Konfigurieren von AWS IAM Identity Center(Nachfolger von AWS Single Sign-On) für die automatische Benutzerbereitstellung mit Microsoft Entra ID

In diesem Artikel werden die Schritte beschrieben, die Sie sowohl im AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) als auch in der Microsoft Entra-ID ausführen müssen, um die automatische Benutzerbereitstellung zu konfigurieren. Bei der Konfiguration stellt Microsoft Entra mithilfe des Microsoft Entra-Bereitstellungsdiensts automatisch Benutzer*innen und Gruppen für AWS IAM Identity Center bereit und hebt die Bereitstellung wieder auf. Wichtige Informationen darüber, was dieser Dienst tut, wie er funktioniert und Antworten auf häufig gestellte Fragen finden Sie unter Automatisieren der Benutzerbereitstellung und -entfernung für SaaS-Anwendungen mit Microsoft Entra ID.

Unterstützte Funktionen

• Erstellen von Benutzern in AWS IAM Identity Center
• Entfernen von Benutzern aus AWS IAM Identity Center, wenn sie keinen Zugriff mehr benötigen
• Synchronisieren von Benutzerattributen zwischen Microsoft Entra ID und AWS IAM Identity Center
• Bereitstellen von Gruppen und Gruppenmitgliedschaften in AWS IAM Identity Center
• IAM Identity Center zum AWS IAM Identity Center

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Eine der folgenden Rollen:
  • Anwendungsadministrator
  • Cloudanwendungsadministrator
  • Anwendungsbesitzer.

• Eine SAML-Verbindung zwischen Ihrem Microsoft Entra-Konto und AWS IAM Identity Center, wie im Tutorial beschrieben

Schritt 1: Planen Sie Ihren Bereitstellungsprozess

1. Erfahren Sie , wie der Bereitstellungsdienst funktioniert.
2. Definieren Sie den Geltungsbereich für die Bereitstellung.
3. Legen Sie fest, welche Daten zwischen Microsoft Entra ID und AWS IAM Identity Center zugeordnet werden sollen.

Schritt 2: Konfigurieren von AWS IAM Identity Center für die Unterstützung der Bereitstellung mit Microsoft Entra ID

1. Öffnen Sie das AWS IAM Identity Center.

2. Einstellungen im linken Navigationsbereich auswählen

3. Wählen Sie unter "Einstellungen" im Abschnitt "Automatische Bereitstellung aktivieren" aus.

   

4. Kopieren Und speichern Sie im Dialogfeld "Eingehende automatische Bereitstellung" den SCIM-Endpunkt und das Zugriffstoken (sichtbar, nachdem Sie "Token anzeigen" ausgewählt haben). Diese Werte werden im Feld "Mandanten-URL " und " Geheimes Token" auf der Registerkarte "Bereitstellung" Ihrer AWS IAM Identity Center-Anwendung eingegeben.

Schritt 3: Hinzufügen von AWS IAM Identity Center aus dem Microsoft Entra-Anwendungskatalog

Fügen Sie AWS IAM Identity Center aus dem Microsoft Entra-Anwendungskatalog hinzu, um mit der Verwaltung der Bereitstellung in AWS IAM Identity Center zu beginnen. Wenn Sie AWS IAM Identity Center zuvor für einmaliges Anmelden eingerichtet haben, können Sie dieselbe Anwendung verwenden. Weitere Informationen zum Hinzufügen einer Anwendung aus dem Katalog finden Sie hier.

Schritt 4: Definieren, wer in die Bereitstellung einbezogen werden soll

Mit dem Microsoft Entra-Bereitstellungsdienst können Sie festlegen, wer basierend auf der Zuweisung zur Anwendung oder basierend auf Attributen des Benutzers oder der Gruppe bereitgestellt wird. Wenn Sie sich dafür entscheiden, anhand der Zuweisung festzulegen, wer für Ihre App bereitgestellt werden soll, können Sie der Anwendung mithilfe dieser Schritte Benutzende und Gruppen zuweisen. Wenn Sie festlegen möchten, wer ausschließlich auf Basis der Attribute des Benutzers oder der Gruppe ausgewählt wird, können Sie einen Bereichsfilter verwenden.

• Beginnen Sie klein. Testen Sie mit einer kleinen Anzahl von Benutzern und Gruppen, bevor Sie es auf alle anwenden. Wenn der Bereich für die Bereitstellung auf zugewiesene Benutzer und Gruppen festgelegt ist, können Sie dies steuern, indem Sie der App einen oder zwei Benutzer oder Gruppen zuweisen. Wenn der Bereich auf alle Benutzer und Gruppen festgelegt ist, können Sie einen attributbasierten Bereichsdefinitionsfilter angeben.

• Wenn Sie zusätzliche Rollen benötigen, können Sie das Anwendungsmanifest aktualisieren, um neue Rollen hinzuzufügen.

Schritt 5: Konfigurieren der automatischen Benutzerbereitstellung für AWS IAM Identity Center

Dieser Abschnitt führt Sie durch die Schritte zum Konfigurieren des Microsoft Entra-Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzern und/oder Gruppen in TestApp basierend auf Benutzer- und/oder Gruppenzuweisungen in Microsoft Entra ID.

So konfigurieren Sie die automatische Benutzerbereitstellung für AWS IAM Identity Center in Microsoft Entra ID:

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps

   

3. Wählen Sie in der Anwendungsliste AWS IAM Identity Center aus.

   

4. Wählen Sie die Registerkarte "Bereitstellung" aus .

   

5. Legen Sie den Bereitstellungsmodus auf "Automatisch" fest.

   

6. Geben Sie im Abschnitt Administratoranmeldeinformationen Ihre AWS IAM Identity Center-Mandanten-URL und das geheime Token ein, das weiter oben in Schritt 2 abgerufen wurde. Wählen Sie "Testverbindung" aus, um sicherzustellen, dass die Microsoft Entra-ID eine Verbindung mit AWS IAM Identity Center herstellen kann.

   

7. Geben Sie im Feld " Benachrichtigungs-E-Mail " die E-Mail-Adresse einer Person oder Gruppe ein, die die Bereitstellungsfehlerbenachrichtigungen erhalten soll, und aktivieren Sie das Kontrollkästchen " E-Mail-Benachrichtigung senden", wenn ein Fehler auftritt .

   

8. Wählen Sie "Speichern" aus.

9. Wählen Sie im Abschnitt "Zuordnungen " die Option "Microsoft Entra-Benutzer mit AWS IAM Identity Center synchronisieren" aus.

10. Überprüfen Sie die Benutzerattribute, die von Microsoft Entra ID mit AWS IAM Identity Center synchronisiert werden, im Abschnitt "Attributzuordnung" . Die Attribute, die als Matching-Eigenschaften ausgewählt wurden, werden verwendet, um Benutzerkonten im AWS IAM Identity Center für Aktualisierungsvorgänge abzugleichen. Wenn Sie das übereinstimmende Zielattribute ändern möchten, müssen Sie sicherstellen, dass die AWS IAM Identity Center-API das Filtern von Benutzern basierend auf diesem Attribut unterstützt. Wählen Sie die Schaltfläche " Speichern " aus, um änderungen zu übernehmen.

    Merkmal	Typ	Unterstützung für die Filterung
    Nutzername	Schnur	✓
    active	Boolescher Wert
    Anzeigename	Schnur
    title	Schnur
    emails[type eq "work"].value	Schnur
    bevorzugteSprache	Schnur
    name.givenName	Schnur
    name.familyName	Schnur
    name.formatted	Schnur
    addresses[type eq "work"].formatted	Schnur
    addresses[type eq "work"].streetAddress	Schnur
    addresses[type eq "work"].locality	Schnur
    addresses[type eq "work"].region	Schnur
    addresses[type eq "work"].postalCode	Schnur
    addresses[type eq "work"].country	Schnur
    phoneNumbers[type eq "work"].value	Schnur
    externalId	Schnur
    locale	Schnur
    Zeitzone	Schnur
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	Schnur
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	Schnur
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	Schnur
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter	Schnur
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization	Schnur
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager	Referenz

11. Wählen Sie im Abschnitt "Zuordnungen " die Option "Microsoft Entra-Gruppen mit AWS IAM Identity Center synchronisieren" aus.

12. Überprüfen Sie die Gruppenattribute, die von Microsoft Entra ID mit AWS IAM Identity Center synchronisiert werden, im Abschnitt "Attributzuordnung" . Die als Matching-Eigenschaften ausgewählten Attribute werden verwendet, um die Gruppen im AWS IAM Identity Center für Aktualisierungsvorgänge abzugleichen. Wählen Sie die Schaltfläche " Speichern " aus, um änderungen zu übernehmen.

    Merkmal	Typ	Unterstützung für die Filterung
    Anzeigename	Schnur	✓
    externalId	Schnur
    members	Referenz

13. Informationen zum Konfigurieren von Bereichsfiltern finden Sie in den folgenden Anweisungen im Bereichsfilterartikel.

14. Um den Microsoft Entra-Bereitstellungsdienst für AWS IAM Identity Center zu aktivieren, ändern Sie den Bereitstellungsstatus im Abschnitt "Einstellungen" in "Ein".

    

15. Definieren Sie die Benutzer und/oder Gruppen, die Sie für AWS IAM Identity Center bereitstellen möchten, indem Sie die gewünschten Werte im Bereich im Abschnitt "Einstellungen" auswählen.

    

16. Wählen Sie Speichern aus, wenn die Bereitstellung erfolgen kann.

    

Dieser Vorgang startet den anfänglichen Synchronisierungszyklus aller Benutzer und Gruppen, die im Scope-Bereich des Bereichs "Einstellungen" definiert sind. Der anfängliche Zyklus dauert länger als nachfolgende Zyklen, die ungefähr alle 40 Minuten auftreten, solange der Microsoft Entra-Bereitstellungsdienst ausgeführt wird.

Schritt 6: Überwachen der Bereitstellung

Nachdem Sie die Bereitstellung konfiguriert haben, verwenden Sie die folgenden Ressourcen, um Ihre Bereitstellung zu überwachen:

1. Verwenden Sie die Bereitstellungsprotokolle , um zu ermitteln, welche Benutzer erfolgreich oder erfolglos bereitgestellt werden.
2. Überprüfen Sie die Fortschrittsanzeige, um den Status des Bereitstellungszyklus zu sehen und zu erfahren, wie nah er an der Fertigstellung ist.
3. Wenn sich die Bereitstellungskonfiguration in einem fehlerhaften Zustand zu befinden scheint, wird die Anwendung unter Quarantäne gestellt. Weitere Informationen zum Quarantänestatus finden Sie im Artikel Anwendungsbereitstellung im Quarantänestatus.

Just-in-Time(JIT)-Anwendungszugriff mit PIM für Gruppen

Mit PIM für Gruppen können Sie den Just-in-Time-Zugriff auf Gruppen in Amazon Web Services bereitstellen und die Anzahl der Benutzer reduzieren, die dauerhaften Zugriff auf privilegierte Gruppen in AWS haben.

Konfigurieren Ihrer Unternehmensanwendung für SSO und Bereitstellung

1. Fügen Sie AWS IAM Identity Center zu Ihrem Mandanten hinzu, konfigurieren Sie es für die Bereitstellung, wie im oben erwähnten Artikel beschrieben, und starten Sie die Bereitstellung.
2. Konfigurieren sie einmaliges Anmelden für AWS IAM Identity Center.
3. Erstellen Sie eine Gruppe , die allen Benutzern Zugriff auf die Anwendung bietet.
4. Weisen Sie die Gruppe der AWS Identity Center-Anwendung zu.
5. Weisen Sie Ihren Testbenutzer als direktes Mitglied der Gruppe zu, die im vorherigen Schritt erstellt wurde, oder gewähren Sie ihm über ein Zugriffspaket Zugriff auf die Gruppe. Diese Gruppe kann für den dauerhaften Zugriff ohne Administratorrechte in AWS verwendet werden.

Aktivieren von PIM für Gruppen

1. Erstellen Sie eine zweite Gruppe in Microsoft Entra ID. Diese Gruppe bietet Zugriff auf Administratorberechtigungen in AWS.
2. Unterwerfen Sie die Gruppe der Verwaltung in Microsoft Entra PIM.
3. Weisen Sie Ihre Testbenutzerin als berechtigt für die Gruppe in PIM zu, wobei die Rolle auf „Mitglied“ festgelegt ist.
4. Weisen Sie die zweite Gruppe der AWS IAM Identity Center-Anwendung zu.
5. Verwenden Sie die Bedarfsbereitstellung, um die Gruppe in AWS IAM Identity Center zu erstellen.
6. Melden Sie sich bei AWS IAM Identity Center an, und weisen Sie der zweiten Gruppe die erforderlichen Berechtigungen zum Ausführen von Administratoraufgaben zu.

Jetzt kann jeder Endbenutzer, der für die Gruppe in PIM berechtigt wurde, JIT-Zugriff auf die Gruppe in AWS erhalten, indem er seine Gruppenmitgliedschaft aktiviert.

Wichtige Überlegungen

• Wie lange dauert es, bis ein Benutzer der Anwendung bereitgestellt wird?:
  • Wenn ein Benutzer einer Gruppe in der Microsoft Entra-ID hinzugefügt wird, außerhalb der Aktivierung der Gruppenmitgliedschaft mithilfe von Microsoft Entra ID Privileged Identity Management (PIM):
    • Die Gruppenmitgliedschaft wird während des nächsten Synchronisierungszyklus in der Anwendung bereitgestellt. Der Synchronisierungszyklus wird alle 40 Minuten ausgeführt.
  • Wenn ein Benutzer seine Gruppenmitgliedschaft in Microsoft Entra ID PIM aktiviert:
    • Die Gruppenmitgliedschaft wird innerhalb von 2 bis 10 Minuten bereitgestellt. Wenn gleichzeitig eine hohe Anzahl von Anfragen vorliegt, werden diese auf fünf Anfragen pro 10 Sekunden begrenzt.
    • Für die ersten fünf Benutzer innerhalb eines Zeitraums von 10 Sekunden, der ihre Gruppenmitgliedschaft für eine bestimmte Anwendung aktiviert, wird die Gruppenmitgliedschaft innerhalb von 2 bis 10 Minuten in der Anwendung bereitgestellt.
    • Für den sechsten und obigen Benutzer innerhalb eines Zeitraums von 10 Sekunden, der seine Gruppenmitgliedschaft für eine bestimmte Anwendung aktiviert, wird die Gruppenmitgliedschaft im nächsten Synchronisierungszyklus für die Anwendung bereitgestellt. Der Synchronisierungszyklus wird alle 40 Minuten ausgeführt. Die Grenzwerte für die Drosselung gelten pro Unternehmensanwendung.
• Wenn der Benutzer nicht auf die erforderliche Gruppe in AWS zugreifen kann, lesen Sie die nachstehenden Tipps zur Problembehandlung, PIM-Protokolle und Bereitstellungsprotokolle, um sicherzustellen, dass die Gruppenmitgliedschaft erfolgreich aktualisiert wurde. Je nachdem, wie die Zielanwendung erstellt wurde, kann es zusätzliche Zeit dauern, bis die Gruppenmitgliedschaft in der Anwendung wirksam wird.
• Sie können Warnungen für Fehler mithilfe von Azure Monitor erstellen.
• Die Deaktivierung erfolgt während des regulären inkrementellen Zyklus. Sie wird nicht sofort über die On-Demand-Bereitstellung verarbeitet.

Tipps zur Problembehandlung

Fehlende Attribute

Beim Bereitstellen einzelner Benutzer*innen in AWS müssen diese über die folgenden Attribute verfügen:

• firstName
• lastName
• Anzeigename
• Nutzername

Benutzer, die nicht über diese Attribute verfügen, schlagen mit dem folgenden Fehler fehl.

Mehrwertige Attribute

AWS unterstützt die folgenden mehrwertigen Attribute nicht:

• E-Mail
• Telefonnummern

Beim Versuch, die obigen Attribute als mehrwertige Attribute zu verwenden, wird die folgende Fehlermeldung angezeigt.

Es gibt zwei Möglichkeiten, dies zu beheben.

1. Stellen Sie sicher, dass der*die Benutzer*in nur über einen Wert für phoneNumber/email verfügt.
2. Entfernen Sie die doppelten Attribute. Wenn beispielsweise zwei verschiedene Attribute aus Microsoft Entra ID beide auf AWS-Seite "phoneNumber___" zugeordnet werden, würde dies zu einem Fehler führen, wenn beide Attribute Werte in Microsoft Entra ID haben. Nur ein vorhandenes Attribut, das einem "phoneNumber____"-Attribut zugeordnet ist, würde den Fehler beheben.

Ungültige Zeichen

AWS IAM Identity Center lässt derzeit bestimmte von Microsoft Entra ID unterstützte Zeichen nicht zu, z. B. Tabstopp (\t), Neue Zeile (\n), Wagenrücklauf (\r) und <|>|;|:%.

Weitere Tipps zur Fehlerbehebung finden Sie auch hier im AWS IAM Identity Center.

Weitere Ressourcen

• Verwalten der Bereitstellung von Benutzerkonten für Enterprise-Apps
• Was ist Anwendungszugriff und IAM Identity Center mit Microsoft Entra ID?

Verwandte Inhalte

• Erfahren Sie, wie Sie Protokolle überprüfen und Berichte zu Bereitstellungsaktivitäten abrufen.