連線使用中目錄或其他 IdP 並指定使用者 - AWS 設定
將管理使用者同步至 IAM 身分中心

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

連線使用中目錄或其他 IdP 並指定使用者

如果您已經在使用 Active Directory 或外部身分識別提供者 (IdP),下列主題將協助您將目錄連線到 IAM 身分識別中心。

您可以連接AWS Managed Microsoft AD目錄、作用中目錄中的自我管理目錄,或具有 IAM 身分識別中心的外部 IdP。如果您打算連接AWS Managed Microsoft AD目錄或作用中目錄中的自我管理目錄,請確定您的 Active Directory 組態符合中的先決條件作用中目錄或外部 IdP

注意

我們強烈建議您啟用多重要素驗證,做為安全性最佳作法。如果您打算連接AWS Managed Microsoft AD目錄或活動目錄中的自我管理目錄,並且您沒有使用 RADIUS MFAAWS Directory Service,在 IAM 身分中心啟用 MFA。如果您打算使用外部身分識別提供者,請注意外部 IdP (而非 IAM 身分中心) 會管理 MFA 設定。IAM 身分中心中的 MFA 不支援外部使用IdPs。如需詳細資訊,請參閱啟用 MFAAWS IAM Identity Center使用者指南

AWS Managed Microsoft AD

  1. 檢閱中的指引連接到微軟活動目錄

  2. 按照中的步驟操作連接目錄AWS Managed Microsoft AD前往 IAM 身分識別中心

  3. 設定作用中目錄,以將您要授與管理權限的使用者同步至 IAM 身分識別中心。如需詳細資訊,請參閱將管理使用者同步至 IAM 身分中心

作用中目錄中的自我管理目錄

  1. 檢閱中的指引連接到微軟活動目錄

  2. 按照中的步驟操作將作用中目錄中的自我管理目錄連線到 IAM 身分識別中心

  3. 設定作用中目錄,以將您要授與管理權限的使用者同步至 IAM 身分識別中心。如需詳細資訊,請參閱在 IAM 身分中心同步處理系統管理使用者

外部 IdP

  1. 檢閱中的指引連線至外部身分識別提供者

  2. 按照中的步驟操作如何連線至外部身分識別提供者

  3. 將您的 IdP 設定為將使用者佈建至 IAM 身分中心。

    注意

    在您將所有員工身分從 IdP 設定到 IAM 身分中心的自動化群組式佈建之前,建議您先將要授予管理許可的一位使用者同步至 IAM 身分中心。

將管理使用者同步至 IAM 身分中心

將目錄連線到 IAM Identity Center 後,您可以指定要授與管理權限的使用者,然後將該使用者從目錄同步到 IAM 身分中心。

  1. 打開IAM 身分中心主控台

  2. 選擇 Settings (設定)。

  3. 在「」設定頁面上,選擇識別來源」頁籤上,選擇動作,然後選擇管理同步

  4. 在「」管理同步頁面上,選擇使用者」標籤,然後選擇新增使用者和群組

  5. 在「」使用者標籤的下使用者,請輸入確切的使用者名稱,然後選擇新增

  6. 新增的使用者和群組,執行下列動作:

    1. 確認已指定要授與管理權限的使用者。

    2. 選取使用者名稱左側的核取方塊。

    3. 選擇 Submit (提交)。

  7. 管理同步頁面中,您指定的使用者會顯示在同步範圍內的使用者列表。

  8. 在導覽窗格中,選擇 使用者

  9. 在「」使用者頁面中,您指定的使用者可能需要一些時間才會顯示在清單中。選擇重新整理圖示以更新使用者清單。

此時,您的使用者無法存取管理帳戶。您可以透過建立系統管理權限集並將使用者指派給該權限集,來設定此帳戶的管理存取權限。

下一步: 步驟 3:建立系統管理權限集