Konfigurieren von AWS IAM Identity Center als Identitätsanbieter (Vorschau)

Wenn Sie ein Kunde von Amazon Web Services (AWS) sind und AWS IAM Identity Center verwenden, können Sie das Identity Center in der Verwaltung von Berechtigungen als Identitätsanbieter konfigurieren. Wenn Sie Ihre AWS IAM Identity Center-Informationen konfigurieren, erhalten Sie genauere Daten für Ihre Identitäten in der Berechtigungsverwaltung.

Hinweis

Das Konfigurieren von AWS IAM Identity Center als Identitätsanbieter ist ein optionaler Schritt. Durch das Konfigurieren von Identitätsanbieterinformationen kann die Berechtigungsverwaltung den Benutzer- und Rollenzugriff lesen, der in AWS IAM Identity Center konfiguriert ist. Administratoren können die erweiterte Ansicht der zugewiesenen Berechtigungen für die Identitäten betrachten. Sie können jederzeit zu diesen Schritten zurückkehren, um einen Identitätsanbieter zu konfigurieren.

Gewusst wie: Konfigurieren von AWS IAM Identity Center als Identitätsanbieter.

1. Wenn das Dashboard Datensammler beim Starten der Berechtigungsverwaltung nicht angezeigt wird, wählen Sie Einstellungen (Zahnradsymbol) und dann die Unterregisterkarte Datensammler aus.

2. Wählen Sie auf dem Dashboard Data Collectors (Datensammler) die Option AWS und anschließend Create Configuration (Konfiguration erstellen) aus. Wenn in Ihrem AWS-Konto bereits ein Datensammler vorhanden ist und Sie die AWS IAM-Integration hinzufügen möchten, gehen Sie wie folgt vor:

   • Wählen Sie den Datensammler aus, für den Sie AWS IAM konfigurieren möchten.
   • Klicken Sie auf die Auslassungspunkte neben Status der Autorisierungssysteme.
   • Wählen Sie Identitätsanbieter integrieren aus.

3. Aktivieren Sie auf der Seite Identitätsanbieter (IdP) integrieren das Kontrollkästchen für AWS IAM Identity Center.

4. Füllen Sie die folgenden Felder aus:

   • Die AWS IAM Identity Center-Region. Geben Sie die Region an, in der AWS IAM Identity Center installiert ist. Alle im IAM Identity Center konfigurierten Daten
     werden in der Region gespeichert, in der IAM Identity Center installiert ist.
   • Ihre AWS-Verwaltungskonto-ID
   • Ihre AWS-Verwaltungskontorolle

5. Wählen Sie Verwaltungskontovorlage starten aus. Die Vorlage wird in einem neuen Fenster geöffnet.

6. Wenn der Verwaltungskontostapel mit der Cloudformationsvorlage im Rahmen der vorherigen Onboardingschritte erstellt wird, aktualisieren Sie den Stapel, indem Sie EnableSSO mit „true“ ausführen. Durch Ausführen dieses Befehls wird beim Ausführen der Verwaltungskontovorlage ein neuer Stapel erstellt.

Bei der Vorlagenausführung werden die verwaltete AWS-Richtlinie AWSSSOReadOnly und die neu erstellte benutzerdefinierte Richtlinie SSOPolicy an die AWS IAM-Rolle angefügt. Dies ermöglicht Microsoft Entra Permissions Management, Organisationsinformationen zu sammeln. Die folgenden Angaben werden in der Vorlage angefordert. Alle Felder sind vorab ausgefüllt. Sie können die Daten nach Bedarf bearbeiten:

• Stapelname: Dies ist der Name des AWS-Stapels zum Erstellen der erforderlichen AWS-Ressourcen, die die Berechtigungsverwaltung zum Sammeln von Organisationsinformationen benötigt. Der Standardwert ist mciem-org-<tenant-id>.

• CFT-Parameter

  • Name der OIDC-Anbieterrolle: Name des IAM-Rollen-OIDC-Anbieters, der die Rolle übernehmen kann. Der Standardwert ist die OIDC-Kontorolle (wie in der Berechtigungsverwaltung eingegeben).

  • Name der Organisationskontorolle: Name der IAM-Rolle. Der Standardwert wird mit dem Rollennamen des Verwaltungskontos (wie in Microsoft Entra PM eingegeben) vorab ausgefüllt.

  • true: Aktiviert das einmalige Anmelden (SSO) für AWS. Der Standardwert ist true, wenn die Vorlage über die Seite „Identitätsanbieter (IdP) konfigurieren“ gestartet wird, andernfalls lautet der Standardwert false.

  • OIDC-Anbieterkonto-ID: Die Konto-ID, mit der der OIDC-Anbieter erstellt wird. Der Standardwert ist die OIDC-Anbieter-ID (wie in der Berechtigungsverwaltung eingegeben).

  • Mandanten-ID: ID des Mandanten, in dem die Anwendung erstellt wird. Der Standardwert lautet tenant-id (der konfigurierte Mandant).

7. Klicken Sie auf Weiter, um die eingegebenen Informationen zu überprüfen und zu bestätigen.

8. Wählen Sie Jetzt überprüfen und speichern aus.

Nächste Schritte

• Informationen zum Anfügen und Trennen von Berechtigungen für AWS-Identitäten finden Sie unter Anfügen und Trennen von Richtlinien für AWS-Identitäten.