自動佈建 - AWS IAM Identity Center
使用自動佈建的考量如何監控訪問令牌到期如何啟用自動佈建如何停用自動佈建如何生成新的訪問令牌如何刪除訪問令牌如何旋轉訪問令牌

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

自動佈建

IAM 身分中心支援使用跨網域身分識別管理系統 (SCIM) 2.0 通訊協定,將身分提供者 (IdP) 的使用者和群組資訊自動佈建 (同步) 至 IAM 身分中心。設定 SCIM 同步時,您可以建立身分識別提供者 (IdP) 使用者屬性與 IAM 身分中心中具名屬性的對應。這會導致 IAM 身分中心和 IdP 之間的預期屬性相符。您可以使用適用於 IAM 身分中心的 SCIM 端點以及在 IAM 身分中心建立的承載權杖,在 IdP 中設定此連線。

使用自動佈建的考量

在開始部署 SCIM 之前,我們建議您先檢閱下列有關如何與 IAM 身分中心搭配使用的重要考量事項。有關其他佈建考量,請參閱入門教學課程適用於 IdP 的內容。

  • 如果您要佈建主要電子郵件地址,則此屬性值對於每個使用者都必須是唯一的。在某些情況下 IdPs,主要電子郵件地址可能不是真實的電子郵件地址。例如,它可能是只看起來像電子郵件的通用主要名稱 (UPN)。這些電子郵件地址 IdPs 可能包含使用者真實電子郵件地址的次要或「其他」電子郵件地址。您必須在 IdP 中設定 SCIM,以將非空唯一電子郵件地址對應至 IAM 身分中心主要電子郵件地址屬性。而且您必須將使用者非 Null 唯一登入識別碼對應至 IAM 身分中心使用者名稱屬性。檢查您的 IdP 是否具有單一值,即登入識別碼和使用者的電子郵件名稱。如果是這樣,您可以將該 IdP 欄位對應至 IAM 身分中心主要電子郵件和 IAM 身分中心使用者名稱。

  • 若要使用 SCIM 同步處理,每個使用者都必須指定「名字」、「氏」、「使用者名稱」和「顯示名稱」值。如果使用者遺漏這些值中的任何一個,將不會佈建該使用者。

  • 如果您需要使用協力廠商應用程式,您首先需要將輸出 SAML 主旨屬性對應至使用者名稱屬性。如果協力廠商應用程式需要可傳遞的電子郵件地址,您必須將電子郵件屬性提供給 IdP。

  • SCIM 佈建和更新間隔由您的身分識別提供者控制。身分供應商將這些變更傳送至 IAM 身分中心後,身分供應商對使用者和群組的變更才會反映在 IAM 身分中心。如需使用者和群組更新頻率的詳細資訊,請洽詢您的身分提供者。

  • 目前,多值屬性 (例如指定使用者的多個電子郵件或電話號碼) 未使用 SCIM 佈建。嘗試使用 SCIM 將多值屬性同步至 IAM 身分中心將會失敗。若要避免失敗,請確定每個屬性只傳遞一個值。如果您的使用者具有多值屬性,請移除或修改 IdP 中 SCIM 中的重複屬性對應,以連線至 IAM 身分中心。

  • 確認 IdP 上的 externalId SCIM 對應與唯一、永遠存在且最不可能為使用者變更的值相對應。例如,您的 IdP 可能會提供保證objectId或其他識別碼,這些識別碼不受使用者屬性變更 (例如名稱和電子郵件) 的影響。如果是這樣,您可以將該值對應至 SCIM externalId 欄位。如此可確保您的使用者在需要變更其名稱或電子郵件時,不會遺失 AWS 權利、指派或權限。

  • 尚未指派給應用程式或 AWS 帳戶 無法佈建至 IAM 身分中心的使用者。若要同步使用者和群組,請確定這些使用者和群組已指派給應用程式或代表您 IdP 與 IAM 身分中心連線的其他設定。

  • 使用者取消佈建行為由身分識別提供者管理,並可能因其實作而有所不同。如需取消佈建的詳細資訊,請洽詢您的身分識別提供者。

如需 IAM 身分中心 SCIM 實作的詳細資訊,請參閱 IAM 身分識別中心 SCIM 實作開發人員指南。

如何監控訪問令牌到期

SCIM 存取權杖的有效期為一年。當您的 SCIM 存取權杖設定為 90 天或更短時間到期時,請在 IAM 身分中心主控台和 AWS Health 儀表板 AWS 傳送提醒給您,以協助您輪換權杖。藉由在 SCIM 存取權杖到期前輪換,您可以持續保護自動佈建使用者和群組資訊的安全性。如果 SCIM 存取權杖到期,您的身分供應商將使用者和群組資訊同步處理到 IAM 身分中心會停止,因此自動佈建無法再進行更新或建立和刪除資訊。中斷自動佈建可能會增加安全風險,並影響您對服務的存取。

身分中心主控台提醒會持續存在,直到您輪換 SCIM 存取權杖並刪除任何未使用或過期的存取權杖為止。 AWS Health 儀表板事件每週更新 90 至 60 天,每週兩次,從 60 到 30 天,每週三次,從 30 到 15 天,以及從每天 15 天更新,直到 SCIM 存取權杖到期為止。

如何啟用自動佈建

使用下列程序,使用 SCIM 通訊協定啟用從 IdP 到 IAM 身分中心的使用者和群組自動佈建。

注意

在開始此程序之前,我們建議您先檢閱適用於 IdP 的佈建考量。如需詳細資訊,請參入門教學課程閱 IdP 的。

在 IAM 身分中心啟用自動佈建

  1. 完成必要條件後,請開啟 IAM 身分中心主控台

  2. 在左側導覽窗格中選擇 [設定]。

  3. [設定] 頁面上,找出 [自動佈建資訊] 方塊,然後選擇 [啟用]。這會立即在 IAM 身分中心啟用自動佈建,並顯示必要的 SCIM 端點和存取權杖資訊。

  4. 在「輸入自動佈建」對話方塊中,複製下列選項的每個值。稍後在 IdP 中配置佈建時,您將需要貼上這些內容。

    1. SCIM 端點

    2. 訪問令牌

  5. 選擇關閉

完成此程序後,您必須在 IdP 中設定自動佈建。如需詳細資訊,請參入門教學課程閱 IdP 的。

如何停用自動佈建

使用下列程序在 IAM 身分中心主控台中停用自動佈建。

重要

您必須先刪除存取權杖,然後才能啟動此程序。如需詳細資訊,請參閱 如何刪除訪問令牌

在 IAM 身分中心主控台中停用自動佈建

  1. IAM 身分中心主控台中,選擇左側導覽窗格中的 [設定]。

  2. 在 [定] 頁面上,選擇 [識別來源] 索引標籤,然後選擇 [動作] > [管理佈建]。

  3. 在 [自動佈建] 頁面上,選擇 [停用]。

  4. 在 [停用自動佈建] 對話方塊中,檢閱資訊,輸入 DISABLE,然後選擇 [停用自動佈建]。

如何生成新的訪問令牌

使用下列程序在 IAM 身分中心主控台中產生新的存取權杖。

注意

此程序需要您先前已啟用自動佈建。如需詳細資訊,請參閱 如何啟用自動佈建

若要產生新的存取權杖

  1. IAM 身分中心主控台中,選擇左側導覽窗格中的 [設定]。

  2. 在 [定] 頁面上,選擇 [識別來源] 索引標籤,然後選擇 [動作] > [管理佈建]。

  3. 在 [自動佈建] 頁面的 [存取權杖] 下,選擇 [產生權杖]。

  4. 在 [產生新的存取權杖] 對話方塊中,複製新的存取權杖並將其儲存在安全的位置。

  5. 選擇關閉

如何刪除訪問令牌

使用下列程序刪除 IAM 身分中心主控台中的現有存取權杖。

若要刪除現有的存取權杖

  1. IAM 身分中心主控台中,選擇左側導覽窗格中的 [設定]。

  2. 在 [定] 頁面上,選擇 [識別來源] 索引標籤,然後選擇 [動作] > [管理佈建]。

  3. 在 [自動佈建] 頁面的 [存取權杖] 下,選取要刪除的存取權杖,然後選擇 [刪除]。

  4. 在 [刪除存取權杖] 對話方塊中,檢閱資訊、輸入 DELETE,然後選擇 [刪除存取權杖]。

如何旋轉訪問令牌

IAM 身分中心目錄一次最多支援兩個存取權杖。要在任何輪替之前生成其他訪問令牌,請刪除任何過期或未使用的訪問令牌。

如果您的 SCIM 存取權杖即將到期,您可以使用下列程序輪替 IAM 身分中心主控台中的現有存取權杖。

若要旋轉存取權杖

  1. IAM 身分中心主控台中,選擇左側導覽窗格中的 [設定]。

  2. 在 [定] 頁面上,選擇 [識別來源] 索引標籤,然後選擇 [動作] > [管理佈建]。

  3. 在 [自動佈建] 頁面上的 [存取權杖] 下,記下您要輪換的權杖 ID。

  4. 依照中的步如何生成新的訪問令牌驟建立新權杖。如果您已經創建了 SCIM 訪問令牌的最大數量,則首先需要刪除其中一個現有令牌。

  5. 前往身分提供者的網站,設定用於 SCIM 佈建的新存取權杖,然後使用新的 SCIM 存取權杖測試與 IAM 身分中心的連線。確認使用新 Token 的佈建成功運作後,請繼續執行此程序的下一個步驟。

  6. 按照中的步驟如何刪除訪問令牌刪除您之前提到的舊訪問令牌。您也可以使用權杖的建立日期作為要移除哪個權杖的提示。