本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用下列方式將外部身分IAM識別提供者佈建至 SCIM
IAMIdentity Center 支援使用跨網域身分識別管理系統 () 2.0 通訊協定,將IAM身分識別提供者 (IdP) 的使用者和群組資訊自動佈建 (同步處理SCIM) 至身分識別中心。設定SCIM同步時,您可以建立身分識別提供者 (IdP) 使用者屬性與 I IAM dentity Center 中具名屬性的對應。這會導致IAM身分識別中心和您的 IdP 之間的預期屬性相符。您可以使用身分識別中心的SCIM端點和您在IAM身分識別中心建立的承載權杖,在 IAM IdP 中設定此連線。
使用自動佈建的考量
在開始部署之前SCIM,我們建議您先檢閱下列有關如何與IAM身分識別中心搭配運作的重要考量事項。有關其他佈建考量,請參閱IAM Identity Center Identity 來源教學課程適用於 IdP 的內容。
-
如果您要佈建主要電子郵件地址,則此屬性值對於每個使用者都必須是唯一的。在某些情況下 IdPs,主要電子郵件地址可能不是真實的電子郵件地址。例如,它可能是只看起來像電子郵件的通用主要名稱 (UPN)。這些電子郵件地址 IdPs 可能包含使用者真實電子郵件地址的次要或「其他」電子郵件地址。您必須在 IdP SCIM 中設定,才能將非空唯一電子郵件地址對應至 I IAM dentity Center 主要電子郵件地址屬性。而且您必須將使用者非 NULL 唯一登入識別碼對應至 IAM Identity Center 使用者名稱屬性。檢查您的 IdP 是否具有單一值,即登入識別碼和使用者的電子郵件名稱。如果是這樣,您可以將該 IdP 欄位對應至IAM身分識別中心主要電子郵件和IAM身分識別中心使用者名稱。
-
若要讓SCIM同步化運作,每個使用者都必須指定「名字」、「姓氏」、「使用者名稱」和「顯示名稱」值。如果使用者遺漏這些值中的任何一個,將不會佈建該使用者。
-
如果您需要使用協力廠商應用程式,您必須先將輸出SAML主旨屬性對應至使用者名稱屬性。如果協力廠商應用程式需要可傳遞的電子郵件地址,您必須將電子郵件屬性提供給 IdP。
-
SCIM佈建和更新間隔由您的身分識別提供者控制。身分識別提供者中的使用者和群組所做的變更只會在IAM身分識別提供者傳送這些變更至身分中心後反映在IAM身分識別中心。如需使用者和群組更新頻率的詳細資訊,請洽詢您的身分提供者。
-
目前,多值屬性 (例如指定使用者的多個電子郵件或電話號碼) 未使用SCIM佈建。嘗試使用將多值屬性同步處理至IAM身分識別中心SCIM將會失敗。若要避免失敗,請確定每個屬性只傳遞一個值。如果您的使用者具有多值屬性,請移除或修改 IdP 中SCIM的重複屬性對應,以連線至IAM身分識別中心。
-
確認 IdP 的
externalId
SCIM對應對應對應於唯一、永遠存在且最不可能為您的使用者變更的值。例如,您的 IdP 可能會提供保證objectId
或其他識別碼,這些識別碼不受使用者屬性變更 (例如名稱和電子郵件) 的影響。如果是這樣,您可以將該值映射到SCIMexternalId
字段。這樣可以確保您的用戶不會丟失 AWS 權利、指派或權限 (如果您需要變更其名稱或電子郵件)。 -
尚未指派給應用程式的使用者或 AWS 帳戶 無法佈建至IAM身分識別中心。若要同步使用者和群組,請確定這些使用者和群組已指派給應用程式或其他代表 IdP 與 I IAM dentity Center 連線的設定。
-
使用者取消佈建行為由身分識別提供者管理,並可能因其實作而有所不同。如需取消佈建的詳細資訊,請洽詢您的身分識別提供者。
如需 IAM Identity Center SCIM 實作的詳細資訊,請參閱IAM身分識別中心SCIM實作開發人員指南。
如何監控訪問令牌到期
SCIM訪問令牌生成的有效期為一年。當您的SCIM訪問令牌設置為 90 天或更短時間到期時, AWS 透過IAM身分識別中心主控台傳送提醒給您 AWS Health 儀表板可協助您旋轉權杖。透過在SCIM存取 Token 到期前輪換,您可以持續保護自動佈建使用者和群組資訊的安全。如果SCIM存取 Token 到期,將停止將使用者和群組資訊從身分識別提供者同步到 IAM Identity Center,因此自動佈建無法再進行更新或建立和刪除資訊。中斷自動佈建可能會增加安全風險,並影響您對服務的存取。
Identity Center 主控台提醒會持續存取,直到您輪換SCIM存取權杖並刪除任何未使用或過期的存取權杖為止。所以此 AWS Health 儀表板事件每週更新 90 到 60 天,每週兩次,從 60 到 30 天,每週三次,從 30 到 15 天,以及從 15 天每天更新,直到SCIM訪問令牌過期。
手動佈建
有些 IdPs 不具備跨網域身分識別管理 (SCIM) 支援的系統,或具有不相容的SCIM實作。在這些情況下,您可以透過 IAM Identity Center 主控台手動佈建使用者。將使用者新增至 I IAM dentity Center 時,請確保將使用者名稱設定為與 IdP 中的使用者名稱相同。您至少必須擁有唯一的電子郵件地址和使用者名稱。如需詳細資訊,請參閱用戶名和電子郵件地址的唯一。
您也必須在IAM身分識別中心中手動管理所有群組。若要執行此操作,您可以建立群組並使用IAM身分識別中心主控台新增群組。這些群組不需要與 IdP 中存在的內容相符。如需詳細資訊,請參閱群組。