在步骤 4 中创建的用户。如果您遵循了此步骤，该用户应为 **RichardRoe**。

   1. 有关演示，请参阅[将您现有的 IAM Identity Center 实例与 Microsoft Entra ID 联合](https://youtu.be/iSCuTJNeN6c?si=29HSAK8DgBEhSVad)

## Microsoft Entra ID访问 IAM 身份中心其他区域的配置-可选
<a name="gs-microsoft-entra-multi-region"></a>

如果您将 IAM Identity Center 复制到其他区域，则必须更新您的身份提供商配置，以允许访问 AWS 托管应用程序和 AWS 账户 通过其他区域。以下步骤将指导您完成整个过程。有关本主题的更多详细信息（包括先决条件），请参阅[跨多个 IAM 身份中心使用 AWS 区域](multi-region-iam-identity-center.md)。

1. 从 IAM I URLs dentity Center 控制台检索其他区域的 ACS，如中所述[主端点和附加端点中的 ACS 端点 AWS 区域](multi-region-workforce-access.md#acs-endpoints)。

1. 在 [Microsoft Entra 管理中心](https://entra.microsoft.com/)控制台，导航到**身份 > 应用程序 > 企业应用程序**，然后选择 **AWS IAM Identity Center**。

1. 在左侧选择 **2. 设置单点登录**。

1. 在 “**基本 SAML 配置**” 页面的 “**回复 URL（断言使用者服务 URL）**” 部分下，选择为每个其他区域的 **ACS URL 添加回复 URL**。您可以将主区域的 ACS URL 保留为默认区域，这样当用户从中启动 AWS IAM Identity Center 应用程序时，他们就会被重定向到主区域Microsoft Entra ID。

1. 添加 ACS 后 URLs，保存**AWS IAM Identity Center**应用程序。

1. 您可以在中Microsoft Entra ID为每个其他区域的 AWS 访问门户创建书签应用程序。这使您的用户能够从中 AWS 访问其他地区的访问门户Microsoft Entra ID。请务必向您的用户授予访问中的书签应用程序的权限Microsoft Entra ID。有关更多详细信息，请参阅[Microsoft Entra ID文档](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on)。

1. 确认您可以登录其他每个地区的 AWS 访问门户。导航到[AWS 访问门户 URLs](multi-region-workforce-access.md#portal-endpoints)或从中启动书签应用程序Microsoft Entra ID。

## 问题排查
<a name="idp-microsoft-entra-troubleshooting"></a>

有关使用 Microsoft Entra ID 对 SCIM 和 SAML 进行一般性问题排查，请参阅以下各部分：
+ [Microsoft Entra ID 与 IAM Identity Center 的同步问题](#entra-scim-troubleshooting)
+ [特定用户无法从外部 SCIM 提供商同步到 IAM Identity Center](troubleshooting.md#issue2)
+ [与 IAM Identity Center 创建的 SAML 断言内容有关的问题](troubleshooting.md#issue1)
+ [使用外部身份提供者预置用户或组时出现重复用户或组错误](troubleshooting.md#duplicate-user-group-idp)
+ [其他资源](#entra-scim-troubleshooting-resources)

### Microsoft Entra ID 与 IAM Identity Center 的同步问题
<a name="entra-scim-troubleshooting"></a>

如果您遇到 Microsoft Entra ID 用户未同步到 IAM Identity Center 的问题，可能是由于在向 IAM Identity Center 添加新用户时，IAM Identity Center 已经标记的语法问题。您可以通过检查 Microsoft Entra ID 审核日志中的失败事件（例如 `'Export'`）来确认这一点。此事件的**状态原因**将说明：

```
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
```

您也可以检查 AWS CloudTrail 失败的事件。这可以通过在 “**事件历史记录**” 控制台中搜索 CloudTrail 或使用以下过滤器来完成：

```
"eventName":"CreateUser"
```

 CloudTrail 事件中的错误将说明以下内容：

```
"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“
```

最终，此异常意味着从 Microsoft Entra ID 传递的某个值包含的值比预期多。该解决方案旨在查看 Microsoft Entra ID 中用户的属性，确保不包含重复值。重复值的一个常见示例是，联系电话（例如**手机**、**工作**电话和**传真**）存在多个值。尽管是单独的值，但它们都会在单父属性 **phoneNumbers** 下传递到 IAM Identity Center。

有关 SCIM 一般性问题排查的提示，请参阅[问题排查](troubleshooting.md#issue2)。

### Microsoft Entra ID 访客账户同步
<a name="entra-guest-acct-provisioning"></a>

若想将 Microsoft Entra ID 访客用户同步到 IAM Identity Center，请参阅下列步骤。

Microsoft Entra ID 访客用户的电子邮件有别于 Microsoft Entra ID 用户的电子邮件。尝试与 IAM Identity Center 同步 Microsoft Entra ID 访客账户时，该差异会引发问题。例如，查看访客用户的以下电子邮件地址：

`exampleuser_domain.com#EXT#@domain.onmicrosoft.com.`

IAM Identity Center 不希望电子邮件地址包含该*\$1EXT\$1@domain*格式。

1. 登录到 [Microsoft Entra 管理中心](https://entra.microsoft.com/)，导航到**身份** > **应用程序** > **企业应用程序**，然后选择 **AWS IAM Identity Center**

1. 导航到左侧窗格的**单点登录**选项卡。

1. 选择显示在**用户属性和声明**旁边的**编辑**。

1. 依次选择**必填声明**和**唯一用户标识符（姓名 ID）**。

1. 将为 Microsoft Entra ID 用户和访客用户创建两个声明条件：

   1. 若为 Microsoft Entra ID 用户，则为源属性设为 ` user.userprincipalname` 的成员创建用户类型。

   1. 若为 Microsoft Entra ID 访客用户，则为源属性设为 `user.mail` 的外部访客创建用户类型。

   1. 选择**保存**，然后重新尝试以 Microsoft Entra ID 访客用户身份登录。

### 其他资源
<a name="entra-scim-troubleshooting-resources"></a>
+ 有关 SCIM 一般性问题排查的提示，请参阅[排查 IAM Identity Center 问题](troubleshooting.md)。
+ 有关 Microsoft Entra ID 问题排查，请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial#troubleshooting-tips)。
+ 要了解有关跨多重联合的更多信息 AWS 账户，请参阅[AWS 账户 使用进行保护Azure Active Directory Federation](https://aws.amazon.com//blogs/apn/securing-aws-accounts-with-azure-active-directory-federation/)。

以下资源可以帮助您在使用时进行故障排除 AWS：
+ [AWS re:Post](https://repost.aws/)-查找 FAQs 并链接到其他资源以帮助您解决问题。
+ [AWS 支持](https://aws.amazon.com/premiumsupport/) – 获得技术支持

# 通过 Okta 和 IAM Identity Center 配置 SAML 和 SCIM
<a name="gs-okta"></a>

您可以使用[跨域身份管理系统（SCIM）2.0 协议](scim-profile-saml.md#scim-profile)将用户和组信息从 Okta 自动预置或同步到 IAM Identity Center。有关更多信息，请参阅 [对外部身份提供者使用 SAML 和 SCIM 身份联合验证](other-idps.md)。

要在 Okta 中配置此连接，您可以使用 IAM Identity Center 的 SCIM 端点和 IAM Identity Center 自动创建的持有者令牌。配置 SCIM 同步时，您将在 Okta 中创建用户属性到 IAM Identity Center 中的命名属性的映射。此映射在 IAM Identity Center 和 Okta 账户之间匹配预期的用户属性。

Okta 通过 SCIM 连接到 IAM Identity Center 时支持以下预置功能：
+ 创建用户——在 Okta 中分配给 IAM Identity Center 应用程序的用户是在 IAM Identity Center 中预置的。
+ 更新用户属性——在 Okta 中分配给 IAM Identity Center 应用程序的用户的属性更改将在 IAM Identity Center 中更新。
+ 停用用户——在 Okta 中从 IAM Identity Center 应用程序取消分配的用户将在 IAM Identity Center 被禁用。
+ 组推送——Okta 中的组（及其成员）同步到 IAM Identity Center。
**注意**  
为了最大限度地减少 Okta 和 IAM Identity Center 的管理开销，我们建议您分配和*推送*组而不是单个用户。
+ 导入用户 — 用户可以从 IAM 身份中心导入Okta。

**目标**

在本教程中，您将逐步设置与 Okta IAM Identity Center 的 SAML 连接。稍后，您将使用 SCIM 从 Okta 同步用户。在该方案中，您可以管理 Okta 中的所有用户和组。用户通过 Okta 门户登录。要验证所有配置是否正确，完成配置步骤后，您将以Okta用户身份登录并验证对 AWS 资源的访问权限。

通过 SAML 连接Okta到 IAM 身份中心时，支持以下功能：
+ IDP 发起的 SAML 登录 — 用户通过Okta门户登录并获得 IAM 身份中心的访问权限。
+ SP 发起的 SAML 登录 — 用户访问 AWS 访问门户，该门户会将他们重定向到通过门户登录。Okta

**注意**  
您可以注册安装了 Okta's [IAM Identity Center 应用程序](https://www.okta.com/integrations/aws-single-sign-on/)的 Okta 账户（[免费试用](https://www.okta.com/free-trial/)）。对于付费 Okta 产品，您可能需要确认您的 Okta 许可证支持*生命周期管理*或类似的功能，以实现出站预置。将 SCIM 从 Okta 配置到 IAM Identity Center 可能需要这些功能。  
如果您尚未启用 IAM Identity Center，请参阅 [启用 IAM Identity Center](enable-identity-center.md)。

## 注意事项
<a name="gs-okta-considerations"></a>
+ 在 Okta 和 IAM Identity Center 之间配置 SCIM 预置之前，建议先查看 [使用自动预置的注意事项](provision-automatically.md#auto-provisioning-considerations)。
+ 必须已为每位 Okta 用户指定**名字**、**姓氏**、**用户名**和**显示名称**值。
+ 每位 Okta 用户的每个数据属性（如电子邮件地址或电话号码）只有一个值。若用户有多个值，则无法同步。如果用户的属性中有多个值，请先删除重复的属性，然后再尝试在 IAM Identity Center 中预置用户。例如，只能同步一个电话号码属性，因为默认的电话号码属性是“工作电话”，所以即使用户的电话号码是家庭电话号码或移动电话号码，也将使用“工作电话”属性存储其电话号码。
+  Okta 与 IAM Identity Center 共用时，IAM Identity Center 通常在 Okta 中配置为应用程序。这样即可将 IAM Identity Center 的多个实例配置为多个应用程序，以此支持在单个 Okta 实例中访问多个 AWS 组织。
+ 不支持权限和角色属性，也无法将其同步到 IAM Identity Center。
+ 目前不支持使用相同的 Okta 组进行分配和组推送。要在 Okta 和 IAM Identity Center 之间保持一致的组成员资格，请创建一个单独的组并将其配置为将组推送到 IAM Identity Center。
+ 如果您将 IAM Identity Center 复制到其他区域，则必须更新您的身份提供商配置，以允许访问 AWS 托管应用程序和 AWS 账户 通过其他区域。有关包括先决条件在内的更多详细信息，请参阅[跨多个 IAM 身份中心使用 AWS 区域](multi-region-iam-identity-center.md)。OKTA 特定的步骤请参见 [Okta用于访问其他区域的配置](#gs-okta-multi-region) 

## 步骤 1：Okta：从 Okta 账户获取 SAML 元数据
<a name="gs-okta-step1"></a>

1. 登录 Okta admin dashboard，展开**应用程序**，然后选择**应用程序**。

1. 在**应用程序**页面，选择**浏览应用程序目录**。

1. 在搜索框中键入 ** AWS IAM Identity Center**，选择要添加 IAM Identity Center 应用程序的应用程序。

1. 选择**登录**选项卡。

1. 在 **SAML 签名证书**下，选择**操作**，然后选择**查看 IdP 元数据**。将打开一个新的浏览器选项卡，显示 XML 文件的文档树。选择从 `<md:EntityDescriptor>` 到 `</md:EntityDescriptor>` 的所有 XML，将其复制到文本文件。

1. 将文本文件保存为 `metadata.xml`。

让 Okta admin dashboard 保持打开状态，因为后续步骤会继续使用此控制台。

## 步骤 2：IAM Identity Center：将 Okta 配置为 IAM Identity Center 的身份源
<a name="gs-okta-step2"></a>

1. 以具有管理权限的用户身份打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 在左侧导航窗格中，选择**设置**。

1. 在**设置**页面，选择**操作**，然后选择**更改身份源**。

1. 在**选择身份源**下选择**外部身份提供者**，然后选择**下一步**。

1. 在**配置外部身份提供商**下，执行以下操作：

   1. 在**服务提供商元数据**下，将以下项目复制到文本文件以便于访问：
      + **IAM Identity Center 断言消费者服务 (ACS) 网址** — 您可以选择 IPv4仅限和双栈 ACS。 URLs此外，如果您的 IAM Identity Center 实例已在多个区域启用，则每个其他区域都有自己的 IPv4仅限双栈 ACS。 URLs有关 ACS 的更多信息 URLs，请参阅[主端点和附加端点中的 ACS 端点 AWS 区域](multi-region-workforce-access.md#acs-endpoints)。
      + **IAM Identity Center 发布者 URL**

      本教程稍后会用到这些值。

   1. 在**身份提供者元数据**下的 **IdP SAML 元数据**下，选择**选择文件**，然后选择您在上一步创建的 `metadata.xml` 文件。

   1. 选择**下一步**。

1. 阅读免责声明并准备继续操作后，输入**接受**。

1. 选择**更改身份源**。

   保持 AWS 控制台处于打开状态，您将在下一步中继续使用此控制台。

1. 返回Okta admin dashboard并选择 AWS IAM Identity Center 应用程序的 “**登录**” 选项卡，然后选择 “**编辑**”。

1. 在**高级登录设置**下，输入以下内容：
   + 对于 **ACS URL**，输入您为 **IAM 身份中心断言消费者服务 (ACS) 网址**复制的值。您可以使用主要区域的 ACS URL 作为默认区域，这样当用户从中启动 Amazon Web Services 应用程序时，他们就会被重定向到主要区域Okta。
   + （可选）如果您将 IAM Identity Center 复制到其他区域，则还可以在中Okta为每个其他区域的 AWS 访问门户创建书签应用程序。这使您的用户能够从中 AWS 访问其他地区的访问门户Okta。请务必向您的用户授予访问中的书签应用程序的权限Okta。有关更多详细信息，请参阅[Okta文档](https://support.okta.com/help/s/article/create-a-bookmark-app)。如果您计划稍后将 IAM Identity Center 复制到其他区域，请访问以获取[Okta用于访问其他区域的配置](#gs-okta-multi-region)有关如何在初始设置后启用对其他区域的访问权限的指导。
   + 在**发布者 URL** 中，输入您复制的 **IAM Identity Center 发布者 URL** 值
   +  在**应用程序用户名格式**中，选择菜单中的一个选项。

     确保您选择的值对每个用户来说都是唯一的。在本教程中，选择 **Okta 用户名**

1. 选择**保存**。

现在，您可以将用户从 Okta 预置到 IAM Identity Center。让 Okta admin dashboard 保持打开状态，返回 IAM Identity Center 控制台，执行下一步。

## 步骤 3：IAM Identity Center 和 Okta：预置 Okta 用户
<a name="gs-okta-step3"></a>

1. 在 IAM Identity Center 控制台的**设置**页面，找到**自动预置**信息框，然后选择**启用**。这会在 IAM Identity Center 中启用自动预置，并显示必要的 SCIM 端点和访问令牌信息。

1. 在**入站自动预置**对话框中，复制以下选项的各个值：

   1. **SCIM 端**点-端点格式取决于您的配置：
      + IPv4: https://scim。 *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
      + 双栈：https://scim。 *us-east-2*.api.aws/ /scim/v2 *11111111111-2222-3333-4444-555555555555*

   1. **访问令牌** - 选择**显示令牌**以复制该值。
**警告**  
这是唯一可以获取 SCIM 端点与访问令牌的机会。在继续操作之前，务必复制这些值。本教程的后续步骤需要输入这些值，以便在 Okta 中配置自动预置。

1. 选择**关闭**。

1. 返回 Okta admin dashboard，移到 IAM Identity Center 应用程序。

1. 在 **IAM Identity Center 应用程序**页面，选择**预置**选项卡，然后在左侧导航栏的**设置**下选择**集成**。

1. 选择**编辑**，然后选中**启用 API 集成**旁边的复选框，以启用自动预置。

1. Okta使用您在本步骤前面复制的 AWS IAM Identity Center SCIM 配置值进行配置：

   1. 在**基本 URL** 字段，输入 **SCIM 端点**值。

   1. 在 **API 令牌**字段，输入**访问令牌**值。

1. 选择**测试 API 凭证**以验证输入的凭证是否有效。

   将显示 **AWS IAM Identity Center 验证成功！**消息。

1. 选择**保存**。您将移至**设置**部分，**集成**为选中状态。

1. 在**设置**下，选择**至应用程序**，然后为每个要启用的**预置至应用程序**功能选择**启用**复选框。在本教程中，请选择所有选项。

1. 选择**保存**。

现在，您可以将来自 Okta 的用户与 IAM Identity Center 同步了。

## 步骤 4：Okta：将来自 Okta 的用户与 IAM Identity Center 同步
<a name="gs-ok-step4"></a>

默认情况下，未将任何组或用户分配给您的 Okta IAM Identity Center 应用程序。通过预置组，该组的成员用户也会被预置。完成以下步骤，将组和用户与同步 AWS IAM Identity Center。

1. 在 **Okta IAM Identity Center 应用程序**页面中，选择**分配**选项卡。您可以将人员和组分配至 IAM Identity Center 应用程序。

   1. 要分配人员：
      + 在**分配**页面，选择**分配**，然后选择**分配给人员**。
      + 选择您想要为其分配 IAM Identity Center 应用程序访问权限的 Okta 用户。选择**分配**，选择**保存并返回**，然后选择**完成**。

      这将启动将用户预置到 IAM Identity Center 的过程。

   1. 要分配组：
      + 在**分配**页面，选择**分配**，然后选择**分配给组**。
      + 选择您想要为其分配 IAM Identity Center 应用程序访问权限的 Okta 组。选择**分配**，选择**保存并返回**，然后选择**完成**。

      这将启动将组中的用户预置到 IAM Identity Center 的过程。
**注意**  
如果所有用户记录中都没有该组的属性，您可能需要为该组指定其他属性。为组指定的属性将覆盖任何单独属性的值。

1. 选择**推送组**选项卡。选择要与 IAM Identity Center 同步的 Okta 组。选择**保存**。

   将组及其成员推送到 IAM Identity Center 后，组状态将更改为**活动**。

1. 返回**分配**选项卡。

1. 要向 IAM Identity Center 添加个人 Okta 用户，请执行以下步骤：

   1. 在**分配**页面，选择**分配**，然后选择**分配给人员**。

   1. 选择您想要为其分配 IAM Identity Center 应用程序访问权限的 Okta 用户。选择**分配**，选择**保存并返回**，然后选择**完成**。

      这将启动将单个用户预置到 IAM Identity Center 的过程。
**注意**  
**您也可以从的应用程序页面为 AWS IAM Identity Center 应用程序分配用户和群组Okta admin dashboard。**要这样做，请选择**设置**图标，然后选择**分配给用户**或**分配给组**，然后指定用户或组。

1. 返回 IAM Identity Center 控制台。在左侧导航栏中，选择**用户**，您应该会看到用户列表填入了您的 Okta 用户。

**恭喜您！**  
您已成功在Okta和之间建立了 SAML 连接， AWS 并已验证自动配置正在运行。您现在可以在 **IAM Identity Center** 中将这些用户分配给账户和应用程序。在本教程的下一步，我们将指定一名用户，通过赋予其对管理账户的管理权限，使其成为 IAM Identity Center 管理员。

## 传递访问控制属性 – *可选*
<a name="okta-passing-abac"></a>

您可以选择使用 IAM Identity Center 中的 [访问控制属性](attributesforaccesscontrol.md) 功能来传递 `Name` 属性设置为 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` 的 `Attribute` 元素。此元素允许您将属性作为 SAML 断言中的会话标签传递。有关会话标签的更多信息，请参阅 *IAM 用户指南*在 AWS STS中的[传递会话标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

要将属性作为会话标签传递，请包含指定标签值的 `AttributeValue` 元素。例如，要传递标签键值对`CostCenter = blue`，请使用以下属性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要添加多个属性，请为每个标签包含一个单独的 `Attribute` 元素。

## 将访问权限分配给 AWS 账户
<a name="gs-okta-acct-access"></a>

仅授予访问权限时才需要执行以下步骤。 AWS 账户 授予 AWS 应用程序访问权限不需要这些步骤。

**注意**  
要完成此步骤，您需要拥有 IAM Identity Center 的 Organization 实例。有关更多信息，请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。

### 步骤 1：IAM Identity Center：向 Okta 用户授予账户访问权限
<a name="gs-okta-step5"></a>

1. 在 IAM Identity Center 导航窗格的**多账户权限**下，选择 **AWS 账户**。

1. 在 **AWS 账户** 页面，**组织结构**将显示您的组织根目录，您的账户将以分层结构列于其下方。选中管理账户对应的复选框，然后选择**分配用户或组**。

1. 此时将显示**分配用户和组**工作流程。它包括三个步骤：

   1. 对于**步骤 1：选择用户和组**，选择将要执行管理员工作职能的用户。然后选择**下一步**。

   1. 对于**步骤 2：选择权限集**，选择**创建权限集**打开新的标签页，该标签页将引导您完成创建权限集所涉及的三个子步骤。

      1. 对于**步骤 1：选择权限集类型**，请完成以下操作：
         + 在**权限集类型**中，选择**预定义权限集**。
         + 在**预定义权限集的策略**中，选择**AdministratorAccess**。

         选择**下一步**。

      1. 对于**步骤 2：指定权限集详细信息**，保留默认设置，并选择**下一步**。

         默认设置会创建名为*AdministratorAccess*、会话持续时间设置为一小时的权限集。

      1. 对于**步骤 3：查看并创建**，请验证**权限集类型**是否使用 AWS 托管策略**AdministratorAccess**。选择**创建**。**权限集**页面会显示通知，告知您权限集已创建。您可以在网络浏览器中关闭此标签页。

      在**分配用户和组**浏览器标签页，您仍处于**步骤 2：选择权限集**，您将在这里启动创建权限集工作流程。

      在**权限集**区域，选择**刷新**按钮。您创建的*AdministratorAccess*权限集将出现在列表中。选择该权限集的复选框，然后选择**下一步**。

   1. 对于**步骤 3：查看并提交**，请查看选定的用户和权限集，然后选择**提交**。

      页面更新时会显示一条消息，告知您 AWS 账户 正在配置中。等待该过程完成。

      您将返回到该 AWS 账户 页面。系统会显示一条通知消息，告知您 AWS 账户 已重新配置并应用了更新的权限集。当用户登录时，他们可以选择角色。*AdministratorAccess*

### 步骤 2Okta：确认Okta用户对 AWS 资源的访问权限
<a name="w2aac15c23c33b9"></a>

1. 使用测试用户账户登录 Okta dashboard。

1. 在**我的应用程序**下，选择 AWS IAM Identity Center 图标。

1. 你应该会看到图 AWS 账户 标。展开该图标可查看用户可以访问的 AWS 账户 列表。在本教程中，您只使用了一个账户，因此展开图标只显示一个账户。

1. 选择账户，以显示用户可用的权限集。在本教程中，您创建了**AdministratorAccess**权限集。

1. 权限集旁边是该权限集可用访问权限类型的链接。创建权限集时，您指定了访问权限 AWS 管理控制台 和编程访问权限。选择**管理控制台**，打开 AWS 管理控制台。

1. 用户已登录到 AWS 管理控制台。

您也可以使用 AWS 访问门户。这会将您重定向到通过Okta门户登录，然后再将您带到 AWS 访问门户。此路径遵循由 SP 发起的 SAML 登录流程。

## Okta访问 IAM 身份中心其他区域的配置-可选
<a name="gs-okta-multi-region"></a>

如果您将 IAM Identity Center 复制到其他区域，则必须更新您的身份提供商配置，以允许访问 AWS 托管应用程序和 AWS 账户 通过其他区域。以下步骤将指导您完成整个过程。有关本主题的更多详细信息（包括先决条件），请参阅[跨多个 IAM 身份中心使用 AWS 区域](multi-region-iam-identity-center.md)。

1. 从 IAM 身份中心控制台检索其他区域的 ACS URLs ，如中所述[主端点和附加端点中的 ACS 端点 AWS 区域](multi-region-workforce-access.md#acs-endpoints)。

1. 在Okta管理控制面板的导航窗格中，选择**应用程序**，然后在展开的列表中再次选择**应用程序**。

1. 选择 **AWS IAM Identity Center** 应用程序。

1. 选择 **Sign On**（登录）选项卡。

1. 在 “**高级登录设置”** 和 “**其他可请求的 SSO**” 下 URLs，为每个其他区域的 ACS URL 选择**添加另一**个，然后将 ACS URL 粘贴到文本字段中。

1. 添加 ACS 后 URLs，保存**AWS IAM Identity Center**应用程序。

1. 您可以在中Okta为每个其他区域的 AWS 访问门户创建书签应用程序。这使您的用户能够从中 AWS 访问其他地区的访问门户Okta。请务必向您的用户授予访问中的书签应用程序的权限Okta。有关更多详细信息，请参阅[Okta文档](https://support.okta.com/help/s/article/create-a-bookmark-app)。

1. 确认您可以登录其他每个地区的 AWS 访问门户。导航到[AWS 访问门户 URLs](multi-region-workforce-access.md#portal-endpoints)或从中启动书签应用程序Okta。

## 后续步骤
<a name="gs-okta-next-steps"></a>

现在，您已在 IAM Identity Center 将 Okta 配置为身份提供商，并预置了用户，您可以：
+ 授予访问权限 AWS 账户，请参阅[为用户或群组分配访问权限 AWS 账户](assignusers.md)。
+ 授予对云应用程序的访问权限，请参阅 [在 IAM Identity Center 控制台中为用户分配应用程序的访问权限](assignuserstoapp.md)。
+ 根据工作职能配置权限，请参阅[创建权限集](howtocreatepermissionset.md)。

## 问题排查
<a name="gs-okta-troubleshooting"></a>

有关使用 Okta 对 SCIM 和 SAML 进行一般性问题排查，请参阅以下各部分：
+ [重新配置从 IAM Identity Center 删除的用户和组](#reprovisioning-deleted-users-groups)
+ [Okta 中的自动预置错误](#okta-auto-provisioning-error)
+ [特定用户无法从外部 SCIM 提供商同步到 IAM Identity Center](troubleshooting.md#issue2)
+ [与 IAM Identity Center 创建的 SAML 断言内容有关的问题](troubleshooting.md#issue1)
+ [使用外部身份提供者预置用户或组时出现重复用户或组错误](troubleshooting.md#duplicate-user-group-idp)
+ [其他资源](#gs-okta-troubleshooting-resources)

### 重新配置从 IAM Identity Center 删除的用户和组
<a name="reprovisioning-deleted-users-groups"></a>
+ 如果尝试更改 Okta 中已同步后又从 IAM Identity Center 中删除的用户或组，则可能会在 Okta 控制台中收到以下错误消息：
  + 自动将用户个人资料推送*Jane Doe*到应用程序 AWS IAM Identity Center 失败：尝试推送个人资料更新时出错*jane\$1doe@example.com*：用户未返回任何用户 *xxxxx-xxxxxx-xxxxx-xxxxxxx*
  + 中缺少关联的群组 AWS IAM Identity Center。Change the linked group to resume pushing group memberships.
+ 对于已同步和删除的 IAM Identity Center 用户或组，还可能在 Okta 的系统日志中收到以下错误消息：
  + Okta 错误：事件失败 application.provision.user.puser.push\$1profile：用户未返回任何 *xxxxx-xxxxxx-xxxxx-xxxxxxx*
  + Okta 错误：application.provision.group\$1push\$1push.mapping.update.or.delete.failed.with.error：中缺少链接组。 AWS IAM Identity Center Change the linked group to resume pushing group memberships.

**警告**  
如已使用 SCIM 同步 Okta 和 IAM Identity Center，则应从 Okta 而非 IAM Identity Center 中删除用户和组。

**排查已删除的 IAM Identity Center 用户问题**  
要解决已删除的 IAM Identity Center 用户的这一问题，必须从 Okta 中删除这些用户。如有必要，还需在 Okta 中重新创建这些用户。在 Okta 中重新创建用户时，还会通过 SCIM 将其重新预置到 IAM Identity Center。有关删除用户的更多信息，请参阅 [Okta 文档](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-deactivate-user-account.htm)。

**注意**  
如需移除 Okta 用户对 IAM Identity Center 的访问权限，则应先将其从“组推送”中移除，再将其从 Okta 的分配组中移除。这可确保在 IAM Identity Center 中将用户从关联组成员资格中移除。有关“组推送”问题排查的更多信息，请参阅 [Okta 文档](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm)。

**排查已删除的 IAM Identity Center 组问题**  
要解决已删除的 IAM Identity Center 组的这一问题，必须从 Okta 中删除组。如有必要，还需要使用“组推送”在 Okta 中重新创建这些组。在 Okta 中重新创建用户时，还会通过 SCIM 将其重新预置到 IAM Identity Center。有关删除组的更多信息，请参阅 [Okta 文档](https://help.okta.com/oie/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm)。

### Okta 中的自动预置错误
<a name="okta-auto-provisioning-error"></a>

如果在 Okta 中收到以下错误消息：

将用户 Jane Doe 自动配置到应用程序 AWS IAM Identity Center 失败：未找到匹配的用户

有关更多信息，请参阅 [Okta 文档](https://support.okta.com/help/s/article/aws-iam-identity-center-provisioning-error-automatic-provisioning-of-user-name-of-user-to-app-aws-iam-identity-center-failed-matching-user-not-found?language=en_US)。

### 其他资源
<a name="gs-okta-troubleshooting-resources"></a>
+ 有关 SCIM 一般性问题排查的提示，请参阅[排查 IAM Identity Center 问题](troubleshooting.md)。

以下资源可以帮助您在使用时进行故障排除 AWS：
+ [AWS re:Post](https://repost.aws/)-查找 FAQs 并链接到其他资源以帮助您解决问题。
+ [AWS 支持](https://aws.amazon.com/premiumsupport/) – 获得技术支持

# 在 OneLogin 和 IAM Identity Center 之间设置 SCIM 预置
<a name="onelogin-idp"></a>

IAM Identity Center 支持使用跨域身份管理系统 (SCIM) v2.0 协议将用户和组信息从 OneLogin 自动预置（同步）到 IAM Identity Center。有关更多信息，请参阅 [对外部身份提供者使用 SAML 和 SCIM 身份联合验证](other-idps.md)。

**注意**  
OneLogin目前不支持应用程序 URLs中的 SAML 多重断言使用服务 (ACS)。 AWS IAM Identity Center 要充分利用 IAM Identity Center 中的[多区域支持](multi-region-iam-identity-center.md)，必须使用此 SAML 功能。如果您计划将 IAM Identity Center 复制到其他区域，请注意，使用单个 ACS URL 可能会影响这些其他区域的用户体验。您的主要区域将继续正常运行。我们建议您与 IdP 供应商合作以启用此功能。有关使用单个 ACS URL 在其他区域的用户体验的更多信息，请参阅[使用没有多个 ACS 的 AWS 托管应用程序 URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)和[AWS 账户 无需多个 ACS 即可实现访问弹性 URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。

您可以在 OneLogin 中使用 IAM Identity Center 的 SCIM 端点和 IAM Identity Center 自动创建的持有者令牌来配置此连接。配置 SCIM 同步时，您将在 OneLogin 中创建用户属性到 IAM Identity Center 中的命名属性的映射。这会导致 IAM Identity Center 和 OneLogin 之间的预期属性匹配。

以下步骤将引导您了解如何使用 SCIM 协议将用户和组从 OneLogin 自动预置到 IAM Identity Center。

**注意**  
在开始部署 SCIM 之前，我们建议您首先查看 [使用自动预置的注意事项](provision-automatically.md#auto-provisioning-considerations)。

**Topics**
+ [先决条件](#onelogin-prereqs)
+ [步骤 1：在 IAM Identity Center 中启用预置](#onelogin-step1)
+ [步骤2：在 OneLogin 中配置预置](#onelogin-step2)
+ [（可选）第三步：在 OneLogin IAM Identity Center 中配置用户属性进行访问控制](#onelogin-step3)
+ [（可选）传递访问控制属性](#onelogin-passing-abac)
+ [问题排查](#onelogin-troubleshooting)

## 先决条件
<a name="onelogin-prereqs"></a>

在开始之前，您将需要以下内容：
+ 一个 OneLogin 帐户。如果您没有现有帐户，您可以从 [OneLogin 网站](https://www.onelogin.com/free-trial)获取免费试用版或开发者帐户。
+ 支持 IAM Identity Center 的帐户（[免费](https://aws.amazon.com/single-sign-on/)）。有关更多信息，请参阅[启用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)。
+ 从您的 OneLogin 帐户到 IAM Identity Center 的 SAML 连接。有关详细信息，请参阅 AWS 合作伙伴网络博客上的在 OneLogin 和 AWS之间[启用单点登录](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/)。

## 步骤 1：在 IAM Identity Center 中启用预置
<a name="onelogin-step1"></a>

在第一步中，您使用 IAM Identity Center 控制台启用自动预置。

**在 IAM Identity Center 中启用自动预置**

1. 完成先决条件后，打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 在左侧导航窗格中选择**设置**。

1. 在**设置**页面上，找到**自动预置**信息框，然后选择**启用**。这会立即在 IAM Identity Center 中启用自动预置，并显示必要的 SCIM 端点和访问令牌信息。

1. 在**入站自动预置**对话框中，复制 SCIM 端点和访问令牌。稍后在 IdP 中配置预置时，您需要粘贴这些内容。

   1. **SCIM 端点** ——例如，https://scim。 *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*

   1. **访问令牌** - 选择**显示令牌**以复制该值。
**警告**  
这是唯一可以获取 SCIM 端点与访问令牌的机会。在继续操作之前，务必复制这些值。本教程的后续步骤需要输入这些值，以便在 IdP 中配置自动预置。

1. 选择**关闭**。

您现在已在 IAM Identity Center 控制台中设置预置。现在，您需要使用 OneLogin 管理控制台执行其余任务，如以下过程中所述。

## 步骤2：在 OneLogin 中配置预置
<a name="onelogin-step2"></a>

在 OneLogin 管理控制台中使用以下过程来启用 IAM Identity Center 和 IAM Identity Center 应用程序之间的集成。此过程假设您已经在中配置了 AWS 单点登录应用程序OneLogin以进行 SAML 身份验证。如果您尚未创建此 SAML 连接，请在继续之前创建此连接，然后返回此处完成 SCIM 预置过程。有关使用 OneLogin 配置 SAML 的更多信息，请参阅 AWS 合作伙伴网络博客上的在 OneLogin 和 AWS之间[启用单点登录](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/)。

**要在 OneLogin 中配置预置**

1. 登录 OneLogin，然后导航至**应用程序>应用程序**。

1. 在**应用程序**页面上，搜索您之前创建的应用程序以与 IAM Identity Center 形成 SAML 连接。选择它，然后从导航栏中选择**配置**。

1. 在上一过程中，您复制了 IAM Identity Center 中的 **SCIM 端点**值。将该值粘贴到 OneLogin 中的 **SCIM Base URL** 字段中。此外，在之前的过程中，您复制了 IAM Identity Center 中的**访问令牌**值。将该值粘贴到 OneLogin 中的 **SCIM 持有者令牌**字段中。

1. 在**API 连接**旁边，单击**启用**，然后单击**保存**以完成配置。

1. 在导航窗格中，选择 **Provisioning**（预调配）。

1. 选中**启用预置**、**创建用户**、**删除用户**和**更新用户**复选框，然后选择**保存**。

1. 在导航窗格中，选择 **Users**（用户）。

1. 单击**更多操作**，然后选择**同步登录**。您应该收到消息*正在使用 AWS 单点登录同步用户*。

1. 再次单击**更多操作**，然后选择**重新应用权限映射**。您应该会收到消息*映射正在重新应用*。

1. 此时，预置过程应该开始。要确认这一点，请导航至**活动>事件**，并监控进度。成功的预置事件以及错误应该出现在事件流中。

1. 要验证您的用户和组是否已全部成功同步到 IAM Identity Center，请返回 IAM Identity Center 控制台并选择**用户**。您从 OneLogin 同步的用户出现在**用户**页面上。您还可以在**组**页面查看已同步的组。

1. 要将用户更改自动同步到 IAM Identity Center，请导航到**配置**页面，找到 “**执行此操作之前需要管理员批准**” 部分，取消选择 “**创建用户”、“删除用户****”、“ and/or **更新用户****”，然后单击 “**保存**”。

## （可选）第三步：在 OneLogin IAM Identity Center 中配置用户属性进行访问控制
<a name="onelogin-step3"></a>

OneLogin如果您选择配置将在 IAM Identity Center 中使用的属性来管理对 AWS 资源的访问权限，则这是一个可选过程。您在 OneLogin 中定义的属性将在 SAML 断言中传递到 IAM Identity Center。然后，您将在 IAM Identity Center 中创建一个权限集，以根据您从 OneLogin 传递的属性来管理访问。

在开始此过程之前，您必须首先启用 [访问控制属性](attributesforaccesscontrol.md) 功能。有关此操作的详细信息，请参阅 [启用并配置访问控制属性](configure-abac.md)。

**要在 OneLogin 中配置用户属性，用于 IAM Identity Center 的访问控制**

1. 登录 OneLogin，然后导航至**应用程序>应用程序**。

1. 在**应用程序**页面上，搜索您之前创建的应用程序以与 IAM Identity Center 形成 SAML 连接。选择它，然后从导航栏中选择**参数**。

1. 在**必需参数**部分中，对您要在 IAM Identity Center 中使用的每个属性执行以下操作：

   1. 选择 **\$1**。

   1. 在**字段名称**中，输入 `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`，并将 **AttributeName** 替换为您在 IAM Identity Center 中期望的属性名称。例如 `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`。

   1. 在**标志**下，选中**包含在 SAML 断言中**旁边的框，然后选择**保存**。

   1. 在**值**字段中，使用下拉列表选择 OneLogin 用户属性。例如，**部门**。

1. 选择**保存**。

## （可选）传递访问控制属性
<a name="onelogin-passing-abac"></a>

您可以选择使用 IAM Identity Center 中的 [访问控制属性](attributesforaccesscontrol.md) 功能来传递 `Name` 属性设置为 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` 的 `Attribute` 元素。此元素允许您将属性作为 SAML 断言中的会话标签传递。有关会话标签的更多信息，请参阅 *IAM 用户指南*在 AWS STS中的[传递会话标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

要将属性作为会话标签传递，请包含指定标签值的 `AttributeValue` 元素。例如，要传递标签键值对`CostCenter = blue`，请使用以下属性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要添加多个属性，请为每个标签包含一个单独的 `Attribute` 元素。

## 问题排查
<a name="onelogin-troubleshooting"></a>

以下内容可以帮助您解决在使用 OneLogin 设置自动预置时可能遇到的一些常见问题。

**组未配置到 IAM Identity Center**

默认情况下，组可能无法从 OneLogin 配置到 IAM Identity Center。确保您已在 OneLogin 中为 IAM Identity Center 应用程序启用组预置。为此，请登录 OneLogin 管理控制台，并检查以确保在 IAM Identity Center 应用程序的属性（**IAM Identity Center 应用程序 > 参数 > 组**）下选择了**包含在用户预置**中选项。有关如何在 OneLogin 中创建组的更多详细信息，包括如何在 SCIM 中将 OneLogin 角色同步为组，请参阅 [OneLogin 网站](https://onelogin.service-now.com/support)。

**尽管所有设置均正确，但没有任何内容从 OneLogin 同步到 IAM Identity Center**

除了上面有关管理员批准的注释之外，您还需要**重新应用权限映射**才能使许多配置更改生效。这可以在应用程序 > **应用程序 > IAM Identity Center 应用程序 > 更多操作中找到**。您可以在 OneLogin 中查看大多数操作的详细信息和日志，包括**活动 > 事件**下的同步事件。

**我已删除或禁用 OneLogin 中的一个组，但它仍然出现在 IAM Identity Center 中**

OneLogin 目前不支持组的 SCIM DELETE 操作，这意味着该组继续存在于 IAM Identity Center 中。因此，您必须直接从 IAM Identity Center 中删除该组，以确保删除 IAM Identity Center 中该组的任何相应权限。

**我在 IAM Identity Center 中删除了一个群组，但没有先将其从中OneLogin删除，现在我遇到了 user/group 同步问题**

要解决这种情况，首先确保您没有 OneLogin 中的任何冗余组预置规则或配置。例如，直接分配给应用程序的组以及发布到同一组的规则。接下来，删除 IAM Identity Center 中任何不需要的组。最后，在 OneLogin 中，**刷新**权限（**IAM Identity Center 应用程序 > 预置 > 权限**），然后**重新应用权限映射（IAM Identity Center 应用程序 > 更多操作）**。为了避免将来出现此问题，请首先进行更改以停止预置 OneLogin 中的组，然后从 IAM Identity Center 中删除该组。

# 将 Ping Identity 产品与 IAM Identity Center 结合使用
<a name="pingidentity"></a>

以下 Ping Identity 产品已通过 IAM Identity Center 测试。

**Topics**
+ [PingFederate](pingfederate-idp.md)
+ [PingOne](pingone-idp.md)

# PingFederate
<a name="pingfederate-idp"></a>

IAM Identity Center 支持通过 Ping Identity（以下简称“Ping”）将 PingFederate 产品中的用户和组信息自动预置（同步）到 IAM Identity Center。此预置使用跨域身份管理系统 (SCIM) v2.0 协议。有关更多信息，请参阅 [对外部身份提供者使用 SAML 和 SCIM 身份联合验证](other-idps.md)。

您可以使用 IAM Identity Center SCIM 端点和访问令牌在 PingFederate 中配置此连接。配置 SCIM 同步时，您将在 PingFederate 中创建用户属性到 IAM Identity Center 中的命名属性的映射。这会导致 IAM Identity Center 和 PingFederate 之间的预期属性匹配。

本指南基于 PingFederate version 10.2。其他版本的步骤可能有所不同。请联系 Ping，了解有关如何为其他版本的 PingFederate 预置 IAM Identity Center 的更多信息。

以下步骤将引导您了解如何使用 SCIM 协议将用户和组从 PingFederate 自动预置到 IAM Identity Center。

**注意**  
在开始部署 SCIM 之前，我们建议您首先查看 [使用自动预置的注意事项](provision-automatically.md#auto-provisioning-considerations)。然后继续查看下一部分中的其他注意事项。

**Topics**
+ [先决条件](#pingfederate-prereqs)
+ [注意事项](#pingfederate-considerations)
+ [步骤 1：在 IAM Identity Center 中启用预置](#pingfederate-step1)
+ [步骤2：在 PingFederate 中配置预置](#pingfederate-step2)
+ [（可选）步骤 3：在 IAM Identity C PingFed enter 中按比例配置用户属性以进行访问控制](#pingfederate-step3)
+ [（可选）传递访问控制属性](#pingfederate-passing-abac)
+ [问题排查](#pingfederate-troubleshooting)

## 先决条件
<a name="pingfederate-prereqs"></a>

在开始之前，您将需要以下内容：
+ 一台正在运行的 PingFederate 服务器。如果您没有现有 PingFederate 服务器，您可以从[ Ping Identity](https://www.pingidentity.com/developer/en/get-started.html#:~:text=Get%20started%20developing%20with%20open,a%20developer%20trial%20of%20PingOne.) 网站获取免费试用版或开发人员帐户。该试用版包括许可证和软件下载以及相关文档。
+ 安装在您的 PingFederate 服务器上的 PingFederate IAM Identity Center 连接器软件的副本。有关如何获取该软件的更多信息，请参阅 Ping Identity 网站上的 [IAM Identity Center Connector](https://support.pingidentity.com/s/marketplace-integration/a7i1W000000TOZ1/)。
+ 支持 IAM Identity Center 的帐户（[免费](https://aws.amazon.com/single-sign-on/)）。有关更多信息，请参阅[启用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)。
+ 从 PingFederate 实例到 IAM Identity Center 的 SAML 连接。有关如何配置此连接的说明，请参阅 PingFederate 文档。综上所述，推荐的路径是使用 IAM Identity Center Connector 在 PingFederate 中配置“浏览器 SSO”，利用两端的“下载”和“导入”元数据功能在 PingFederate 和 IAM Identity 之间交换 SAML 元数据 中心。
+ 如果您将 IAM Identity Center 复制到其他区域，则必须更新您的身份提供商配置以允许访问 AWS 托管应用程序和 AWS 账户 从这些区域访问托管应用程序。有关更多详细信息，请参阅[步骤 3：更新外部 IdP 设置](replicate-to-additional-region.md#update-external-idp-setup)。有关更多详细信息，请参阅PingFederate文档。

## 注意事项
<a name="pingfederate-considerations"></a>

以下是关于 PingFederate 的重要注意事项，它们可能会影响您使用 IAM Identity Center 实施预置的方式。
+ 如果从 PingFederate 中配置的数据存储中的用户删除某个属性（例如电话号码），则不会从 IAM Identity Center 中的相应用户中删除该属性。这是 PingFederate’s 置备程序实现中的一个已知限制。如果用户的属性更改为不同的（非空）值，则该更改将同步到 IAM Identity Center。

## 步骤 1：在 IAM Identity Center 中启用预置
<a name="pingfederate-step1"></a>

在第一步中，您使用 IAM Identity Center 控制台启用自动预置。

**在 IAM Identity Center 中启用自动预置**

1. 完成先决条件后，打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 在左侧导航窗格中选择**设置**。

1. 在**设置**页面上，找到**自动预置**信息框，然后选择**启用**。这会立即在 IAM Identity Center 中启用自动预置，并显示必要的 SCIM 端点和访问令牌信息。

1. 在**入站自动预置**对话框中，复制 SCIM 端点和访问令牌。稍后在 IdP 中配置预置时，您需要粘贴这些内容。

   1. **SCIM 端点** ——例如，https://scim。 *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*

   1. **访问令牌** - 选择**显示令牌**以复制该值。
**警告**  
这是唯一可以获取 SCIM 端点与访问令牌的机会。在继续操作之前，务必复制这些值。本教程的后续步骤需要输入这些值，以便在 IdP 中配置自动预置。

1. 选择**关闭**。

现在您已在 IAM Identity Center 控制台中设置了预置，您必须使用 PingFederate 管理控制台完成剩余任务。以下过程中描述了这些步骤。

## 步骤2：在 PingFederate 中配置预置
<a name="pingfederate-step2"></a>

在 PingFederate 管理控制台中使用以下过程启用 IAM Identity Center 和 IAM Identity Center 连接器之间的集成。此过程假设您已安装 IAM Identity Center Connector 软件。如果您尚未执行此操作，请参阅 [先决条件](#pingfederate-prereqs)，然后完成此过程来配置 SCIM 预置。

**重要**  
如果您的 PingFederate 服务器之前尚未针对出站 SCIM 配置进行配置，您可能需要更改配置文件才能启用预置。有关更多信息，请参阅 Ping 文档。总之，您必须将 **pingfederate-<version>/pingfederate/bin/run.properties** 文件中的 `pf.provisioner.mode` 设置修改为 `OFF`（默认值）以外的值，并重新启动服务器（如果当前正在运行）。例如，如果您当前没有 PingFederate 的高可用性配置，您可以选择使用 `STANDALONE`。

**要在 PingFederate 中配置预置**

1. 登录到 PingFederate 管理控制台。

1. 从页面顶部选择**应用程序**，然后单击 **SP 连接**。

1. 找到您之前创建的用于与 IAM Identity Center 形成 SAML 连接的应用程序，然后单击连接名称。

1. 从页面顶部附近的黑色导航标题中选择**连接类型**。您应该看到已从之前的 SAML 配置中选择了**浏览器 SSO**。如果没有，您必须先完成这些步骤才能继续。

1. 选中**出站预置**复选框，选择 **IAM Identity Center Cloud Connector** 作为类型，然后单击**保存**。如果 **IAM Identity Center Cloud Connector** 未显示为选项，请确保您已安装 IAM Identity Center Connector 并已重新启动 PingFederate 服务器。

1. 重复单击**下一步**，直到到达**出站预置**页面，然后单击**配置预置**按钮。

1. 在上一过程中，您复制了 IAM Identity Center 中的 **SCIM 端点**值。将该值粘贴到 PingFederate 控制台中的 **SCIM URL** 字段中。此外，在之前的过程中，您复制了 IAM Identity Center 中的**访问令牌**值。将该值粘贴到 PingFederate 控制台中的**访问令牌**字段中。单击**保存**。

1. 在**频道配置（配置频道）**页面上，单击**创建**。

1. 输入此新预置频道的**频道名称**（例如 **AWSIAMIdentityCenterchannel**），然后单击**下一步**。

1. 在**源**页面上，选择要用于连接到 IAM Identity Center 的**活动数据存储**，然后单击下一步。动数据存储，然后单击**下一步**。
**注意**  
如果您尚未配置数据来源，则必须立即配置。有关如何在 PingFederate 中选择和配置数据来源的信息，请参阅 Ping 产品文档。

1. 在**源设置**页面上，确认安装的所有值均正确，然后单击**下一步**。

1. 在**源位置**页面上，输入适合您的数据来源的设置，然后单击**下一步**。例如，如果使用 Active Directory 作为 LDAP 目录：

   1. 输入 AD 林的**基本 DN**（例如 **DC=myforest,DC=mydomain,DC=com**）。

   1. 在**用户 > 组 DN** 中，指定一个包含您要配置到 IAM Identity Center 的所有用户的组。如果不存在这样的单个组，请在 AD 中创建该组，返回到此设置，然后输入相应的 DN。

   1. 指定是否搜索子组（**嵌套搜索**）以及任何所需的 LDAP **筛选条件**。

   1. 在**组 > 组 DN** 中，指定一个组，其中包含您要配置到 IAM Identity Center 的所有组。在许多情况下，这可能与您在**用户**部分中指定的 DN 相同。根据需要输入**嵌套搜索**和**筛选条件**值。

1. 在**属性映射**页面上，确保满足以下条件，然后单击**下一步**：

   1. **userName** 字段必须映射到格式为电子邮件 (user@domain.com) 的**属性**。它还必须与用户用于登录 Ping 的值匹配。该值会在联合身份验证期间填充到 SAML `nameId` 声明中，并用于匹配 IAM Identity Center 中的用户。例如，当使用 Active Directory 时，您可以选择指定 `UserPrincipalName` 作为**用户名**。

   1. 其他以 **\$1** 为后缀的字段必须映射到对您的用户来说非空的属性。

1. 在**激活和摘要**页面上，将**频道状态**设置为**活动**，以便在保存配置后立即开始同步。

1. 确认页面上的所有配置值均正确，然后单击**完成**。

1. 在**管理频道**页面上，单击**保存**。

1. 此时，预置开始了。要确认活动，您可以查看 **Provisioner.log** 文件，该文件默认位于 PingFederate 服务器上的 **pingfederate-<version>/pingfederate/log** 目录中。

1. 要验证用户和组是否已成功同步到 IAM Identity Center，请返回 IAM Identity Center 控制台并选择**用户**。来自 PingFederate 的同步用户出现在**用户**页面上。您还可以在**组**页面查看同步的组。

## （可选）步骤 3：在 IAM Identity C PingFed enter 中按比例配置用户属性以进行访问控制
<a name="pingfederate-step3"></a>

PingFederate如果您选择配置将在 IAM Identity Center 中使用的属性来管理对 AWS 资源的访问权限，则这是一个可选过程。您在 PingFederate 中定义的属性将在 SAML 断言中传递到 IAM Identity Center。然后，您将在 IAM Identity Center 中创建一个权限集，以根据您从 PingFederate 传递的属性来管理访问。

在开始此过程之前，您必须首先启用 [访问控制属性](attributesforaccesscontrol.md) 功能。有关此操作的详细信息，请参阅 [启用并配置访问控制属性](configure-abac.md)。

**要在 PingFederate 中配置用户属性，用于 IAM Identity Center 的访问控制**

1. 登录到 PingFederate 管理控制台。

1. 从页面顶部选择**应用程序**，然后单击**SP 连接**。

1. 找到您之前创建的用于与 IAM Identity Center 形成 SAML 连接的应用程序，然后单击连接名称。

1. 从页面顶部附近的深色导航标题中选择**浏览器 SSO**。然后单击**配置浏览器 SSO**。

1. 在**配置浏览器 SSO**页上，选择**断言创建**，然后单击**配置断言创建**。

1. 在**配置断言创建**页上，选择**属性合同**。

1. 在**属性合同**页面的**延长合同**部分下，通过执行以下步骤添加新属性：

   1. 在文本框中，输入 `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`，将 **AttributeName** 替换为您在 IAM Identity Center 中期望的属性名称。例如 `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`。

   1. 对于**属性名称格式**，选择 **urn:oasis:names:tc:SAML:2.0:attrname-format:uri**。

   1. 选择**添加**，然后选择**下一步**。

1. 在**身份验证源映射**页面上，选择使用您的应用程序配置的适配器实例。

1. 在**属性合同履行**页面上，选择**属性合同** `https://aws.amazon.com/SAML/Attributes/AccessControl:Department` 的**源**（*数据存储*）和**值**（*数据存储属性*）。
**注意**  
如果您尚未配置数据源，则需要立即进行配置。有关如何在 PingFederate 中选择和配置数据来源的信息，请参阅 Ping 产品文档。

1. 重复单击**下一步**，直到进入**激活和摘要**页面，然后单击**保存**。

## （可选）传递访问控制属性
<a name="pingfederate-passing-abac"></a>

您可以选择使用 IAM Identity Center 中的 [访问控制属性](attributesforaccesscontrol.md) 功能来传递 `Name` 属性设置为 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` 的 `Attribute` 元素。此元素允许您将属性作为 SAML 断言中的会话标签传递。有关会话标签的更多信息，请参阅 *IAM 用户指南*在 AWS STS中的[传递会话标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

要将属性作为会话标签传递，请包含指定标签值的 `AttributeValue` 元素。例如，要传递标签键值对`CostCenter = blue`，请使用以下属性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要添加多个属性，请为每个标签包含一个单独的 `Attribute` 元素。

## 问题排查
<a name="pingfederate-troubleshooting"></a>

有关使用 PingFederate 对 SCIM 和 SAML 进行一般性问题排查，请参阅以下各部分：
+ [特定用户无法从外部 SCIM 提供商同步到 IAM Identity Center](troubleshooting.md#issue2)
+ [与 IAM Identity Center 创建的 SAML 断言内容有关的问题](troubleshooting.md#issue1)
+ [使用外部身份提供者预置用户或组时出现重复用户或组错误](troubleshooting.md#duplicate-user-group-idp)
+ 有关 PingFederate 的更多信息，请参阅 [PingFederate 文档](https://docs.pingidentity.com/pingfederate/latest/pf_pf_landing_page.html)。

以下资源可以帮助您在使用时进行故障排除 AWS：
+ [AWS re:Post](https://repost.aws/)-查找 FAQs 并链接到其他资源以帮助您解决问题。
+ [AWS 支持](https://aws.amazon.com/premiumsupport/) – 获得技术支持

# PingOne
<a name="pingone-idp"></a>

IAM Identity Center 支持将 Ping Identity 的（以下简称“Ping”）PingOne 产品的用户信息自动调配（同步）到 IAM Identity Center。此预置使用跨域身份管理系统 (SCIM) v2.0 协议。您可以使用 IAM Identity Center SCIM 端点和访问令牌在 PingOne 中配置此连接。配置 SCIM 同步时，您将在 PingOne 中创建用户属性到 IAM Identity Center 中的命名属性的映射。这会导致 IAM Identity Center 和 PingOne 之间的预期属性匹配。

以下步骤将引导您了解如何使用 SCIM 协议将用户从 PingOne 自动预置到 IAM Identity Center。

**注意**  
在开始部署 SCIM 之前，我们建议您首先查看 [使用自动预置的注意事项](provision-automatically.md#auto-provisioning-considerations)。然后继续查看下一部分中的其他注意事项。

**Topics**
+ [先决条件](#pingone-prereqs)
+ [注意事项](#pingone-considerations)
+ [步骤 1：在 IAM Identity Center 中启用预置](#pingone-step1)
+ [步骤2：在 PingOne 中配置预置](#pingone-step2)
+ [（可选）第三步：在 PingOne IAM Identity Center 中配置用户属性进行访问控制](#pingone-step3)
+ [（可选）传递访问控制属性](#pingone-passing-abac)
+ [问题排查](#pingone-troubleshooting)

## 先决条件
<a name="pingone-prereqs"></a>

在开始之前，您将需要以下内容：
+ PingOne 订阅或免费试用，具有联合身份验证和预置功能。有关如何获得免费试用，请参阅 [https://www.pingidentity.com/en/trials.html](https://www.pingidentity.com/en/trials.html) 网站。
+ 支持 IAM Identity Center 的帐户（[免费](https://aws.amazon.com/single-sign-on/)）。有关更多信息，请参阅[启用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)。
+ PingOne IAM Identity Center 应用程序已添加到您的 PingOne 管理门户。您可以从应用程序目录中获取 PingOne IAM Identity Center PingOne 应用程序。有关一般信息，请参阅 Ping Identity 网站上的[应用程序目录中添加应用程序](https://docs.pingidentity.com/pingone/applications/p1_applicationcatalog.html)。
+ 从 PingOne 实例到 IAM Identity Center 的 SAML 连接。将 PingOne IAM Identity Center 应用程序添加到您的 PingOne 管理门户后，您必须使用它来配置从您的 PingOne 实例到 IAM Identity Center 的 SAML 连接。使用两端的“下载”和“导入”元数据功能在 PingOne 和 IAM Identity Center 之间交换 SAML 元数据。有关如何配置此连接的说明，请参阅 PingOne 文档。
+ 如果您将 IAM Identity Center 复制到其他区域，则必须更新您的身份提供商配置以允许访问 AWS 托管应用程序和 AWS 账户 从这些区域访问托管应用程序。有关更多详细信息，请参阅[步骤 3：更新外部 IdP 设置](replicate-to-additional-region.md#update-external-idp-setup)。有关更多详细信息，请参阅PingOne文档。

## 注意事项
<a name="pingone-considerations"></a>

以下是关于 PingOne 的重要注意事项，它们可能会影响您使用 IAM Identity Center 实施预置的方式。
+ PingOne 不支持通过 SCIM 预置组。联系 Ping 获取 SCIM 组支持 PingOne 的最新信息。
+ 在 PingOne 管理门户中禁用配置后，用户可以继续从 PingOne 进行配置。如果您需要立即终止配置，请删除相关的 SCIM 持有者令牌，[使用 SCIM 从外部身份提供者预置用户和组](provision-automatically.md)在 IAM 身份 and/or 中心中将其禁用。
+ 如果从 PingOne 中配置的数据存储中删除用户的属性，则不会从 IAM Identity Center 中的相应用户中删除该属性。这是 PingOne’s 置备程序实现中的一个已知限制。如果修改属性，更改将同步到 IAM Identity Center。
+ 以下是关于 PingOne 中 SAML 配置的重要注意事项：
  + IAM Identity Center 仅支持 `emailaddress` 作为 `NameId` 格式。这意味着您需要为中的 **SAML\$1** SUBJECT 映射选择一个用户属性PingOne，该属性在目录中是唯一的、非空且格式为 email/UPN （例如，user@domain.com）。PingOne**电子邮件（工作）**是用于带有PingOne 内置目录的测试配置的合理值。
  + PingOne 中电子邮件地址包含 **\$1** 字符的用户可能无法登录 IAM Identity Center，并出现诸如 `'SAML_215'` 或 `'Invalid input'` 之类的错误。要解决此问题，请在 PingOne 中为**属性映射**中的 **SAML\$1SUBJECT** 映射选择**高级**选项。然后在下拉菜单中将要**发送到 SP: 的名称 ID 格式**设置为 **urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress**。

## 步骤 1：在 IAM Identity Center 中启用预置
<a name="pingone-step1"></a>

在第一步中，您使用 IAM Identity Center 控制台启用自动预置。

**在 IAM Identity Center 中启用自动预置**

1. 完成先决条件后，打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 在左侧导航窗格中选择**设置**。

1. 在**设置**页面上，找到**自动预置**信息框，然后选择**启用**。这会立即在 IAM Identity Center 中启用自动预置，并显示必要的 SCIM 端点和访问令牌信息。

1. 在**入站自动预置**对话框中，复制 SCIM 端点和访问令牌。稍后在 IdP 中配置预置时，您需要粘贴这些内容。

   1. **SCIM 端点** ——例如，https://scim。 *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*

   1. **访问令牌** - 选择**显示令牌**以复制该值。
**警告**  
这是唯一可以获取 SCIM 端点与访问令牌的机会。在继续操作之前，务必复制这些值。本教程的后续步骤需要输入这些值，以便在 IdP 中配置自动预置。

1. 选择**关闭**。

现在您已在 IAM Identity Center 控制台中设置了预置，您需要使用 PingOne IAM Identity Center 应用程序完成其余任务。以下过程中描述了这些步骤。

## 步骤2：在 PingOne 中配置预置
<a name="pingone-step2"></a>

在 PingOne IAM Identity Center 应用程序中使用以下过程来启用 IAM Identity Center 的预置。此过程假设您已将 PingOne IAM Identity Center 应用程序添加到 PingOne 管理门户。如果您尚未执行此操作，请参阅 [先决条件](#pingone-prereqs)，然后完成此过程来配置 SCIM 预置。

**要在 PingOne 中配置预置**

1. 打开您在为 PingOne 配置 SAML 时安装的 PingOne IAM Identity Center 应用程序（**应用程序** > **我的应用程序**）。请参阅[先决条件](#pingone-prereqs)。

1. 滚动到页面底部。在**用户预置**下，选择**完整**链接以导航到连接的用户预置配置。

1. 在**预置说明**页面上，选择**继续下一步**。

1. 在上一过程中，您复制了 IAM Identity Center 中的 **SCIM 端点**值。将该值粘贴到 PingOne IAM Identity Center 应用程序中的 **SCIM URL** 字段中。此外，在之前的过程中，您复制了 IAM Identity Center 中的**访问令牌**值。将该值粘贴到 PingOne IAM Identity Center 应用程序中的 **ACCESS\$1TOKEN **字段中。

1. 对于 **REMOVE\$1ACTION**，选择**已禁用**或**已删除**（有关更多详细信息，请参阅页面上的说明文本）。

1. 在**属性映射**页面上，按照本页面前面的 [注意事项](#pingone-considerations) 中的指导，选择用于 **SAML\$1SUBJECT** (`NameId`) 断言的值。然后选择**继续下一步**。

1. 在 **PingOne 应用程序自定义 - IAM Identity Center **页面上，进行任何所需的自定义更改（可选），然后单击**继续下一步**。

1. 在**组访问权限**页面上，选择包含您想要启用的用户组，以便预置和单点登录 IAM Identity Center。选择**继续下一步**。

1. 滚动到页面底部，然后选择**完成**，开始预置。

1. 要验证用户是否已成功同步到 IAM Identity Center，请返回 IAM Identity Center 控制台并选择**用户**。来自 PingOne 的同步用户将显示在**用户**页面上。现在可以将这些用户分配给 IAM Identity Center 内的帐户和应用程序。

   请记住，PingOne 不支持通过 SCIM 预置组或组成员身份。联系 Ping 以获取更多信息。

## （可选）第三步：在 PingOne IAM Identity Center 中配置用户属性进行访问控制
<a name="pingone-step3"></a>

PingOne如果您选择为 IAM Identity Center 配置属性以管理对 AWS 资源的访问权限，则这是一个可选过程。您在 PingOne 中定义的属性将在 SAML 断言中传递到 IAM Identity Center。然后，您在 IAM Identity Center 中创建权限集，以根据您从 PingOne 传递的属性管理访问权限。

在开始此过程之前，您必须首先启用 [访问控制属性](attributesforaccesscontrol.md) 功能。有关此操作的详细信息，请参阅 [启用并配置访问控制属性](configure-abac.md)。

**要在 PingOne 中配置用户属性，用于 IAM Identity Center 的访问控制**

1. 打开您在为 PingOne 配置 SAML 时安装的 PingOne IAM Identity Center 应用程序（**应用程序 > 我的应用程序**）。

1. 选择**编辑**，然后选择**继续下一步**，直到进入**属性映射**页面。

1. 在**属性映射**页上，选择**添加新属性**，然后执行以下操作。您必须对要添加的每个属性执行这些步骤，以便在 IAM Identity Center 中使用以进行访问控制。

   1. 在**应用程序属性** 字段中输入 `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`。*AttributeName* 替换为您在 IAM Identity Center 中期望的属性的名称。例如 `https://aws.amazon.com/SAML/Attributes/AccessControl:Email`。

   1. 在**身份关联属性或文本值**字段中，从 PingOne 目录中选择用户属性。例如，**电子邮件（工作）**。

1. 选择**下一步**几次，然后选择**完成**。

## （可选）传递访问控制属性
<a name="pingone-passing-abac"></a>

您可以选择使用 IAM Identity Center 中的 [访问控制属性](attributesforaccesscontrol.md) 功能来传递 `Name` 属性设置为 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` 的 `Attribute` 元素。此元素允许您将属性作为 SAML 断言中的会话标签传递。有关会话标签的更多信息，请参阅 *IAM 用户指南*在 AWS STS中的[传递会话标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

要将属性作为会话标签传递，请包含指定标签值的 `AttributeValue` 元素。例如，要传递标签键值对`CostCenter = blue`，请使用以下属性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要添加多个属性，请为每个标签包含一个单独的 `Attribute` 元素。

## 问题排查
<a name="pingone-troubleshooting"></a>

有关使用 PingOne 对 SCIM 和 SAML 进行一般性问题排查，请参阅以下各部分：
+ [特定用户无法从外部 SCIM 提供商同步到 IAM Identity Center](troubleshooting.md#issue2)
+ [与 IAM Identity Center 创建的 SAML 断言内容有关的问题](troubleshooting.md#issue1)
+ [使用外部身份提供者预置用户或组时出现重复用户或组错误](troubleshooting.md#duplicate-user-group-idp)
+ 有关 PingOne 的更多信息，请参阅 [PingOne 文档](https://docs.pingidentity.com/pingone/p1_cloud__platform_main_landing_page.html)。

以下资源可以帮助您在使用时进行故障排除 AWS：
+ [AWS re:Post](https://repost.aws/)-查找 FAQs 并链接到其他资源以帮助您解决问题。
+ [AWS 支持](https://aws.amazon.com/premiumsupport/) – 获得技术支持

# 使用默认 IAM Identity Center 目录配置用户访问权限
<a name="quick-start-default-idc"></a>

首次启用 IAM Identity Center 后，它会自动配置 Identity Center 目录作为您的默认身份源，因此您无需选择身份源。如果您的组织使用其他身份提供商，例如 Microsoft Active Directory、Microsoft Entra ID 或 Okta，请考虑将该身份源与 IAM Identity Center 集成，而不是使用默认配置。

**目标**

在本教程中，您将使用默认目录作为身份源和一个 IAM Identity Center 组织实例来设置和测试管理用户。该管理用户创建和管理用户和组，并通过权限集授予 AWS 访问权限。在接下来的步骤中，您将创建以下内容：
+ 名为的管理用户 *Nikki Wolf*
+ 一个名为的群组 *Admin team*
+ 名为的权限集 *AdminAccess*

要验证所有内容是否均已正确创建，您需要登录并设置管理用户的密码。完成本教程后，您可以使用此管理用户在 IAM Identity Center 中添加更多用户、创建其他权限集以及设置对应用程序的组织访问权限。或者，如果您想授予用户对应用程序的访问权限，可以遵循此过程的[步骤 1 ](#gs-qs-step1)并[配置应用程序访问](manage-your-applications.md)。

## 先决条件
<a name="prereqs-qs"></a>

需要满足以下先决条件才能完成本教程：
+ [启用 IAM Identity Center](enable-identity-center.md) 并拥有一个 [IAM Identity Center 组织实例](organization-instances-identity-center.md)。
  + 如果您拥有 IAM Identity Center [账户实例](account-instances-identity-center.md)，则可以创建用户和组，并授予他们对应用程序的访问权限。有关更多信息，请参阅[应用程序访问](manage-your-applications.md)。
+ 通过以下任一方式登录 AWS 管理控制台 并访问 IAM 身份中心控制台：
  + ** AWS （root 用户）新手 — 以**账户所有者的身份登录，方法是选择 **AWS 账户 root 用户**并输入您的 AWS 账户 电子邮件地址。在下一页上，输入您的密码。
  + **已在使用 AWS （IAM 证书）**— 使用具有管理权限的 IAM 凭证登录。
    + 有关登录的更多帮助 AWS 管理控制台，请参阅[AWS 登录 指南。](https://docs.aws.amazon.com//signin/latest/userguide/how-to-sign-in.html)
+ 您可以为 IAM Identity Center 用户配置多重身份验证。有关更多信息，请参阅 [在 IAM Identity Center 中配置 MFA](mfa-configure.md)。

## 步骤 1：添加用户
<a name="gs-qs-step1"></a>

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 在 IAM Identity Center 导航窗格，选择**用户**，然后选择**添加用户**。

1. 在**指定用户详细信息**页面，填写以下信息：
   + **用户名**-对于本教程，请输入*nikkiw*。

     创建用户时，请选择易于记忆的用户名。您的用户必须记住用户名才能登录 AWS 访问门户，您以后无法对其进行更改。
   + **密码** - 选择**向该用户发送包含密码设置说明的电子邮件（推荐）**。

     此选项会向用户发送一封来自 Amazon Web Services 的电子邮件，主题行为**邀请加入 IAM Identity Center**。电子邮件发自 `no-reply@signin.aws` 或 `no-reply@login.awsapps.com`。将这些电子邮件地址添加到您允许的发件人列表中。
   + **电子邮件地址** - 输入用户电子邮件地址，您可以通过该地址接收电子邮件。然后，再次输入以确认。每个用户的电子邮件地址必须唯一。
   + **名字** - 输入用户的名字。在本教程中，请输入 *Nikki*。
   + **姓氏** - 输入用户姓氏。在本教程中，请输入 *Wolf*。
   + **显示名称** - 默认值为用户的名字和姓氏。如果要更改显示名称，可以输入不同的名称。显示名称会显示在登录门户和用户列表中。
   + 如果需要，请填写可选信息。本教程不会用到它们，您可以稍后更改。

1. 选择**下一步**。此时将出现**将用户添加到组**页面。我们将创建一个群组来分配管理权限，而不是直接授予管理权限*Nikki*。

   选择**创建组**。

   此时将打开一个新的浏览器选项卡，以显示**创建组**页面。

   1. 在**组详细信息**下的**组名称**中，输入组的名称。我们建议输入一个能表明组角色的组名称。在本教程中，请输入 *Admin team*。

   1. 选择**创建组**。

   1. 关闭**组**浏览器选项卡，返回**添加用户**浏览器选项卡

1. 在**组**区域，选择**刷新**按钮。该*Admin team*群组出现在列表中。

   选中旁边的复选框*Admin team*，然后选择 “**下一步**”。

1. 在**查看并添加用户**页面，确认以下信息：
   + 主要信息会按您的预期显示
   + “组”显示已添加到您创建的组中的用户

   如果需要进行更改，请选择**编辑**。如果所有详细信息都正确，选择**添加用户**。

   此时将显示一条通知消息，告知您用户已添加。

接下来，您将为该*Admin team*组添加管理权限*Nikki*，使其能够访问资源。

## 步骤 2：添加管理权限
<a name="gs-qs-step2"></a>
**重要**  
仅当您启用了 [IAM Identity Center 组织实例](identity-center-instances.md)时，才需执行以下步骤。

1. 在 IAM Identity Center 导航窗格的**多账户权限**下，选择 **AWS 账户**。

1. 在 **AWS 账户** 页面，**组织结构**将显示您的组织，您的账户将以分层结构列于其下方。选中管理账户对应的复选框，然后选择**分配用户或组**。

1. 此时将显示**分配用户和组**工作流程。它包括三个步骤：

   1. 对于**步骤 1：选择用户和群组**，选择您创建的*Admin team*群组。然后选择**下一步**。

   1. 对于**步骤 2：选择权限集**，选择**创建权限集**，以打开新的标签页，它将引导您完成创建权限集所涉及的三个子步骤。

      1. 对于**步骤 1：选择权限集类型**，请完成以下操作：
         + 在**权限集类型**中，选择**预定义权限集**。
         + 在**预定义权限集的策略**中，选择**AdministratorAccess**。

         选择**下一步**。

      1. 对于**步骤 2：指定权限集详细信息**，保留默认设置，并选择**下一步**。

         默认设置会创建名为*AdministratorAccess*、会话持续时间设置为一小时的权限集。在**权限集名称**字段中输入新名称，即可更改权限集的名称。

      1. 对于**步骤 3：查看并创建**，请验证**权限集类型**是否使用 AWS 托管策略**AdministratorAccess**。选择**创建**。**权限集**页面会显示通知，告知您权限集已创建。您可以在网络浏览器中关闭此标签页。

      在**分配用户和组**浏览器标签页，您仍处于**步骤 2：选择权限集**，您将在这里启动创建权限集工作流程。

      在**权限集**区域，选择**刷新**按钮。您创建的*AdministratorAccess*权限集将出现在列表中。选择该权限集的复选框，然后选择**下一步**。

   1. 在 “**步骤 3：查看并提交作业**” 页面上，确认已选择*Admin team*群组并选择*AdministratorAccess*权限集，然后选择**提交**。

      页面更新时会显示一条消息，告知您 AWS 账户 正在配置中。等待该过程完成。

      您将返回到该 AWS 账户 页面。系统会显示一条通知消息，告知您 AWS 账户 已重新配置并应用了更新的权限集。

**恭喜您！**  
您已成功设置第一个用户、组和权限集。

在本教程的下一部分中，您将通过*Nikki's*使用他们的管理凭据登录 AWS 访问门户并设置密码来测试访问权限。现在，注销控制台。

## 步骤 3：测试用户访问权限
<a name="gs-qs-step3"></a>

现在，*Nikki Wolf*这是您组织中的用户，他们可以登录并访问根据其权限集获得权限的资源。要验证用户的配置是否正确，在下一步中，您将使用*Nikki's*凭据登录并设置他们的密码。*Nikki Wolf*在步骤 1 中添加用户时，您选择*Nikki*接收一封包含密码设置说明的电子邮件。现在，您可以打开该电子邮件，并执行以下操作：

1. 在电子邮件中，选择**接受邀请**链接，以接受邀请。
**注意**  
该电子邮件还包括*Nikki's*用户名和他们将用于登录组织的 AWS 访问门户 URL。记录这些信息，以供将来使用。

   您将进入**新用户注册**页面，您可以在其中设置*Nikki's*密码并[注册他们的 MFA 设备](enable-mfa.md)。

1. 设置*Nikki's*密码后，您将导航到 “**登录**” 页面。输入*nikkiw*并选择 “**下一步**”，然后输入*Nikki's*密码并选择 “**登录**”。

1.  AWS 访问门户打开，显示您可以访问的组织和应用程序。

   选择组织将其展开为列表， AWS 账户 然后选择该帐户以显示可用于访问该账户中资源的角色。

    每个权限集都有两种管理方法可供使用，即**角色**和**访问密钥**。
   + 例如，**角色** *AdministratorAccess*-打开 AWS Console Home。
   + **访问密钥**-提供可用于 AWS CLI 或和 AWS SDK 的凭据。包含会自动刷新的短期凭证或短期访问密钥的使用信息。有关更多信息，请参阅 [获取 AWS CLI 或的 IAM Identity Center 用户证书 AWS SDKs](howtogetcredentials.md)。

1. 选择**角色**链接登录 AWS Console Home。

 您已登录并导航到该 AWS Console Home 页面。浏览控制台，并确认您拥有预期的访问权限。

## 后续步骤
<a name="gs-qs-next-steps"></a>

现在，您已经在 IAM Identity Center 创建了管理用户，您可以：
+ [分配应用程序](manage-your-applications.md)
+ [添加其他用户](addusers.md)
+ [将用户分配到账户](assignusers.md)
+ [配置其他权限集](howtocreatepermissionset.md)
**注意**  
您可以将多个权限集分配给同一个用户。要遵循应用最低权限的最佳实践，请在创建管理用户后，创建一个限制性更强的权限集并将其分配给同一个用户。这样，您就可以仅 AWS 账户 使用所需的权限访问您的，而不是管理权限。

在您的用户[接受激活账户的邀请](howtoactivateaccount.md)并登录 AWS 访问门户后，门户中显示的项目仅限于分配给他们的 AWS 账户、角色和应用程序。

## 教程视频
<a name="w2aac15c31"></a>

可将以下视频教程作为补充资源，了解有关设置外部身份提供者的更多信息：
+ [在外部身份提供商之间迁移 AWS IAM Identity Center](https://www.youtube.com/watch?v=A87tSiBdSnU)
+ [将您的现有 AWS IAM Identity Center 实例与 Microsoft Entra ID](https://www.youtube.com/watch?v=iSCuTJNeN6c)