本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 IAM 身分中心確認您的身分來源
IAM 身分中心中的身分識別來源會定義管理使用者和群組的位置。啟用 IAM 身分中心後,請確認您使用的是您選擇的身分來源。
確認您的身分來源
-
開啟 IAM 身分中心主控台
。 -
在 [儀表板] 頁面的 [建議設定步驟] 區段下方,選擇 [確認您的身分識別來源]。您也可以選擇設定並選擇身分識別來源索引標籤來存取此頁面。
-
如果您要保留指派的身分識別來源,則不會執行任何動作。如果您想要變更它,請選擇 [動作],然後選擇 [變更身分識別來源]。
您可以選擇下列其中一項作為身分識別來源:
- Identity Center 目錄
首次啟用 IAM 身分中心時,系統會自動將身分識別中心目錄設定為預設身分識別來源。如果您尚未使用其他外部身分識別提供者,則可以開始建立使用者和群組,並將其存取層級指派給您 AWS 帳戶 和應用程式。如需使用此身分識別來源的自學課程,請參閱〈〉使用預設的 IAM 身分中心目錄設定使用者存取。
- Active Directory
-
如果您已經使用 AWS Directory Service 或中的自我管理 AWS Managed Microsoft AD 目錄管理目錄中的使用者和群組Active Directory (AD),建議您在啟用 IAM Identity Center 時連線該目錄。請勿在預設的身分識別中心目錄中建立任何使用者和群組。IAM 身分識別中心會使用提供的連線, AWS Directory Service 將使用者、群組和成員資格資訊從 Active Directory 中的來源目錄同步至 IAM 身分識別中心身分存放區。如需詳細資訊,請參閱 Connect 至目Microsoft AD錄。
注意
IAM 身分識別中心不支援以 Samba4 為基礎的 Simple AD 做為身分識別來源。
- 外部識別提供者
-
對於外部身分識別提供者 (IdPs) (例如Okta或)Microsoft Entra ID,您可以使用 IAM 身分中心 IdPs 透過安全性聲明標記語言 (SAML) 2.0 標準來驗證身分。SAML 通訊協定不提供查詢 IdP 以瞭解使用者和群組的方法。透過將這些使用者和群組佈建到 IAM 身分中心,讓 IAM 身分中心了解這些使用者和群組。如果您的 IdP 支援 SCIM,您可以使用跨網域身分識別管理系統 (SCIM) 2.0 通訊協定,將使用者和群組資訊從 IdP 自動佈建 (同步處理) 到 IAM 身分中心。否則,您可以在 IAM Identity Center 中手動輸入使用者名稱、電子郵件地址和群組,以手動佈建使用者和群組。
如需設定身分識別來源的詳細指示,請參閱入門教學課程。
注意
如果您打算使用外部身分識別提供者,請注意外部 IdP (而非 IAM 身分識別中心) 會管理多因素驗證 (MFA) 設定。IAM 身分中心中的 MFA 不支援外部身分識別提供者使用。如需詳細資訊,請參閱 提示使用者輸入 MFA。
您選擇的身分識別來源會決定 IAM 身分中心在何處搜尋需要單一登入存取權的使用者和群組。確認或變更身分識別來源後,您將建立或指定使用者,並將管理權限指派給您的 AWS 帳戶.
重要
如果您已經在Active Directory或外部 IdP 中管理使用者和群組,建議您在啟用 IAM 身分中心並選擇身分識別來源時考慮連線此身分識別來源。在您在預設 Identity Center 目錄中建立任何使用者和群組並進行任何指派之前,應該先完成此動作。
如果您已經在 IAM 身分中心的一個身分來源中管理使用者和群組,變更為不同的身分識別來源可能會移除您在 IAM Identity Center 中設定的所有使用者和群組指派。如果發生這種情況,所有使用者 (包括 IAM Identity Center 中的管理使用者) 都將失去對其 AWS 帳戶 和應用程式的單一登入存取權。如需詳細資訊,請參閱 變更身分識別來源的考量。
設定身分識別來源後,您可以查詢使用者或群組,以授與他們對雲端應用程式的 AWS 帳戶單一登入存取權,或兩者。
