使用和 IAM 身分識別中心設定 SAML Microsoft Entra ID 和 SCIM - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用和 IAM 身分識別中心設定 SAML Microsoft Entra ID 和 SCIM

AWS IAM Identity Center 支援與安全性宣告標記語言 (SAML) 2.0 整合,以及使用跨網域身分識別管理 (SCIM) 2.0 通訊協定的系統,將使用者和群組資訊從 Microsoft Entra ID (先前稱為Azure Active Directory或Azure AD) 自動佈建 (同步處理) 至 IAM 身分中心。

目的

在本教學課程中,您將設定測試實驗室,並在和 IAM 身分中心之間設定 SAML 連線Microsoft Entra ID和 SCIM 佈建。在初始準備步驟期間,您將在兩個方向建立測試使用者 (Nikki Wolf) Microsoft Entra ID 和 IAM 身分中心,您將使用這些中心來測試 SAML 連線。稍後,作為 SCIM 步驟的一部分,您將建立不同的測試使用者 (Richard Roe),以確認中的新屬性Microsoft Entra ID是否如預期同步至 IAM 身分中心。

您必須先設定下列項目,才能開始使用本教學課程:

  • 一個Microsoft Entra ID租戶 如需詳細資訊,請參閱Microsoft文件中的快速入門:設定承租人

  • AWS IAM Identity Center已啟用的帳戶。如需詳細資訊,請參閱AWS IAM Identity Center 使用指南中的啟用 IAM 身分中心

以下是相關的重要考量,可Microsoft Entra ID能會影響您計劃如何使用 SCIM v2 通訊協定在生產環境中使用 IAM 身分中心實作自動佈建

自動佈建

在開始部署 SCIM 之前,我們建議您先檢閱使用自動佈建的考量

存取控制的屬性

用於存取控制的屬性用於決定身分識別來源中誰可以存取您的 AWS 資源的權限原則。如果從中的使用者移除屬性Microsoft Entra ID,該屬性將不會從 IAM 身分中心的對應使用者中移除。這是中的已知限制Microsoft Entra ID。如果使用者的屬性變更為不同 (非空白) 值,則該變更會同步至 IAM 身分中心。

巢狀群組

Microsoft Entra ID使用者佈建服務無法讀取或佈建巢狀群組中的使用者。只有屬於明確指派之群組直接成員的使用者才能讀取和佈建。 Microsoft Entra ID不會以遞迴方式解壓縮間接指派的使用者或群組 (屬於直接指派之群組成員的使用者或群組) 的群組成員資格。如需詳細資訊,請參閱文件中的以指派為基礎的範圍設定。Microsoft或者,您可以使用 IAM 身分中心 ID AD 同步,將Active Directory群組與 IAM 身分中心整合。

動態群組

Microsoft Entra ID使用者佈建服務可以讀取和佈建動態群組中的使用者。請參閱以下範例,瞭解使用動態群組時的使用者和群組結構,以及這些使用者和群組在 IAM 身分中心中的顯示方式。這些使用者和群組是透過 SCIM 從 Microsoft Entra ID IAM 身分中心佈建

例如,如果動態群組的Microsoft Entra ID結構如下所示:

  1. A 組,成員為 ua1,ua2

  2. B 組成員為 ub1

  3. C 組,其成員為 uc1

  4. 規定包括 A、B、C 組成員的 K 組

  5. 群組 L,其規則包括 B 群組和 C 群組

透過 SCIM 將使用者和群組資訊從 IAM 身分中心佈建Microsoft Entra ID到 IAM 身分中心後,結構將如下所示:

  1. A 組,成員為 ua1,ua2

  2. B 組成員為 ub1

  3. C 組,其成員為 uc1

  4. K 組成員為 ua1、UA2、ub1、uc1

  5. 群組 L,其成員為 ub1,uc1

使用動態群組設定自動佈建時,請記住下列考量事項。

  • 動態群組可以包含巢狀群組。不過,Microsoft Entra ID佈建服務不會平面化巢狀群組。例如,如果動態群組具有下列Microsoft Entra ID結構:

    • 群組 A 是群組 B 的父系。

    • A 組有 ua1 作為成員。

    • B 組有 ub1 作為成員。

包含群組 A 的動態群組只會包含群組 A (也就是 ua1) 的直接成員。它不會遞歸包含 B 組的成員。

  • 動態群組不能包含其他動態群組。如需詳細資訊,請參閱Microsoft文件中的預覽限制

在此步驟中,您將逐步介紹如何安裝和設定您的 AWS IAM Identity Center 企業應用程式,並將存取權指派給新建立的Microsoft Entra ID測試使用者。

Step 1.1 >

步驟 1.1:在中設定 AWS IAM Identity Center 企業應用程式 Microsoft Entra ID

在此程序中,您可以在中安裝 AWS IAM Identity Center 企業應用程式Microsoft Entra ID。稍後您將需要此應用程式來設定您的 SAML 連 AWS線。

  1. 至少以雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心

  2. 導覽至身分識別 > 應用程式 > 企業應用程式,然後選擇 [新增應用程式

  3. 在 [瀏覽 Microsoft 項目庫] 頁面上,在搜尋方塊AWS IAM Identity Center中輸入。

  4. AWS IAM Identity Center從結果中選取。

  5. 選擇建立

Step 1.2 >

步驟 1.2:建立測試使用者 Microsoft Entra ID

Nikki Wolf 是您將在此過程中創建的Microsoft Entra ID測試用戶的名稱。

  1. Microsoft Entra 系統管理中心主控台中,瀏覽至身分識別 > 使用者 > 所有使用者

  2. 選取 [新增使用者],然後選擇畫面頂端的 [建立新使用者]。

  3. 在 [使用者主要名稱] 中,輸入 NikkiWolf,然後選取您偏好的網域和擴充功能。例如,NikkiWolf@ 如。

  4. 在 [顯示名稱] 中,輸入NikkiWolf

  5. 密碼中,輸入強式密碼或選取眼睛圖示以顯示自動產生的密碼,然後複製或記下顯示的值。

  6. 選擇「內容」,在「名字」中輸入Nikki。在姓氏中,輸入Wolf

  7. 選擇 [檢閱 + 建立],然後選擇 [建立]。

Step 1.3

步驟 1.3:在將權限分配給 Nikki 之前測試她的經驗 AWS IAM Identity Center

在此過程中,您將驗證什麼 Nikki 可以成功登錄到她的 Microsoft 我的帳戶門戶

  1. 在同一瀏覽器中,打開一個新標籤,轉到「我的帳戶」門戶登錄頁面,然後輸入 Nikki 的完整電子郵件地址。例如,NikkiWolf@ 如。

  2. 出現提示時,輸入 Nikki 的密碼,然後選擇「登入」。如果這是自動產生的密碼,系統會提示您變更密碼。

  3. 在「需要採取處理行動」頁面上,選擇「稍後詢問」以略過其他安全性方法的提示。

  4. 在 [我的帳戶] 頁面的左側導覽窗格中,選擇 [我的應用程式]。請注意,除了增益集之外,此時不會顯示任何應用程式。您將添加一個AWS IAM Identity Center應用程序,該應用程序將在稍後的步驟中顯示在此處

Step 1.4

步驟 1.4:將權限分配給尼克 Microsoft Entra ID

現在,您已經驗證了 Nikki 可以成功訪問「我的帳戶」門戶,請使用此過程將其用戶分配給該AWS IAM Identity Center應用程序。

  1. Microsoft Entra 系統管理中心主控台中,瀏覽至身分識別 > 應用程式 > 企業應用程式,然後AWS IAM Identity Center從清單中選擇。

  2. 在左側,選擇 [使用者和群組]。

  3. 選擇 Add user/group (新增使用者/群組)。您可以忽略說明群組無法指派的訊息。此自學課程不會使用群組進行指派。

  4. 在「新增指定」頁面的「使用者」下,選擇「無選取項目」。

  5. 選取 NikkiWolf,然後選擇 [選取]

  6. 在「新增指派」頁面上,選擇指派。 NikkiWolf 現在會顯示在指派給AWS IAM Identity Center應用程式的使用者清單中。

在此步驟中,您將逐步介紹如何使用IAM Identity Center來設定存取權限 (透過權限集)、手動建立對應的 Nikki Wolf 使用者,並指派必要的權限來管理中 AWS的資源。

Step 2.1 >

步驟 2.1:建立 RegionalAdmin 權限集 IAM Identity Center

此權限集將用於授予 Nikki 從「 AWS 帳戶」頁面中管理區域所需的必要帳戶權限。 AWS Management Console默認情況下,拒絕查看或管理 Nikki 帳戶任何其他信息的所有其他權限。

  1. 開啟 IAM 身分中心主控台

  2. 在 [多帳戶權限] 下,選擇 [權限集]。

  3. 選擇 Create permission set (建立許可集合)

  4. 在 [選取權限集類型] 頁面上,選取 [自訂權限集],然後選擇 [下一步]。

  5. 選取 [內嵌原則] 將其展開,然後使用下列步驟建立權限集的原則:

    1. 選擇新增陳述式來建立政策聲明。

    2. 在 [編輯單] 下方,從清單中選取 [帳戶],然後選擇下列核取方塊。

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

    3. Add a resource (新增資源) 旁邊,選擇 Add (新增)。

    4. 在 [新增資源] 頁面的 [資源類型] 下,選取 [所有資源],然後選擇 [新增資源]。確認您的政策如下所示:

      {
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions",
                "account:DisableRegion",
                "account:EnableRegion",
                "account:GetRegionOptStatus"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  6. 選擇下一步

  7. 在 [指定權限集詳細資料] 頁面上的 [權限集名稱] 下,輸入 RegionalAdmin,然後選擇 [下步]。

  8. Review and create (檢閱和建立) 頁面上,選取 Create (建立)。您應該RegionalAdmin會看到顯示在權限集清單中。

Step 2.2 >

步驟 2.2:建立對應的 NikkiWolf 使用者 IAM Identity Center

由於 SAML 通訊協定未提供查詢 IdP (Microsoft Entra ID) 以及在 IAM 身分中心自動建立使用者的機制,因此請使用下列程序在 IAM 身分中心手動建立使用者,以鏡像 Nikki Wolfs 使用者的核心屬性。Microsoft Entra ID

  1. 開啟 IAM 身分中心主控台

  2. 選擇 [使者],選擇 [新增使用者],然後提供下列資訊:

    1. 對於 [使用者名稱] 和 [電子郵件地址] — 輸入與建NikkiWolf立使用者時所使用的公司網域 .副檔名相同。Microsoft Entra ID例如,NikkiWolf@ 如。

    2. 確認電子郵件地址 — 重新輸入上一步的電子郵件地址

    3. 名字 — 輸入 Nikki

    4. 姓氏 — 輸入 Wolf

    5. 顯示名稱 — 輸入 Nikki Wolf

  3. 選擇「下一步」兩次,然後選擇「新增用戶

  4. 請選擇 Close (關閉)

Step 2.3

步驟 2.3:將 Nikki 分配給中設置的 RegionalAdmin 權限 IAM Identity Center

AWS 帳戶 在這裡,您可以找到尼克將管理區域,然後分配成功訪問門戶所需的必要權限。 AWS

  1. 開啟 IAM 身分中心主控台

  2. 在「多帳戶權限」下,選擇 AWS 帳戶「」。

  3. 選取您要授與 Nikki 管理區域存取權的帳戶名稱 (例如沙盒) 旁邊的核取方塊,然後選擇 [指派使用者和群組]。

  4. 在 [指派使用者和群組] 頁面上,選擇 [使用者] 索引標籤,尋找並勾選 Nikki 旁邊的核取方塊,然後選擇 [下一步]。

在此步驟中,您可以使用 AWS IAM Identity Center 企業應用程式以及 IAM 身分中心中Microsoft Entra ID的外部 IdP 設定來設定 SAML 連線。

Step 3.1 >

步驟 3.1:從 IAM 身分中心收集所需的服務提供者中繼資料

在此步驟中,您將從 IAM Identity Center 主控台中啟動 [變更身分識別來源] 精靈,並擷取中繼資料檔案以及Microsoft Entra ID在下一個步驟中設 AWS 定連線時所需輸入的特定登入 URL。

  1. IAM 身分中心主控台中,選擇 [設定]

  2. 在 [定] 頁面上,選擇 [識別來源] 索引標籤,然後選擇 [動作] > [變更身分識別來源]

  3. 在 [選擇身分識別來源] 頁面上,選取 [外部身分識別提供者],然後選擇 [

  4. 在 [設定外部身分識別提供者] 頁面的 [服務提供者中繼資料] 下,選擇 [下載中繼資料檔案] 以下載 XML 檔

  5. 在同一部分中,找到AWS 訪問門戶登錄 URL 值並將其複制。在下一個步驟中出現提示時,您將需要輸入此值。

  6. 保持此頁面處於開啟狀態,然後移至下一個步驟 (Step 3.2) 以在中設定 AWS IAM Identity Center 企業應用程式Microsoft Entra ID。稍後,您將返回此頁面以完成該過程。

Step 3.2 >

步驟 3.2:配置 AWS IAM Identity Center 企業應用程序 Microsoft Entra ID

此程序會使用您在上一個步驟中取得的中繼資料檔案和登入 URL 的值,在 Microsoft 端建立一半的 SAML 連線。

  1. Microsoft Entra 系統管理中心主控台中,瀏覽至身分識別 > 應用程式 > 企業應用程式,然後選擇AWS IAM Identity Center

  2. 在左側,選擇 2。設定單一登入

  3. 在「使用 SAML 設定單一登入」頁面上,選擇 SAML。然後選擇 [上傳中繼資料檔案]、選擇資料夾圖示、選取您在上一個步驟中下載的服務提供者中繼資料檔案,然後選擇 [新增]。

  4. 在「基本 SAML 組態」頁面上,確認識別碼回覆 URL 值現在都指向開頭為 AWS 的端點。https://<REGION>.signin.aws.amazon.com/platform/saml/

  5. 在 [登入 URL (選用)] 底下,貼上您在上一個步驟 (Step 3.1) 複製的存AWS 取入口網站登入 URL 值,選擇 [儲存],然後選擇 [X] 以關閉視窗。

  6. 如果系統提示您測試單一登入 AWS IAM Identity Center,請選擇否,稍後再測試。您將在稍後的步驟中進行此驗證。

  7. 在「使用 SAML 設定單一登入」頁面的「SAML 憑證」區段的「同盟中繼資料 XML」旁,選擇「下載」,將中繼資料檔案儲存至您的系統。在下一個步驟中出現提示時,您將需要上傳此檔案。

Step 3.3 >

步驟 3.3:在中設定Microsoft Entra ID外部 IdP AWS IAM Identity Center

在這裡,您將返回 IAM 身分中心主控台中的 [變更身分識別來源] 精靈,以完成中 SAML 連線的下半部分。 AWS

  1. 返回您Step 3.1在 IAM 身分中心主控台中保持開啟狀態的瀏覽器工作階段。

  2. 在 [設定外部身分識別提供者] 頁面的 [身分識別提供者中繼資料] 區段的 [IdP SAML 中繼資料] 下,選擇 [選擇檔案] 按鈕,然後選取您在上一個步驟中下載的身分識別提供者Microsoft Entra ID中繼資料檔案,然後選擇 [開啟]。

  3. 選擇下一步

  4. 閱讀免責聲明並準備繼續之後,請輸入ACCEPT

  5. 選擇 [變更身分識別來源] 以套用變更。

Step 3.4 >

步驟 3.4:測試尼克被重定向到 AWS 訪問門戶

在此程序中,您將使用 Nikki 的認證登入 Microsoft 的「我的帳戶」入口網站來測試 SAML 連線。經過身份驗證後,您將選擇將 Nikki 重定向到 AWS 訪問門戶的 AWS IAM Identity Center 應用程序。

  1. 轉到「我的帳戶」門戶登錄頁面,然後輸入 Nikki 的完整電子郵件地址。例如,NikkiWolf@

  2. 出現提示時,輸入 Nikki 的密碼,然後選擇「登入」。

  3. 在 [我的帳戶] 頁面的左側導覽窗格中,選擇 [我的應用程式]。

  4. 在「我的應用程式」頁面上,選取名為的應用程式AWS IAM Identity Center。這應該會提示您進行額外的驗證。

  5. 在微軟的登入頁面上,選擇您的 NikkiWolf 認證。如果系統再次出現驗證提示,請再次選擇您的 NikkiWolf 認證。這會自動將您重新導向至 AWS 存取入口網站。

    提示

    如果您未成功重新導向,請檢查以確定您輸入的AWS 存取入口網站登入 URL 值與您複製來源的值Step 3.2相符Step 3.1

  6. 確認您看到顯示「AWS 帳戶 」圖示。

    提示

    如果頁面空白且未顯示「AWS 帳戶」圖示,請確認 Nikki 已成功指派給RegionalAdmin權限集 (請參閱 Step 2.3)。

Step 3.5

步驟 3.5:測試尼克的訪問級別以管理她 AWS 帳戶

在此步驟中,您將檢查以確定 Nikki 的訪問級別以管理她 AWS 帳戶的「區域」設置。Nikki 應該只有足夠的管理員權限才能從「帳戶」頁面管理區域。

  1. 在 AWS 存取入口網站中,選擇「AWS 帳戶」圖示 以展開帳戶清單。選擇圖示後,與您已定義權限集的任何帳戶相關聯的帳戶名稱、帳戶 ID 和電子郵件地址都會顯示出來。

  2. 選擇您套用權限集的帳戶名稱 (例如沙箱) (請參閱 Step 2.3)。這將擴大 Nikki 可以選擇來管理其帳戶的權限集列表。

  3. 接下來,RegionalAdmin選擇 [管理主控台],以承擔您在RegionalAdmin權限集中定義的角色。這會將您重定向到 AWS Management Console 主頁。

  4. 在主機右上角,選擇您的帳戶名稱,然後選擇 [帳戶]。這將帶您進入「帳戶」頁面。請注意,此頁面上的所有其他區段都會顯示一則訊息,指出您沒有檢視或修改這些設定的必要權限。

  5. 在 [帳戶] 頁面上,向下捲動至 [區域] AWS 區段。選取表格中任何可用「區域」的核取方塊。請注意,Nikki 確實具有必要的權限來用或禁用她的帳戶的區域列表。

做得很好!

步驟 1 到步驟 3 可協助您成功實作和測試 SAML 連線。現在,若要完成教學課程,我們建議您繼續執行步驟 4 以實作自動佈建。

在此步驟中,您將使用 SCIM v2.0 通訊協定從 Microsoft Entra ID IAM 身分中心設定使用者資訊的自動佈建 (同步處理)。您可以在Microsoft Entra ID使用適用於 IAM 身分中心的 SCIM 端點以及 IAM 身分中心自動建立的承載權杖中設定此連線。

設定 SCIM 同步時,您可Microsoft Entra ID以在中建立使用者屬性與 IAM 身分中心中指定屬性的對應。這會導致 IAM 身分中心和Microsoft Entra ID.

下列步驟將逐步說明如何使用中的 IAM 身分中心應用程式,對主要位於 IAM 身分中心的使用者啟用自動佈建Microsoft Entra ID。Microsoft Entra ID

Step 4.1 >

步驟 4.1:建立第二個測試使用者 Microsoft Entra ID

出於測試目的,您將在中創建一個新用戶(Richard Roe)Microsoft Entra ID。稍後,在您設定 SCIM 同步處理之後,您將測試此使用者和所有相關屬性是否已成功同步至 IAM 身分中心。

  1. Microsoft Entra 系統管理中心主控台中,瀏覽至身分識別 > 使用者 > 所有使用者

  2. 選取 [新增使用者],然後選擇畫面頂端的 [建立新使用者]。

  3. 在 [使用者主要名稱] 中,輸入 RichRoe,然後選取您偏好的網域和擴充功能。例如,RichRoe@ 如。

  4. 在 [顯示名稱] 中,輸入RichRoe

  5. 密碼中,輸入強式密碼或選取眼睛圖示以顯示自動產生的密碼,然後複製或記下顯示的值。

  6. 選擇 [內容],然後提供下列值:

    • 名字-輸入 Richard

    • 姓氏-輸入 Roe

    • Job 稱-輸入 Marketing Lead

    • 部門-輸入 Sales

    • 員工識別碼-輸入 12345

  7. 選擇 [檢閱 + 建立],然後選擇 [建立]。

Step 4.2 >

步驟 4.2:在 IAM 身分中心啟用自動佈建

在此程序中,您將使用 IAM 身分中心主控台,為來自 IAM 身分中心的使用者和群組啟用自動佈建。Microsoft Entra ID

  1. 開啟 IAM 身分中心主控台,然後在左側導覽窗格中選擇 [設定]。

  2. 在 [定] 頁面的 [身分識別來源] 索引標籤下,請注意佈建方法已設定為手動

  3. 找到 [自動佈建資訊] 方塊,然後選擇 [啟用]。這會立即在 IAM 身分中心啟用自動佈建,並顯示必要的 SCIM 端點和存取權杖資訊。

  4. 在「輸入自動佈建」對話方塊中,複製下列選項的每個值。當您在中配置佈建時,您需要在下一個步驟中貼上這些步驟Microsoft Entra ID。

    1. SCIM 端點-例如,https://scim。 us-east-2. 亞馬遜公司/111111111-2222-3333-4444-5555555555 /scim/V2/

    2. 存取權杖-選擇顯示權杖以複製值。

  5. 選擇關閉

  6. 在 [身分識別來源] 索引標籤下,請注意佈建方法現在已設定為 SCIM

Step 4.3 >

步驟 4.3:在中配置自動佈建 Microsoft Entra ID

現在您已經準備好 RichRoe 測試使用者,並且已在 IAM 身分中心中啟用 SCIM,您可以繼續在中設定 SCIM 同步處理設定。Microsoft Entra ID

  1. Microsoft Entra 系統管理中心主控台中,瀏覽至身分識別 > 應用程式 > 企業應用程式,然後選擇AWS IAM Identity Center

  2. 選擇佈建,在管理下,再次選擇佈建

  3. 佈建模式中,選取自動

  4. 在 [管理員認證] 下的 [租用戶 URL] 中,貼上您先前複製的 SCIM 端點 URL 值。Step 4.1秘密權杖中,貼上存取權杖值。

  5. 選擇 Test Connection (測試連接)。您應該會看到一則訊息,指出已成功授權測試的認證可以啟用佈建。

  6. 選擇儲存

  7. 在 [管理] 下,選擇 [使用者和群組],然後選擇 [新增使用者/群組]。

  8. 在「新增指定」頁面的「使用者」下,選擇「無選取項目」。

  9. 選取 RichRoe,然後選擇 [選取]

  10. Add Assignment (新增指派) 頁面上,選擇 Assign (指派)。

  11. 選擇 [概觀],然後選擇 [開始佈建]。

Step 4.4

步驟 4.4:確認同步處理已發生

在本節中,您將驗證 Richard 的使用者已成功佈建,以及所有屬性都顯示在 IAM 身分中心。

  1. IAM 身分中心主控台中,選擇 [使用者]。

  2. 在 [使用] 頁面上,您應該會看到您的RichRoe使用者已顯示。請注意,「建立者」欄中的值設定為 SCIM

  3. 在「設定檔」下選擇 RichRoe,確認下列屬性是否已複製來源Microsoft Entra ID。

    • 名字-Richard

    • 姓氏-Roe

    • 部門-Sales

    • 標題-Marketing Lead

    • 員工編號-12345

    現在 Richard 的使用者已在 IAM 身分中心建立,您可以將其指派給任何權限集,以便控制他對您 AWS 資源的存取層級。例如,您可以指派RichRoe給先前用來授與 Nikki 管理區域的權限集 (請參閱 Step 2.3),然後使Step 3.5用來測試其存取層級。RegionalAdmin

恭喜您!

您已成功設定 Microsoft 之間的 SAML 連線,並 AWS 且已驗證自動佈建正在運作,讓所有項目保持同步。現在,您可以應用所學到的知識,以更順暢地設置您的生產環境。

如果您遇到使用Microsoft Entra ID者未同步至 IAM 身分中心的問題,可能是因為當新使用者新增至 IAM 身分中心時,IAM 身分中心已標記語法問題。您可以檢查Microsoft Entra ID稽核記錄檔是否有失敗事件,例如'Export'. 此事件的「狀態原因」 會說明:

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

您也可以檢 AWS CloudTrail 查失敗的事件。這可以通過 CloudTrail 使用以下過濾器在事件歷史記錄控制台中搜索來完成:

"eventName":"CreateUser"

CloudTrail 事件中的錯誤將說明以下內容:

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

最終,此例外意味著從傳遞的其中一個值Microsoft Entra ID包含的值超過預期的值。這裡的解決方案是查看中用戶的屬性Microsoft Entra ID,確保沒有包含重複值。重複值的一個常見例子是具有多個值存在於聯繫電話,如移動工作傳真。雖然單獨的值,它們都傳遞給 IAM 身份中心下的單一父屬性 PhoneNu mbers。

如需 SCIM 疑難排解的一般秘訣,請參閱IAM 身分中心問題疑難排解

現在您已成功設定 SAML 和 SCIM,您可以選擇性地選擇設定以屬性為基礎的存取控制 (ABAC)。ABAC 是一種授權策略,根據屬性定義權限。

使用時Microsoft Entra ID,您可以使用下列兩種方法之一來設定 ABAC 以搭配 IAM 身分中心使用。

Configure user attributes in Microsoft 項目 ID for access control in IAM Identity Center

在中設定使用者屬性以Microsoft Entra ID便在 IAM 身分中心進行存取控制

在下列程序中,您將決定 IAM 身分中心Microsoft Entra ID應使用哪些屬性來管理 AWS 資源的存取權。定義完成後,Microsoft Entra ID會透過 SAML 宣告將這些屬性傳送至 IAM 身分中心。然後,您將需要建立許可集合在 IAM 身分中心根據傳遞的屬性管理存取權限Microsoft Entra ID。

開始此程序之前,您必須先啟用此存取控制的屬性功能。如需如何進行該服務的詳細資訊,請參閱啟用和設定存取控制的屬性

  1. Microsoft Entra 系統管理中心主控台中,瀏覽至身分識別 > 應用程式 > 企業應用程式,然後選擇AWS IAM Identity Center

  2. 選擇 Single sign-on (單一登入)。

  3. 在「屬性與聲明」區段中,選擇 「編輯」。

  4. 在「屬性與宣告」頁面上,執行下列動作:

    1. 選擇 [新增索賠]

    2. 針對名稱,輸入 AccessControl:AttributeName。以 IAM 身分中心預期的屬性名稱取AttributeName代。例如 AccessControl:Department

    3. 針對 Namespace (命名空間),輸入 https://aws.amazon.com/SAML/Attributes

    4. 針對 Source (來源),選擇 Attribute (屬性)

    5. 對於「來源」屬性,請使用下拉式清單來選擇使用Microsoft Entra ID者屬性。例如 user.department

  5. 針對需要在 SAML 宣告中傳送至 IAM 身分中心的每個屬性重複上述步驟。

  6. 選擇儲存

Configure ABAC using IAM Identity Center

使用 IAM 身分中心設定 ABAC

使用此方法時,您可以使用 IAM 身分中心中的存取控制的屬性功能來傳遞Name屬性設定為的Attribute元素https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}。您可以使用此元素將屬性作為 SAML 宣告中的工作階段標籤傳遞。如需工作階段標籤的詳細資訊,請參閱 IAM 使用者指南 AWS STS中的「傳遞工作階段標籤」。

若要將屬性做為工作階段標籤傳遞,請包含指定標籤值的 AttributeValue 元素。例如,若要傳遞標籤鍵值配對Department=billing,請使用下列屬性:

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

如果您需要新增多個屬性,請為每個標籤包含單獨的Attribute元素。