SCIM 使用 設定 SAML和 Microsoft Entra ID 和 IAM Identity Center - AWS IAM Identity Center
必要條件考量事項步驟 1:準備您的 Microsoft 租用戶步驟 2:準備 AWS 您的帳戶步驟 3:設定和測試您的SAML連線步驟 4:設定和測試SCIM同步步驟 5:設定 ABAC - 選用將存取權指派給 AWS 帳戶故障診斷

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SCIM 使用 設定 SAML和 Microsoft Entra ID 和 IAM Identity Center

AWS IAM Identity Center 支援整合 安全聲明標記語言 (SAML) 2.0,以及來自 的使用者和群組資訊的自動佈建 (同步) Microsoft Entra ID (先前稱為 Azure Active Directory 或 Azure AD) 使用 System for Cross-domain IAM Identity Management () 2.0 通訊協定進入 Identity Center。 SCIM如需詳細資訊,請參閱將 SAML 和 SCIM 聯合身分與外部身分提供者搭配使用

目標

在本教學課程中,您將設定測試實驗室,並在 之間設定SAML連線和SCIM佈建 Microsoft Entra ID 和 IAM Identity Center。在初始準備步驟期間,您將在這兩個步驟中建立測試使用者 (Nikki Wolf) Microsoft Entra ID 和 IAM Identity Center,您將用來測試雙向SAML連線。稍後,作為SCIM步驟的一部分,您將建立不同的測試使用者 (Richard Roe),以驗證 中的新屬性 Microsoft Entra ID 正如預期同步至 IAM Identity Center。

必要條件

您必須先設定下列項目,才能開始使用本教學課程:

考量事項

以下是有關 的重要考量事項 Microsoft Entra ID 可能會影響您計劃使用 SCIM v2 通訊協定在生產環境中使用 IAM Identity Center 實作自動佈建的方式。

自動佈建

在您開始部署 之前SCIM,我們建議您先檢閱 使用自動佈建的考量事項

存取控制的屬性

存取控制的屬性會用在許可政策中,以判斷您的身分來源中誰可以存取您的 AWS 資源。如果從 中的使用者移除屬性 Microsoft Entra ID,該屬性不會從 IAM Identity Center 中的對應使用者中移除。這是 中的已知限制 Microsoft Entra ID。 如果屬性變更為使用者的不同 (非空白) 值,則該變更會同步到 IAM Identity Center。

巢狀群組

所以此 Microsoft Entra ID 使用者佈建服務無法讀取或佈建巢狀群組中的使用者。只能讀取和佈建屬於明確指派群組的直接成員的使用者。Microsoft Entra ID 不會以遞迴方式解壓縮間接指派的使用者或群組的群組成員 (直接指派之群組的成員)。如需詳細資訊,請參閱《》中的以指派為基礎的範圍界定 Microsoft 文件中)。或者,您可以使用 IAM Identity Center ID AD Sync 來整合 Active Directory 群組與 IAM Identity Center。

動態群組

所以此 Microsoft Entra ID 使用者佈建服務可以在動態群組中讀取和佈建使用者。請參閱以下範例,說明使用動態群組時的使用者和群組結構,以及它們在 IAM Identity Center 中顯示的方式。這些使用者和群組是從 佈建 Microsoft Entra ID 透過 進入 IAM Identity Center SCIM

例如,如果 Microsoft Entra ID 動態群組的結構如下:

  1. 群組 A 具有成員 ua1、ua2

  2. 群組 B 與成員 ub1

  3. 群組 C 與成員 uc1

  4. 群組 K 具有包含群組 A、B、C 成員的規則

  5. 群組 L 具有包含成員群組 B 和 C 的規則

從 佈建使用者和群組資訊之後 Microsoft Entra ID 透過 進入 IAM Identity CenterSCIM,結構如下:

  1. 群組 A 具有成員 ua1、ua2

  2. 群組 B 與成員 ub1

  3. 群組 C 與成員 uc1

  4. 群組 K 具有成員 ua1、ua2、ub1、uc1

  5. 群組 L 具有成員 ub1、uc1

當您使用動態群組設定自動佈建時,請記住下列考量事項。

  • 動態群組可以包含巢狀群組。不過,Microsoft Entra ID 佈建服務不會扁平巢狀群組。例如,如果您有下列 Microsoft Entra ID 動態群組的 結構:

    • A 群組是 B 群組的父系。

    • 群組 A 以成員身分有 ua1。

    • B 群組以成員身分擁有 ub1。

包含群組 A 的動態群組只會包含群組 A (即 ua1) 的直接成員。它不會遞迴地包含群組 B 的成員。

  • 動態群組不能包含其他動態群組。如需詳細資訊,請參閱 中的預覽限制 Microsoft 文件中)。

步驟 1:準備您的 Microsoft 租用戶

在此步驟中,您將逐步了解如何安裝和設定您的 AWS IAM Identity Center 企業應用程式,並將存取權指派給新建立的 Microsoft Entra ID 測試使用者。

Step 1.1 >

步驟 1.1:在 中設定 AWS IAM Identity Center 企業應用程式 Microsoft Entra ID

在此程序中,您會在 中安裝 AWS IAM Identity Center 企業應用程式 Microsoft Entra ID。 您稍後需要此應用程式來設定您的SAML連線 AWS。

  1. 至少以雲端應用程式管理員身分登入 Microsoft Entra 管理中心

  2. 導覽至身分 > 應用程式 > 企業應用程式,然後選擇新應用程式

  3. 瀏覽 Microsoft Entra Gallery 頁面上,AWS IAM Identity Center在搜尋方塊中輸入 。

  4. AWS IAM Identity Center 從結果中選取 。

  5. 選擇 Create (建立)。

Step 1.2 >

步驟 1.2:在 中建立測試使用者 Microsoft Entra ID

Nikki Wolf 是您的 Microsoft Entra ID 測試您將在此程序中建立的使用者。

  1. Microsoft Entra 管理中心主控台中,導覽至身分 > 使用者 > 所有使用者

  2. 選取新使用者,然後在畫面頂端選擇建立新使用者

  3. 使用者主體名稱中,輸入 NikkiWolf,然後選取您偏好的網域和延伸。例如,NikkiWolf@example.org

  4. 顯示名稱中,輸入 NikkiWolf

  5. 密碼中,輸入強式密碼或選取眼睛圖示以顯示自動產生的密碼,然後複製或寫下顯示的值。

  6. 選擇屬性,在名字中輸入 Nikki。在姓氏中,輸入 Wolf

  7. 選擇檢閱 + 建立,然後選擇建立

Step 1.3

步驟 1.3:在將許可指派給 之前,先測試 Nikki 的體驗 AWS IAM Identity Center

在此程序中,您將驗證 Nikki 可以成功登入其 Microsoft My Account 入口網站的內容。

  1. 在相同的瀏覽器中,開啟新的索引標籤,前往我的帳戶入口網站登入頁面,然後輸入 Nikki 的完整電子郵件地址。例如,NikkiWolf@example.org

  2. 出現提示時,輸入 Nikki 的密碼,然後選擇登入。如果這是自動產生的密碼,系統會提示您變更密碼。

  3. 必要動作頁面上,選擇稍後請求以略過其他安全方法的提示。

  4. 我的帳戶頁面的左側導覽窗格中,選擇我的應用程式。請注意,除了增益集之外,目前不會顯示任何應用程式。您將新增AWS IAM Identity Center應用程式,稍後將在此顯示。

Step 1.4

步驟 1.4:在 中將許可指派給 Nikki Microsoft Entra ID

現在您已驗證 Nikki 可以成功存取我的帳戶入口網站,請使用此程序將她的使用者指派給AWS IAM Identity Center應用程式。

  1. Microsoft Entra 管理中心主控台中,導覽至身分 > 應用程式 > 企業應用程式AWS IAM Identity Center然後從清單中選擇。

  2. 在左側,選擇使用者和群組

  3. 選擇 Add user/group (新增使用者/群組)。您可以忽略訊息,指出群組無法進行指派。本教學課程不會使用群組進行指派。

  4. 新增指派頁面的使用者下,選擇未選取

  5. 選取 NikkiWolf,然後選擇選取

  6. 新增指派頁面上,選擇 Assign. NikkiWolf now 會出現在指派給AWS IAM Identity Center應用程式的使用者清單中。

步驟 2:準備 AWS 您的帳戶

在此步驟中,您將逐步說明如何使用 IAM Identity Center 若要設定存取許可 (透過許可集),請手動建立對應的 Nikki Wolf 使用者,並指派必要的許可給她以管理 資源 AWS。

Step 2.1 >

步驟 2.1:在 中建立 RegionalAdmin 許可集 IAM Identity Center

此許可集將用於授予 Nikki 從 中的 AWS 帳戶頁面管理區域所需的必要帳戶許可 AWS Management Console。根據預設,檢視或管理 Nikki 帳戶任何其他資訊的所有其他許可都會遭到拒絕。

  1. 開啟 IAM Identity Center 主控台

  2. 多帳戶許可下,選擇許可集

  3. 選擇 Create permission set (建立許可集合)

  4. 選取許可集類型頁面上,選取自訂許可集,然後選擇下一步

  5. 選取內嵌政策以展開,然後使用下列步驟建立許可集的政策:

    1. 選擇新增陳述式以建立政策陳述式。

    2. 編輯陳述式下,從清單中選擇帳戶,然後選擇下列核取方塊。

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

    3. Add a resource (新增資源) 旁邊,選擇 Add (新增)。

    4. 新增資源頁面的資源類型下,選取所有資源,然後選擇新增資源。確認您的政策如下所示:

      {
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions",
                "account:DisableRegion",
                "account:EnableRegion",
                "account:GetRegionOptStatus"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  6. 選擇 Next (下一步)

  7. 指定許可集詳細資訊頁面的許可集名稱下,輸入 RegionalAdmin,然後選擇下一步

  8. Review and create (檢閱和建立) 頁面上,選取 Create (建立)。您應該會在許可集清單中看到 RegionalAdmin

Step 2.2 >

步驟 2.2:在 中建立對應的 NikkiWolf 使用者 IAM Identity Center

由於SAML通訊協定不提供查詢 IdP 的機制 (Microsoft Entra ID) 並在 IAM Identity Center 中自動建立使用者,使用下列程序在 IAM Identity Center 中手動建立使用者,以鏡射 中 Nikki Wolfs 使用者的核心屬性 Microsoft Entra ID.

  1. 開啟 IAM Identity Center 主控台

  2. 選擇使用者,選擇新增使用者,然後提供以下資訊:

    1. 針對使用者名稱電子郵件地址 – 輸入您在建立 時所使用的相同 NikkiWolf@yourcompanydomain.extension Microsoft Entra ID 使用者。例如,NikkiWolf@example.org

    2. 確認電子郵件地址 – 重新輸入上一個步驟的電子郵件地址

    3. 名字 – 輸入 Nikki

    4. 姓氏 – 輸入 Wolf

    5. 顯示名稱 – 輸入 Nikki Wolf

  3. 選擇下一步兩次,然後選擇新增使用者

  4. 請選擇 Close (關閉)

Step 2.3

步驟 2.3:將 Nikki 指派給 中的 RegionalAdmin 許可集 IAM Identity Center

您可以在此處找到 Nikki 將在 AWS 帳戶 其中管理區域的 ,然後指派她成功存取 AWS 入口網站所需的必要許可。

  1. 開啟 IAM Identity Center 主控台

  2. 多帳戶許可下,選擇 AWS 帳戶

  3. 選取您要授予 Nikki 存取權以管理區域的帳戶名稱 (例如 Sandbox) 旁的核取方塊,然後選擇指派使用者和群組

  4. 指派使用者和群組頁面上,選擇使用者索引標籤,尋找並勾選 Nikki 旁的方塊,然後選擇下一步

步驟 3:設定和測試您的SAML連線

在此步驟中,您可以使用 中的 AWS IAM Identity Center 企業應用程式來設定SAML連線 Microsoft Entra ID 以及 IAM Identity Center 中的外部 IdP 設定。

Step 3.1 >

步驟 3.1:從 IAM Identity Center 收集所需的服務提供者中繼資料

在此步驟中,您將從 IAM Identity Center 主控台中啟動變更身分來源精靈,並擷取中繼資料檔案,以及在設定 連線時URL需要輸入 AWS 的特定登入 Microsoft Entra ID 在下一個步驟中。

  1. IAM Identity Center 主控台中,選擇設定

  2. 設定頁面上,選擇身分來源索引標籤,然後選擇動作 > 變更身分來源

  3. 選擇身分來源頁面上,選取外部身分提供者,然後選擇下一步

  4. 設定外部身分提供者頁面的服務提供者中繼資料下,選擇下載中繼資料檔案以下載XML檔案。

  5. 在相同區段中,找到AWS 存取入口網站登入URL值並複製它。在下一個步驟中出現提示時,您將需要輸入此值。

  6. 讓此頁面保持開啟,然後移至下一個步驟 (Step 3.2) 以在 中設定 AWS IAM Identity Center 企業應用程式 Microsoft Entra ID。 稍後,您將返回此頁面以完成程序。

Step 3.2 >

步驟 3.2:在 中設定 AWS IAM Identity Center 企業應用程式 Microsoft Entra ID

此程序會使用URL您在最後一個步驟中取得的中繼資料檔案和登入中的值,在 Microsoft 端建立一半的SAML連線。

  1. Microsoft Entra 管理中心主控台中,導覽至身分 > 應用程式 > 企業應用程式,然後選擇 AWS IAM Identity Center

  2. 在左側,選擇 2。設定單一登入

  3. 使用 設定單一登入SAML頁面上,選擇 SAML。然後選擇上傳中繼資料檔案,選擇資料夾圖示,選取您在上一個步驟中下載的服務提供者中繼資料檔案,然後選擇新增

  4. 基本SAML組態頁面上,確認識別碼回覆URL值現在都指向以 開頭 AWS 的端點https://<REGION>.signin.aws.amazon.com/platform/saml/

  5. 登入 URL(選用) 下,貼上您在上一個步驟 (Step 3.1) 中複製的AWS 存取入口網站登入URL值,選擇儲存,然後選擇 X 關閉視窗。

  6. 如果出現使用 測試單一登入的提示 AWS IAM Identity Center,請選擇否 我稍後會測試。您將在後續步驟中執行此驗證。

  7. 使用 設定單一登入SAML頁面上,於聯合中繼資料 XML旁的SAML憑證區段中,選擇下載以將中繼資料檔案儲存至您的系統。在下一個步驟中出現提示時,您將需要上傳此檔案。

Step 3.3 >

步驟 3.3:設定 Microsoft Entra ID 中的外部 IdP AWS IAM Identity Center

在這裡,您將返回 IAM Identity Center 主控台中的變更身分來源精靈,以完成其中的第二半SAML連線 AWS。

  1. 返回您在 IAM Identity Center 主控台Step 3.1中保持開啟的瀏覽器工作階段。

  2. 設定外部身分提供者頁面上,於身分提供者中繼資料區段的 IdP SAML中繼資料下,選擇選擇檔案按鈕,然後選取您從中下載的身分提供者中繼資料檔案 Microsoft Entra ID 在上一個步驟中,然後選擇開啟

  3. 選擇 Next (下一步)

  4. 在您閱讀免責聲明並準備好繼續之後,請輸入 ACCEPT

  5. 選擇變更身分來源以套用您的變更。

Step 3.4 >

步驟 3.4:測試 Nikki 是否已重新導向至 AWS 存取入口網站

在此程序中,您將使用 Nikki 的登入資料登入 Microsoft 的 My Account 入口網站來測試SAML連線。驗證後,您將選取應用程式,該 AWS IAM Identity Center 應用程式會將 Nikki 重新導向至 AWS 存取入口網站。

  1. 前往我的帳戶入口網站登入頁面,然後輸入 Nikki 的完整電子郵件地址。例如,NikkiWolf@example.org

  2. 出現提示時,輸入 Nikki 的密碼,然後選擇登入

  3. 我的帳戶頁面的左側導覽窗格中,選擇我的應用程式

  4. 我的應用程式頁面上,選取名為 的應用程式AWS IAM Identity Center。這應該會提示您進行其他身分驗證。

  5. 在 Microsoft 的登入頁面上,選擇您的 NikkiWolf 登入資料。如果提示再次進行身分驗證,請再次選擇您的 NikkiWolf 登入資料。這應該會自動將您重新導向至 AWS 存取入口網站。

    提示

    如果您未成功重新導向,請檢查 以確保您在 中輸入的AWS 存取入口網站登入URLStep 3.2符合您從 複製的值Step 3.1

  6. 確認您的 AWS 帳戶 顯示器。

    提示

    如果頁面為空白且無 AWS 帳戶 顯示,請確認 Nikki 已成功指派給RegionalAdmin許可集 (請參閱 Step 2.3)。

Step 3.5

步驟 3.5:測試 Nikki 管理她的存取層級 AWS 帳戶

在此步驟中,您將檢查 以判斷 Nikki 管理其區域設定的存取層級 AWS 帳戶。Nikki 應僅具有足夠的管理員權限,才能從帳戶頁面管理區域。

  1. 在 AWS 存取入口網站中,選擇帳戶索引標籤以顯示帳戶清單。與您已定義許可集之任何帳戶相關聯的帳戶名稱IDs、帳戶 和電子郵件地址隨即出現。

  2. 選擇您套用許可集的帳戶名稱 (例如 Sandbox) (請參閱 Step 2.3)。這將展開 Nikki 可以從中選擇以管理其帳戶的許可集清單。

  3. 接下來,RegionalAdmin選擇 Management 主控台以擔任您在RegionalAdmin許可集中定義的角色。這會將您重新導向至 AWS Management Console 首頁。

  4. 在主控台的右上角,選擇您的帳戶名稱,然後選擇帳戶。這將帶您前往帳戶頁面。請注意,此頁面的所有其他區段會顯示訊息,指出您沒有檢視或修改這些設定的必要許可。

  5. 帳戶頁面上,向下捲動至AWS 區域區段。選取資料表中任何可用區域的核取方塊。請注意,Nikki 確實具備必要許可,可如預期啟用或停用其帳戶的 區域清單。

很好地完成了!

步驟 1 到 3 可協助您成功實作和測試SAML連線。現在,為了完成教學課程,我們建議您繼續進行步驟 4,以實作自動佈建。

步驟 4:設定和測試SCIM同步

在此步驟中,您將設定來自 的使用者資訊的自動佈建 (同步) Microsoft Entra ID 使用 SCIM v2.0 通訊協定進入 IAM Identity Center。您可以在 中設定此連線 Microsoft Entra ID 使用您的 IAM Identity Center SCIM端點和 IAM Identity Center 自動建立的承載符記。

當您設定SCIM同步時,您可以在 中建立使用者屬性的映射 Microsoft Entra ID 到 IAM Identity Center 中的具名屬性。這會導致預期的屬性在 IAM Identity Center 和 之間相符 Microsoft Entra ID.

下列步驟會逐步說明如何啟用主要位於 中的使用者的自動佈建 Microsoft Entra ID 使用 中的 IAM Identity Center 應用程式前往 IAM Identity Center Microsoft Entra ID.

Step 4.1 >

步驟 4.1:在 中建立第二個測試使用者 Microsoft Entra ID

為了測試目的,您將在 中建立新的使用者 (Richard Roe) Microsoft Entra ID。 稍後,在您設定SCIM同步後,您將測試此使用者和所有相關屬性是否已成功同步到 IAM Identity Center。

  1. Microsoft Entra 管理中心主控台中,導覽至身分 > 使用者 > 所有使用者

  2. 選取新使用者,然後在畫面頂端選擇建立新使用者

  3. 使用者主體名稱中,輸入 RichRoe,然後選取您偏好的網域和延伸。例如,RichRoe@example.org

  4. 顯示名稱中,輸入 RichRoe

  5. 密碼中,輸入強式密碼或選取眼睛圖示以顯示自動產生的密碼,然後複製或寫下顯示的值。

  6. 選擇屬性,然後提供下列值:

    • 名字 - 輸入 Richard

    • 姓氏 - 輸入 Roe

    • 職稱 - 輸入 Marketing Lead

    • 部門 - 輸入 Sales

    • 員工 ID - 輸入 12345

  7. 選擇檢閱 + 建立,然後選擇建立

Step 4.2 >

步驟 4.2:在 IAM Identity Center 中啟用自動佈建

在此程序中,您將使用 IAM Identity Center 主控台來啟用來自 的使用者和群組的自動佈建 Microsoft Entra ID 至 IAM Identity Center。

  1. 開啟 IAM Identity Center 主控台,然後在左側導覽窗格中選擇設定

  2. 設定頁面的身分來源索引標籤下,請注意佈建方法設定為手動

  3. 找到自動佈建資訊方塊,然後選擇啟用。這會立即在 IAM Identity Center 中啟用自動佈建,並顯示必要的SCIM端點和存取字符資訊。

  4. 傳入自動佈建對話方塊中,複製下列選項的每個值。在 中設定佈建時,您需要在下一個步驟中貼上這些項目 Microsoft Entra ID.

    1. SCIM endpoint - 例如,https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. 存取字符 - 選擇顯示字符以複製值。

    警告

    這是您唯一可以取得SCIM端點和存取權杖的時間。在繼續之前,請務必複製這些值。

  5. 選擇關閉

  6. 身分來源索引標籤下,請注意佈建方法現在已設定為 SCIM

Step 4.3 >

步驟 4.3:在 中設定自動佈建 Microsoft Entra ID

現在您已備妥 RichRoe 測試使用者並在 IAM Identity Center SCIM 中啟用,您可以繼續在 中設定SCIM同步設定 Microsoft Entra ID.

  1. Microsoft Entra 管理中心主控台中,導覽至身分 > 應用程式 > 企業應用程式,然後選擇 AWS IAM Identity Center

  2. 管理下選擇佈建,再次選擇佈建

  3. 佈建模式中,選取自動

  4. Admin Credentials 下,在租戶URL中,貼到您在 中稍早複製的SCIM端點URL值。 Step 4.2秘密權杖中,貼上存取權杖值。

  5. 選擇 Test Connection (測試連接)。您應該會看到一則訊息,指出測試的登入資料已成功授權以啟用佈建。

  6. 選擇 Save (儲存)。

  7. 管理下,選擇使用者和群組,然後選擇新增使用者/群組

  8. 新增指派頁面的使用者下,選擇未選取

  9. 選取 RichRoe,然後選擇選取

  10. Add Assignment (新增指派) 頁面上,選擇 Assign (指派)。

  11. 選擇概觀,然後選擇開始佈建

Step 4.4

步驟 4.4:確認已進行同步

在本節中,您將確認 Richard 的使用者已成功佈建,且所有屬性都會顯示在 IAM Identity Center 中。

  1. IAM Identity Center 主控台中,選擇使用者

  2. 使用者頁面上,您應該會看到顯示您的RichRoe使用者。請注意,在建立者資料欄中,值設定為 SCIM

  3. 設定檔RichRoe下選擇 ,確認下列屬性已從 複製 Microsoft Entra ID.

    • 名字 - Richard

    • 姓氏 - Roe

    • 部門 - Sales

    • 標題 - Marketing Lead

    • 員工編號 - 12345

    現在,Richard 的使用者已在 IAM Identity Center 中建立,您可以將其指派給任何許可集,以便控制他對 AWS 資源的存取層級。例如,您可以將 RichRoe指派給先前用來授予 Nikki 管理區域 (請參閱Step 2.3) 的許可RegionalAdmin集,然後使用 測試他的存取層級Step 3.5

恭喜您!

您已成功設定 Microsoft 與 之間的SAML連線, AWS 並已驗證自動佈建正在讓所有內容保持同步。現在,您可以運用所學,更順暢地設定生產環境。

步驟 5:設定 ABAC - 選用

現在您已成功設定 SAML和 SCIM,您可以選擇設定屬性型存取控制 (ABAC)。 ABAC 是一種授權策略,可根據屬性定義許可。

使用 Microsoft Entra ID,您可以使用下列兩種方法之一來設定 ABAC 以與 IAM Identity Center 搭配使用。

Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center

在 中設定使用者屬性 Microsoft Entra ID 用於 IAM Identity Center 中的存取控制

在下列程序中,您將決定 中的哪些屬性 Microsoft Entra ID IAM Identity Center 應該使用 來管理對 AWS 資源的存取。定義後,Microsoft Entra ID 會透過SAML宣告將這些屬性傳送至 IAM Identity Center。然後,您需要在 IAM Identity Center 建立許可集合中,根據您傳遞的屬性來管理存取權 Microsoft Entra ID.

開始此程序之前,您必須先啟用 存取控制的屬性功能。如需如何進行該服務的詳細資訊,請參閱啟用和設定存取控制的屬性

  1. Microsoft Entra 管理中心主控台中,導覽至身分 > 應用程式 > 企業應用程式,然後選擇 AWS IAM Identity Center

  2. 選擇 Single sign-on (單一登入)。

  3. 屬性和宣告區段中,選擇編輯

  4. 屬性和宣告頁面上,執行下列動作:

    1. 選擇新增宣告

    2. 針對名稱,輸入 AccessControl:AttributeNameAttributeName 以您在 IAM Identity Center 中預期的屬性名稱取代 。例如:AccessControl:Department

    3. 針對 Namespace (命名空間),輸入 https://aws.amazon.com/SAML/Attributes

    4. 針對 Source (來源),選擇 Attribute (屬性)

    5. 對於來源屬性,請使用下拉式清單來選擇 Microsoft Entra ID 使用者屬性。例如:user.department

  5. 針對您需要傳送至SAML聲明中 IAM Identity Center 的每個屬性,重複上述步驟。

  6. 選擇 Save (儲存)。

Configure ABAC using IAM Identity Center

ABAC使用 IAM Identity Center 設定

透過此方法,您可以使用 IAM Identity Center 中的 存取控制的屬性功能,將 Name 屬性設為 的 Attribute元素傳遞。 https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}您可以使用此元素,在SAML宣告中將屬性傳遞為工作階段標籤。如需工作階段標籤的詳細資訊,請參閱IAM《 使用者指南中的傳遞工作階段標籤 AWS STS

若要將屬性做為工作階段標籤傳遞,請包含指定標籤值的 AttributeValue 元素。例如,若要傳遞標籤鍵/值對 Department=billing,請使用下列屬性:

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

如果您需要新增多個屬性,請為每個標籤加入單獨的Attribute元素。

將存取權指派給 AWS 帳戶

下列步驟僅需要授予 AWS 帳戶 的存取權。這些步驟不需要授予 AWS 應用程式存取權。

步驟 1:IAM身分中心:授予 Microsoft Entra ID 使用者存取 帳戶

  1. 返回 IAM Identity Center 主控台。在IAM身分中心導覽窗格中,於多帳戶許可下,選擇 AWS 帳戶

  2. AWS 帳戶頁面上,組織結構會在階層中顯示您的組織根目錄及其下的帳戶。選取管理帳戶的核取方塊,然後選取指派使用者或群組

  3. 此時會顯示指派使用者和群組工作流程。它包含三個步驟:

    1. 針對步驟 1:選取使用者和群組,選擇將執行管理員任務功能的使用者。然後選擇下一步

    2. 針對步驟 2:選取許可集選擇建立許可集,以開啟新索引標籤,逐步引導您完成建立許可集所涉及的三個子步驟。

      1. 對於步驟 1:選取許可集類型完成下列項目:

        • 許可集類型中,選擇預先定義的許可集

        • 預先定義許可集的政策中,選擇 AdministratorAccess

        選擇 Next (下一步)

      2. 對於步驟 2:指定許可集詳細資訊,保留預設設定,然後選擇下一步

        預設設定會建立名為 的許可集AdministratorAccess,並將工作階段持續時間設為一小時。

      3. 對於步驟 3:檢閱和建立,確認許可集類型使用 AWS 受管政策 AdministratorAccess。選擇 Create (建立)。在許可集頁面上會出現通知,通知您已建立許可集。您現在可以在 Web 瀏覽器中關閉此索引標籤。

      4. 指派使用者和群組瀏覽器索引標籤上,您仍在步驟 2:選取您從中開始建立許可集工作流程的許可集。

      5. 許可集區域中,選擇重新整理按鈕。您建立的AdministratorAccess許可集會出現在清單中。選取該許可集的核取方塊,然後選擇下一步

    3. 對於步驟 3:檢閱並提交檢閱選取的使用者和許可集,然後選擇提交

      頁面會以設定 AWS 帳戶 您 的訊息進行更新。等待程序完成。

      您會返回 AWS 帳戶 頁面。通知訊息會通知您, AWS 帳戶 您的 已重新佈建,並套用更新的許可集。當使用者登入時,他們將可以選擇AdministratorAccess角色。

步驟 2:Microsoft Entra ID:確認 Microsoft Entra ID 使用者存取 AWS 資源

  1. 返回至 Microsoft Entra ID 主控台,並導覽至以 IAM Identity Center SAML為基礎的登入應用程式。

  2. 選取使用者和群組,然後選取新增使用者或群組。您將在步驟 4 中將在本教學課程中建立的使用者新增至 Microsoft Entra ID 應用程式。透過新增使用者,您將允許他們登入 AWS。搜尋您在步驟 4 建立的使用者。如果您遵循此步驟,則會是 RichardRoe

    1. 如需示範,請參閱使用 聯合現有的 IAM Identity Center 執行個體 Microsoft Entra ID

故障診斷

使用 進行一般SCIM和SAML故障診斷 Microsoft Entra ID,請參閱下列章節:

與 的同步問題 Microsoft Entra ID 和 IAM Identity Center

如果您遇到 的問題 Microsoft Entra ID 未同步到 IAM Identity Center 的使用者,這可能是因為 IAM Identity Center 在將新使用者新增至 IAM Identity Center 時已標記的語法問題。您可以檢查 Microsoft Entra ID 失敗事件的稽核日誌,例如 'Export'。此事件的狀態原因將陳述:

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

您也可以檢查 AWS CloudTrail 失敗的事件。您可以使用 CloudTrail 下列篩選條件,在 的事件歷史記錄主控台中搜尋 來完成此操作:

"eventName":"CreateUser"

CloudTrail 事件中的錯誤會陳述下列項目:

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

最後,此例外狀況表示從 傳遞的其中一個值 Microsoft Entra ID 包含比預期更多的值。解決方案是檢閱 中使用者的屬性 Microsoft Entra ID,確保沒有包含重複值。重複值的一個常見範例是有多個值可供行動工作傳真等聯絡電話使用。雖然值不同,但它們都會在單一父屬性 下傳遞至 IAM Identity CenterphoneNumbers

如需一般SCIM故障診斷秘訣,請參閱故障診斷

Microsoft Entra ID 訪客帳戶同步

如果您想要同步您的 Microsoft Entra ID 訪客使用者至 IAM Identity Center,請參閱下列程序。

Microsoft Entra ID 訪客使用者的電子郵件與 不同 Microsoft Entra ID 使用者。此差異會導致嘗試同步時發生問題 Microsoft Entra ID 使用 IAM Identity Center 的訪客使用者。例如,請參閱下列訪客使用者的電子郵件地址:

exampleuser_domain.com#EXT@domain.onmicrosoft.com.

IAM Identity Center 預期使用者的電子郵件地址不包含 EXT@domain 格式。

  1. 登入 Microsoft Entra 管理中心,導覽至身分 > 應用程式 > 企業應用程式,然後選擇 AWS IAM Identity Center

  2. 導覽至左側窗格中的單一登入索引標籤。

  3. 選取使用者屬性和宣告旁顯示的編輯

  4. 選取必要宣告後方的唯一使用者識別符 (名稱 ID)

  5. 您將為 建立兩個宣告條件 Microsoft Entra ID 使用者和訪客使用者:

    1. 用於 Microsoft Entra ID 使用者,為來源屬性設為 的成員建立使用者類型 user.userprincipalname

    2. 用於 Microsoft Entra ID 訪客使用者,為外部訪客建立使用者類型,來源屬性設為 user.mail

    3. 選取儲存並重試以身分登入 Microsoft Entra ID 訪客使用者。

其他資源

下列資源可協助您在使用 時進行故障診斷 AWS:

  • AWS re:Post - 尋找其他資源的 FAQs和 連結,以協助您疑難排解問題。

  • AWS 支援 - 取得技術支援