Tutorial: Konfigurieren von AWS IAM Identity Center für automatische Benutzerbereitstellung
In diesem Tutorial werden die Schritte beschrieben, die Sie sowohl in AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) als auch in Microsoft Entra ID ausführen müssen, um die automatische Benutzerbereitstellung zu konfigurieren. Bei der Konfiguration stellt Microsoft Entra mithilfe des Microsoft Entra-Bereitstellungsdiensts automatisch Benutzer*innen und Gruppen für AWS IAM Identity Center bereit und hebt die Bereitstellung wieder auf. Wichtige Details zum Zweck und zur Funktionsweise dieses Diensts sowie häufig gestellte Fragen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzer*innen für SaaS-Anwendungen mit Microsoft Entra ID.
Unterstützte Funktionen
- Erstellen von Benutzern in AWS IAM Identity Center
- Entfernen von Benutzern aus AWS IAM Identity Center, wenn sie keinen Zugriff mehr benötigen
- Synchronisieren von Benutzerattributen zwischen Microsoft Entra ID und AWS IAM Identity Center
- Bereitstellen von Gruppen und Gruppenmitgliedschaften in AWS IAM Identity Center
- IAM Identity Center in AWS IAM Identity Center
Voraussetzungen
Das diesem Tutorial zu Grunde liegende Szenario setzt voraus, dass Sie bereits über die folgenden Voraussetzungen verfügen:
- Ein Microsoft Entra-Mandant
- Eine der folgenden Rollen: Anwendungsadministrator, Cloudanwendungsadministrator oder Anwendungsbesitzer.
- Eine SAML-Verbindung zwischen Ihrem Microsoft Entra-Konto und AWS IAM Identity Center, wie im Tutorial beschrieben
Schritt 1: Planen der Bereitstellung
- Erfahren Sie, wie der Bereitstellungsdienst funktioniert.
- Definieren Sie den Geltungsbereich für die Bereitstellung.
- Legen Sie fest, welche Daten zwischen Microsoft Entra ID und AWS IAM Identity Center zugeordnet werden sollen.
Schritt 2: Konfigurieren von AWS IAM Identity Center für die Unterstützung der Bereitstellung mit Microsoft Entra ID
Öffnen Sie AWS IAM Identity Center.
Wählen Sie im linken Navigationsbereich Einstellungen aus.
Klicken Sie in Einstellungen im Abschnitt „Automatische Bereitstellung“ auf „Aktivieren“.
Kopieren und speichern Sie im Dialogfeld „Eingehende automatische Bereitstellung“ den SCIM-Endpunkt und das Zugriffstoken (das nach Klicken auf „Token zeigen“ sichtbar wird). Diese Werte werden in das Feld Mandanten-URL und Geheimes Token auf der Registerkarte „Bereitstellung“ Ihrer AWS IAM Identity Center-Anwendung eingegeben.
Schritt 3: Hinzufügen von AWS IAM Identity Center aus dem Microsoft Entra-Anwendungskatalog
Fügen Sie AWS IAM Identity Center aus dem Microsoft Entra-Anwendungskatalog hinzu, um mit der Verwaltung der Bereitstellung in AWS IAM Identity Center zu beginnen. Wenn Sie AWS IAM Identity Center zuvor für einmaliges Anmelden eingerichtet haben, können Sie dieselbe Anwendung verwenden. Hier erfahren Sie mehr über das Hinzufügen einer Anwendung aus dem Katalog.
Schritt 4: Definieren, wer in die Bereitstellung einbezogen werden soll
Mit dem Microsoft Entra-Bereitstellungsdienst können Sie anhand der Zuweisung zur Anwendung und/oder anhand von Attributen für Benutzer*innen / Gruppen festlegen, wer in die Bereitstellung einbezogen werden soll. Wenn Sie sich dafür entscheiden, anhand der Zuweisung festzulegen, wer für Ihre App bereitgestellt wird, können Sie der Anwendung mithilfe der folgenden Schritte Benutzer und Gruppen zuweisen. Wenn Sie allein anhand der Attribute des Benutzers oder der Gruppe auswählen möchten, wer bereitgestellt wird, können Sie einen hier beschriebenen Bereichsfilter verwenden.
Fangen Sie klein an. Testen Sie die Bereitstellung mit einer kleinen Gruppe von Benutzern und Gruppen, bevor Sie sie für alle freigeben. Wenn der Bereitstellungsbereich auf zugewiesene Benutzer und Gruppen festgelegt ist, können Sie dies durch Zuweisen von einem oder zwei Benutzern oder Gruppen zur App kontrollieren. Ist der Bereich auf alle Benutzer und Gruppen festgelegt, können Sie einen attributbasierten Bereichsfilter angeben.
Wenn Sie zusätzliche Rollen benötigen, können Sie das Anwendungsmanifest so ändern, dass neue Rollen hinzugefügt werden.
Schritt 5: Konfigurieren der automatischen Benutzerbereitstellung für AWS IAM Identity Center
In diesem Abschnitt werden die Schritte zum Konfigurieren des Microsoft Entra-Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzer bzw. Gruppen in TestApp auf der Grundlage von Benutzer- oder Gruppenzuweisungen in Microsoft Entra ID erläutert.
So konfigurieren Sie die automatische Benutzerbereitstellung für AWS IAM Identity Center in Microsoft Entra ID:
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen.
Wählen Sie in der Anwendungsliste AWS IAM Identity Center aus.
Wählen Sie die Registerkarte Bereitstellung.
Legen Sie den Bereitstellungsmodus auf Automatisch fest.
Geben Sie im Abschnitt Administratoranmeldeinformationen die in Schritt 2 abgerufenen Werte für Mandanten-URL und Geheimes Token für AWS IAM Identity Center ein. Klicken Sie auf Verbindung testen, um sicherzustellen, dass Microsoft Entra ID eine Verbindung zu AWS IAM Identity Center herstellen kann.
Geben Sie im Feld Benachrichtigungs-E-Mail die E-Mail-Adresse einer Person oder Gruppe ein, die Benachrichtigungen zu Bereitstellungsfehlern erhalten soll, und aktivieren Sie das Kontrollkästchen Bei Fehler E-Mail-Benachrichtigung senden.
Wählen Sie Speichern.
Wählen Sie im Abschnitt Zuordnungen die Option Microsoft Entra-Benutzer mit AWS IAM Identity Center synchronisieren aus.
Überprüfen Sie im Abschnitt Attributzuordnung die Benutzerattribute, die von Microsoft Entra ID mit AWS IAM Identity Center synchronisiert werden. Die als Übereinstimmend ausgewählten Attribute werden verwendet, um die Benutzerkonten in AWS IAM Identity Center für Aktualisierungsvorgänge abzugleichen. Wenn Sie sich dafür entscheiden, das Zielattribut für die Übereinstimmung zu ändern, müssen Sie sicherstellen, dass die AWS IAM Identity Center-API das Filtern von Benutzern anhand dieses Attributs unterstützt. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.
Attribut type Unterstützung für das Filtern userName String ✓ aktiv Boolean displayName String title String emails[type eq "work"].value String preferredLanguage String name.givenName String name.familyName String name.formatted String addresses[type eq "work"].formatted String addresses[type eq "work"].streetAddress String addresses[type eq "work"].locality String addresses[type eq "work"].region String addresses[type eq "work"].postalCode String addresses[type eq "work"].country String phoneNumbers[type eq "work"].value String externalId String locale String timezone String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager Verweis Wählen Sie im Abschnitt Zuordnungen die Option Microsoft Entra-Gruppen mit AWS IAM Identity Center synchronisieren aus.
Überprüfen Sie im Abschnitt Attributzuordnung die Gruppenattribute, die von Microsoft Entra ID mit AWS IAM Identity Center synchronisiert werden. Die als übereinstimmende Eigenschaften ausgewählten Attribute werden für den Abgleich der Gruppen in AWS IAM Identity Center für Aktualisierungsvorgänge verwendet. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.
Attribut type Unterstützung für das Filtern displayName String ✓ externalId String members Verweis Wenn Sie Bereichsfilter konfigurieren möchten, lesen Sie die Anweisungen unter Attributbasierte Anwendungsbereitstellung mit Bereichsfiltern.
Um den Microsoft Entra-Bereitstellungsdienst für AWS IAM Identity Center zu aktivieren, ändern Sie im Abschnitt Einstellungen den Bereitstellungsstatus in Ein.
Definieren Sie die Benutzer und/oder Gruppen, die Sie für AWS IAM Identity Center bereitstellen möchten, indem Sie die gewünschten Werte unter Bereich im Abschnitt Einstellungen auswählen.
Wenn Sie fertig sind, klicken Sie auf Speichern.
Durch diesen Vorgang wird der erstmalige Synchronisierungszyklus für alle Benutzer und Gruppen gestartet, die im Abschnitt Einstellungen unter Bereich definiert wurden. Der erste Zyklus dauert länger als nachfolgende Zyklen, die ungefähr alle 40 Minuten erfolgen, solange der Microsoft Entra-Bereitstellungsdienst ausgeführt wird.
Schritt 6: Überwachen der Bereitstellung
Wenn Sie die Bereitstellung konfiguriert haben, können Sie mit den folgenden Ressourcen die Bereitstellung überwachen:
- Mithilfe der Bereitstellungsprotokolle können Sie ermitteln, welche Benutzer erfolgreich bzw. nicht erfolgreich bereitgestellt wurden
- Anhand der Fortschrittsleiste können Sie den Status des Bereitstellungszyklus überprüfen und den Fortschritt der Bereitstellung verfolgen.
- Wenn sich die Bereitstellungskonfiguration in einem fehlerhaften Zustand zu befinden scheint, wird die Anwendung unter Quarantäne gestellt. Weitere Informationen zu den verschiedenen Quarantänestatus finden Sie hier.
Just-In-Time-Anwendungszugriff (JIT) mit PIM für Gruppen
Mit PIM für Gruppen können Sie den Just-in-Time-Zugriff auf Gruppen in Amazon Web Services bereitstellen und die Anzahl der Benutzer reduzieren, die dauerhaften Zugriff auf privilegierte Gruppen in AWS haben.
Konfigurieren Ihrer Unternehmensanwendung für einmaliges Anmelden (SSO) und Bereitstellung
- Fügen Sie AWS IAM Identity Center Ihrem Mandanten hinzu, konfigurieren Sie es für die Bereitstellung, wie im obigen Tutorial beschrieben, und starten Sie die Bereitstellung.
- Konfigurieren des einmaligen Anmeldens für AWS IAM Identity Center.
- Erstellen Sie eine Gruppe, die allen Benutzern Zugriff auf die Anwendung bereitstellt.
- Weisen Sie die Gruppe der AWS Identity Center-Anwendung zu.
- Weisen Sie Ihren Testbenutzer als direktes Mitglied der Gruppe zu, die im vorherigen Schritt erstellt wurde, oder gewähren Sie ihm über ein Zugriffspaket Zugriff auf die Gruppe. Diese Gruppe kann für den dauerhaften Zugriff ohne Administratorrechte in AWS verwendet werden.
Aktivieren von PIM für Gruppen
- Erstellen Sie eine zweite Gruppe in Microsoft Entra ID. Diese Gruppe bietet Zugriff auf Administratorberechtigungen in AWS.
- Unterwerfen Sie die Gruppe der Verwaltung in Microsoft Entra PIM.
- Weisen Sie Ihren Testbenutzer als berechtigt für die Gruppe in PIM zu, wobei die Rolle auf „Mitglied“ festgelegt ist.
- Weisen Sie die zweite Gruppe der AWS IAM Identity Center-Anwendung zu.
- Verwenden Sie die Bedarfsbereitstellung, um die Gruppe in AWS IAM Identity Center zu erstellen.
- Melden Sie sich bei AWS IAM Identity Center an, und weisen Sie der zweiten Gruppe die erforderlichen Berechtigungen zum Ausführen von Administratoraufgaben zu.
Jetzt kann jeder Endbenutzer, der für die Gruppe in PIM berechtigt wurde, JIT-Zugriff auf die Gruppe in AWS erhalten, indem seine Gruppenmitgliedschaft aktiviert wird.
Wichtige Aspekte
- Wie lange dauert es, bis ein Benutzer in der Anwendung bereitgestellt wird?
- Wenn ein Benutzer einer Gruppe in Microsoft Entra ID hinzugefügt wird, ohne dass seine Gruppenmitgliedschaft mithilfe von Microsoft Entra ID Privileged Identity Management (PIM) aktiviert wird:
- Die Gruppenmitgliedschaft wird während des nächsten Synchronisierungszyklus in der Anwendung bereitgestellt. Der Synchronisierungszyklus wird alle 40 Minuten ausgeführt.
- Wenn ein Benutzer seine Gruppenmitgliedschaft in Microsoft Entra ID PIM aktiviert:
- Die Gruppenmitgliedschaft wird in 2 bis 10 Minuten bereitgestellt. Bei einer hohen Anzahl von gleichzeitigen Anforderungen werden Anforderungen auf fünf Anforderungen pro zehn Sekunden gedrosselt.
- Für die ersten fünf Benutzer, die innerhalb eines Zeitraums von zehn Sekunden ihre Gruppenmitgliedschaft für eine bestimmte Anwendung aktivieren, wird die Gruppenmitgliedschaft innerhalb von zwei bis zehn Minuten in der Anwendung bereitgestellt.
- Ab dem sechsten Benutzer, der innerhalb von zehn Sekunden seine Gruppenmitgliedschaft für eine bestimmte Anwendung aktiviert, wird die Gruppenmitgliedschaft im nächsten Synchronisierungszyklus in der Anwendung bereitgestellt. Der Synchronisierungszyklus wird alle 40 Minuten ausgeführt. Die Grenzwerte für die Drosselung gelten pro Unternehmensanwendung.
- Wenn ein Benutzer einer Gruppe in Microsoft Entra ID hinzugefügt wird, ohne dass seine Gruppenmitgliedschaft mithilfe von Microsoft Entra ID Privileged Identity Management (PIM) aktiviert wird:
- Wenn der Benutzer nicht auf die erforderliche Gruppe in AWS zugreifen kann, lesen Sie die nachstehenden Tipps zur Problembehandlung, PIM-Protokolle und Bereitstellungsprotokolle, um sicherzustellen, dass die Gruppenmitgliedschaft erfolgreich aktualisiert wurde. Je nachdem, wie die Zielanwendung erstellt wurde, kann es zusätzliche Zeit dauern, bis die Gruppenmitgliedschaft in der Anwendung wirksam wird.
- Sie können Warnungen für Fehler mithilfe von Azure Monitor erstellen.
- Die Deaktivierung erfolgt während des regulären inkrementellen Zyklus. Sie wird nicht sofort über die On-Demand-Bereitstellung verarbeitet.
Tipps zur Problembehandlung
Fehlende Attribute
Beim Bereitstellen einzelner Benutzer*innen in AWS müssen diese über die folgenden Attribute verfügen:
- firstName
- lastName
- displayName
- userName
Benutzer*innen, die nicht über diese Attribute verfügen, schlagen mit dem folgenden Fehler fehl:
Mehrwertige Attribute
AWS unterstützt die folgenden mehrwertigen Attribute nicht:
- Telefonnummern
Wenn Sie versuchen, die oben genannten Werte als mehrwertige Attribute zu senden, wird die folgende Fehlermeldung angezeigt.
Es gibt zwei Möglichkeiten, dies zu beheben.
- Stellen Sie sicher, dass der*die Benutzer*in nur über einen Wert für phoneNumber/email verfügt.
- Entfernen Sie die doppelten Attribute. Wenn beispielsweise zwei verschiedene Attribute aus Microsoft Entra ID beide auf AWS-Seite "phoneNumber___" zugeordnet werden, würde dies zu einem Fehler führen, wenn beide Attribute Werte in Microsoft Entra ID haben. Nur ein vorhandenes Attribut, das einem "phoneNumber____"-Attribut zugeordnet ist, würde den Fehler beheben.
Ungültige Zeichen
AWS IAM Identity Center lässt derzeit bestimmte von Microsoft Entra ID unterstützte Zeichen nicht zu, z. B. Tabstopp (\t), Neue Zeile (\n), Wagenrücklauf (\r) und <|>|;|:%.
Weitere Tipps zur AWS IAM Identity Center-Problembehandlung finden Sie hier.
Zusätzliche Ressourcen
- Verwalten der Benutzerkontobereitstellung für Unternehmens-Apps
- Was bedeuten Anwendungszugriff und IAM Identity Center mit Microsoft Entra ID?