本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# IAM Identity Center 身分來源教學課程
<a name="tutorials"></a>

您可以將 AWS Organizations 管理帳戶中的現有身分來源連線至 [IAM Identity Center 的組織執行個體](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。如果您沒有現有的身分提供者，您可以直接在預設的 IAM Identity Center 目錄中建立和管理使用者。每個組織可以有一個身分來源。

本節中的教學課程說明如何使用常用的身分來源設定 IAM Identity Center 的組織執行個體、建立管理使用者，以及您是否使用 IAM Identity Center 管理存取 AWS 帳戶、建立和設定許可集。如果您只將 IAM Identity Center 用於應用程式存取，則不需要使用許可集。

這些教學課程不會說明如何設定 IAM Identity Center 的帳戶執行個體。您可以使用帳戶執行個體將使用者和群組指派給應用程式，但無法使用此執行個體類型來管理 的使用者存取權 AWS 帳戶。如需詳細資訊，請參閱[IAM Identity Center 的帳戶執行個體。](account-instances-identity-center.md)。

**注意**  
在開始任何這些教學課程之前，請啟用 IAM Identity Center。如需詳細資訊，請參閱[啟用 IAM Identity Center](enable-identity-center.md)。

**Topics**
+ [使用 Active Directory 做為身分來源](gs-ad.md)
+ [Setting up SCIM provisioning between CyberArk and IAM Identity Center](cyberark-idp.md)
+ [使用 和 IAM Identity Center 設定 SAML Google Workspace和 SCIM](gs-gwp.md)
+ [使用 IAM Identity Center 與您的JumpCloud目錄平台連線](jumpcloud-idp.md)
+ [使用 和 IAM Identity Center 設定 SAML Microsoft Entra ID和 SCIM](idp-microsoft-entra.md)
+ [使用 和 IAM Identity Center 設定 SAML Okta和 SCIM](gs-okta.md)
+ [在 OneLogin和 IAM Identity Center 之間設定 SCIM 佈建](onelogin-idp.md)
+ [搭配 IAM Identity Center 使用 Ping Identity 產品](pingidentity.md)
+ [使用預設 IAM Identity Center 目錄設定使用者存取權](quick-start-default-idc.md)
+ [教學課程影片](#w2aac15c31)

# 使用 Active Directory 做為身分來源
<a name="gs-ad"></a>

如果您使用 Directory Service 或 Active Directory (AD) 中的自我管理目錄來管理 AWS Managed Microsoft AD 目錄中的使用者，您可以變更 IAM Identity Center 身分來源，以使用這些使用者。建議您在啟用 IAM Identity Center 並選擇身分來源時，考慮連接此身分來源。在預設 Identity Center 目錄中建立任何使用者和群組之前執行此操作，可協助您避免稍後變更身分來源時所需的其他組態。

若要使用 Active Directory 做為您的身分來源，您的組態必須符合下列先決條件：
+ 如果您使用的是 AWS Managed Microsoft AD，則必須在設定 AWS Managed Microsoft AD 目錄 AWS 區域 的相同 中啟用 IAM Identity Center。IAM Identity Center 會將指派資料存放在與 目錄相同的區域中。若要管理 IAM Identity Center，您可能需要切換到已設定 IAM Identity Center 的區域。此外，請注意， AWS 存取入口網站使用與您的目錄相同的存取 URL。
+ 使用 管理帳戶中的 Active Directory：

  您必須在 中設定現有的 AD Connector 或 AWS Managed Microsoft AD 目錄 AWS Directory Service，而且必須位於您的 AWS Organizations 管理帳戶中。您 AWS Managed Microsoft AD 一次只能連接一個 AD Connector 目錄或 中的一個目錄。如果您需要支援多個網域或樹系，請使用 AWS Managed Microsoft AD。如需詳細資訊，請參閱：
  + [將 中的目錄 AWS Managed Microsoft AD 連接至 IAM Identity Center](connectawsad.md)
  + [將 Active Directory 中的自我管理目錄連接到 IAM Identity Center](connectonpremad.md)
+ 使用位於委派管理員帳戶中的 Active Directory：

  如果您計劃啟用 IAM Identity Center 委派管理員，並使用 Active Directory 作為 IAM Identity Center 身分來源，則可以使用位於委派管理員帳戶中的 AWS 目錄中設定的現有 AD Connector 或 AWS Managed Microsoft AD 目錄。

  如果您決定將 IAM Identity Center 身分來源從任何其他來源變更為 Active Directory，或將其從 Active Directory 變更為任何其他來源，則目錄必須位於 （由 擁有） IAM Identity Center 委派管理員成員帳戶中，如果存在的話，則必須位於管理帳戶中。

本教學課程會引導您使用 Active Directory 做為 IAM Identity Center 身分來源的基本設定。

# 步驟 1：連接 Active Directory 並指定使用者
<a name="gs-connect-id-source-ad-idp-specify-user"></a>

如果您已經在使用 Active Directory ，下列主題將協助您準備將目錄連線至 IAM Identity Center。

**注意**  
如果您計劃連接 Active Directory 中的 AWS Managed Microsoft AD 目錄或自我管理的目錄，且並未搭配 使用 RADIUS MFA AWS Directory Service，請在 IAM Identity Center 中啟用 MFA。

**AWS Managed Microsoft AD**

1. 檢閱 中的指引[Microsoft AD 目錄](manage-your-identity-source-ad.md)。

1. 請遵循 [將 中的目錄 AWS Managed Microsoft AD 連接至 IAM Identity Center](connectawsad.md) 中的步驟。

1. 設定 Active Directory 以同步您要將管理許可授予 IAM Identity Center 的使用者。如需詳細資訊，請參閱[將管理使用者同步至 IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad)。

**Active Directory 中的自我管理目錄**

1. 檢閱 中的指引[Microsoft AD 目錄](manage-your-identity-source-ad.md)。

1. 請遵循 [將 Active Directory 中的自我管理目錄連接到 IAM Identity Center](connectonpremad.md) 中的步驟。

1. 設定 Active Directory 以同步您要將管理許可授予 IAM Identity Center 的使用者。如需詳細資訊，請參閱[將管理使用者同步至 IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad)。

## 步驟 2：將管理使用者同步至 IAM Identity Center
<a name="gs-ad-sync-admin-user-from-ad"></a>

將目錄連線至 IAM Identity Center 之後，您可以指定要授予管理許可的使用者，然後將該使用者從目錄同步到 IAM Identity Center。

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，選擇**動作**，然後選擇**管理同步**。

1. 在**管理同步**頁面上，選擇**使用者**索引標籤，然後選擇**新增使用者和群組**。

1. 在**使用者**索引標籤**的使用者**下，輸入確切的使用者名稱，然後選擇**新增**。

1. 在**新增的使用者和群組**下，執行下列動作：

   1. 確認已指定您要授予管理許可的使用者。

   1. 選取使用者名稱左側的核取方塊。

   1. 選擇**提交**。

1. 在**管理同步**頁面中，您指定的使用者會出現在**同步範圍清單中的使用者中**。

1. 在導覽窗格中，選擇**使用者** 。

1. 在**使用者**頁面上，您指定的使用者可能需要一些時間才會出現在清單中。選擇重新整理圖示以更新使用者清單。

此時，您的使用者無法存取 管理帳戶。您將建立管理許可集，並將使用者指派給該許可集，藉此設定此帳戶的管理存取權。如需詳細資訊，請參閱[建立許可集](howtocreatepermissionset.md)。

# Setting up SCIM provisioning between CyberArk and IAM Identity Center
<a name="cyberark-idp"></a>

IAM Identity Center 支援將使用者資訊從 自動佈建 （同步） CyberArk Directory Platform到 IAM Identity Center。此佈建使用 System for Cross-domain Identity Management (SCIM) v2.0 通訊協定。如需詳細資訊，請參閱[搭配外部身分提供者使用 SAML 和 SCIM 聯合身分](other-idps.md)。

**注意**  
CyberArk 目前不支援 AWS IAM Identity Center 應用程式中的 SAML 多聲明使用服務 (ACS) URLs。需要此 SAML 功能才能充分利用 IAM Identity Center 中的[多區域支援](multi-region-iam-identity-center.md)。如果您打算將 IAM Identity Center 複寫到其他區域，請注意，使用單一 ACS URL 可能會影響這些其他區域中的使用者體驗。您的主要區域會繼續正常運作。我們建議您與 IdP 廠商合作，以啟用此功能。如需使用單一 ACS URL 在其他區域中使用者體驗的詳細資訊，請參閱 [使用沒有多個 ACS URLs AWS 受管應用程式](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)和 [AWS 帳戶 在沒有多個 ACS URLs存取彈性](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。

在您開始部署 SCIM 之前，建議您先檢閱 [使用自動佈建的考量事項](provision-automatically.md#auto-provisioning-considerations)。然後繼續檢閱下一節的其他考量事項。

**Topics**
+ [先決條件](#cyberark-prereqs)
+ [SCIM 考量事項](#cyberark-considerations)
+ [步驟 1：在 IAM Identity Center 中啟用佈建](#cyberark-step1)
+ [步驟 2：在 中設定佈建 CyberArk](#cyberark-step2)
+ [（選用） 步驟 3：在 IAM Identity Center 中設定CyberArk存取控制 (ABAC) 的使用者屬性](#cyberark-step3)
+ [（選用） 傳遞屬性以進行存取控制](#cyberark-passing-abac)

## 先決條件
<a name="cyberark-prereqs"></a>

您將需要下列項目才能開始使用：
+ CyberArk 訂閱或免費試用。若要註冊免費試用，請造訪 [https://www.cyberark.com/try-buy/](https://www.cyberark.com/try-buy/)。
+ 啟用 IAM Identity Center 的帳戶 ([免費](https://aws.amazon.com/single-sign-on/))。如需詳細資訊，請參閱[啟用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)。
+ 從CyberArk您的帳戶到 IAM Identity Center 的 SAML 連線，如 [CyberArkIAM Identity Center 文件](https://docs.cyberark.com/identity/Latest/en/Content/Applications/AppsWeb/AWS_SAML_SSO.htm#)中所述。
+ 將 IAM Identity Center 連接器與您要允許存取的角色、使用者和組織建立關聯 AWS 帳戶。

## SCIM 考量事項
<a name="cyberark-considerations"></a>

以下是對 CyberArk IAM Identity Center 使用聯合時的考量：
+ 只有應用程式佈建區段中映射的角色才會同步到 IAM Identity Center。
+ 佈建指令碼僅支援預設狀態，一旦變更，SCIM 佈建可能會失敗。
  + 只能同步一個電話號碼屬性，預設值為「工作電話」。
+ 如果 IAM Identity Center CyberArk 應用程式中的角色映射已變更，則預期下列行為：
  + 如果角色名稱已變更 - IAM Identity Center 中的群組名稱沒有變更。
  + 如果群組名稱已變更 - 新的群組將在 IAM Identity Center 中建立，則舊群組會保留，但不會有任何成員。
+ 您可以從 CyberArk IAM Identity Center 應用程式設定使用者同步和取消佈建行為，確保您為組織設定正確的行為。以下是您擁有的選項：
  + 以相同的委託人名稱覆寫 （或不覆寫） Identity Center 目錄中的使用者。
  + 從CyberArk角色移除使用者時，從 IAM Identity Center 取消佈建使用者。
  + 取消佈建使用者行為 - 停用或刪除。

## 步驟 1：在 IAM Identity Center 中啟用佈建
<a name="cyberark-step1"></a>

在此第一個步驟中，您可以使用 IAM Identity Center 主控台來啟用自動佈建。

**在 IAM Identity Center 中啟用自動佈建**

1. 完成先決條件後，請開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 在左側導覽窗格中選擇**設定**。

1. 在**設定**頁面上，找到**自動佈建**資訊方塊，然後選擇**啟用**。這會立即在 IAM Identity Center 中啟用自動佈建，並顯示必要的 SCIM 端點和存取字符資訊。

1. 在**傳入自動佈建**對話方塊中，複製 SCIM 端點和存取字符。稍後在 IdP 中設定佈建時，您需要將這些項目貼入 。

   1. **SCIM 端點** - 例如，https://scim.*us-east-2*.amazonaws.com/*1111111111-2222-3333-444-555555555*/scim/v2

   1. **存取字符** - 選擇**顯示字符**以複製值。
**警告**  
這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前，請務必複製這些值。您將在本教學課程稍後輸入這些值，以在 IdP 中設定自動佈建。

1. 選擇**關閉**。

現在您已在 IAM Identity Center 主控台中設定佈建，您需要使用 CyberArk IAM Identity Center 應用程式完成其餘任務。這些步驟會在下列程序中說明。

## 步驟 2：在 中設定佈建 CyberArk
<a name="cyberark-step2"></a>

 在 CyberArk IAM Identity Center 應用程式中使用下列程序來啟用使用 IAM Identity Center 的佈建。此程序假設您已將 CyberArk IAM Identity Center 應用程式新增至 **Web 應用程式**下的CyberArk管理員主控台。如果您尚未這麼做，請參閱 [先決條件](#cyberark-prereqs)，然後完成此程序以設定 SCIM 佈建。

**在 中設定佈建 CyberArk**

1. 開啟您在設定 SAML for CyberArk CyberArk(**應用程式 > Web 應用程式） 時新增的 IAM Identity Center 應用程式**。請參閱 [先決條件](#cyberark-prereqs)。

1. 選擇 **IAM Identity Center** 應用程式，然後前往**佈建**區段。

1. 勾選**啟用此應用程式的佈建**方塊，然後選擇**即時模式**。

1. 在先前的程序中，您會從 IAM Identity Center 複製 **SCIM 端點**值。將該值貼到 **SCIM 服務 URL** 欄位中，在 CyberArk IAM Identity Center 應用程式中，將**授權類型**設定為**授權標頭**。

1. 將**標頭類型**設定為**承載字符**。

1. 從先前的程序中，您複製了 IAM Identity Center 中的**存取字符**值。將該值貼到 IAM Identity Center CyberArk 應用程式的**承載權杖**欄位。

1. 按一下**驗證**以測試和套用組態。

1. 在**同步選項**下，選擇您要傳出佈建從中CyberArk運作的正確行為。您可以選擇覆寫 （或不覆寫） 具有類似主體名稱的現有 IAM Identity Center 使用者，以及取消佈建行為。

1. 在**角色映射**下，設定從CyberArk角色到**目的地**群組下 IAM Identity Center 群組**的名稱**欄位下的映射。

1. 完成後，按一下底部的**儲存**。

1. 若要確認使用者已成功同步至 IAM Identity Center，請返回 IAM Identity Center 主控台並選擇**使用者**。來自 的同步使用者CyberArk會出現在**使用者**頁面上。這些使用者現在可以指派給 帳戶，並且可以在 IAM Identity Center 中連線。

## （選用） 步驟 3：在 IAM Identity Center 中設定CyberArk存取控制 (ABAC) 的使用者屬性
<a name="cyberark-step3"></a>

如果您選擇CyberArk設定 IAM Identity Center 的屬性來管理對 AWS 資源的存取，這是 的選用程序。您在 中定義的屬性CyberArk會在 SAML 聲明中傳遞至 IAM Identity Center。然後，您可以在 IAM Identity Center 中建立許可集，以根據您從 傳遞的屬性來管理存取權CyberArk。

開始此程序之前，您必須先啟用[存取控制的屬性](attributesforaccesscontrol.md)此功能。如需如何進行該服務的詳細資訊，請參閱[啟用和設定存取控制的屬性](configure-abac.md)。

**在 中設定使用者屬性CyberArk，以在 IAM Identity Center 中進行存取控制**

1. 開啟您在為 CyberArk 設定 SAML 時安裝的 IAM Identity Center 應用程式 CyberArk（應用程式 > Web 應用程式）。****

1. 前往 **SAML 回應**選項。

1. 在**屬性**下，依照下列邏輯將相關屬性新增至資料表：

   1. **屬性名稱**是來自 的原始屬性名稱CyberArk。

   1. **屬性值**是在 SAML 聲明中傳送至 IAM Identity Center 的屬性名稱。

1. 選擇**儲存**。

## （選用） 傳遞屬性以進行存取控制
<a name="cyberark-passing-abac"></a>

您可以選擇性地使用 IAM Identity Center 中的 [存取控制的屬性](attributesforaccesscontrol.md)功能，傳遞 `Name` 屬性設為 的 `Attribute`元素`https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊，請參閱《*IAM 使用者指南*》中的在 [中傳遞工作階段標籤 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

若要將屬性做為工作階段標籤傳遞，請包含指定標籤值的 `AttributeValue` 元素。例如，若要傳遞標籤鍵值對 `CostCenter = blue`，請使用下列屬性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要新增多個屬性，請為每個標籤加入個別的`Attribute`元素。

# 使用 和 IAM Identity Center 設定 SAML Google Workspace和 SCIM
<a name="gs-gwp"></a>

如果您的組織正在使用 Google Workspace ，您可以將來自 的使用者整合Google Workspace到 IAM Identity Center，讓他們能夠存取 AWS 資源。您可以將 IAM Identity Center 身分來源從預設 IAM Identity Center 身分來源變更為 ，以達成此整合Google Workspace。

**注意**  
Google Workspace 目前不支援 AWS IAM Identity Center 應用程式中的 SAML 多個宣告使用服務 (ACS) URLs。需要此 SAML 功能才能充分利用 IAM Identity Center 中的[多區域支援](multi-region-iam-identity-center.md)。如果您打算將 IAM Identity Center 複寫到其他區域，請注意，使用單一 ACS URL 可能會影響這些其他區域中的使用者體驗。您的主要區域會繼續正常運作。我們建議您與 IdP 廠商合作，以啟用此功能。如需使用單一 ACS URL 在其他區域中使用者體驗的詳細資訊，請參閱 [使用沒有多個 ACS URLs AWS 受管應用程式](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)和 [AWS 帳戶 在沒有多個 ACS URLs存取彈性](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。

來自 的使用者資訊會使用跨網域身分管理 (SCIM) 2.0 通訊協定Google Workspace同步至 IAM Identity Center。 [SCIM 設定檔](scim-profile-saml.md#scim-profile)如需詳細資訊，請參閱[搭配外部身分提供者使用 SAML 和 SCIM 聯合身分](other-idps.md)。

您可以使用 Google Workspace IAM Identity Center 的 SCIM 端點和 IAM Identity Center 承載字符，在 中設定此連線。當您設定 SCIM 同步時，您可以在 中建立使用者屬性映射Google Workspace至 IAM Identity Center 中具名屬性的映射。此映射符合 IAM Identity Center 和 之間的預期使用者屬性Google Workspace。若要這樣做，您需要將 設定為Google Workspace身分提供者，並與您的 IAM Identity Center 連線。

**目標**

本教學課程中的步驟可協助您在 Google Workspace和 之間建立 SAML 連線 AWS。稍後，您將同步使用者Google Workspace使用 SCIM。為了驗證一切設定正確，在完成設定步驟後，您將以Google Workspace使用者身分登入並驗證對 AWS 資源的存取。請注意，本教學課程是以小型Google Workspace目錄測試環境為基礎。本教學課程不包含群組和組織單位等目錄結構。完成本教學課程後，您的使用者將可以使用您的Google Workspace登入資料存取 AWS 存取入口網站。

**注意**  
若要註冊免費試用，Google Workspace請造訪 [https://workspace.google.com/](https://workspace.google.com/) Google's網站。  
如果您尚未啟用 IAM Identity Center，請參閱 [啟用 IAM Identity Center](enable-identity-center.md)。

## 考量事項
<a name="gs-gwp-considerations"></a>
+ 在 Google Workspace和 IAM Identity Center 之間設定 SCIM 佈建之前，建議您先檢閱 [使用自動佈建的考量事項](provision-automatically.md#auto-provisioning-considerations)。
+ 來自 Google Workspace 的 SCIM 自動同步目前僅限於使用者佈建。目前不支援自動群組佈建。您可以使用 AWS CLI Identity Store [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) 命令或 AWS Identity and Access Management (IAM) API [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html) 手動建立群組。或者，您可以使用 [ssosync](https://github.com/awslabs/ssosync) 將Google Workspace使用者和群組同步至 IAM Identity Center。
+ 每個Google Workspace使用者都必須指定**名字**、**姓氏**、**使用者名稱**和**顯示名稱**值。
+ 每個Google Workspace使用者每個資料屬性只有一個值，例如電子郵件地址或電話號碼。具有多個值的任何使用者都將無法同步。如果使用者在其屬性中有多個值，請在嘗試在 IAM Identity Center 中佈建使用者之前移除重複的屬性。例如，只能同步一個電話號碼屬性，因為預設的電話號碼屬性是「工作電話」，所以即使使用者的電話號碼是家用電話或行動電話，也請使用「工作電話」屬性來存放使用者的電話號碼。
+ 如果使用者在 IAM Identity Center 中已停用，但在 中仍處於作用中狀態，則屬性仍會同步Google Workspace。
+ 如果 Identity Center 目錄中現有的使用者具有相同的使用者名稱和電子郵件，則會使用來自 的 SCIM 覆寫和同步該使用者Google Workspace。
+  變更您的身分來源時，還有其他考量。如需詳細資訊，請參閱[從 IAM Identity Center 變更為外部 IdP](manage-your-identity-source-considerations.md#changing-from-idc-and-idp)。

## 步驟 1：Google Workspace：設定 SAML 應用程式
<a name="gs-gwp-step1"></a>

1. 使用具有超級管理員權限的帳戶登入您的 **Google Admin 主控台**。

1. 在**Google管理員主控台**的左側導覽面板中，選擇**應用程式**，然後選擇 **Web 和行動應用程式**。

1. 在**新增應用程式**下拉式清單中，選取**搜尋應用程式**。

1. 在搜尋方塊中輸入 **Amazon Web Services**，然後從清單中選擇 **Amazon Web Services (SAML)** 應用程式。

1. 在**Google身分提供者詳細資訊 - Amazon Web Services** 頁面上，您可以執行下列其中一項操作：

   1. 下載 IdP 中繼資料。

   1. 複製 SSO URL、實體 ID URL 和憑證資訊。

   您將需要步驟 2 中的 XML 檔案或 URL 資訊。

1. 在 Google Admin 主控台中移至下一個步驟之前，請將此頁面保持開啟並移至 IAM Identity Center 主控台。

## 步驟 2：IAM Identity Center 和 Google Workspace：變更 IAM Identity Center 身分來源並Google Workspace設定為 SAML 身分提供者
<a name="gs-gwp-step2"></a>

1. 使用具有管理許可的角色登入 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 在左側導覽窗格中選擇**設定**。

1. 在**設定**頁面上，選擇**動作**，然後選擇**變更身分來源**。
   + 如果您尚未啟用 IAM Identity Center，請參閱 [啟用 IAM Identity Center](enable-identity-center.md) 以取得詳細資訊。第一次啟用和存取 IAM Identity Center 之後，您將會抵達**儀表板**，您可以在其中選取**選擇您的身分來源**。

1. 在**選擇身分來源**頁面上，選取**外部身分提供者**，然後選擇**下一步**。

1. **設定外部身分提供者**頁面隨即開啟。若要完成此頁面和步驟 1 中的Google Workspace頁面，您需要完成下列項目：

   1. 在 **IAM Identity Center **主控台的身分**提供者中繼資料**區段下，您將需要執行下列其中一項操作：

     1. 在 IAM Identity Center 主控台中上傳 **Google SAML 中繼資料**作為 **IdP SAML 中繼資料**。

     1. 將 **Google SSO URL** 複製並貼到 **IdP 登入 URL** 欄位、**Google將發行者 URL** 貼到 **IdP 發行者 URL** 欄位，並將**Google憑證**上傳為 **IdP 憑證**。

1. 在 **IAM Identity Center **主控台的 Identity **Provider 中繼資料**區段中提供Google中繼資料之後，請複製 **IAM Identity Assertion Consumer Service (ACS) URL** 和 **IAM Identity Center 發行者 URL**。在下一個步驟中，您將需要在 Google Admin 主控台中提供這些 URLs。

1. 使用 IAM Identity Center 主控台保持頁面開啟，並返回 Google Admin 主控台。您應該位於 **Amazon Web Services - 服務提供者詳細資訊**頁面。選取**繼續**。

1. 在**服務提供者詳細資訊**頁面上，輸入 **ACS URL** 和**實體 ID** 值。您在上一個步驟中複製了這些值，它們可以在 IAM Identity Center 主控台中找到。
   + 將 **IAM Identity Center Assertion Consumer Service (ACS) URL** 貼入 **ACS URL** 欄位
   + 將 **IAM Identity Center 發行者 URL** 貼入**實體 ID** 欄位。

1. 在**服務供應商詳細資訊**頁面上，完成**名稱 ID** 下方的欄位，如下所示：
   + 針對**名稱 ID 格式**，選取 **EMAIL**
   + 針對**名稱 ID**，選取**基本資料 > 主要電子郵件**

1. 選擇**繼續**。

1. 在**屬性映射**頁面的**屬性**下，選擇**新增 MAPPING**，然後在**Google目錄屬性**下設定這些欄位：
   + 針對`https://aws.amazon.com/SAML/Attributes/RoleSessionName`**應用程式屬性**，從**Google Directory屬性**中選取**基本資訊、主要電子郵件**欄位。
   + 針對`https://aws.amazon.com/SAML/Attributes/Role`**應用程式屬性**，選取任何**Google Directory屬性**。Google 目錄屬性可以是**部門**。

1. 選擇**完成**

1. 返回 **IAM Identity Center** 主控台，然後選擇**下一步**。在**檢閱和確認**頁面上，檢閱資訊，然後在提供的空格中輸入 **ACCEPT**。選擇**變更身分來源。**

您現在可以在 中啟用 Amazon Web Services 應用程式，Google Workspace以便將使用者佈建至 IAM Identity Center。

## 步驟 3：Google Workspace：啟用應用程式
<a name="gs-gwp-step3"></a>

1. 返回**Google管理員主控台**和您的 AWS IAM Identity Center 應用程式，您可以在**應用程式**和 **Web 和行動應用程式**下找到。

1. 在**使用者存取權**旁的**使用者存取**面板中，選擇向下箭頭展開**使用者存取權**，以顯示**服務狀態**面板。

1. 在**服務狀態**面板中，**為所有人選擇 ON**，然後選擇**儲存**。

**注意**  
為了協助維護最低權限原則，我們建議您在完成本教學課程後，將每個人**的服務狀態**變更為 OFF。 ****只有需要存取 AWS 的使用者才能啟用 服務。您可以使用Google Workspace群組或組織單位，讓使用者存取使用者的特定子集。

## 步驟 4：IAM Identity Center：設定 IAM Identity Center 自動佈建
<a name="gs-gwp-step4"></a>

1. 返回 IAM Identity Center 主控台。

1. 在**設定**頁面上，找到**自動佈建**資訊方塊，然後選擇**啟用**。這會立即在 IAM Identity Center 中啟用自動佈建，並顯示必要的 SCIM 端點和存取字符資訊。

1. 在**傳入自動佈建**對話方塊中，複製下列選項的每個值。在此教學課程的步驟 5 中，您將輸入這些值，以在 中設定自動佈建Google Workspace。

   1. **SCIM 端點** - 例如，
      + IPv4`https://scim.Region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
      + 雙堆疊`https://scim.Region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`

   1. **存取字符** - 選擇**顯示字符**以複製值。
**警告**  
這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前，請務必複製這些值。

1. 選擇**關閉**。

   現在您已在 IAM Identity Center 主控台中設定佈建，在下一個步驟中，您將在 中設定自動佈建Google Workspace。

## 步驟 5：Google Workspace：設定自動佈建
<a name="gs-gwp-step5"></a>

1. 返回Google管理員主控台和您的 AWS IAM Identity Center 應用程式，您可以在**應用程式**和 **Web 和行動應用程式**下找到。在**自動佈建**區段中，選擇**設定自動佈建**。

1. 在先前的程序中，您會在 IAM Identity Center 主控台中複製**存取字符**值。將該值貼到**存取字符**欄位中，然後選擇**繼續**。此外，在先前的程序中，您會在 IAM Identity Center 主控台中複製 **SCIM 端點**值。將該值貼入**端點 URL** 欄位，然後選擇**繼續**。

1. 確認所有強制性 IAM Identity Center 屬性 （標記為 \$1 的屬性） 都對應至Google Cloud Directory屬性。如果沒有，請選擇向下箭頭並對應至適當的屬性。選擇**繼續**。

1. 在**佈建範圍**區段中，您可以選擇具有Google Workspace目錄的群組，以提供 Amazon Web Services 應用程式的存取權。略過此步驟，然後選取**繼續**。

1. 在**取消佈建**區段中，您可以選擇如何回應移除使用者存取權的不同事件。對於每種情況，您可以指定取消佈建開始之前的時間量：
   + 24 小時內
   + 一天後
   + 七天後
   + 30 天後

   每種情況都有時間設定，用於暫停帳戶存取的時間，以及刪除帳戶的時間。
**提示**  
刪除使用者帳戶之前，請務必設定比暫停使用者帳戶更長的時間。

1. 選擇**完成**。您會返回 Amazon Web Services 應用程式頁面。

1. 在**自動佈建**區段中，開啟切換開關，將其從**非作用中**變更為**作用中**。
**注意**  
如果使用者未開啟 IAM Identity Center，則會停用啟用滑桿。選擇**使用者存取**並 開啟應用程式 以啟用滑桿。

1. 在確認對話方塊中，選擇**開啟**。

1. 若要確認使用者已成功同步至 IAM Identity Center，請返回 IAM Identity Center 主控台並選擇 **使用者**。 **使用者** 頁面列出您Google Workspace目錄中由 SCIM 建立的使用者。如果使用者尚未列出，可能是佈建仍在進行中。佈建最多可能需要 24 小時，但在大多數情況下，它在幾分鐘內完成。請務必每隔幾分鐘重新整理瀏覽器視窗。

   選取使用者並檢視其詳細資訊。資訊應與 Google Workspace目錄中的資訊相符。

**恭喜您！**  
您已成功在 Google Workspace和 之間設定 SAML 連線， AWS 並已驗證自動佈建是否正常運作。您現在可以將這些使用者指派給 **IAM Identity Center** 中的帳戶和應用程式。在本教學課程中，在下一個步驟中，我們將其中一個使用者授予管理帳戶的管理許可，以指定為 IAM Identity Center 管理員。

## 傳遞存取控制的屬性 - *選用*
<a name="gwp-passing-abac"></a>

您可以選擇性地使用 IAM Identity Center 中的 [存取控制的屬性](attributesforaccesscontrol.md)功能，傳遞 `Name` 屬性設為 的 `Attribute`元素`https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊，請參閱《*IAM 使用者指南*》中的在 [中傳遞工作階段標籤 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

若要將屬性做為工作階段標籤傳遞，請包含指定標籤值的 `AttributeValue` 元素。例如，若要傳遞標籤鍵/值對 `CostCenter = blue`，請使用下列屬性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要新增多個屬性，請為每個標籤加入個別的`Attribute`元素。

## 將存取權指派給 AWS 帳戶
<a name="gs-gwp-acct-access"></a>

下列步驟僅需要授予 AWS 帳戶 的存取權。這些步驟不需要授予 AWS 應用程式存取權。

**注意**  
若要完成此步驟，您需要 IAM Identity Center 的組織執行個體。如需詳細資訊，請參閱[IAM Identity Center 的組織和帳戶執行個體](identity-center-instances.md)。

### 步驟 1：IAM Identity Center：授予Google Workspace使用者帳戶存取權
<a name="gs-gwp-step6"></a>

1. 返回 **IAM Identity Center** 主控台。在 IAM Identity Center 導覽窗格中的**多帳戶許可**下，選擇 **AWS 帳戶**。

1. 在 **AWS 帳戶**頁面上，**組織結構**會在階層中顯示您的組織根目錄及其下的帳戶。選取管理帳戶的核取方塊，然後選取**指派使用者或群組**。

1. 此時會顯示**指派使用者和群組**工作流程。它包含三個步驟：

   1. 針對**步驟 1：選取使用者和群組**，選擇將執行管理員任務功能的使用者。然後選擇**下一步**。

   1. 針對**步驟 2：選取許可集**選擇**建立許可集**，以開啟新標籤，逐步引導您完成建立許可集所涉及的三個子步驟。

      1. 對於**步驟 1：選取許可集類型**完成下列項目：
         + 在**許可集類型**中，選擇**預先定義的許可集**。
         + 在**預先定義許可集的政策**中，選擇 **AdministratorAccess**。

         選擇**下一步**。

      1. 針對**步驟 2：指定許可集詳細資訊**，保留預設設定，然後選擇**下一步**。

         預設設定會建立名為 *AdministratorAccess* 的許可集，並將工作階段持續時間設定為一小時。

      1. 針對**步驟 3：檢閱和建立**，確認**許可集類型**使用 AWS 受管政策 **AdministratorAccess**。選擇**建立**。在**許可集**頁面上會出現通知，通知您已建立許可集。您現在可以在 Web 瀏覽器中關閉此索引標籤。

      1. 在**指派使用者和群組**瀏覽器索引標籤上，您仍在**步驟 2：選取您從中開始建立許可集**工作流程的許可集。

      1. 在**許可集**區域中，選擇**重新整理**按鈕。您建立的 *AdministratorAccess* 許可集會出現在清單中。選取該許可集的核取方塊，然後選擇**下一步**。

   1. 對於**步驟 3：檢閱並提交**檢閱選取的使用者和許可集，然後選擇**提交**。

      頁面會以 AWS 帳戶 正在設定 的訊息進行更新。等待程序完成。

      您會返回 AWS 帳戶 頁面。通知訊息會通知您 AWS 帳戶 ，您的 已重新佈建，並已套用更新的許可集。當使用者登入時，他們可以選擇 *AdministratorAccess* 角色。
**注意**  
來自 的 SCIM 自動同步Google Workspace僅支援佈建使用者。目前不支援自動群組佈建。您無法使用 為Google Workspace使用者建立群組 AWS 管理主控台。佈建使用者之後，您可以使用 AWS CLI Identity Store [create-group ](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html)命令或 IAM API [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html) 建立群組。

### 步驟 2：Google Workspace：確認Google Workspace使用者存取 AWS 資源
<a name="gs-gwp-step7"></a>

1. Google 使用測試使用者帳戶登入 。若要了解如何將使用者新增至 Google Workspace，請參閱 [Google Workspace 文件](https://knowledge.workspace.google.com/kb/how-to-create-a-new-user-000007668)。

1. 選取Google apps啟動器 （鬆餅） 圖示。

1. 捲動至自訂應用程式所在的Google Workspace應用程式清單底部。**Amazon Web Services** 應用程式隨即顯示。

1. 選取 **Amazon Web Services** 應用程式。您已登入 AWS 存取入口網站，可以看到 AWS 帳戶 圖示。展開該圖示以查看使用者可以存取 AWS 帳戶 的 清單。在本教學課程中，您只使用單一帳戶，因此展開圖示只會顯示一個帳戶。

1. 選取帳戶以顯示使用者可用的許可集。在本教學課程中，您已建立 **AdministratorAccess** 許可集。

1. 許可集旁的是該許可集可用的存取類型的連結。當您建立許可集時，您指定同時啟用管理主控台和程式設計存取，因此這兩個選項都存在。選取**管理主控台**以開啟 AWS 管理主控台。

1. 使用者已登入 主控台。

## 後續步驟
<a name="gs-gwp-next-steps"></a>

現在您已Google Workspace在 IAM Identity Center 中將 設定為身分提供者和佈建使用者，您可以：
+  使用 AWS CLI Identity Store [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) 命令或 IAM API [CreateGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_CreateGroup.html) 為您的使用者建立群組。

  群組在將存取權指派給 AWS 帳戶 和 應用程式時非常有用。您可以將許可授予群組，而不是個別指派每個使用者。稍後，當您從群組新增或移除使用者時，使用者會動態取得或失去您指派給群組的帳戶和應用程式的存取權。
+ 根據任務函數設定許可，請參閱[建立許可集](howtocreatepermissionset.md)。

  許可集定義使用者和群組對 的存取層級 AWS 帳戶。許可集存放在 IAM Identity Center 中，並且可以佈建至一或多個 AWS 帳戶。您可以為使用者指派多個許可集合。

**注意**  
身為 IAM Identity Center 管理員，您偶爾需要用較新的 IdP 憑證取代較舊的 IdP 憑證。例如，當憑證上的過期日期接近時，您可能需要取代 IdP 憑證。使用較新的憑證取代較舊憑證的程序稱為憑證輪換。請務必檢閱如何[管理 的 SAML 憑證](managesamlcerts.md)Google Workspace。

## 疑難排解
<a name="gs-gwp-troubleshooting"></a>

如需使用 進行一般 SCIM 和 SAML 故障診斷Google Workspace，請參閱下列章節：
+ [特定使用者無法從外部 SCIM 供應商同步到 IAM Identity Center](troubleshooting.md#issue2)
+ [IAM Identity Center 建立的 SAML 聲明內容相關問題](troubleshooting.md#issue1)
+ [使用外部身分提供者佈建使用者或群組時重複的使用者或群組錯誤](troubleshooting.md#duplicate-user-group-idp)
+ 如需Google Workspace故障診斷，請參閱 [Google Workspace 文件](https://support.google.com/a/topic/7579248?sjid=11091727091254312767-NA)。

下列資源可協助您在使用 時進行故障診斷 AWS：
+ [AWS re:Post](https://repost.aws/) - 尋找FAQs和其他資源的連結，以協助您疑難排解問題。
+ [AWS 支援](https://aws.amazon.com/premiumsupport/) - 取得技術支援

# 使用 IAM Identity Center 與您的JumpCloud目錄平台連線
<a name="jumpcloud-idp"></a>

IAM Identity Center 支援將使用者資訊從  JumpCloud Directory Platform 自動佈建 （同步） 到 IAM Identity Center。此佈建使用[安全性聲明標記語言 (SAML) 2.0 ](scim-profile-saml.md)通訊協定。如需詳細資訊，請參閱[搭配外部身分提供者使用 SAML 和 SCIM 聯合身分](other-idps.md)。

您可以使用 IAM Identity Center SCIM 端點和存取權杖JumpCloud在 中設定此連線。當您設定 SCIM 同步時，您可以在 中建立使用者屬性映射JumpCloud至 IAM Identity Center 中具名屬性的映射。這會導致 IAM Identity Center 和 之間的預期屬性相符JumpCloud。

本指南以 2021 年 6 月JumpCloud的 為基礎。較新版本的步驟可能會有所不同。本指南包含一些有關透過 SAML 設定使用者身分驗證的注意事項。

下列步驟會逐步解說如何使用 SCIM 通訊協定，將使用者和群組從 自動佈建JumpCloud至 IAM Identity Center。

**注意**  
在您開始部署 SCIM 之前，建議您先檢閱 [使用自動佈建的考量事項](provision-automatically.md#auto-provisioning-considerations)。然後繼續檢閱下一節的其他考量事項。

**Topics**
+ [先決條件](#jumpcloud-prereqs)
+ [SCIM 考量事項](#jumpcloud-scim)
+ [步驟 1：在 IAM Identity Center 中啟用佈建](#jumpcloud-step1)
+ [步驟 2：在 中設定佈建 JumpCloud](#jumpcloud-step2)
+ [（選用） 步驟 3：在 中設定使用者屬性JumpCloud，以在 IAM Identity Center 中進行存取控制](#jumpcloud-step3)
+ [（選用） 傳遞屬性以進行存取控制](#jumpcloud-passing-abac)

## 先決條件
<a name="jumpcloud-prereqs"></a>

您將需要下列項目才能開始使用：
+ JumpCloud 訂閱或免費試用。若要註冊免費試用，請造訪 [https://console.jumpcloud.com/signup](https://console.jumpcloud.com/signup)。
+ 啟用 IAM Identity Center 的帳戶 ([ 免費](https://aws.amazon.com/single-sign-on/))。如需詳細資訊，請參閱[啟用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)。
+ 從JumpCloud您的帳戶到 IAM Identity Center 的 SAML 連線，如 [JumpCloudIAM Identity Center 的文件](https://support.jumpcloud.com/support/s/article/Single-Sign-On-SSO-With-AWS-SSO)中所述。
+ 如果您將 IAM Identity Center 複寫到其他區域，則必須更新身分提供者組態，以啟用受 AWS 管應用程式和 AWS 帳戶 來自這些區域的存取。如需詳細資訊，請參閱[步驟 3：更新外部 IdP 設定](replicate-to-additional-region.md#update-external-idp-setup)。如需其他詳細資訊，請參閱 JumpCloud 文件。
+ 將 IAM Identity Center 連接器與您要允許存取 AWS 帳戶的群組建立關聯。

## SCIM 考量事項
<a name="jumpcloud-scim"></a>

 以下是對 JumpCloud IAM Identity Center 使用聯合時的考量事項。
+ 只有與 中的 AWS 單一登入連接器相關聯的群組 JumpCloud才會與 SCIM 同步。
+ 只能同步一個電話號碼屬性，預設值為「工作電話」。
+ JumpCloud 目錄中的使用者必須設定名字和姓氏，才能透過 SCIM 同步至 IAM Identity Center。
+ 如果使用者在 IAM Identity Center 中已停用，但仍在 中啟用，則屬性仍會同步JumpCloud。
+ 您可以選擇僅啟用使用者資訊的 SCIM 同步，方法是取消勾選連接器中的「啟用使用者群組和群組成員資格的管理」。

## 步驟 1：在 IAM Identity Center 中啟用佈建
<a name="jumpcloud-step1"></a>

在此第一個步驟中，您可以使用 IAM Identity Center 主控台來啟用自動佈建。

**在 IAM Identity Center 中啟用自動佈建**

1. 完成先決條件後，請開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 在左側導覽窗格中選擇**設定**。

1. 在**設定**頁面上，找到**自動佈建**資訊方塊，然後選擇**啟用**。這會立即在 IAM Identity Center 中啟用自動佈建，並顯示必要的 SCIM 端點和存取字符資訊。

1. 在**傳入自動佈建**對話方塊中，複製 SCIM 端點和存取字符。稍後在 IdP 中設定佈建時，您需要將這些項目貼入 。

   1. **SCIM 端點** - 例如，https://scim.*us-east-2*.amazonaws.com/*111111111-2222-3333-444-555555555*/scim/v2

   1. **存取字符** - 選擇**顯示字符**以複製值。
**警告**  
這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前，請務必複製這些值。您將在本教學課程稍後輸入這些值，以在 IdP 中設定自動佈建。

1. 選擇**關閉**。

現在您已在 IAM Identity Center 主控台中設定佈建，您需要使用 JumpCloud IAM Identity Center 連接器完成其餘任務。這些步驟會在下列程序中說明。

## 步驟 2：在 中設定佈建 JumpCloud
<a name="jumpcloud-step2"></a>

在 JumpCloud IAM Identity Center 連接器中使用下列程序，以使用 IAM Identity Center 啟用佈建。此程序假設您已將  JumpCloud IAM Identity Center 連接器新增至JumpCloud管理員入口網站和群組。如果您尚未這麼做，請參閱 [先決條件](#jumpcloud-prereqs)，然後完成此程序以設定 SCIM 佈建。

**在 中設定佈建 JumpCloud**

1. 開啟您在設定 SAML for JumpCloud JumpCloud(**使用者身分驗證** > IAM Identity Center) 時安裝的 **IAM Identity Center** 連接器。請參閱 [先決條件](#jumpcloud-prereqs)。

1. 選擇 **IAM Identity Center** 連接器，然後選擇第三個索引標籤 **Identity Management**。

1. 如果您希望群組進行 SCIM 同步**，請勾選在此應用程式中啟用使用者群組和群組成員資格的管理**方塊。

1. 按一下**設定**。

1. 在先前的程序中，您會在 IAM Identity Center 中複製 **SCIM 端點**值。將該值貼到 JumpCloudIAM Identity Center 連接器的基本 **URL** 欄位中。

1. 從上一個程序中，您複製了 IAM Identity Center 中的**存取字符**值。將該值貼到 JumpCloudIAM Identity Center 連接器的**字符金鑰**欄位中。

1. 按一下**啟用**以套用組態。

1. 請確定已啟用**單一登入**旁的綠色指標。

1. 移至第四個索引標籤 **使用者群組**，並檢查您要使用 SCIM 佈建的群組。

1. 完成後，請按一下底部的**儲存**。

1. 若要確認使用者已成功同步至 IAM Identity Center，請返回 IAM Identity Center 主控台並選擇**使用者**。來自 的同步**使用者** JumpCloud會出現在使用者頁面上。這些使用者現在可以指派給 IAM Identity Center 內的帳戶。

## （選用） 步驟 3：在 中設定使用者屬性JumpCloud，以在 IAM Identity Center 中進行存取控制
<a name="jumpcloud-step3"></a>

JumpCloud 如果您選擇設定 IAM Identity Center 的屬性來管理對 AWS 資源的存取，這是 的選用程序。您在 中定義的屬性JumpCloud會在 SAML 聲明中傳遞至 IAM Identity Center。然後，您可以在 IAM Identity Center 中建立許可集，以根據您從 傳遞的屬性來管理存取權JumpCloud。

開始此程序之前，您必須先啟用[存取控制功能的屬性](https://docs.aws.amazon.com/singlesignon/latest/userguide/attributesforaccesscontrol.html)。如需如何執行此操作的詳細資訊，請參閱[啟用和設定存取控制的屬性](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html)。

****在 中設定使用者屬性JumpCloud，以在 IAM Identity Center 中進行存取控制****

1. 開啟您在為 JumpCloud 設定 SAML 時安裝的 IAM Identity Center 連接器 JumpCloud(**使用者身分驗證** > **IAM Identity Center**)。

1. 選擇 **IAM Identity Center** 連接器。然後，選擇第二個索引標籤 ** IAM Identity Center**。

1. 在此索引標籤底部，您有**使用者屬性映射**，選擇**新增屬性**，然後執行下列動作：您必須對要新增的每個屬性執行這些步驟，以便在 IAM Identity Center 中用於存取控制。

   1. 在**服務提供屬性名稱**欄位中，輸入` AttributeName `以您在 IAM Identity Center 中預期的屬性名稱`https://aws.amazon.com/SAML/Attributes/AccessControl: AttributeName.`取代。例如 ` https://aws.amazon.com/SAML/Attributes/AccessControl: Email `。

   1. 在**JumpCloud屬性名稱**欄位中，從您的JumpCloud目錄中選擇使用者屬性。例如，**電子郵件 （工作）**。

1. 選擇**儲存**。

## （選用） 傳遞屬性以進行存取控制
<a name="jumpcloud-passing-abac"></a>

您可以選擇性地使用 IAM Identity Center 中的 [存取控制的屬性](attributesforaccesscontrol.md)功能，傳遞 `Name` 屬性設為 的 `Attribute`元素`https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊，請參閱《*IAM 使用者指南*》中的在 [中傳遞工作階段標籤 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

若要將屬性做為工作階段標籤傳遞，請包含指定標籤值的 `AttributeValue` 元素。例如，若要傳遞標籤鍵/值對 `CostCenter = blue`，請使用下列屬性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要新增多個屬性，請為每個標籤加入個別的`Attribute`元素。

# 使用 和 IAM Identity Center 設定 SAML Microsoft Entra ID和 SCIM
<a name="idp-microsoft-entra"></a>

AWS IAM Identity Center 支援與[安全性聲明標記語言 (SAML) 2.0](scim-profile-saml.md) 整合，以及使用跨網域身分管理 (SCIM) 2.0 通訊協定，將使用者和群組資訊從 Microsoft Entra ID（先前稱為 Azure Active Directory或 Azure AD) [自動佈建](provision-automatically.md) （同步） 到 IAM Identity Center。 [SCIM 設定檔](scim-profile-saml.md#scim-profile)如需詳細資訊，請參閱[搭配外部身分提供者使用 SAML 和 SCIM 聯合身分](other-idps.md)。

**目標**

在本教學課程中，您將設定測試實驗室，並在 和 IAM Identity Center 之間設定 SAML 連線和 SCIM Microsoft Entra ID 佈建。在初始準備步驟期間，您會在 Microsoft Entra ID和 IAM Identity Center 中建立測試使用者 (Nikki Wolf)，以雙向測試 SAML 連線。稍後，作為 SCIM 步驟的一部分，您將建立不同的測試使用者 (Richard Roe)，以驗證 中的新屬性Microsoft Entra ID是否如預期同步至 IAM Identity Center。

## 先決條件
<a name="prereqs-entra"></a>

您必須先設定下列項目，才能開始使用本教學課程：
+ Microsoft Entra ID 租戶。如需詳細資訊，請參閱[快速入門：在文件中設定租用戶](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-create-new-tenant)。 Microsoft
+ 已啟用 AWS IAM Identity Center的帳戶。如需詳細資訊，請參閱*AWS IAM Identity Center 《 使用者指南*》中的[啟用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html)。

## 考量事項
<a name="entra-scim-considerations"></a>

以下是有關 的重要考量Microsoft Entra ID，這可能會影響您計劃使用 SCIM v2 通訊協定在生產環境中使用 IAM Identity Center 實作[自動佈建](provision-automatically.md)的方式。

**自動佈建**

在您開始部署 SCIM 之前，建議您先檢閱 [使用自動佈建的考量事項](provision-automatically.md#auto-provisioning-considerations)。

**存取控制的屬性**

存取控制的屬性會用於 許可政策 ，以決定身分來源中誰可以存取您的 AWS 資源。如果從 中的使用者移除屬性Microsoft Entra ID，則不會從 IAM Identity Center 中的對應使用者移除該屬性。這是 中的已知限制Microsoft Entra ID。如果屬性在使用者上變更為不同的 （非空白） 值，則該變更會同步至 IAM Identity Center。

**巢狀群組**

Microsoft Entra ID 使用者佈建服務無法讀取或佈建巢狀群組中的使用者。只有屬於明確指派群組的直接成員的使用者才能讀取和佈建。 Microsoft Entra ID 不會以遞迴方式解壓縮間接指派使用者或群組的群組成員 （直接指派的群組成員的使用者或群組）。如需詳細資訊，請參閱 Microsoft 文件中的以[指派為基礎的範圍](https://learn.microsoft.com/en-us/azure/active-directory/app-provisioning/how-provisioning-works#assignment-based-scoping)。或者，您可以使用 [IAM Identity Center 可設定的 AD 同步](https://aws.amazon.com/blogs//security/managing-identity-source-transition-for-aws-iam-identity-center/)，將Active Directory群組與 IAM Identity Center 整合。

**動態群組**

Microsoft Entra ID 使用者佈建服務可以在[動態群組](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-create-rule)中讀取和佈建使用者。如需使用動態群組時顯示使用者和群組結構的範例，以及它們在 IAM Identity Center 中的顯示方式，請參閱下文。這些使用者和群組是透過 SCIM 從 佈建Microsoft Entra ID至 IAM Identity Center

例如，如果動態群組的Microsoft Entra ID結構如下：

1. 群組 A 具有成員 ua1、ua2

1. 群組 B 與成員 ub1

1. 群組 C 與成員 uc1

1. 群組 K 具有包含群組 A、B、C 成員的規則

1. 群組 L 具有包含成員群組 B 和 C 的規則

使用者和群組資訊透過 SCIM 從 佈建Microsoft Entra ID至 IAM Identity Center 後，結構將如下所示：

1. 群組 A 具有成員 ua1、ua2

1. 群組 B 與成員 ub1

1. 群組 C 與成員 uc1

1. 群組 K 具有成員 ua1、ua2、ub1、uc1

1. 群組 L 與成員 ub1、uc1

當您使用動態群組設定自動佈建時，請謹記下列考量。
+ 動態群組可以包含巢狀群組。不過，Microsoft Entra ID佈建服務不會壓平巢狀群組。例如，如果您的動態群組有下列Microsoft Entra ID結構：
  + 群組 A 是群組 B 的父項。
  + 群組 A 以成員身分擁有 ua1。
  + B 群組以成員身分擁有 ub1。

包含群組 A 的動態群組只會包含群組 A 的直接成員 （即 ua1)。它不會遞迴地包含群組 B 的成員。
+ 動態群組不能包含其他動態群組。如需詳細資訊，請參閱 Microsoft 文件中的[預覽限制](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-dynamic-rule-member-of#preview-limitations)。

## 步驟 1：準備您的 Microsoft 租用戶
<a name="step1-entra-microsoft-prep"></a>

在此步驟中，您將逐步了解如何安裝和設定您的 AWS IAM Identity Center 企業應用程式，並將存取權指派給新建立Microsoft Entra ID的測試使用者。

------
#### [ Step 1.1 > ]

**步驟 1.1：在 中設定 AWS IAM Identity Center 企業應用程式 Microsoft Entra ID**

在此程序中，您會在 中安裝 AWS IAM Identity Center 企業應用程式Microsoft Entra ID。稍後您將需要此應用程式來設定 SAML 連線 AWS。

1. 至少以雲端應用程式管理員身分登入 [Microsoft Entra 管理中心](https://entra.microsoft.com/)。

1. 導覽至**身分 > 應用程式 > 企業應用程式**，然後選擇**新應用程式**。

1. 在**瀏覽 Microsoft Entra Gallery** 頁面上，****AWS IAM Identity Center****在搜尋方塊中輸入 。

1. **AWS IAM Identity Center** 從結果中選取 。

1. 選擇**建立**。

------
#### [ Step 1.2 > ]

**步驟 1.2：在 中建立測試使用者 Microsoft Entra ID**

Nikki Wolf 是您將在此程序中建立Microsoft Entra ID的測試使用者名稱。

1. 在 [Microsoft Entra 管理中心](https://entra.microsoft.com/)主控台中，導覽至**身分 > 使用者 > 所有使用者**。

1. 選取**新使用者**，然後在畫面頂端選擇**建立新使用者**。

1. 在**使用者主體名稱**中，輸入 ****NikkiWolf****，然後選取您偏好的網域和延伸。例如，*NikkiWolf*@*example.org*。

1. 在**顯示名稱**中，輸入 ****NikkiWolf****。

1. 在**密碼**中，輸入高強度密碼或選取眼睛圖示以顯示自動產生的密碼，然後複製或寫下顯示的值。

1. 選擇**屬性**，在**名字**中，輸入 ****Nikki****。在**姓氏**中，輸入 ****Wolf****。

1. 選擇**檢閱 \$1 建立**，然後選擇**建立**。

------
#### [ Step 1.3 ]

**步驟 1.3：在將許可指派給 之前，先測試 Nikki 的體驗 AWS IAM Identity Center**

在此程序中，您將驗證 Nikki 可以成功登入其 Microsoft [My Account 入口網站](https://myaccount.microsoft.com/)的內容。

1. 在相同的瀏覽器中，開啟新標籤，前往[我的帳戶入口網站](https://myaccount.microsoft.com/)登入頁面，然後輸入 Nikki 的完整電子郵件地址。例如，*NikkiWolf*@*example.org*。

1. 出現提示時，輸入 Nikki 的密碼，然後選擇**登入**。如果這是自動產生的密碼，系統會提示您變更密碼。

1. 在**必要動作**頁面上，選擇**稍後請求**以略過其他安全方法的提示。

1. 在**我的帳戶**頁面的左側導覽窗格中，選擇**我的應用程式**。請注意，除了**增益集**之外，目前不會顯示任何應用程式。您將新增應用程式，該**AWS IAM Identity Center**應用程式將在稍後的步驟中顯示在這裡。

------
#### [ Step 1.4 ]

**步驟 1.4：在 中將許可指派給 Nikki Microsoft Entra ID**

現在您已驗證 Nikki 可以成功存取**我的帳戶入口網站**，請使用此程序將她的使用者指派給**AWS IAM Identity Center**應用程式。

1. 在 [Microsoft Entra 管理中心](https://entra.microsoft.com/)主控台中，導覽至**身分 > 應用程式 > 企業應用程式**，然後從**AWS IAM Identity Center**清單中選擇。

1. 在左側，選擇**使用者和群組**。

1. 選擇 **Add user/group** (新增使用者/群組)。您可以忽略訊息，指出群組無法進行指派。本教學課程不會使用群組進行指派。

1. 在**新增指派**頁面**的使用者**下，選擇**未選取**。

1. 選取 **NikkiWolf**，然後選擇**選取**。

1. 在 **Add Assignment** (新增指派) 頁面上，選擇 **Assign** (指派)。NikkiWolf 現在會出現在指派給**AWS IAM Identity Center**應用程式的使用者清單中。

------

## 步驟 2：準備 AWS 您的帳戶
<a name="step2-entra-aws-prep"></a>

在此步驟中，您將逐步說明如何使用 **IAM Identity Center** 來設定存取許可 （透過許可集）、手動建立對應的 Nikki Wolf 使用者，以及指派必要的許可給她以管理 資源 AWS。

------
#### [ Step 2.1 > ]

**步驟 2.1：在 中建立 RegionalAdmin 許可集 IAM Identity Center**

此許可集將用於授予 Nikki 從 中的 AWS 帳戶頁面管理區域所需的必要**帳戶**許可 AWS 管理主控台。預設會拒絕檢視或管理 Nikki 帳戶任何其他資訊的所有其他許可。

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 在**多帳戶許可**下，選擇**許可集**。

1. 選擇 **Create permission set (建立許可集合)**。

1. 在**選取許可集類型**頁面上，選取**自訂許可集**，然後選擇**下一步**。

1. 選取**內嵌政策**以展開政策，然後使用下列步驟為許可集建立政策：

   1. 選擇**新增陳述**式以建立政策陳述式。

   1. 在**編輯陳述**式下，從清單中選擇**帳戶**，然後選擇下列核取方塊。
      + **`ListRegions`**
      + **`GetRegionOptStatus`**
      + **`DisableRegion`**
      + **`EnableRegion`**

   1. 在 **Add a resource** (新增資源) 旁邊，選擇 **Add** (新增)。

   1. 在**新增資源**頁面**的資源類型**下，選取**所有資源**，然後選擇**新增資源**。確認您的政策如下所示：

      ```
      {
          "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": [
                      "account:ListRegions",
                      "account:DisableRegion",
                      "account:EnableRegion",
                      "account:GetRegionOptStatus"
                  ],
                  "Resource": [
                      "*"
                  ]
              }
          ]
      }
      ```

1. 選擇**下一步**。

1. 在**指定許可集詳細資訊**頁面的**許可集名稱**下，輸入 ****RegionalAdmin****，然後選擇**下一步**。

1. 在 **Review and create** (檢閱和建立) 頁面上，選取 **Create** (建立)。您應該會在許可集清單中看到 **RegionalAdmin**。

------
#### [ Step 2.2 > ]

**步驟 2.2：在 中建立對應的 NikkiWolf 使用者 IAM Identity Center**

由於 SAML 通訊協定不提供查詢 IdP (Microsoft Entra ID) 和自動在 IAM Identity Center 中在此處建立使用者的機制，請使用下列程序在 IAM Identity Center 中手動建立使用者，以鏡射 中 Nikki Wolfs 使用者的核心屬性Microsoft Entra ID。

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**使用者**，選擇**新增使用者**，然後提供下列資訊：

   1. 針對**使用者名稱**和**電子郵件地址** – 輸入您在建立Microsoft Entra ID使用者時所使用的相同 ****NikkiWolf**@*yourcompanydomain.extension***。例如，*NikkiWolf*@*example.org*。

   1. **確認電子郵件地址** – 重新輸入上一個步驟的電子郵件地址

   1. **名字** – 輸入 ****Nikki****

   1. **姓氏** – 輸入 ****Wolf****

   1. **顯示名稱** – 輸入 ****Nikki Wolf****

1. 選擇**下一步**兩次，然後選擇**新增使用者**。

1. 請選擇 **Close (關閉)**。

------
#### [ Step 2.3 ]

**步驟 2.3：將 Nikki 指派給 中的 RegionalAdmin 許可集 IAM Identity Center**

您可以在此處找到 Nikki 將在 AWS 帳戶 其中管理區域的 ，然後指派她成功存取 AWS 存取入口網站所需的必要許可。

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 在**多帳戶許可**下，選擇 **AWS 帳戶**。

1. 選取您要授予 Nikki 存取權以管理區域的帳戶名稱 （例如*沙盒*) 旁的核取方塊，然後選擇**指派使用者和群組**。

1. 在**指派使用者和群組**頁面上，選擇**使用者**索引標籤，尋找並勾選 Nikki 旁的方塊，然後選擇**下一步**。

1.   
**Example**  

1. 在**檢閱和提交**頁面上，檢閱您的選擇，然後選擇**提交**。

------

## 步驟 3：設定和測試 SAML 連線
<a name="step3-entra-saml"></a>

在此步驟中，您會使用 中的 AWS IAM Identity Center 企業應用程式Microsoft Entra ID以及 IAM Identity Center 中的外部 IdP 設定來設定 SAML 連線。<a name="step3-1"></a>

------
#### [ Step 3.1 > ]

**步驟 3.1：從 IAM Identity Center 收集所需的服務供應商中繼資料**

在此步驟中，您將從 IAM Identity Center 主控台中啟動**變更身分來源**精靈，並擷取下一個步驟Microsoft Entra ID中設定與 連線時需要輸入的中繼資料檔案和 AWS 特定登入 URL。

1. 在 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)中，選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，然後選擇**動作 > 變更身分來源**。

1. 在**選擇身分來源**頁面上，選取**外部身分提供者**，然後選擇**下一步**。

1. 在**設定外部身分提供者**頁面的**服務提供者中繼資料**下，選擇**預設 IPv4** **或雙堆疊**。您可以在完成身分來源變更後下載服務提供者中繼資料檔案。

1. 在相同區段中，找到**AWS 存取入口網站登入 URL **值並將其複製。在下一個步驟中出現提示時，您將需要輸入此值。

1. 保持開啟此頁面，然後移至下一個步驟 (**`Step 3.2`**) 以在 中設定 AWS IAM Identity Center 企業應用程式Microsoft Entra ID。稍後，您將返回此頁面以完成程序。

------
#### [ Step 3.2 > ]<a name="step3-2"></a>

**步驟 3.2：在 中設定 AWS IAM Identity Center 企業應用程式 Microsoft Entra ID**

此程序會使用您在最後一個步驟中取得的中繼資料檔案和登入 URL 中的值，在 Microsoft 端建立一半的 SAML 連線。

1. 在 [Microsoft Entra 管理員中心](https://entra.microsoft.com/)主控台中，導覽至**身分 > 應用程式 > 企業應用程式**，然後選擇 **AWS IAM Identity Center**。

1. 在左側，選擇 **2。設定單一登入**。

1. 在**使用 SAML 設定單一登入**頁面上，選擇 **SAML**。然後選擇**上傳中繼資料檔案**，選擇資料夾圖示，選取您在上一個步驟中下載的服務提供者中繼資料檔案，然後選擇**新增**。

1. 在**基本 SAML 組態**頁面上，確認**識別符**和**回覆 URL （聲明消費者服務 URL)** 值現在都指向 中的端點 AWS。
   + **識別符** - 這是來自 IAM Identity Center 的**發行者 URL**。無論您使用IPv4-only或雙堆疊端點，都適用相同的值。
   + **回覆 URL （聲明消費者服務 URL)** - 此處的值包含來自 IAM Identity Center 所有已啟用區域的IPv4-only 和雙堆疊端點。您可以使用主要區域的 ACS URL 做為預設 URL，以便在使用者從 啟動 Amazon Web Services 應用程式時重新導向至主要區域Microsoft Entra ID。如需 ACS URLs 的詳細資訊，請參閱 [主要和其他 中的 ACS 端點 AWS 區域](multi-region-workforce-access.md#acs-endpoints)。
   + （選用） 如果您將 IAM Identity Center 複寫到其他區域，您也可以在 中Microsoft Entra ID為每個其他區域的 AWS 存取入口網站建立書籤應用程式。這可讓您的使用者從 存取其他區域中的 AWS 存取入口網站Microsoft Entra ID。請務必授予使用者存取 中書籤應用程式的許可Microsoft Entra ID。如需詳細資訊，請參閱 [Microsoft Entra ID 文件](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on)。如果您計劃稍後將 IAM Identity Center 複寫到其他區域，請造訪 [Microsoft Entra ID 用於存取其他區域的組態](#gs-microsoft-entra-multi-region) 以取得指引，了解如何在此初始設定後啟用其他區域的存取權。

1. 在**登入 URL （選用）** 下，貼上您在上一個步驟 (**`Step 3.1`**) 中複製的**AWS 存取入口網站登入 URL** 值，選擇**儲存**，然後選擇 **X** 關閉視窗。

1. 如果系統提示您使用 測試單一登入 AWS IAM Identity Center，請選擇**否 我稍後會測試**。您將在後續步驟中執行此驗證。

1. 在**使用 SAML 設定單一登入**頁面上，在**聯合中繼資料 XML** 旁的 **SAML 憑證**區段中，選擇**下載**以將中繼資料檔案儲存至您的系統。在下一個步驟中出現提示時，您將需要上傳此檔案。

------
#### [ Step 3.3 > ]

**步驟 3.3：在 中設定Microsoft Entra ID外部 IdP AWS IAM Identity Center**

在這裡，您將返回 IAM Identity Center 主控台中的**變更身分來源**精靈，以完成 SAML 連線的第二半部分 AWS。

1. 返回您在 IAM Identity Center 主控台**`Step 3.1`**中保持開啟狀態的瀏覽器工作階段。

1. 在**設定外部身分提供者**頁面的**身分提供者中繼資料**區段的 **IdP SAML 中繼資料**下，選擇**選擇檔案**按鈕，然後選取您在上一個步驟Microsoft Entra ID中從中下載的身分提供者中繼資料檔案，然後選擇**開啟**。

1. 選擇**下一步**。

1. 在您閱讀免責聲明並準備好繼續之後，請輸入 ****ACCEPT****。

1. 選擇**變更身分來源**以套用您的變更。

------
#### [ Step 3.4 > ]

**步驟 3.4：測試 Nikki 是否已重新導向至 AWS 存取入口網站**

在此程序中，您將使用 Nikki 的登入資料登入 Microsoft 的 **My Account 入口網站**，以測試 SAML 連線。驗證後，您將選取 AWS IAM Identity Center 應用程式，將 Nikki 重新導向至 AWS 存取入口網站。

1. 前往[我的帳戶入口網站](https://myaccount.microsoft.com/)登入頁面，然後輸入 Nikki 的完整電子郵件地址。例如，***NikkiWolf**@**example.org*。

1. 出現提示時，輸入 Nikki 的密碼，然後選擇**登入**。

1. 在**我的帳戶**頁面的左側導覽窗格中，選擇**我的應用程式**。

1. 在**我的應用程式**頁面上，選取名為 的應用程式**AWS IAM Identity Center**。這應該會提示您進行其他身分驗證。

1. 在 Microsoft 的登入頁面上，選擇您的 NikkiWolf 登入資料。如果提示再次進行身分驗證，請再次選擇您的 NikkiWolf 登入資料。這應該會自動將您重新導向至 AWS 存取入口網站。
**提示**  
如果您未成功重新導向，請檢查 以確保您在 中輸入的**AWS 存取入口網站登入 URL** 值與您從 複製的值**`Step 3.2`**相符**`Step 3.1`**。

1. 確認您的 AWS 帳戶 顯示器。
**提示**  
如果頁面空白且無 AWS 帳戶 顯示，請確認 Nikki 已成功指派給 **RegionalAdmin** 許可集 （請參閱 **`Step 2.3`**)。

------
#### [ Step 3.5 ]

**步驟 3.5：測試 Nikki 管理她的存取層級 AWS 帳戶**

在此步驟中，您將檢查 以判斷 Nikki 管理她區域設定的存取層級 AWS 帳戶。Nikki 應該只有足夠的管理員權限，才能從**帳戶**頁面管理區域。

1. 在 AWS 存取入口網站中，選擇**帳戶**索引標籤以顯示帳戶清單。隨即顯示與您定義許可集之任何帳戶相關聯的帳戶名稱、帳戶 IDs 和電子郵件地址。

1. 選擇您套用許可集的帳戶名稱 （例如*沙盒*) （請參閱 **`Step 2.3`**)。這將擴展 Nikki 可以從中選擇以管理其帳戶的許可集清單。

1. 在 **RegionalAdmin** 旁邊，選擇 **管理主控台**以擔任您在 **RegionalAdmin** 許可集中定義的角色。這會將您重新導向至 AWS 管理主控台 首頁。

1. 在主控台的右上角，選擇您的帳戶名稱，然後選擇**帳戶**。這將帶您前往**帳戶**頁面。請注意，此頁面的所有其他區段會顯示訊息，指出您沒有檢視或修改這些設定的必要許可。

1. 在**帳戶**頁面上，向下捲動至**AWS 區域**區段。選取資料表中任何可用區域的核取方塊。請注意，Nikki 確實具備必要許可，可如預期**啟用或停用**其帳戶的 區域****清單。

**做得很好！**  
步驟 1 到 3 可協助您成功實作和測試 SAML 連線。現在，為了完成教學課程，建議您繼續進行步驟 4 以實作自動佈建。

------

## 步驟 4：設定和測試您的 SCIM 同步
<a name="step4-entra-scim"></a>

在此步驟中，您將使用 SCIM v2.0 通訊協定，將使用者資訊從 [自動佈建 ](provision-automatically.md)（同步） Microsoft Entra ID到 IAM Identity Center。您可以使用 Microsoft Entra ID IAM Identity Center 的 SCIM 端點和 IAM Identity Center 自動建立的承載字符，在 中設定此連線。

當您設定 SCIM 同步時，您會在 中建立使用者屬性映射Microsoft Entra ID至 IAM Identity Center 中具名屬性的映射。這會導致 IAM Identity Center 和 之間的預期屬性相符Microsoft Entra ID。

下列步驟說明如何使用 中的 IAM Identity Center 應用程式，將主要位於 中的使用者自動佈建Microsoft Entra ID至 IAM Identity CenterMicrosoft Entra ID。

------
#### [ Step 4.1 > ]

**步驟 4.1：在 中建立第二個測試使用者 Microsoft Entra ID**

基於測試目的，您將在 中建立新的使用者 (Richard Roe)Microsoft Entra ID。稍後，在您設定 SCIM 同步後，您將測試此使用者和所有相關屬性是否已成功同步至 IAM Identity Center。

1. 在 [Microsoft Entra 管理中心](https://entra.microsoft.com/)主控台中，導覽至**身分 > 使用者 > 所有使用者**。

1. 選取**新使用者**，然後在畫面頂端選擇**建立新使用者**。

1. 在**使用者主體名稱**中，輸入 ****RichRoe****，然後選取您偏好的網域和延伸。例如，*RichRoe*@*example.org*。

1. 在**顯示名稱**中，輸入 ****RichRoe****。

1. 在**密碼**中，輸入高強度密碼或選取眼睛圖示以顯示自動產生的密碼，然後複製或寫下顯示的值。

1. 選擇**屬性**，然後提供下列值：
   + **名字** - 輸入 ****Richard****
   + **姓氏** - 輸入 ****Roe****
   + **任務標題** - 輸入 ****Marketing Lead****
   + **部門** - 輸入 ****Sales****
   + **員工 ID** - 輸入 ****12345****

1. 選擇**檢閱 \$1 建立**，然後選擇**建立**。

------
#### [ Step 4.2 > ]

**步驟 4.2：在 IAM Identity Center 中啟用自動佈建**

在此程序中，您將使用 IAM Identity Center 主控台來啟用將來自 的使用者和群組自動佈建Microsoft Entra ID至 IAM Identity Center。

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)，然後在左側導覽窗格中選擇**設定**。

1. 在**設定**頁面的**身分來源**索引標籤下，請注意**佈建方法**設定為**手動**。

1. 找到**自動佈建**資訊方塊，然後選擇**啟用**。這會立即在 IAM Identity Center 中啟用自動佈建，並顯示必要的 SCIM 端點和存取字符資訊。

1. 在**傳入自動佈建**對話方塊中，複製下列選項的每個值。在 中設定佈建時，您需要在下一個步驟中貼上這些項目Microsoft Entra ID。

   1. **SCIM 端點** - 例如，
      + IPv4：`https://scim.aws-region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
      + 雙堆疊： `https://scim.aws-region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`

   1. **存取字符** - 選擇**顯示字符**以複製值。
**警告**  
這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前，請務必複製這些值。

1. 選擇**關閉**。

1. 在**身分來源**索引標籤下，請注意**佈建方法**現在設定為 **SCIM**。

------
#### [ Step 4.3 > ]

**步驟 4.3：在 中設定自動佈建 Microsoft Entra ID**

現在您已備妥 RichRoe 測試使用者，並已在 IAM Identity Center 中啟用 SCIM，您可以繼續在 中設定 SCIM 同步設定Microsoft Entra ID。

1. 在 [Microsoft Entra 管理中心](https://entra.microsoft.com/)主控台中，導覽至**身分 > 應用程式 > 企業應用程式**，然後選擇 **AWS IAM Identity Center**。

1. 選擇**佈建**，在**管理**下，再次選擇**佈建**。

1. 在**佈建模式中**，選取**自動**。

1. 在**管理員登入**資料下，在**租戶 URL** 中，貼上您稍早在 中複製的 **SCIM 端點** URL 值**`Step 4.2`**。在**私密字符**中，貼上**存取字符**值。

1. 選擇 **Test Connection (測試連接)**。您應該會看到訊息，指出測試的登入資料已成功授權啟用佈建。

1. 選擇**儲存**。

1. 在**管理**下，選擇**使用者和群組**，然後選擇**新增使用者/群組**。

1. 在**新增指派**頁面**的使用者**下，選擇**未選取**。

1. 選取 **RichRoe**，然後選擇**選取**。

1. 在 **Add Assignment** (新增指派) 頁面上，選擇 **Assign** (指派)。

1. 選擇**概觀**，然後選擇**開始佈建**。

------
#### [ Step 4.4 ]

**步驟 4.4：確認同步已發生**

在本節中，您將確認 Richard 的使用者已成功佈建，且所有屬性都會顯示在 IAM Identity Center 中。

1. 在 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)中，選擇**使用者**。

1. 在**使用者**頁面上，您應該會顯示您的 **RichRoe** 使用者。請注意，在**建立者**資料欄中，值設定為 **SCIM**。

1. 在**設定檔**下選擇 **RichRoe**，確認已從 複製下列屬性Microsoft Entra ID。
   + **名字** - ****Richard****
   + **姓氏** - ****Roe****
   + **部門** - ****Sales****
   + **標題** - ****Marketing Lead****
   + **員工編號** - ****12345****

   現在 Richard 的使用者已在 IAM Identity Center 中建立，您可以將其指派給任何許可集，以便控制他對 AWS 資源的存取層級。例如，您可以將 **RichRoe** 指派給先前用來授予 Nikki 管理區域 （請參閱**`Step 2.3`**) 的許可**RegionalAdmin**集，然後使用 測試他的存取層級**`Step 3.5`**。

**恭喜您！**  
您已成功設定 Microsoft 和 之間的 SAML 連線， AWS 並已驗證自動佈建正在讓一切保持同步。現在，您可以套用所學到的知識，以更順暢地設定您的生產環境。

------

## 步驟 5：設定 ABAC - *選用*
<a name="step5-entra-abac"></a>

現在您已成功設定 SAML 和 SCIM，您可以選擇設定屬性型存取控制 (ABAC)。ABAC 是一種授權策略，可根據屬性定義許可。

透過 Microsoft Entra ID，您可以使用下列兩種方法之一來設定 ABAC 以搭配 IAM Identity Center 使用。

------
#### [ Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center ]

**在 中設定使用者屬性Microsoft Entra ID，以在 IAM Identity Center 中進行存取控制**

在下列程序中，您將決定 IAM Identity Center Microsoft Entra ID應使用哪些屬性來管理對 AWS 資源的存取。定義後， 會透過 SAML 聲明將這些屬性Microsoft Entra ID傳送至 IAM Identity Center。然後，您需要在 IAM Identity Center [建立許可集](howtocreatepermissionset.md)中，根據您從 傳遞的屬性來管理存取權Microsoft Entra ID。

開始此程序之前，您必須先啟用[存取控制的屬性](attributesforaccesscontrol.md)此功能。如需如何進行該服務的詳細資訊，請參閱[啟用和設定存取控制的屬性](configure-abac.md)。

1. 在 [Microsoft Entra 管理中心](https://entra.microsoft.com/)主控台中，導覽至**身分 > 應用程式 > 企業應用程式**，然後選擇 **AWS IAM Identity Center**。

1. 選擇 **Single sign-on** (單一登入)。

1. 在**屬性和宣告**區段中，選擇**編輯**。

1. 在**屬性和宣告**頁面上，執行下列動作：

   1. 選擇**新增宣告**

   1. 對於**名稱**，輸入 `AccessControl:AttributeName`。以您在 IAM Identity Center 中預期的屬性名稱取代 *AttributeName*。例如 `AccessControl:Department`。

   1. 針對 **Namespace (命名空間)**，輸入 ****https://aws.amazon.com/SAML/Attributes****。

   1. 針對 **Source (來源)**，選擇 **Attribute (屬性)**。

   1. 對於**來源屬性**，請使用下拉式清單選擇Microsoft Entra ID使用者屬性。例如 `user.department`。

1. 針對您需要傳送至 SAML 聲明中的 IAM Identity Center 的每個屬性，重複上述步驟。

1. 選擇**儲存**。

------
#### [ Configure ABAC using IAM Identity Center ]

**使用 IAM Identity Center 設定 ABAC**

透過此方法，您可以使用 IAM Identity Center 中的 [存取控制的屬性](attributesforaccesscontrol.md)功能來傳遞 `Name` 屬性設為 的 `Attribute`元素`https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`。您可以使用此元素，在 SAML 聲明中將屬性傳遞為工作階段標籤。如需工作階段標籤的詳細資訊，請參閱《*IAM 使用者指南*》中的在 [中傳遞工作階段標籤 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

若要將屬性做為工作階段標籤傳遞，請包含指定標籤值的 `AttributeValue` 元素。例如，若要傳遞標籤鍵值對 `Department=billing`，請使用下列屬性：

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要新增多個屬性，請為每個標籤加入個別的`Attribute`元素。

------

## 將存取權指派給 AWS 帳戶
<a name="entra-acct-access"></a>

下列步驟只需要將存取權授予 AWS 帳戶 即可。授予 AWS 應用程式存取權不需要這些步驟。

**注意**  
若要完成此步驟，您需要 IAM Identity Center 的組織執行個體。如需詳細資訊，請參閱[IAM Identity Center 的組織和帳戶執行個體](identity-center-instances.md)。

### 步驟 1：IAM Identity Center：授予Microsoft Entra ID使用者帳戶存取權
<a name="entra-acct-access-step1"></a>

1. 返回 **IAM Identity Center** 主控台。在 IAM Identity Center 導覽窗格中的**多帳戶許可**下，選擇 **AWS 帳戶**。

1. 在 **AWS 帳戶**頁面上，**組織結構**會在階層中顯示您的組織根目錄及其下的帳戶。選取管理帳戶的核取方塊，然後選取**指派使用者或群組**。

1. 此時會顯示**指派使用者和群組**工作流程。它包含三個步驟：

   1. 針對**步驟 1：選取使用者和群組**，選擇將執行管理員任務功能的使用者。然後選擇**下一步**。

   1. 針對**步驟 2：選取許可集**選擇**建立許可集**，以開啟新標籤，引導您完成建立許可集所涉及的三個子步驟。

      1. 針對**步驟 1：選取許可集類型**完成下列項目：
         + 在**許可集類型**中，選擇**預先定義的許可集**。
         + 在**預先定義許可集的政策**中，選擇 **AdministratorAccess**。

         選擇**下一步**。

      1. 對於**步驟 2：指定許可集詳細資訊**，保留預設設定，然後選擇**下一步**。

         預設設定會建立名為 *AdministratorAccess* 的許可集，並將工作階段持續時間設定為一小時。

      1. 對於**步驟 3：檢閱和建立**，確認**許可集類型**使用 AWS 受管政策 **AdministratorAccess**。選擇**建立**。在**許可集**頁面上會出現通知，通知您已建立許可集。您現在可以在 Web 瀏覽器中關閉此索引標籤。

      1. 在**指派使用者和群組**瀏覽器索引標籤上，您仍在**步驟 2：選取您從中開始建立許可集**工作流程的許可集。

      1. 在**許可集**區域中，選擇**重新整理**按鈕。您建立的 *AdministratorAccess* 許可集會出現在清單中。選取該許可集的核取方塊，然後選擇**下一步**。

   1. 針對**步驟 3：檢閱並提交**檢閱選取的使用者和許可集，然後選擇**提交**。

      頁面會以 AWS 帳戶 正在設定 的訊息進行更新。等待程序完成。

      您會返回 AWS 帳戶 頁面。通知訊息會通知您 AWS 帳戶 ，您的 已重新佈建，並已套用更新的許可集。當使用者登入時，他們可以選擇 *AdministratorAccess* 角色。

### 步驟 2：Microsoft Entra ID：確認Microsoft Entra ID使用者存取 AWS 資源
<a name="entra-acct-access-step2"></a>

1. 返回 **Microsoft Entra ID**主控台並導覽至您的 IAM Identity Center SAML 型登入應用程式。

1. 選取**使用者和群組**，然後選取**新增使用者或群組**。您將在此教學課程中建立的使用者新增至Microsoft Entra ID應用程式。透過新增使用者，您將允許他們登入 AWS。搜尋您在步驟 4 建立的使用者。如果您遵循此步驟，則會是 **RichardRoe**。

   1. 如需示範，請參閱[使用 聯合現有的 IAM Identity Center 執行個體 Microsoft Entra ID](https://youtu.be/iSCuTJNeN6c?si=29HSAK8DgBEhSVad)

## Microsoft Entra ID 存取 IAM Identity Center 其他區域的組態 - 選用
<a name="gs-microsoft-entra-multi-region"></a>

如果您將 IAM Identity Center 複寫至其他區域，則必須更新身分提供者組態，以啟用受 AWS 管應用程式的存取，以及 AWS 帳戶 透過其他區域存取。下列步驟會引導您完成程序。如需有關此主題的詳細資訊，包括先決條件，請參閱 [跨多個 使用 IAM Identity Center AWS 區域](multi-region-iam-identity-center.md)。

1. 從 IAM Identity Center 主控台擷取其他區域的 ACS URLs，如 中所述[主要和其他 中的 ACS 端點 AWS 區域](multi-region-workforce-access.md#acs-endpoints)。

1. 在 [Microsoft Entra 管理員中心](https://entra.microsoft.com/)主控台中，導覽至**身分 > 應用程式 > 企業應用程式**，然後選擇 **AWS IAM Identity Center**。

1. 在左側，選擇 **2。設定單一登入**。

1. 在**基本 SAML 組態**頁面的**回覆 URL （聲明消費者服務 URL)** 區段下，為每個新增區域的 ACS **URL 選擇新增回覆** URL。您可以保留主要區域的 ACS URL 作為預設 URL，以便在使用者從 啟動 AWS IAM Identity Center 應用程式時，持續重新導向至主要區域Microsoft Entra ID。

1. 新增 ACS URLs完成後，請儲存**AWS IAM Identity Center**應用程式。

1. 您可以在 中Microsoft Entra ID為每個額外區域的 AWS 存取入口網站建立書籤應用程式。這可讓您的使用者從 存取其他區域中的 AWS 存取入口網站Microsoft Entra ID。請務必授予使用者存取 中書籤應用程式的許可Microsoft Entra ID。如需詳細資訊，請參閱 [Microsoft Entra ID 文件](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on)。

1. 確認您可以在每個其他區域中登入 AWS 存取入口網站。導覽至[AWS 存取入口網站 URLs](multi-region-workforce-access.md#portal-endpoints)或從 啟動書籤應用程式Microsoft Entra ID。

## 疑難排解
<a name="idp-microsoft-entra-troubleshooting"></a>

如需使用 進行一般 SCIM 和 SAML 疑難排解Microsoft Entra ID，請參閱下列章節：
+ [與 Microsoft Entra ID和 IAM Identity Center 的同步問題](#entra-scim-troubleshooting)
+ [特定使用者無法從外部 SCIM 供應商同步到 IAM Identity Center](troubleshooting.md#issue2)
+ [IAM Identity Center 建立的 SAML 聲明內容相關問題](troubleshooting.md#issue1)
+ [使用外部身分提供者佈建使用者或群組時重複的使用者或群組錯誤](troubleshooting.md#duplicate-user-group-idp)
+ [其他資源](#entra-scim-troubleshooting-resources)

### 與 Microsoft Entra ID和 IAM Identity Center 的同步問題
<a name="entra-scim-troubleshooting"></a>

如果您遇到Microsoft Entra ID使用者未同步至 IAM Identity Center 的問題，這可能是因為在將新使用者新增至 IAM Identity Center 時，IAM Identity Center 已標記的語法問題。您可以檢查Microsoft Entra ID稽核日誌是否有失敗的事件來確認這一點，例如 `'Export'`。此事件**的狀態原因**將指出：

```
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
```

您也可以檢查 AWS CloudTrail 失敗的事件。這可以透過使用下列篩選條件在 CloudTrail **的事件歷史記錄**主控台中搜尋來完成：

```
"eventName":"CreateUser"
```

CloudTrail 事件中的錯誤會陳述下列項目：

```
"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“
```

最後，此例外狀況表示從 傳遞的其中一個值Microsoft Entra ID包含比預期更多的值。解決方案是檢閱 中使用者的屬性Microsoft Entra ID，確保沒有包含重複值。重複值的一個常見範例是為**行動**、**工作**和**傳真**等聯絡號碼提供多個值。雖然個別的值，但它們都會在單一父屬性 **phoneNumbers** 下傳遞至 IAM Identity Center。

如需一般 SCIM 故障診斷秘訣，請參閱[故障診斷](troubleshooting.md#issue2)。

### Microsoft Entra ID 訪客帳戶同步
<a name="entra-guest-acct-provisioning"></a>

如果您想要將Microsoft Entra ID訪客使用者同步至 IAM Identity Center，請參閱下列程序。

Microsoft Entra ID 訪客使用者的電子郵件與 Microsoft Entra ID 使用者不同。此差異會導致嘗試將Microsoft Entra ID訪客使用者與 IAM Identity Center 同步時發生問題。例如，請參閱下列訪客使用者的電子郵件地址：

`exampleuser_domain.com#EXT#@domain.onmicrosoft.com.`

IAM Identity Center 不預期電子郵件地址包含 *\$1EXT\$1@domain* 格式。

1. 登入 [Microsoft Entra 管理中心](https://entra.microsoft.com/)，導覽至**身分** > **應用程式** > **企業應用程式**，然後選擇 **AWS IAM Identity Center**

1. 導覽至左側窗格中的**單一登入**索引標籤。

1. 選取**使用者屬性和宣告**旁顯示的**編輯**。

1. 選取**必要宣告**後方**的唯一使用者識別符 （名稱 ID)**。

1. 您將為您的Microsoft Entra ID使用者和訪客使用者建立兩個宣告條件：

   1. 對於Microsoft Entra ID使用者，為來源屬性設為 的成員建立使用者類型` user.userprincipalname`。

   1. 對於Microsoft Entra ID訪客使用者，請為外部訪客建立使用者類型，並將來源屬性設為 `user.mail`。

   1. 選取**儲存**並重試以Microsoft Entra ID訪客使用者身分登入。

### 其他資源
<a name="entra-scim-troubleshooting-resources"></a>
+ 如需一般 SCIM 疑難排解秘訣，請參閱 [對 IAM Identity Center 問題進行故障診斷](troubleshooting.md)。
+ 如需Microsoft Entra ID故障診斷，請參閱 [Microsoft 文件](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial#troubleshooting-tips)。
+ 若要進一步了解多個 的聯合 AWS 帳戶，請參閱[AWS 帳戶 使用 保護Azure Active Directory Federation](https://aws.amazon.com//blogs/apn/securing-aws-accounts-with-azure-active-directory-federation/)。

下列資源可協助您在使用 時進行故障診斷 AWS：
+ [AWS re:Post](https://repost.aws/) - 尋找FAQs和其他資源的連結，協助您疑難排解問題。
+ [AWS 支援](https://aws.amazon.com/premiumsupport/) - 取得技術支援

# 使用 和 IAM Identity Center 設定 SAML Okta和 SCIM
<a name="gs-okta"></a>

您可以使用跨網域身分管理 (SCIM) 2.0 通訊協定，自動將使用者和群組資訊從 佈建或同步Okta到 IAM Identity Center。 [SCIM 設定檔](scim-profile-saml.md#scim-profile)如需詳細資訊，請參閱[搭配外部身分提供者使用 SAML 和 SCIM 聯合身分](other-idps.md)。

若要在 中設定此連線Okta，您可以使用 IAM Identity Center 的 SCIM 端點和 IAM Identity Center 自動建立的承載字符。當您設定 SCIM 同步時，您可以在 中建立使用者屬性映射Okta至 IAM Identity Center 中具名屬性的映射。此映射符合 IAM Identity Center 與Okta您的帳戶之間的預期使用者屬性。

Okta 透過 SCIM 連線至 IAM Identity Center 時， 支援下列佈建功能：
+ 建立使用者 – 在 中指派給 IAM Identity Center 應用程式的使用者Okta會在 IAM Identity Center 中佈建。
+ 更新使用者屬性 – 在 中指派給 IAM Identity Center 應用程式之使用者的屬性變更Okta會在 IAM Identity Center 中更新。
+ 停用使用者 – 從 中的 IAM Identity Center 應用程式取消指派的使用者Okta會在 IAM Identity Center 中停用。
+ 群組推送 – 中的群組 Okta （及其成員） 會同步至 IAM Identity Center。
**注意**  
為了將 Okta和 IAM Identity Center 的管理開銷降至最低，建議您指派和*推送*群組，而不是個別使用者。
+ 匯入使用者 – 使用者可以從 IAM Identity Center 匯入 Okta。

**目標**

在本教學課程中，您將逐步解說如何設定與 IAM Identity Center 的 SAML Okta 連線。稍後，您將使用 SCIM Okta從 同步使用者。在此案例中，您會在 中管理所有使用者和群組Okta。使用者透過 Okta 入口網站登入。若要驗證一切設定正確，在完成設定步驟後，您將以 Okta使用者身分登入並驗證對 AWS 資源的存取。

透過 SAML Okta連線至 IAM Identity Center 時，支援下列功能：
+ IdP 啟動的 SAML 登入 – 使用者透過Okta入口網站登入並存取 IAM Identity Center。
+ SP 啟動的 SAML 登入 – 使用者存取 AWS 存取入口網站，這會重新導向他們透過Okta入口網站登入。

**注意**  
您可以註冊已安裝 [IAM Identity Center 應用程式](https://www.okta.com/integrations/aws-single-sign-on/)Okta的帳戶 Okta's ([免費試用](https://www.okta.com/free-trial/))。對於付費Okta產品，您可能需要確認您的Okta授權支援*生命週期管理*或類似功能，以啟用傳出佈建。設定從 Okta到 IAM Identity Center 的 SCIM 時，可能需要這些功能。  
如果您尚未啟用 IAM Identity Center，請參閱 [啟用 IAM Identity Center](enable-identity-center.md)。

## 考量事項
<a name="gs-okta-considerations"></a>
+ 在 Okta和 IAM Identity Center 之間設定 SCIM 佈建之前，建議您先檢閱 [使用自動佈建的考量事項](provision-automatically.md#auto-provisioning-considerations)。
+ 每個Okta使用者都必須指定**名字**、**姓氏**、**使用者名稱**和**顯示名稱**值。
+ 每個Okta使用者每個資料屬性只有一個值，例如電子郵件地址或電話號碼。具有多個值的任何使用者都將無法同步。如果使用者在其屬性中有多個值，請在嘗試在 IAM Identity Center 中佈建使用者之前移除重複的屬性。例如，只能同步一個電話號碼屬性，因為預設的電話號碼屬性是「工作電話」，所以即使使用者的電話號碼是家用電話或行動電話，也請使用「工作電話」屬性來存放使用者的電話號碼。
+  Okta 搭配 IAM Identity Center 使用 時，IAM Identity Center 通常會在 中設定為應用程式Okta。這可讓您將 IAM Identity Center 的多個執行個體設定為多個應用程式，以支援在 的單一執行個體內存取多個 AWS OrganizationsOkta。
+ 不支援權利和角色屬性，且無法與 IAM Identity Center 同步。
+ 目前不支援對指派和Okta群組推送使用相同的群組。若要在 Okta和 IAM Identity Center 之間維持一致的群組成員資格，請建立個別的群組，並將其設定為將群組推送至 IAM Identity Center。
+ 如果您將 IAM Identity Center 複寫至其他區域，則必須更新身分提供者組態，以啟用受 AWS 管應用程式的存取，以及 AWS 帳戶 透過其他區域存取。如需包括先決條件的詳細資訊，請參閱 [跨多個 使用 IAM Identity Center AWS 區域](multi-region-iam-identity-center.md)。Okta 特定步驟說明於 [Okta 用於存取其他區域的組態](#gs-okta-multi-region) 

## 步驟 1：Okta：從Okta您的帳戶取得 SAML 中繼資料
<a name="gs-okta-step1"></a>

1. 登入 Okta admin dashboard，展開**應用程式**，然後選取**應用程式**。

1. 在 **Applications** (應用程式) 頁面上，選擇 **Browse App Catalog** (瀏覽應用程式目錄)。

1. 在搜尋方塊中，輸入 ** AWS IAM Identity Center**，選取要新增 IAM Identity Center 應用程式的應用程式。

1. 選取**登入**索引標籤。

1. 在 **SAML 簽署憑證**下，選取**動作**，然後選取**檢視 IdP 中繼資料**。新的瀏覽器索引標籤隨即開啟，顯示 XML 檔案的文件樹狀目錄。選取從 `<md:EntityDescriptor>`到 的所有 XML，`</md:EntityDescriptor>`並將其複製到文字檔案。

1. 將文字檔案儲存為 `metadata.xml`。

保持Okta admin dashboard開啟狀態，您將在後續步驟中繼續使用此主控台。

## 步驟 2：IAM Identity Center：將 Okta設定為 IAM Identity Center 的身分來源
<a name="gs-okta-step2"></a>

1. 以具有管理權限的使用者身分開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 在左側導覽窗格中選擇**設定**。

1. 在**設定**頁面上，選擇**動作**，然後選擇**變更身分來源**。

1. 在**選擇身分來源**下，選取**外部身分提供者**，然後選擇**下一步**。

1. 在**設定外部身分提供者**下，執行下列動作：

   1. 在**服務提供者中繼資料**下，將下列項目複製到文字檔案，以便於存取：
      + **IAM Identity Center Assertion Consumer Service (ACS) URL** – 您可以選擇IPv4-only 和雙堆疊 ACS URLs。此外，如果您的 IAM Identity Center 執行個體在多個區域中啟用，則每個額外的區域都有自己的IPv4-only 和雙堆疊 ACS URLs。如需 ACS URLs 的詳細資訊，請參閱 [主要和其他 中的 ACS 端點 AWS 區域](multi-region-workforce-access.md#acs-endpoints)。
      + **IAM Identity Center 發行者 URL**

      您稍後在本教學課程中將需要這些值。

   1. 在**身分提供者中繼資料**下，於 **IdP SAML 中繼資料**下，選取**選擇檔案**，然後選取您在上一個步驟中建立`metadata.xml`的檔案。

   1. 選擇**下一步**。

1. 在您閱讀免責聲明並準備好繼續之後，請輸入 **ACCEPT**。

1. 選擇**變更身分來源**。

   保持 AWS 主控台開啟，您將在下一個步驟中繼續使用此主控台。

1. 返回 Okta admin dashboard，然後選取 AWS IAM Identity Center 應用程式的**登入**索引標籤，然後選取**編輯**。

1. 在**進階登入設定**下，輸入下列項目：
   + 針對 **ACS URL**，輸入您為 **IAM Identity Center Assertion Consumer Service (ACS) URL 複製的值 (s)**。您可以使用主要區域的 ACS URL 做為預設 URL，以便在使用者從 啟動 Amazon Web Services 應用程式時重新導向至主要區域Okta。
   + （選用） 如果您將 IAM Identity Center 複寫到其他區域，您也可以在 中Okta為每個其他區域的 AWS 存取入口網站建立書籤應用程式。這可讓您的使用者從 存取其他區域中的 AWS 存取入口網站Okta。請務必授予使用者存取 中書籤應用程式的許可Okta。如需詳細資訊，請參閱 [Okta 文件](https://support.okta.com/help/s/article/create-a-bookmark-app)。如果您計劃稍後將 IAM Identity Center 複寫到其他區域，請造訪 [Okta 用於存取其他區域的組態](#gs-okta-multi-region) 以取得指引，了解如何在此初始設定後啟用其他區域的存取權。
   + 針對**發行者 URL**，輸入您為 **IAM Identity Center 發行者 URL** 複製的值
   +  對於**應用程式使用者名稱格式**，從功能表中選取其中一個選項。

     確保您選擇的值對每個使用者都是唯一的。在此教學課程中，選取 **Okta 使用者名稱**

1. 選擇**儲存**。

您現在可以將使用者從 佈建Okta至 IAM Identity Center。保持Okta admin dashboard開啟狀態，並返回 IAM Identity Center 主控台進行下一個步驟。

## 步驟 3：IAM Identity Center 和 Okta：佈建Okta使用者
<a name="gs-okta-step3"></a>

1. 在**設定**頁面上的 IAM Identity Center 主控台中，找到**自動佈建**資訊方塊，然後選擇**啟用**。這會在 IAM Identity Center 中啟用自動佈建，並顯示必要的 SCIM 端點和存取字符資訊。

1. 在**傳入自動佈建**對話方塊中，複製下列選項的每個值：

   1. **SCIM 端點** - 端點格式取決於您的組態：
      + IPv4：https://scim.*us-east-2*.amazonaws.com/*1111111111-2222-3333-4444-55555555*/scim/v2
      + 雙堆疊：https://scim.*us-east-2*.api.aws/*111111111-2222-3333-444-555555555*/scim/v2

   1. **存取字符** - 選擇**顯示字符**以複製值。
**警告**  
這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前，請務必複製這些值。您將在本教學課程Okta稍後輸入這些值來設定自動佈建。

1. 選擇**關閉**。

1. 返回 Okta admin dashboard並導覽至 IAM Identity Center 應用程式。

1. 在 **IAM Identity Center 應用程式**頁面上，選擇**佈建**索引標籤，然後在**設定**下的左側導覽中，選擇**整合**。

1. 選擇**編輯**，然後選取**啟用 API 整合**旁的核取方塊以啟用自動佈建。

1. Okta 使用您在此步驟中稍早複製 AWS IAM Identity Center 的 SCIM 佈建值來設定 ：

   1. 在**基本 URL** 欄位中，輸入 **SCIM 端點**值。

   1. 在 **API Token** 欄位中，輸入 **Access Token** 值。

1. 選擇**測試 API 登入資料**來驗證輸入的登入資料是否有效。

   訊息**AWS IAM Identity Center 已成功驗證！** 隨即顯示。

1. 選擇**儲存**。系統會將您移至**設定**區段，並選取**整合**。

1. 在**設定**下，選擇**至應用程式**，然後針對您要**啟用**的每個**佈建至應用程式**功能，選取啟用核取方塊。在此教學課程中，選取所有選項。

1. 選擇**儲存**。

您現在可以從 同步您的使用者Okta與 IAM Identity Center。

## 步驟 4：Okta：將來自 的使用者Okta與 IAM Identity Center 同步
<a name="gs-ok-step4"></a>

根據預設，不會將群組或使用者指派給您的 Okta IAM Identity Center 應用程式。佈建群組會佈建屬於群組成員的使用者。完成下列步驟，以與 同步群組和使用者 AWS IAM Identity Center。

1. 在 **Okta IAM Identity Center 應用程式**頁面中，選擇**指派**索引標籤。您可以將人員和群組指派給 IAM Identity Center 應用程式。

   1. 若要指派人員：
      + 在**指派**頁面中，選擇**指派**，然後選擇**指派給人員**。
      + 選擇您要存取 IAM Identity Center 應用程式Okta的使用者。選擇**指派**，選擇**儲存並返回**，然後選擇**完成**。

      這會開始將使用者佈建至 IAM Identity Center 的程序。

   1. 若要指派群組：
      + 在**指派**頁面中，選擇**指派**，然後選擇**指派給群組**。
      + 選擇您想要存取 IAM Identity Center 應用程式的Okta群組。選擇**指派**，選擇**儲存並返回**，然後選擇**完成**。

      這會開始將群組中的使用者佈建至 IAM Identity Center 的程序。
**注意**  
如果群組不存在於所有使用者記錄中，您可能需要指定群組的其他屬性。為群組指定的屬性會覆寫任何個別屬性值。

1. 選擇**推送群組**索引標籤。選擇您要與 IAM Identity Center 同步的Okta群組。選擇**儲存**。

   群組及其成員推送至 IAM Identity Center 後，群組狀態會變更為**作用中**。

1. 返回**指派**索引標籤。

1. 若要將個別Okta使用者新增至 IAM Identity Center，請使用下列步驟：

   1. 在**指派**頁面中，選擇**指派**，然後選擇**指派給人員**。

   1. 選擇您要存取 IAM Identity Center 應用程式Okta的使用者。選擇**指派**，選擇**儲存並返回**，然後選擇**完成**。

      這會開始將個別使用者佈建至 IAM Identity Center 的程序。
**注意**  
您也可以從 **的應用程式**頁面，將使用者和群組指派給 AWS IAM Identity Center 應用程式Okta admin dashboard。若要這樣做，請選取**設定**圖示，然後選擇**指派給使用者**或**指派給群組**，然後指定使用者或群組。

1. 返回 IAM Identity Center 主控台。在左側導覽中，選取**使用者**，您應該會看到使用者填入Okta的使用者清單。

**恭喜您！**  
您已成功在 Okta和 之間設定 SAML 連線， AWS 並已驗證自動佈建是否正常運作。您現在可以將這些使用者指派給 **IAM Identity Center** 中的帳戶和應用程式。在本教學課程中，在下一個步驟中，我們將其中一個使用者授予管理帳戶的管理許可，以指定為 IAM Identity Center 管理員。

## 傳遞存取控制的屬性 - *選用*
<a name="okta-passing-abac"></a>

您可以選擇性地使用 IAM Identity Center 中的 [存取控制的屬性](attributesforaccesscontrol.md)功能，傳遞 `Name` 屬性設為 的 `Attribute`元素`https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊，請參閱《*IAM 使用者指南*》中的在 [中傳遞工作階段標籤 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

若要將屬性做為工作階段標籤傳遞，請包含指定標籤值的 `AttributeValue` 元素。例如，若要傳遞標籤鍵/值對 `CostCenter = blue`，請使用下列屬性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要新增多個屬性，請為每個標籤加入個別的`Attribute`元素。

## 將存取權指派給 AWS 帳戶
<a name="gs-okta-acct-access"></a>

下列步驟僅需要授予 AWS 帳戶 的存取權。授予 AWS 應用程式存取權不需要這些步驟。

**注意**  
若要完成此步驟，您需要 IAM Identity Center 的組織執行個體。如需詳細資訊，請參閱[IAM Identity Center 的組織和帳戶執行個體](identity-center-instances.md)。

### 步驟 1：IAM Identity Center：授予Okta使用者帳戶存取權
<a name="gs-okta-step5"></a>

1. 在 IAM Identity Center 導覽窗格中的**多帳戶許可**下，選擇 **AWS 帳戶**。

1. 在 **AWS 帳戶**頁面上，**組織結構**會在階層中顯示您的組織根目錄及其下的帳戶。選取管理帳戶的核取方塊，然後選取**指派使用者或群組**。

1. 此時會顯示**指派使用者和群組**工作流程。它包含三個步驟：

   1. 針對**步驟 1：選取使用者和群組**，選擇將執行管理員任務功能的使用者。然後選擇**下一步**。

   1. 針對**步驟 2：選取許可集**，選擇**建立許可集**以開啟新索引標籤，引導您完成建立許可集所涉及的三個子步驟。

      1. 對於**步驟 1：選取許可集類型**完成下列項目：
         + 在**許可集類型**中，選擇**預先定義的許可集**。
         + 在**預先定義許可集的政策**中，選擇 **AdministratorAccess**。

         選擇**下一步**。

      1. 對於**步驟 2：指定許可集詳細資訊**，保留預設設定，然後選擇**下一步**。

         預設設定會建立名為 *AdministratorAccess* 的許可集，並將工作階段持續時間設定為一小時。

      1. 針對**步驟 3：檢閱和建立**，確認**許可集類型**使用 AWS 受管政策 **AdministratorAccess**。選擇**建立**。在**許可集**頁面上，會出現通知，通知您已建立許可集。您現在可以在 Web 瀏覽器中關閉此索引標籤。

      在**指派使用者和群組**瀏覽器索引標籤上，您仍在**步驟 2：選取您從中開始建立許可集**工作流程的許可集。

      在**許可集**區域中，選擇**重新整理**按鈕。您建立的 *AdministratorAccess* 許可集會出現在清單中。選取該許可集的核取方塊，然後選擇**下一步**。

   1. 對於**步驟 3：檢閱並提交**，檢閱選取的使用者和許可集，然後選擇**提交**。

      頁面會以 AWS 帳戶 正在設定 的訊息進行更新。等待程序完成。

      您會返回 AWS 帳戶 頁面。通知訊息會通知您 AWS 帳戶 ，您的 已重新佈建並套用更新的許可集。當使用者登入時，他們可以選擇 *AdministratorAccess* 角色。

### 步驟 2：Okta：確認Okta使用者存取 AWS 資源
<a name="w2aac15c23c33b9"></a>

1. 使用測試帳戶登入 Okta dashboard。

1. 在**我的應用程式**下，選取 AWS IAM Identity Center 圖示。

1. 您應該會看到 AWS 帳戶 圖示。展開該圖示以查看使用者可以存取 AWS 帳戶 的 清單。在本教學課程中，您只使用單一帳戶，因此展開圖示只會顯示一個帳戶。

1. 選取帳戶以顯示使用者可用的許可集。在本教學課程中，您已建立 **AdministratorAccess** 許可集。

1. 許可集旁邊是該許可集可用存取類型的連結。當您建立許可集時，您會指定對 AWS 管理主控台 和 程式設計存取的存取權。選取**管理主控台**以開啟 AWS 管理主控台。

1. 使用者已登入 AWS 管理主控台。

您也可以使用 AWS 存取入口網站。這會將您重新導向至透過Okta入口網站登入，然後再帶您前往 AWS 存取入口網站。此路徑遵循 SP 起始的 SAML 登入流程。

## Okta 存取 IAM Identity Center 其他區域的組態 - 選用
<a name="gs-okta-multi-region"></a>

如果您將 IAM Identity Center 複寫至其他區域，則必須更新身分提供者組態，以啟用受 AWS 管應用程式的存取，以及 AWS 帳戶 透過其他區域存取。下列步驟會引導您完成程序。如需有關此主題的詳細資訊，包括先決條件，請參閱 [跨多個 使用 IAM Identity Center AWS 區域](multi-region-iam-identity-center.md)。

1. 從 IAM Identity Center 主控台擷取其他區域的 ACS URLs，如 中所述[主要和其他 中的 ACS 端點 AWS 區域](multi-region-workforce-access.md#acs-endpoints)。

1. 在Okta管理員儀表板的導覽窗格中，選擇**應用程式**，然後在展開的清單中再次選擇**應用程式**。

1. 選擇 **AWS IAM Identity Center** 應用程式。

1. 選擇 **Sign On** (登入) 標籤。

1. 在**進階登入設定****和其他可請求URLs** 下，為每個額外區域的 ACS URL 選擇**新增另一個** URL，然後將 ACS URL 貼到文字欄位中。

1. 新增 ACS URLs 完成後，請儲存**AWS IAM Identity Center**應用程式。

1. 您可以在 中Okta為每個額外區域的 AWS 存取入口網站建立書籤應用程式。這可讓您的使用者從 存取其他區域中的 AWS 存取入口網站Okta。請務必授予使用者存取 中書籤應用程式的許可Okta。如需詳細資訊，請參閱 [Okta 文件](https://support.okta.com/help/s/article/create-a-bookmark-app)。

1. 確認您可以在每個額外的區域中登入 AWS 存取入口網站。導覽至[AWS 存取入口網站 URLs](multi-region-workforce-access.md#portal-endpoints)或從 啟動書籤應用程式Okta。

## 後續步驟
<a name="gs-okta-next-steps"></a>

現在您已Okta在 IAM Identity Center 中將 設定為身分提供者和佈建使用者，您可以：
+ 授予 的存取權 AWS 帳戶，請參閱 [將使用者或群組存取權指派給 AWS 帳戶](assignusers.md)。
+ 授予雲端應用程式的存取權，請參閱 [在 IAM Identity Center 主控台中指派使用者對應用程式的存取權](assignuserstoapp.md)。
+ 根據任務函數設定許可，請參閱[建立許可集](howtocreatepermissionset.md)。

## 疑難排解
<a name="gs-okta-troubleshooting"></a>

如需使用 進行一般 SCIM 和 SAML 故障診斷Okta，請參閱下列章節：
+ [重新佈建從 IAM Identity Center 刪除的使用者和群組](#reprovisioning-deleted-users-groups)
+ [中的自動佈建錯誤 Okta](#okta-auto-provisioning-error)
+ [特定使用者無法從外部 SCIM 供應商同步到 IAM Identity Center](troubleshooting.md#issue2)
+ [IAM Identity Center 建立的 SAML 聲明內容相關問題](troubleshooting.md#issue1)
+ [使用外部身分提供者佈建使用者或群組時重複的使用者或群組錯誤](troubleshooting.md#duplicate-user-group-idp)
+ [其他資源](#gs-okta-troubleshooting-resources)

### 重新佈建從 IAM Identity Center 刪除的使用者和群組
<a name="reprovisioning-deleted-users-groups"></a>
+ 如果您在 中嘗試變更曾同步的使用者或群組，然後從 IAM Identity Center 刪除Okta，您可能會在 Okta主控台中收到下列錯誤訊息：
  + 自動將使用者 *Jane Doe* 推送至應用程式 AWS IAM Identity Center 失敗：嘗試推送 *jane\$1doe@example.com* 的設定檔更新時發生錯誤：未傳回使用者 *xxxxx-xxxxxx-xxxxx-xxxxxxx* 
  + 連結的群組遺失 AWS IAM Identity Center。變更連結的群組以繼續推送群組成員資格。
+ 您也可以在 Okta的 Systems Logs 中，針對同步和刪除的 IAM Identity Center 使用者或群組收到下列錯誤訊息：
  + Okta 錯誤：Eventfailed application.provision.user.push\$1profile：未傳回使用者 *xxxxx-xxxxxx-xxxxx-xxxxxxx*
  + Okta 錯誤：application.provision.group\$1push.mapping.update.or.delete.failed.with.error：缺少連結的群組 AWS IAM Identity Center。變更連結的群組以繼續推送群組成員資格。

**警告**  
如果您已使用 SCIM 同步和 IAM Identity Center，則應從 刪除使用者Okta和群組，Okta而不是從 IAM Identity Center 刪除。

**對已刪除的 IAM Identity Center 使用者進行故障診斷**  
若要解決已刪除 IAM Identity Center 使用者的此問題，必須從 刪除使用者Okta。如有必要，這些使用者也需要在 中重新建立Okta。在 中重新建立使用者時Okta，也會透過 SCIM 將其重新佈建至 IAM Identity Center。如需刪除使用者的詳細資訊，請參閱 [Okta 文件](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-deactivate-user-account.htm)。

**注意**  
如果您需要移除Okta使用者對 IAM Identity Center 的存取權，您應該先將其從群組推送中移除，然後在 中移除其指派群組Okta。這可確保從 IAM Identity Center 中的關聯群組成員資格中移除使用者。如需群組推送疑難排解的詳細資訊，請參閱 [Okta 文件](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm)。

**對已刪除的 IAM Identity Center 群組進行故障診斷**  
若要解決已刪除 IAM Identity Center 群組的問題，必須從 Okta 刪除該群組。如有必要，這些群組也需要使用群組推送在 Okta 中重新建立。在 Okta 中重新建立使用者時，也會透過 SCIM 將其重新佈建至 IAM Identity Center。如需刪除群組的詳細資訊，請參閱 [Okta 文件](https://help.okta.com/oie/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm)。

### 中的自動佈建錯誤 Okta
<a name="okta-auto-provisioning-error"></a>

如果您在 中收到下列錯誤訊息Okta：

使用者 Jane Doe 至應用程式的自動佈建 AWS IAM Identity Center 失敗：找不到相符的使用者

如需詳細資訊，請參閱 [Okta 文件](https://support.okta.com/help/s/article/aws-iam-identity-center-provisioning-error-automatic-provisioning-of-user-name-of-user-to-app-aws-iam-identity-center-failed-matching-user-not-found?language=en_US)。

### 其他資源
<a name="gs-okta-troubleshooting-resources"></a>
+ 如需一般 SCIM 疑難排解秘訣，請參閱 [對 IAM Identity Center 問題進行故障診斷](troubleshooting.md)。

下列資源可協助您在使用 時進行故障診斷 AWS：
+ [AWS re:Post](https://repost.aws/) - 尋找FAQs和其他資源的連結，協助您疑難排解問題。
+ [AWS 支援](https://aws.amazon.com/premiumsupport/) - 取得技術支援

# 在 OneLogin和 IAM Identity Center 之間設定 SCIM 佈建
<a name="onelogin-idp"></a>

IAM Identity Center 支援使用跨網域身分管理 (SCIM) 2.0 版通訊協定，將使用者和群組資訊從 自動佈建 （同步） OneLogin到 IAM Identity Center。如需詳細資訊，請參閱[搭配外部身分提供者使用 SAML 和 SCIM 聯合身分](other-idps.md)。

**注意**  
OneLogin 目前不支援 AWS IAM Identity Center 應用程式中的 SAML 多聲明使用服務 (ACS) URLs。需要此 SAML 功能才能充分利用 IAM Identity Center 中的[多區域支援](multi-region-iam-identity-center.md)。如果您打算將 IAM Identity Center 複寫到其他區域，請注意，使用單一 ACS URL 可能會影響這些其他區域中的使用者體驗。您的主要區域會繼續正常運作。我們建議您與 IdP 廠商合作，以啟用此功能。如需使用單一 ACS URL 在其他區域中使用者體驗的詳細資訊，請參閱 [使用沒有多個 ACS URLs AWS 受管應用程式](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)和 [AWS 帳戶 在沒有多個 ACS URLs存取彈性](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。

您可以使用 IAM Identity Center 的 SCIM 端點和 IAM Identity Center 自動建立的承載字符OneLogin，在 中設定此連線。當您設定 SCIM 同步時，您可以在 中建立使用者屬性映射OneLogin至 IAM Identity Center 中具名屬性的映射。這會導致 IAM Identity Center 和 之間的預期屬性相符OneLogin。

下列步驟會逐步解說如何使用 SCIM 通訊協定，將使用者和群組從 自動佈建OneLogin至 IAM Identity Center。

**注意**  
在您開始部署 SCIM 之前，建議您先檢閱 [使用自動佈建的考量事項](provision-automatically.md#auto-provisioning-considerations)。

**Topics**
+ [先決條件](#onelogin-prereqs)
+ [步驟 1：在 IAM Identity Center 中啟用佈建](#onelogin-step1)
+ [步驟 2：在 中設定佈建 OneLogin](#onelogin-step2)
+ [（選用） 步驟 3：在 中設定使用者屬性OneLogin，以在 IAM Identity Center 中進行存取控制](#onelogin-step3)
+ [（選用） 傳遞屬性以進行存取控制](#onelogin-passing-abac)
+ [疑難排解](#onelogin-troubleshooting)

## 先決條件
<a name="onelogin-prereqs"></a>

您將需要下列項目才能開始使用：
+ OneLogin 帳戶。如果您沒有現有的 帳戶，您可能可以從 [OneLogin網站](https://www.onelogin.com/free-trial)取得免費試用或開發人員帳戶。
+ 啟用 IAM Identity Center 的帳戶 ([免費](https://aws.amazon.com/single-sign-on/))。如需詳細資訊，請參閱[啟用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)。
+ 從OneLogin您的帳戶到 IAM Identity Center 的 SAML 連線。如需詳細資訊，請參閱 AWS 合作夥伴網路部落格上的在 [OneLogin和 之間啟用單一登入 AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/)。

## 步驟 1：在 IAM Identity Center 中啟用佈建
<a name="onelogin-step1"></a>

在此第一個步驟中，您可以使用 IAM Identity Center 主控台來啟用自動佈建。

**在 IAM Identity Center 中啟用自動佈建**

1. 完成先決條件後，請開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 在左側導覽窗格中選擇**設定**。

1. 在**設定**頁面上，找到**自動佈建**資訊方塊，然後選擇**啟用**。這會立即在 IAM Identity Center 中啟用自動佈建，並顯示必要的 SCIM 端點和存取字符資訊。

1. 在**傳入自動佈建**對話方塊中，複製 SCIM 端點和存取字符。稍後在 IdP 中設定佈建時，您需要將這些項目貼入 。

   1. **SCIM 端點** - 例如，https://scim.*us-east-2*.amazonaws.com/*1111111111-2222-3333-444-555555555*/scim/v2

   1. **存取字符** - 選擇**顯示字符**以複製值。
**警告**  
這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前，請務必複製這些值。您將在本教學稍後輸入這些值，以設定 IdP 中的自動佈建。

1. 選擇**關閉**。

您現在已在 IAM Identity Center 主控台中設定佈建。現在，您需要使用OneLogin管理員主控台執行剩餘的任務，如下列程序所述。

## 步驟 2：在 中設定佈建 OneLogin
<a name="onelogin-step2"></a>

在OneLogin管理員主控台中使用下列程序，以啟用 IAM Identity Center 與 IAM Identity Center 應用程式之間的整合。此程序假設您已在 中設定 AWS 單一登入應用程式OneLogin以進行 SAML 身分驗證。如果您尚未建立此 SAML 連線，請在繼續之前執行此操作，然後返回這裡以完成 SCIM 佈建程序。如需使用 設定 SAML 的詳細資訊OneLogin，請參閱 合作夥伴網路部落格上的 AWS 在 [OneLogin和 之間啟用單一登入 AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/)。

**在 中設定佈建 OneLogin**

1. 登入 OneLogin，然後導覽至**應用程式 > 應用程式**。

1. 在**應用程式**頁面上，搜尋您先前建立的應用程式，以與 IAM Identity Center 建立 SAML 連線。選擇它，然後從導覽窗格中選擇**組態**。

1. 在先前的程序中，您會在 IAM Identity Center 中複製 **SCIM 端點**值。將該值貼到 中的 **SCIM 基礎 URL** 欄位OneLogin。此外，在先前的程序中，您複製了 IAM Identity Center 中的**存取字符**值。將該值貼到 中的 **SCIM 承載權杖**欄位OneLogin。

1. 在 **API 連線**旁，按一下**啟用**，然後按一下**儲存**以完成組態。

1. 在導覽窗格中，選擇 **Provisioning** (佈建)。

1. 選取**啟用佈建**、**建立使用者**、**刪除使用者**和**更新使用者的**核取方塊，然後選擇**儲存**。

1. 在導覽窗格中，選擇**使用者** 。

1. 按一下**更多動作**，然後選擇**同步登入**。您應該會收到*使用 AWS 單一登入同步使用者*的訊息。

1. 再次按一下**更多動作**，然後選擇**重新套用權利映射**。您應該會收到*正在重新套用映射*的訊息。

1. 此時，佈建程序應開始。若要確認，請導覽至**活動 > 事件**，並監控進度。成功的佈建事件以及錯誤都應該出現在事件串流中。

1. 若要確認您的使用者和群組皆已成功同步至 IAM Identity Center，請返回 IAM Identity Center 主控台並選擇**使用者**。來自 的同步使用者OneLogin會出現在**使用者**頁面上。您也可以在群組頁面上檢視同步的**群組**。

1. 若要自動將使用者變更同步至 IAM Identity Center，請導覽至**佈建**頁面，找到**需要管理員核准才能執行此動作**區段，取消選取**建立使用者**、**刪除使用者**和/或**更新使用者**，然後按一下**儲存**。

## （選用） 步驟 3：在 中設定使用者屬性OneLogin，以在 IAM Identity Center 中進行存取控制
<a name="onelogin-step3"></a>

OneLogin 如果您選擇設定要在 IAM Identity Center 中用來管理 AWS 資源存取的屬性，這是 的選用程序。您在 中定義的屬性OneLogin會在 SAML 聲明中傳遞至 IAM Identity Center。然後，您將在 IAM Identity Center 中建立許可集，以根據您從 傳遞的屬性來管理存取權OneLogin。

開始此程序之前，您必須先啟用[存取控制的屬性](attributesforaccesscontrol.md)此功能。如需如何進行該服務的詳細資訊，請參閱[啟用和設定存取控制的屬性](configure-abac.md)。

**在 中設定使用者屬性OneLogin，以在 IAM Identity Center 中控制存取控制**

1. 登入 OneLogin，然後導覽至**應用程式 > 應用程式**。

1. 在**應用程式**頁面上，搜尋您先前建立的應用程式，以與 IAM Identity Center 建立 SAML 連線。選擇它，然後從導覽窗格中選擇**參數**。

1. 在**必要參數**區段中，針對您要在 IAM Identity Center 中使用的每個屬性執行下列動作：

   1. 選擇 **\$1**。

   1. 在**欄位名稱**中，輸入 `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`，並以您在 IAM Identity Center 中預期的屬性名稱**AttributeName**取代 。例如 `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`。

   1. 在**旗標**下，勾選**包含在 SAML 聲明中的**核取方塊，然後選擇**儲存**。

   1. 在**值**欄位中，使用下拉式清單選擇OneLogin使用者屬性。例如， **Department**。

1. 選擇**儲存**。

## （選用） 傳遞屬性以進行存取控制
<a name="onelogin-passing-abac"></a>

您可以選擇性地使用 IAM Identity Center 中的 [存取控制的屬性](attributesforaccesscontrol.md)功能，傳遞 `Name` 屬性設為 的 `Attribute`元素`https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊，請參閱《*IAM 使用者指南*》中的在 [中傳遞工作階段標籤 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

若要將屬性做為工作階段標籤傳遞，請包含指定標籤值的 `AttributeValue` 元素。例如，若要傳遞標籤鍵/值對 `CostCenter = blue`，請使用下列屬性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要新增多個屬性，請為每個標籤加入個別的`Attribute`元素。

## 疑難排解
<a name="onelogin-troubleshooting"></a>

以下可協助您針對使用 設定自動佈建時可能遇到的一些常見問題進行疑難排解OneLogin。

**群組不會佈建至 IAM Identity Center**

根據預設，群組可能不會從 佈建OneLogin至 IAM Identity Center。請確定您已在 中為 IAM Identity Center 應用程式啟用群組佈建OneLogin。若要這樣做，請登入OneLogin管理員主控台，並檢查以確保在 IAM Identity Center 應用程式 (**IAM Identity Center 應用程式 > 參數 > 群組**) 的屬性下選取**包含在使用者佈建**選項。如需如何在 中建立群組的詳細資訊OneLogin，包括如何在 SCIM 中同步OneLogin角色為群組，請參閱 [OneLogin網站](https://onelogin.service-now.com/support)。

**即使所有設定都正確，也不會從 同步OneLogin到 IAM Identity Center**

除了上述有關管理員核准的備註之外，您將需要**重新套用權利映射**，許多組態變更才會生效。這可在**應用程式 > 應用程式 > IAM Identity Center 應用程式 > 更多動作**中找到。您可以在活動 > 事件下查看 中大多數動作的詳細資訊和日誌，OneLogin包括同步事件。 ****

**我已在 中刪除或停用群組OneLogin，但仍會出現在 IAM Identity Center 中**

OneLogin 目前不支援群組的 SCIM DELETE 操作，這表示群組會持續存在於 IAM Identity Center 中。因此，您必須直接從 IAM Identity Center 移除群組，以確保移除該群組 IAM Identity Center 中的任何對應許可。

**我刪除了 IAM Identity Center 中的群組，但未先從 刪除該群組OneLogin，現在發生使用者/群組同步問題**

若要修正這種情況，請先確定您在 中沒有任何備援群組佈建規則或組態OneLogin。例如，直接指派給應用程式的群組，以及發佈至相同群組的規則。接著，刪除 IAM Identity Center 中任何不需要的群組。最後，在 中OneLogin**重新整理**權利 (**IAM Identity Center 應用程式 > 佈建 > 權限**)，然後**重新套用權利映射 (IAM Identity Center 應用程式 > 更多動作）**。若要避免未來發生此問題，請先進行變更以停止在 中佈建群組OneLogin，然後從 IAM Identity Center 刪除群組。

# 搭配 IAM Identity Center 使用 Ping Identity 產品
<a name="pingidentity"></a>

下列Ping Identity產品已透過 IAM Identity Center 進行測試。

**Topics**
+ [PingFederate](pingfederate-idp.md)
+ [PingOne](pingone-idp.md)

# PingFederate
<a name="pingfederate-idp"></a>

IAM Identity Center 支援透過 （以下稱「Ping」) 從PingFederate產品自動佈建 Ping Identity（同步） 使用者和群組資訊至 IAM Identity Center。此佈建使用 System for Cross-domain Identity Management (SCIM) v2.0 通訊協定。如需詳細資訊，請參閱[搭配外部身分提供者使用 SAML 和 SCIM 聯合身分](other-idps.md)。

您可以使用 IAM Identity Center SCIM 端點和存取權杖PingFederate在 中設定此連線。當您設定 SCIM 同步時，您會在 中建立使用者屬性映射PingFederate至 IAM Identity Center 中具名屬性的映射。這會導致 IAM Identity Center 和 之間的預期屬性相符PingFederate。

本指南以 10.2 PingFederate版為基礎。其他版本的步驟可能會有所不同。Ping 如需如何為其他版本的 設定佈建至 IAM Identity Center 的詳細資訊，請聯絡 PingFederate。

下列步驟會逐步解說如何使用 SCIM 通訊協定，將使用者和群組從 自動佈建PingFederate至 IAM Identity Center。

**注意**  
在您開始部署 SCIM 之前，建議您先檢閱 [使用自動佈建的考量事項](provision-automatically.md#auto-provisioning-considerations)。然後繼續檢閱下一節的其他考量事項。

**Topics**
+ [先決條件](#pingfederate-prereqs)
+ [考量事項](#pingfederate-considerations)
+ [步驟 1：在 IAM Identity Center 中啟用佈建](#pingfederate-step1)
+ [步驟 2：在 中設定佈建 PingFederate](#pingfederate-step2)
+ [（選用） 步驟 3：在 PingFed erate 中設定使用者屬性，以便在 IAM Identity Center 中進行存取控制](#pingfederate-step3)
+ [（選用） 傳遞屬性以進行存取控制](#pingfederate-passing-abac)
+ [疑難排解](#pingfederate-troubleshooting)

## 先決條件
<a name="pingfederate-prereqs"></a>

您需要下列項目才能開始使用：
+ 運作中的PingFederate伺服器。如果您沒有現有的PingFederate伺服器，您可能可以從 [Ping Identity](https://www.pingidentity.com/developer/en/get-started.html#:~:text=Get%20started%20developing%20with%20open,a%20developer%20trial%20of%20PingOne.) 網站取得免費試用或開發人員帳戶。該試驗包括授權和軟體下載以及相關文件。
+ 安裝在PingFederate伺服器上的 PingFederate IAM Identity Center Connector 軟體副本。如需如何取得此軟體的詳細資訊，請參閱 Ping Identity 網站上的 [IAM Identity Center Connector](https://support.pingidentity.com/s/marketplace-integration/a7i1W000000TOZ1/)。
+ 啟用 IAM Identity Center 的帳戶 ([免費](https://aws.amazon.com/single-sign-on/))。如需詳細資訊，請參閱[啟用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)。
+ 從PingFederate執行個體到 IAM Identity Center 的 SAML 連線。如需如何設定此連線的說明，請參閱 PingFederate 文件。總之，建議路徑是使用 IAM Identity Center Connector 在 中設定「瀏覽器 SSO」PingFederate，並使用兩端的「下載」和「匯入」中繼資料功能，在 PingFederate和 IAM Identity Center 之間交換 SAML 中繼資料。
+ 如果您將 IAM Identity Center 複寫到其他區域，則必須更新身分提供者組態，以啟用受 AWS 管應用程式和 AWS 帳戶 來自這些區域的存取。如需詳細資訊，請參閱[步驟 3：更新外部 IdP 設定](replicate-to-additional-region.md#update-external-idp-setup)。如需其他詳細資訊，請參閱 PingFederate 文件。

## 考量事項
<a name="pingfederate-considerations"></a>

以下是有關 的重要考量PingFederate，這可能會影響您使用 IAM Identity Center 實作佈建的方式。
+ 如果從在 中設定的資料存放區中的使用者移除屬性 （例如電話號碼）PingFederate，則不會從 IAM Identity Center 中的對應使用者移除該屬性。這是PingFederate’s佈建器實作的已知限制。如果屬性變更為使用者上的不同 （非空白） 值，則該變更會同步至 IAM Identity Center。

## 步驟 1：在 IAM Identity Center 中啟用佈建
<a name="pingfederate-step1"></a>

在此第一個步驟中，您可以使用 IAM Identity Center 主控台來啟用自動佈建。

**在 IAM Identity Center 中啟用自動佈建**

1. 完成先決條件後，請開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 在左側導覽窗格中選擇**設定**。

1. 在**設定**頁面上，找到**自動佈建**資訊方塊，然後選擇**啟用**。這會立即在 IAM Identity Center 中啟用自動佈建，並顯示必要的 SCIM 端點和存取字符資訊。

1. 在**傳入自動佈建**對話方塊中，複製 SCIM 端點和存取字符。稍後在 IdP 中設定佈建時，您需要將這些項目貼入 。

   1. **SCIM 端點** - 例如，https://scim.*us-east-2*.amazonaws.com/*1111111111-2222-3333-444-555555555*/scim/v2

   1. **存取字符** - 選擇**顯示字符**以複製值。
**警告**  
這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前，請務必複製這些值。您將在本教學課程稍後輸入這些值，以在 IdP 中設定自動佈建。

1. 選擇**關閉**。

現在您已在 IAM Identity Center 主控台中設定佈建，您必須使用PingFederate管理主控台完成其餘任務。，步驟如下列程序所述。

## 步驟 2：在 中設定佈建 PingFederate
<a name="pingfederate-step2"></a>

在PingFederate管理主控台中使用下列程序來啟用 IAM Identity Center 與 IAM Identity Center Connector 之間的整合。此程序假設您已安裝 IAM Identity Center Connector 軟體。如果您尚未這麼做，請參閱 [先決條件](#pingfederate-prereqs)，然後完成此程序以設定 SCIM 佈建。

**重要**  
如果您的PingFederate伺服器先前尚未設定傳出 SCIM 佈建，您可能需要變更組態檔案才能啟用佈建。如需詳細資訊，請參閱Ping文件。總而言之，您必須將 **pingfederate-<version>/pingfederate/bin/run.properties** 檔案中`pf.provisioner.mode`的設定修改為 `OFF`（這是預設值） 以外的值，如果目前正在執行，則重新啟動伺服器。例如，`STANDALONE`如果您目前沒有 的高可用性組態，您可以選擇使用 PingFederate。

**在 中設定佈建 PingFederate**

1. 登入PingFederate管理主控台。

1. 從頁面頂端選取**應用程式**，然後按一下 **SP 連線**。

1. 找到您先前建立以與 IAM Identity Center 建立 SAML 連線的應用程式，然後按一下連線名稱。

1. 從頁面頂端附近的深色導覽標題中選取**連線類型**。您應該會看到**瀏覽器 SSO** 已從先前的 SAML 組態中選取。如果沒有，您必須先完成這些步驟，才能繼續。

1. 選取**傳出佈建**核取方塊，選擇 **IAM Identity Center Cloud Connector** 做為類型，然後按一下**儲存**。如果 **IAM Identity Center Cloud Connector** 未顯示為 選項，請確定您已安裝 IAM Identity Center Connector 並重新啟動PingFederate伺服器。

1. 重複按一下**下一步**，直到您抵達**傳出佈建**頁面，然後按一下**設定佈建**按鈕。

1. 在先前的程序中，您會在 IAM Identity Center 中複製 **SCIM 端點**值。將該值貼到 PingFederate 主控台的 **SCIM URL** 欄位。此外，在先前的程序中，您複製了 IAM Identity Center 中的**存取字符**值。將該值貼到 PingFederate 主控台的**存取字符**欄位。按一下 **Save (儲存)**。

1. 在**頻道組態 （設定頻道）** 頁面上，按一下**建立**。

1. 輸入此新佈建頻道的頻道**名稱** （例如 **AWSIAMIdentityCenterchannel**)，然後按一下**下一步**。

1. 在**來源**頁面上，選擇您要用於連線至 IAM Identity Center 的**作用中資料存放**區，然後按一下**下一步**。
**注意**  
如果您尚未設定資料來源，您現在必須這麼做。如需如何在 中選擇和設定資料來源的資訊，請參閱Ping產品文件PingFederate。

1. 在**來源設定**頁面上，確認安裝的所有值都正確，然後按一下**下一步**。

1. 在**來源位置**頁面上，輸入適合您資料來源的設定，然後按一下**下一步**。例如，如果使用 Active Directory 做為 LDAP 目錄：

   1. 輸入 AD 樹系的基本 **DN** （例如 **DC=myforest,DC=mydomain,DC=com**)。

   1. 在**使用者 > 群組 DN** 中，指定單一群組，其中包含您要佈建至 IAM Identity Center 的所有使用者。如果沒有這類單一群組，請在 AD 中建立該群組，返回此設定，然後輸入對應的 DN。

   1. 指定是否搜尋子群組 (**巢狀搜尋**) 和任何必要的 LDAP **篩選條件**。

   1. 在**群組 > 群組 DN** 中，指定單一群組，其中包含您要佈建至 IAM Identity Center 的所有群組。在許多情況下，這可能會與您在**使用者**區段中指定的 DN 相同。視需要輸入**巢狀搜尋**和**篩選條件**值。

1. 在**屬性映射**頁面上，確保下列事項，然後按一下**下一步**：

   1. **userName** 欄位必須對應至格式化為電子郵件的**屬性** (user@domain.com)。它還必須符合使用者用來登入 Ping 的值。此值會在聯合身分驗證期間填入 SAML `nameId`宣告中，並用於比對 IAM Identity Center 中的使用者。例如，使用 Active Directory 時，您可以選擇將 指定`UserPrincipalName`為 **userName**。

   1. 尾碼為 **\$1** 的其他欄位必須映射至使用者非 Null 的屬性。

1. 在**啟用與摘要**頁面上，將**頻道狀態**設定為**作用中**，讓同步在儲存組態後立即開始。

1. 確認頁面上的所有組態值都正確，然後按一下**完成**。

1. 在**管理頻道**頁面上，按一下**儲存**。

1. 此時，佈建會開始。若要確認活動，您可以檢視 **provisioner.log** 檔案，預設位於您PingFederate伺服器上的 **pingfederate-<version>/pingfederate/log**目錄中。

1. 若要確認使用者和群組已成功同步至 IAM Identity Center，請返回 IAM Identity Center 主控台並選擇**使用者**。來自 的同步**使用者**PingFederate會出現在使用者頁面上。您也可以在群組頁面上檢視同步的**群組**。

## （選用） 步驟 3：在 PingFed erate 中設定使用者屬性，以便在 IAM Identity Center 中進行存取控制
<a name="pingfederate-step3"></a>

PingFederate 如果您選擇設定要在 IAM Identity Center 中用來管理 AWS 資源存取的屬性，這是 的選用程序。您在 中定義的屬性PingFederate會在 SAML 聲明中傳遞至 IAM Identity Center。然後，您將在 IAM Identity Center 中建立許可集，以根據您從 傳遞的屬性來管理存取權PingFederate。

開始此程序之前，您必須先啟用[存取控制的屬性](attributesforaccesscontrol.md)此功能。如需如何進行該服務的詳細資訊，請參閱[啟用和設定存取控制的屬性](configure-abac.md)。

**在 中設定使用者屬性PingFederate，以在 IAM Identity Center 中進行存取控制**

1. 登入PingFederate管理主控台。

1. 從頁面頂端選擇**應用程式**，然後按一下 **SP 連線**。

1. 找到您先前建立以與 IAM Identity Center 建立 SAML 連線的應用程式，然後按一下連線名稱。

1. 從頁面頂端附近的深色導覽標題中選擇**瀏覽器 SSO**。然後按一下**設定瀏覽器 SSO**。

1. 在**設定瀏覽器 SSO** 頁面上，選擇**宣告建立**，然後按一下**設定宣告建立**。

1. 在**設定宣告建立**頁面上，選擇**屬性合約**。

1. 在**屬性合約**頁面**的延伸合約**區段下，執行下列步驟來新增屬性：

   1. 在文字方塊中，輸入 `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`，**AttributeName**以您在 IAM Identity Center 中預期的屬性名稱取代 。例如 `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`。

   1. 針對**屬性名稱格式**，選擇 **urn:oasis:names:tc:SAML:2.0:attrname-format:uri**。

   1. 選擇**新增**，然後選擇**下一步**。

1. 在**身分驗證來源映射**頁面上，選擇使用應用程式設定的轉接器執行個體。

1. 在**屬性合約履行**頁面上，選擇**屬性合約** 的**來源** (*資料存放*區） 和**值** (*資料存放區屬性*)`https://aws.amazon.com/SAML/Attributes/AccessControl:Department`。
**注意**  
如果您尚未設定資料來源，則需要現在這麼做。如需如何在 中選擇和設定資料來源的資訊，請參閱Ping產品文件PingFederate。

1. 重複按一下**下一步**，直到您抵達**啟用與摘要**頁面，然後按一下**儲存**。

## （選用） 傳遞屬性以進行存取控制
<a name="pingfederate-passing-abac"></a>

您可以選擇性地使用 IAM Identity Center 中的 [存取控制的屬性](attributesforaccesscontrol.md)功能，傳遞 `Name` 屬性設為 的 `Attribute`元素`https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊，請參閱《*IAM 使用者指南*》中的在 [中傳遞工作階段標籤 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

若要將屬性做為工作階段標籤傳遞，請包含指定標籤值的 `AttributeValue` 元素。例如，若要傳遞標籤鍵值對 `CostCenter = blue`，請使用下列屬性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要新增多個屬性，請為每個標籤加入個別的`Attribute`元素。

## 疑難排解
<a name="pingfederate-troubleshooting"></a>

如需使用 進行一般 SCIM 和 SAML 疑難排解PingFederate，請參閱下列章節：
+ [特定使用者無法從外部 SCIM 供應商同步到 IAM Identity Center](troubleshooting.md#issue2)
+ [IAM Identity Center 建立的 SAML 聲明內容相關問題](troubleshooting.md#issue1)
+ [使用外部身分提供者佈建使用者或群組時重複的使用者或群組錯誤](troubleshooting.md#duplicate-user-group-idp)
+ 如需 的詳細資訊PingFederate，請參閱 [PingFederate 文件](https://docs.pingidentity.com/pingfederate/latest/pf_pf_landing_page.html)。

下列資源可協助您在使用 時進行故障診斷 AWS：
+ [AWS re:Post](https://repost.aws/) - 尋找FAQs和其他資源的連結，以協助您疑難排解問題。
+ [AWS 支援](https://aws.amazon.com/premiumsupport/) - 取得技術支援

# PingOne
<a name="pingone-idp"></a>

IAM Identity Center 支援透過 （以下稱「Ping」) 從PingOne產品自動佈建 Ping Identity（同步） 使用者資訊至 IAM Identity Center。此佈建使用 System for Cross-domain Identity Management (SCIM) v2.0 通訊協定。您可以使用 IAM Identity Center SCIM 端點和存取權杖PingOne在 中設定此連線。當您設定 SCIM 同步時，您可以在 中建立使用者屬性映射PingOne至 IAM Identity Center 中具名屬性的映射。這會導致 IAM Identity Center 和 之間的預期屬性相符PingOne。

下列步驟會逐步解說如何使用 SCIM 通訊協定，將使用者從 自動佈建PingOne至 IAM Identity Center。

**注意**  
在您開始部署 SCIM 之前，建議您先檢閱 [使用自動佈建的考量事項](provision-automatically.md#auto-provisioning-considerations)。然後繼續檢閱下一節的其他考量事項。

**Topics**
+ [先決條件](#pingone-prereqs)
+ [考量事項](#pingone-considerations)
+ [步驟 1：在 IAM Identity Center 中啟用佈建](#pingone-step1)
+ [步驟 2：在 中設定佈建 PingOne](#pingone-step2)
+ [（選用） 步驟 3：在 中設定使用者屬性PingOne，以在 IAM Identity Center 中進行存取控制](#pingone-step3)
+ [（選用） 傳遞屬性以進行存取控制](#pingone-passing-abac)
+ [疑難排解](#pingone-troubleshooting)

## 先決條件
<a name="pingone-prereqs"></a>

您需要下列項目才能開始使用：
+ PingOne 訂閱或免費試用，同時具備聯合身分驗證和佈建功能。如需如何取得免費試用的詳細資訊，請參閱 [https://www.pingidentity.com/en/trials.html](https://www.pingidentity.com/en/trials.html)網站。
+ 啟用 IAM Identity Center 的帳戶 ([免費](https://aws.amazon.com/single-sign-on/))。如需詳細資訊，請參閱[啟用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)。
+ PingOne IAM Identity Center 應用程式已新增至您的PingOne管理員入口網站。您可以從 Application Catalog PingOne 取得 IAM Identity Center PingOne 應用程式。如需一般資訊，請參閱 Ping Identity 網站上的[從 Application Catalog 新增應用程式](https://docs.pingidentity.com/pingone/applications/p1_applicationcatalog.html)。
+ 從PingOne執行個體到 IAM Identity Center 的 SAML 連線。將 PingOne IAM Identity Center 應用程式新增至PingOne管理員入口網站後，您必須使用它來設定從PingOne執行個體到 IAM Identity Center 的 SAML 連線。在兩端使用「下載」和「匯入」中繼資料功能，在 PingOne和 IAM Identity Center 之間交換 SAML 中繼資料。如需如何設定此連線的說明，請參閱 PingOne 文件。
+ 如果您將 IAM Identity Center 複寫到其他區域，則必須更新身分提供者組態，以啟用受 AWS 管應用程式和 AWS 帳戶 來自這些區域的存取。如需詳細資訊，請參閱[步驟 3：更新外部 IdP 設定](replicate-to-additional-region.md#update-external-idp-setup)。如需其他詳細資訊，請參閱 PingOne 文件。

## 考量事項
<a name="pingone-considerations"></a>

以下是有關 的重要考量PingOne，這可能會影響您使用 IAM Identity Center 實作佈建的方式。
+ PingOne 不支援透過 SCIM 佈建群組。如需 的 SCIM 中群組支援的最新資訊Ping，請聯絡 PingOne。
+ 在 PingOne管理員入口網站中停用佈建PingOne之後，使用者可以繼續從 佈建。如果您需要立即終止佈建，請刪除相關的 SCIM 承載字符，和/或在 IAM Identity Center [使用 SCIM 從外部身分提供者佈建使用者和群組](provision-automatically.md)中停用 。
+ 如果從 中設定的資料存放區中移除使用者的屬性PingOne，則不會從 IAM Identity Center 中的對應使用者中移除該屬性。這是PingOne’s佈建器實作的已知限制。如果修改屬性，變更會同步至 IAM Identity Center。
+ 以下是有關 中 SAML 組態的重要備註PingOne：
  + IAM Identity Center 僅支援 `emailaddress` `NameId` 格式。這表示您需要為 中的 **SAML\$1SUBJECT** 映射選擇 目錄中唯一的使用者屬性PingOne，而非 Null，並格式化為電子郵件/UPN （例如 user@domain.com)PingOne。**Email (Work)** 是搭配PingOne內建目錄用於測試組態的合理值。
  + 中PingOne包含 **\$1** 字元的電子郵件地址的使用者可能無法登入 IAM Identity Center，並出現錯誤，例如 `'SAML_215'`或 `'Invalid input'`。若要修正此問題，請在 PingOne中選擇屬性映射中 **SAML\$1SUBJECT** **映射的****進階**選項。然後在下拉式功能表**urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress**中設定**要傳送至 SP： 的名稱 ID 格式**。

## 步驟 1：在 IAM Identity Center 中啟用佈建
<a name="pingone-step1"></a>

在此第一個步驟中，您可以使用 IAM Identity Center 主控台來啟用自動佈建。

**在 IAM Identity Center 中啟用自動佈建**

1. 完成先決條件後，請開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 在左側導覽窗格中選擇**設定**。

1. 在**設定**頁面上，找到**自動佈建**資訊方塊，然後選擇**啟用**。這會立即在 IAM Identity Center 中啟用自動佈建，並顯示必要的 SCIM 端點和存取字符資訊。

1. 在**傳入自動佈建**對話方塊中，複製 SCIM 端點和存取字符。稍後在 IdP 中設定佈建時，您需要將這些項目貼入 。

   1. **SCIM 端點** - 例如，https://scim.*us-east-2*.amazonaws.com/*1111111111-2222-3333-444-555555555*/scim/v2

   1. **存取字符** - 選擇**顯示字符**以複製值。
**警告**  
這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前，請務必複製這些值。您將在本教學課程稍後輸入這些值，以在 IdP 中設定自動佈建。

1. 選擇**關閉**。

現在您已在 IAM Identity Center 主控台中設定佈建，您需要使用 PingOne IAM Identity Center 應用程式完成其餘任務。這些步驟會在下列程序中說明。

## 步驟 2：在 中設定佈建 PingOne
<a name="pingone-step2"></a>

在 PingOne IAM Identity Center 應用程式中使用下列程序，以啟用使用 IAM Identity Center 的佈建。此程序假設您已將 PingOne IAM Identity Center 應用程式新增至PingOne管理員入口網站。如果您尚未這麼做，請參閱 [先決條件](#pingone-prereqs)，然後完成此程序以設定 SCIM 佈建。

**在 中設定佈建 PingOne**

1. 開啟您在為 PingOne 設定 SAML 時安裝的 IAM Identity Center 應用程式 PingOne(**應用程式** > **我的應用程式**)。請參閱 [先決條件](#pingone-prereqs)。

1. 捲動至頁面底部。在**使用者佈建**下，選擇**完整**連結以導覽至連線的使用者佈建組態。

1. 在**佈建指示**頁面上，選擇**繼續下一個步驟**。

1. 在先前的程序中，您會在 IAM Identity Center 中複製 **SCIM 端點**值。將該值貼到 IAM Identity Center PingOne 應用程式的 **SCIM URL** 欄位中。此外，在先前的程序中，您複製了 IAM Identity Center 中的**存取字符**值。將該值貼到 IAM Identity Center PingOne 應用程式的 **ACCESS\$1TOKEN** 欄位。

1. 針對 **REMOVE\$1ACTION**，選擇**已停用**或刪除 ****（如需詳細資訊，請參閱頁面上的說明文字）。

1. 在**屬性映射**頁面上，依照本頁[考量事項](#pingone-considerations)稍早的指導方針，選擇要用於 **SAML\$1SUBJECT** (`NameId`) 聲明的值。然後選擇**繼續下一步**。

1. 在**PingOne應用程式自訂 - IAM Identity Center** 頁面上，進行任何所需的自訂變更 （選用），然後按一下**繼續下一個步驟**。

1. 在**群組存取**頁面上，選擇包含您要啟用以佈建和單一登入 IAM Identity Center 之使用者的群組。選擇**繼續至下一步**。

1. 捲動至頁面底部，然後選擇**完成**以開始佈建。

1. 若要確認使用者已成功同步至 IAM Identity Center，請返回 IAM Identity Center 主控台並選擇**使用者**。來自 的同步使用者PingOne會出現在**使用者**頁面上。這些使用者現在可以指派給 IAM Identity Center 內的帳戶和應用程式。

   請記住， PingOne 不支援透過 SCIM 佈建群組或群組成員資格。如需詳細資訊Ping，請聯絡 。

## （選用） 步驟 3：在 中設定使用者屬性PingOne，以在 IAM Identity Center 中進行存取控制
<a name="pingone-step3"></a>

PingOne 如果您選擇設定 IAM Identity Center 的屬性來管理對 AWS 資源的存取，這是 的選用程序。您在 中定義的屬性PingOne會在 SAML 聲明中傳遞至 IAM Identity Center。然後，您可以在 IAM Identity Center 中建立許可集，以根據您從 傳遞的屬性來管理存取權PingOne。

開始此程序之前，您必須先啟用[存取控制的屬性](attributesforaccesscontrol.md)此功能。如需如何進行該服務的詳細資訊，請參閱[啟用和設定存取控制的屬性](configure-abac.md)。

**在 中設定使用者屬性PingOne，以在 IAM Identity Center 中控制存取控制**

1. 開啟您在為 PingOne 設定 SAML 時安裝的 IAM Identity Center 應用程式 PingOne(**應用程式 > 我的應用程式**)。

1. 選擇**編輯**，然後選擇**繼續下一步**，直到到達**屬性映射**頁面。

1. 在**屬性映射**頁面上，選擇**新增屬性**，然後執行下列動作。您必須針對要新增以在 IAM Identity Center 中使用的每個屬性執行這些步驟，以進行存取控制。

   1. 在**應用程式屬性**欄位中，輸入 `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`。以您在 IAM Identity Center 中預期的屬性名稱取代 *AttributeName*。例如 `https://aws.amazon.com/SAML/Attributes/AccessControl:Email`。

   1. 在 **Identity Bridge 屬性或文字值**欄位中，從您的PingOne目錄中選擇使用者屬性。例如，**電子郵件 （工作）**。

1. 選擇**下一步**幾次，然後選擇**完成**。

## （選用） 傳遞屬性以進行存取控制
<a name="pingone-passing-abac"></a>

您可以選擇性地使用 IAM Identity Center 中的 [存取控制的屬性](attributesforaccesscontrol.md)功能，傳遞 `Name` 屬性設為 的 `Attribute`元素`https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊，請參閱《*IAM 使用者指南*》中的在 [中傳遞工作階段標籤 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

若要將屬性做為工作階段標籤傳遞，請包含指定標籤值的 `AttributeValue` 元素。例如，若要傳遞標籤鍵值對 `CostCenter = blue`，請使用下列屬性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要新增多個屬性，請為每個標籤加入個別的`Attribute`元素。

## 疑難排解
<a name="pingone-troubleshooting"></a>

如需使用 進行一般 SCIM 和 SAML 疑難排解PingOne，請參閱下列章節：
+ [特定使用者無法從外部 SCIM 供應商同步到 IAM Identity Center](troubleshooting.md#issue2)
+ [IAM Identity Center 建立的 SAML 聲明內容相關問題](troubleshooting.md#issue1)
+ [使用外部身分提供者佈建使用者或群組時重複的使用者或群組錯誤](troubleshooting.md#duplicate-user-group-idp)
+ 如需 的詳細資訊PingOne，請參閱 [PingOne 文件](https://docs.pingidentity.com/pingone/p1_cloud__platform_main_landing_page.html)。

下列資源可協助您在使用 時進行故障診斷 AWS：
+ [AWS re:Post](https://repost.aws/) - 尋找FAQs和其他資源的連結，以協助您疑難排解問題。
+ [AWS 支援](https://aws.amazon.com/premiumsupport/) - 取得技術支援

# 使用預設 IAM Identity Center 目錄設定使用者存取權
<a name="quick-start-default-idc"></a>

當您第一次啟用 IAM Identity Center 時，會自動設定 Identity Center 目錄做為您的預設身分來源，因此您不需要選擇身分來源。如果您的組織使用其他身分提供者，例如 Microsoft Active Directory、 或 Microsoft Entra ID，Okta請考慮將該身分來源與 IAM Identity Center 整合，而不是使用預設組態。

**目標**

在本教學課程中，您將使用預設目錄做為身分來源和 IAM Identity Center 組織執行個體，以設定和測試管理使用者。此管理使用者會建立和管理使用者和群組，並使用許可集授予 AWS 存取權。在後續步驟中，您將建立下列項目：
+ 名為 *Nikki Wolf* 的管理使用者
+ 名為 *Admin 團隊的*群組
+ 名為 *AdminAccess* 的許可集

若要驗證一切是否已正確建立，您將登入並設定管理使用者的密碼。完成本教學課程後，您可以使用管理使用者在 IAM Identity Center 中新增更多使用者、建立其他許可集，以及設定應用程式的組織存取權。或者，如果您想要授予使用者存取應用程式的權限，您可以遵循此程序[的步驟 1](#gs-qs-step1) 並[設定應用程式存取](manage-your-applications.md)。

## 先決條件
<a name="prereqs-qs"></a>

完成本教學課程需要下列先決條件：
+ [啟用 IAM Identity Center](enable-identity-center.md) 和 具有 [IAM Identity Center 的組織執行個體](organization-instances-identity-center.md)。
  + 如果您有 IAM Identity Center [的帳戶執行個體](account-instances-identity-center.md)，您可以建立使用者和群組，並授予他們存取應用程式的權限。如需詳細資訊，請參閱[應用程式存取](manage-your-applications.md)。
+ 登入 AWS 管理主控台 ，並以下列任一方式存取 IAM Identity Center 主控台：
  + **新使用者 AWS （根使用者）** – 選擇**AWS 帳戶 根使用者**並輸入 AWS 帳戶 您的電子郵件地址，以帳戶擁有者的身分登入。在下一頁中，輸入您的密碼。
  + **已使用 AWS (IAM 登入資料）** – 使用具有管理許可的 IAM 登入資料登入。
    + 如需登入 的更多說明 AWS 管理主控台，請參閱 [AWS 登入 指南。](https://docs.aws.amazon.com//signin/latest/userguide/how-to-sign-in.html)
+ 您可以為 IAM Identity Center 使用者設定多重驗證。如需詳細資訊，請參閱[在 IAM Identity Center 中設定 MFA](mfa-configure.md)。

## 步驟 1：新增使用者
<a name="gs-qs-step1"></a>

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 在 IAM Identity Center 導覽窗格中，選擇**使用者**，然後選取**新增使用者**。

1. 在**指定使用者詳細資訊**頁面上，完成下列資訊：
   + **使用者名稱** - 在本教學課程中，輸入 *nikkiw*。

     建立使用者時，請選擇容易記住的使用者名稱。您的使用者必須記住使用者名稱才能登入 AWS 存取入口網站，而且您稍後無法變更。
   + **密碼** - 選擇**使用密碼設定指示 （建議） 傳送電子郵件給此使用者**。

     此選項會傳送來自 Amazon Web Services 的電子郵件給使用者，主旨行**邀請加入 IAM Identity Center**。電子郵件來自 `no-reply@signin.aws`或 `no-reply@login.awsapps.com`。將這些電子郵件地址新增至已核准的寄件者清單。
   + **電子郵件地址** - 輸入您可以接收電子郵件之使用者的電子郵件地址。然後，再次輸入以確認。每個使用者都必須有唯一的電子郵件地址。
   + **名字** - 輸入使用者的名字。在本教學課程中，輸入 *Nikki*。
   + **姓氏** - 輸入使用者的姓氏。在本教學課程中，輸入 *Wolf*。
   + **顯示名稱** - 預設值為使用者的名字和姓氏。如果您想要變更顯示名稱，您可以輸入不同的名稱。顯示名稱會顯示在登入入口網站和使用者清單中。
   + 視需要填寫選用資訊。在本教學課程中不會使用它，您可以稍後進行變更。

1. 選擇**下一步**。**將使用者新增至群組**頁面隨即出現。我們將建立一個群組來指派管理許可給 ，而不是直接將它們提供給 *Nikki*。

   選擇**建立群組** 

   新的瀏覽器索引標籤隨即開啟，顯示**建立群組**頁面。

   1. 在**群組詳細資訊**下，在**群組名稱**中輸入群組的名稱。我們建議使用群組名稱來識別群組的角色。在本教學課程中，輸入*管理員團隊*。

   1. 選擇**建立群組**

   1. 關閉**群組**瀏覽器索引標籤以返回**新增使用者**瀏覽器索引標籤

1. 在**群組**區域中，選取**重新整理**按鈕。*管理員團隊*群組會出現在清單中。

   選取*管理員團隊*旁的核取方塊，然後選擇**下一步**。

1. 在**檢閱和新增使用者**頁面上，確認下列事項：
   + 主要資訊會如您預期般顯示
   + 群組會顯示新增至您建立之群組的使用者

   如需變更，請選擇 **Edit** (編輯)。當所有詳細資訊都正確時，請選擇**新增使用者**。

   通知訊息會通知您已新增使用者。

接下來，您將新增*管理員團隊*群組的管理許可，以便 *Nikki* 可以存取 資源。

## 步驟 2：新增管理許可
<a name="gs-qs-step2"></a>
**重要**  
只有在您啟用 [IAM Identity Center 的組織執行個體](identity-center-instances.md)時，才能執行下列步驟。

1. 在 IAM Identity Center 導覽窗格中的**多帳戶許可**下，選擇 **AWS 帳戶**。

1. 在 **AWS 帳戶**頁面上，**組織結構**會在階層中顯示您的組織及其下的帳戶。選取管理帳戶的核取方塊，然後選取**指派使用者或群組**。

1. 此時會顯示**指派使用者和群組**工作流程。它包含三個步驟：

   1. 針對**步驟 1：選取使用者和群組**，選擇您建立的*管理員團隊*群組。然後選擇**下一步**。

   1. 針對**步驟 2：選取許可集**選擇**建立許可集**，以開啟新標籤，逐步引導您完成建立許可集所涉及的三個子步驟。

      1. 對於**步驟 1：選取許可集類型**完成下列項目：
         + 在**許可集類型**中，選擇**預先定義的許可集**。
         + 在**預先定義許可集的政策**中，選擇 **AdministratorAccess**。

         選擇**下一步**。

      1. 對於**步驟 2：指定許可集詳細資訊**，保留預設設定，然後選擇**下一步**。

         預設設定會建立名為 *AdministratorAccess* 的許可集，並將工作階段持續時間設定為一小時。您可以在許可集名稱欄位中輸入新名稱，以變更**許可集的名稱**。

      1. 針對**步驟 3：檢閱和建立**，確認**許可集類型**使用 AWS 受管政策 **AdministratorAccess**。選擇**建立**。在**許可集**頁面上會出現通知，通知您已建立許可集。您現在可以在 Web 瀏覽器中關閉此索引標籤。

      在**指派使用者和群組**瀏覽器索引標籤上，您仍在**步驟 2：選取您從中開始建立許可集**工作流程的許可集。

      在**許可集**區域中，選擇**重新整理**按鈕。您建立的 *AdministratorAccess* 許可集會出現在清單中。選取該許可集的核取方塊，然後選擇**下一步**。

   1. 在**步驟 3：檢閱並提交指派**頁面上，確認已選取*管理員團隊*群組，且已選取 *AdministratorAccess* 許可集，然後選擇**提交**。

      頁面會以 AWS 帳戶 正在設定 的訊息進行更新。等待程序完成。

      您會返回 AWS 帳戶 頁面。通知訊息會通知您 AWS 帳戶 ，您的 已重新佈建並套用更新的許可集。

**恭喜您！**  
您已成功設定第一個使用者、群組和許可集。

在本教學課程的下一部分中，您將使用其管理登入資料登入存取入口網站並設定其密碼，以測試 *Nikki 的* AWS 存取。立即登出 主控台。

## 步驟 3：測試使用者存取許可
<a name="gs-qs-step3"></a>

現在 *Nikki Wolf* 是您組織中的使用者，他們可以登入並存取根據其許可集授予許可的資源。若要驗證使用者是否已正確設定，在下一個步驟中，您將使用 *Nikki 的*登入資料來登入並設定其密碼。當您在步驟 1 新增使用者 *Nikki Wolf* 時，您選擇讓 *Nikki* 收到包含密碼設定指示的電子郵件。是時候開啟該電子郵件並執行下列動作：

1. 在電子郵件中，選取**接受邀請**連結以接受邀請。
**注意**  
電子郵件也包含 *Nikki 的*使用者名稱，以及他們將用來登入組織的 AWS 存取入口網站 URL。記錄此資訊以供日後使用。

   系統會將您導向**新使用者註冊**頁面，您可以在其中設定 *Nikki *的密碼並[註冊其 MFA 裝置](enable-mfa.md)。

1. 設定 *Nikki *的密碼後，您會導覽至**登入**頁面。輸入 *nikkiw*，然後選擇**下一步**，然後輸入 *Nikki *的密碼，然後選擇**登入**。

1.  AWS 存取入口網站隨即開啟，顯示您可以存取的組織和應用程式。

   選取組織以將其展開至 清單 AWS 帳戶 ，然後選取帳戶以顯示您可用來存取帳戶中資源的角色。

    每個許可集都有兩種您可以使用的管理方法，即**角色**或**存取金鑰**。
   + **角色**，例如 *AdministratorAccess* - 開啟 AWS Console Home。
   + **存取金鑰** - 提供您可以搭配 AWS CLI 或 和 AWS SDK 使用的登入資料。包括使用自動重新整理的短期登入資料或短期存取金鑰的資訊。如需詳細資訊，請參閱[取得 AWS CLI AWS SDKs 的 IAM Identity Center 使用者憑證](howtogetcredentials.md)。

1. 選擇**角色**連結以登入 AWS Console Home。

 您已登入並導覽至 AWS Console Home 頁面。探索 主控台，確認您擁有預期的存取權。

## 後續步驟
<a name="gs-qs-next-steps"></a>

現在您已在 IAM Identity Center 中建立管理使用者，您可以：
+ [指派應用程式](manage-your-applications.md)
+ [新增其他使用者](addusers.md)
+ [將使用者指派給帳戶](assignusers.md)
+ [設定其他許可集](howtocreatepermissionset.md)
**注意**  
您可以將多個許可集指派給相同的使用者。若要遵循套用最低權限許可的最佳實務，請在建立管理使用者之後建立更嚴格的許可集，並將其指派給相同的使用者。如此一來，您 AWS 帳戶 只可以使用所需的許可來存取 ，而不是管理許可。

您的使用者[接受啟用其帳戶的邀請](howtoactivateaccount.md)並登入 AWS 存取入口網站後，入口網站中出現的唯一項目是針對他們獲指派的 AWS 帳戶、 角色和應用程式。

## 教學課程影片
<a name="w2aac15c31"></a>

作為其他資源，您可以使用這些影片教學來進一步了解如何設定外部身分提供者：
+ [在 中的外部身分提供者之間遷移 AWS IAM Identity Center](https://www.youtube.com/watch?v=A87tSiBdSnU)
+ [使用 聯合現有 AWS IAM Identity Center 執行個體 Microsoft Entra ID](https://www.youtube.com/watch?v=iSCuTJNeN6c)