本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 SCIM 從外部身分提供者佈建使用者和群組
<a name="provision-automatically"></a>

IAM Identity Center 支援使用跨網域身分管理 (SCIM) 2.0 版通訊協定，將身分提供者 (IdP) 的使用者和群組資訊自動佈建 （同步） 至 IAM Identity Center。當您設定 SCIM 同步時，您可以建立身分提供者 (IdP) 使用者屬性與 IAM Identity Center 中具名屬性的映射。這會導致 IAM Identity Center 和 IdP 之間的預期屬性相符。您可以使用 IAM Identity Center 的 SCIM 端點和您在 IAM Identity Center 中建立的承載字符，在 IdP 中設定此連線。

**Topics**
+ [使用自動佈建的考量事項](#auto-provisioning-considerations)
+ [如何監控存取權杖過期](#access-token-expiry)
+ [產生存取權杖](generate-token.md)
+ [啟用自動佈建](how-to-with-scim.md)
+ [刪除存取權杖](delete-token.md)
+ [停用自動佈建](disable-provisioning.md)
+ [輪換存取字符](rotate-token.md)
+ [稽核和協調自動佈建的資源](reconcile-auto-provisioning.md)
+ [手動佈建](#provision-manually)

## 使用自動佈建的考量事項
<a name="auto-provisioning-considerations"></a>

開始部署 SCIM 之前，建議您先檢閱下列有關其如何與 IAM Identity Center 搭配使用的重要考量。如需其他佈建考量，請參閱[IAM Identity Center 身分來源教學課程](tutorials.md)適用於 IdP 的 。
+ 如果您要佈建主要電子郵件地址，則每個使用者的此屬性值必須是唯一的。在某些 IdPs中，主要電子郵件地址可能不是真正的電子郵件地址。例如，它可能是僅看起來像電子郵件的通用主體名稱 (UPN)。這些 IdPs可能有次要或「其他」電子郵件地址，其中包含使用者的真實電子郵件地址。您必須在 IdP 中設定 SCIM，將非空的唯一電子郵件地址對應至 IAM Identity Center 主要電子郵件地址屬性。而且，您必須將使用者非空的唯一登入識別符映射至 IAM Identity Center 使用者名稱屬性。檢查您的 IdP 是否有單一值同時是登入識別符和使用者的電子郵件名稱。如果是這樣，您可以將該 IdP 欄位映射到 IAM Identity Center 主要電子郵件和 IAM Identity Center 使用者名稱。
+ 若要讓 SCIM 同步運作，每個使用者都必須指定**名字**、**姓氏**、**使用者名稱**和**顯示名稱**值。如果使用者遺失任何這些值，將不會佈建該使用者。
+ 如果您需要使用第三方應用程式，您必須先將傳出 SAML 主體屬性映射至使用者名稱屬性。如果第三方應用程式需要可路由的電子郵件地址，您必須將電子郵件屬性提供給 IdP。
+ SCIM 佈建和更新間隔由您的身分提供者控制。只有在您的身分提供者將變更傳送至 IAM Identity Center 之後，您的身分提供者的使用者和群組變更才會反映在 IAM Identity Center 中。如需使用者和群組更新頻率的詳細資訊，請洽詢您的身分提供者。
+ 目前，不會使用 SCIM 佈建多值屬性 （例如指定使用者的多個電子郵件或電話號碼）。嘗試將多值屬性與 SCIM 同步至 IAM Identity Center 將會失敗。為了避免失敗，請確保每個屬性只傳遞一個值。如果您有具有多值屬性的使用者，請在 IdP 移除或修改 SCIM 中重複的屬性映射，以連線至 IAM Identity Center。
+ 確認 IdP 的 `externalId` SCIM 映射對應至使用者唯一、永遠存在且最不可能變更的值。例如，您的 IdP 可能會提供保證`objectId`或其他識別符，不受名稱和電子郵件等使用者屬性的變更影響。如果是這樣，您可以將該值映射到 SCIM `externalId` 欄位。如果您需要變更使用者的名稱或電子郵件，這可確保您的使用者不會遺失 AWS 權利、指派或許可。
+ 尚未指派給應用程式或 AWS 帳戶 無法佈建至 IAM Identity Center 的使用者。若要同步使用者和群組，請確定他們已指派給應用程式或其他代表 IdP 與 IAM Identity Center 連線的設定。
+ 使用者取消佈建行為由身分提供者管理，並可能因其實作而有所不同。如需取消佈建使用者的詳細資訊，請洽詢您的身分提供者。
+ 使用 IdP 的 SCIM 設定自動佈建之後，您無法再在 IAM Identity Center 主控台中新增或編輯使用者。如果您需要新增或修改使用者，您必須從外部 IdP 或身分來源執行此操作。

如需 IAM Identity Center SCIM 實作的詳細資訊，請參閱 [IAM Identity Center SCIM 實作開發人員指南](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html)。

## 如何監控存取權杖過期
<a name="access-token-expiry"></a>

SCIM 存取字符的產生有效期為一年。當您的 SCIM 存取權杖設定為在 90 天內過期時， 會在 IAM Identity Center 主控台和儀表板中 AWS 傳送提醒 AWS Health ，以協助您輪換權杖。透過在過期之前輪換 SCIM 存取權杖，您可以持續保護使用者和群組資訊的自動佈建。如果 SCIM 存取權杖過期，使用者和群組資訊從您的身分提供者同步到 IAM Identity Center 會停止，因此自動佈建無法再進行更新或建立和刪除資訊。中斷自動佈建可能會增加安全風險，並影響對您服務的存取。

Identity Center 主控台提醒會持續存在，直到您輪換 SCIM 存取權杖並刪除任何未使用的或過期的存取權杖為止。 AWS Health 儀表板事件每週續約 90 到 60 天、每週兩次從 60 到 30 天、每週三次從 30 到 15 天，以及每天 15 天，直到 SCIM 存取字符過期為止。

## 手動佈建
<a name="provision-manually"></a>

有些 IdPs 沒有跨網域身分管理 (SCIM) 支援系統，或具有不相容的 SCIM 實作。在這些情況下，您可以透過 IAM Identity Center 主控台手動佈建使用者。當您將使用者新增至 IAM Identity Center 時，請確定您將使用者名稱設定為與 IdP 中的使用者名稱相同。您至少必須擁有唯一的電子郵件地址和使用者名稱。如需詳細資訊，請參閱[使用者名稱和電子郵件地址唯一性](users-groups-provisioning.md#username-email-unique)。

您還必須在 IAM Identity Center 中手動管理所有群組。若要這樣做，您可以使用 IAM Identity Center 主控台建立群組並新增群組。這些群組不需要符合 IdP 中存在的內容。如需詳細資訊，請參閱[Groups (群組)](users-groups-provisioning.md#groups-concept)。